Hallo,

dies ist mein erster Beitrag hier!

Erste Probleme (merkliche) Probleme gab es, als ich beim Einloggen in´s Online Banking Portal der Sparkasse nach 20 TANs gefragt wurde... Ein Telefonat mit der Hotline bewirkte die Sperrung meines Kontos und den Hinweis, das es sich um einen Trojaner handeln solle.

Ich benutze den Internetexplorer 6.0, Outlook Express, SP2...JA ich werde auf Firefox und Thunderbird wechseln!

-Avira AntiVir - Personal Edition wurde (und wird täglich!) "geupdated" und fand nichts!

-Spybot (ebenfalls immer aktuell!) fand nichts!

-McAffee "online Check" fand nach 3x auch nichts!

-CClean fand einige Fehler bei der "Registry" und erstellte 3 Sicherungen im ".reg" Format.
(Habe diese abgespeichert - können bei Bedarf geposted werden.)

-Malwarebites Anti Malware fand einiges, hier der Bericht:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1824
Windows 5.1.2600 Service Pack 2

06.03.2009 16:24:12
mbam-log-2009-03-06 (16-24-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|)
Durchsuchte Objekte: 177378
Laufzeit: 44 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 8
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3ba4271e-5c1e-48e2-b432-d8bf420dd31d} (Rogue.DeusCleaner) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Hijack.Sound) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Hijack.Sound) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\cc27800a1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\cc27800a1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Macromedia\Common\cc27800a1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Helma\Anwendungsdaten\Macromedia\Common\cc27800a1.dll (Hijack.Sound) -> Quarantined and deleted successfully.


-Hijackthis habe ich wie beschrieben durchlaufen lassen und editiert. Hier das Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 16:34:32, on 06.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Eigene Dateien\Zwischenablage\PC\Trojaner Board Schrittweise\Schritt 3\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://signin.ebay.de/ws/eBayISAPI.dll?SignIn&UsingSSL=1&pUserId=&co_partnerId=2&siteid=77&ru=http%3A%2F%2Fcgi5.ebay.de%3A80%2Fws2%2FeBayISAPI.dll%3FSellItem%26hc%3D1%26hm%3Du m.s5tjbhnm506%26SellItem%3D%26guest%3D1%26pass%3D%7B_pass_%7D%26userid%3D&pageType=1144
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.versatel.de/internet-cd/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188998430215
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188998424056
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5539/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{68BCE9D4-E7A6-4D60-9318-8857F3BA5136}: NameServer = 82.144.41.8 82.145.9.8
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE


Ab hier verlassen sie mich dann... und ich würde mich freuen, wenn Ihr mir weiterhelfen könntet!

Ich werde das System sowieso neu aufsetzen, sobald ich mein neues Laufwerk bekommen habe! Mein altes liest nämlich keine CDs, nur noch DVDs!
Ich frage mich, ob das mit dem oben beschriebenen (eventuellen) Problemen zusammenhängt?

Habe mir nämlich bei Ebay ein gebrauchtes gekauft, von dem der Vorbesitzer beschwor, das es i.O. sei! Es zeigte nach dem "Flashen" das selbe Problem!

Ein "ladenneues/jungfräuliches" Laufwerk (Slim/Laptop) muß nicht geflasht werden, oder?!

Ich weiß, das das nicht hier dazugehört! Aber das sind die Probleme die ich gerade hab´ und vielleicht kann die jemand von Euch auch nebenbei beantworten oder mich zu einem entsprechenden Link/Thema leiten?!

Na denn erstmal vielen Dank im Voraus!
Oliver
(Berlin)

Halli hallo.

Als erstes vorweg: Du musst deinen Rechner neuaufsetzen. Da du das eh vorhast und nur noch auf dein Laufwerk warten möchtest hier die erste Hilfe:



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.



Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Logge dich aber auch nach der Bereinigung hier im Forum nirgens über diesen PC ein und betrachte ihn als nicht vertrauenswürdig!!

Neuaufsetzen solltest du nach folgendem Muster:

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Hallo und vielen Dank erstmal!

Werde das jetzt Punkt für Punkt abarbeiten...

Eine wichtige Frage ist da noch, bitte!

Ich habe gerade mein neues Laufwerk aus der Packstation abgeholt... es handelt sich dabei um ein (wie gesagt) Slimline Gerät für den Laptop (Acer Extensa 3000).
Es ist Neuware von Toshiba.

Nun hatte ich extreme Probleme, bis das Vorgängerlaufwerk erkannt wurde...
Wenn ich jetzt all´die Schritte befolgen werde, WANN sollte ich das neue Laufwerk einsetzen/installieren?

Problematik war ja, das ich die "Recovery CD" eben nur auf "CD" besitze und das alte Laufwerk nur noch DVDs liest.

Besteht hier überhaupt ein Zusammenhang?
Wundern würde es mich nicht...

Also nochmal die Frage in Kurzform:

Wann das neue Laufwerk einsetzen?

Herzlichen Dank nochmal,
Oliver

Ich glaube nicht, dass deine Laufwerksprobleme mit dem Schädling zu tun haben. Trotzdem würde ich das Laufwerk erst nach der ersten Hilfe einsetzen. Also wenn wir hier fertig sind.

Ach - ich habe noch etwas vergessen!

Du schreibst davon, das ich keinerlei Daten Sichern sollte...
Und leider funktioniert der Link zu den "zu vermeidenden" Dateiendungen nicht.

- Wie sieht es hier mit externen Festplatten aus?


In Deinen zwei Antworten verstehe ich ebenfalls zwei Punkte nicht genau.

Zitat:

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Daher mein Verständnisproblem "WANN" das Laufwerk eingesetzt werden soll...
Daraufhin hast Du ja geantwortet:

Zitat:

Trotzdem würde ich das Laufwerk erst nach der ersten Hilfe einsetzen. Also wenn wir hier fertig sind.

Wollen wir uns darauf einigen, das Du mir sagst, wann es eingesetzt werden darf?

Danke Dir erstmal bis hier! Ich werde dann mal beginnen...

Gruß,
Oliver

Hallo,

hier die verlangten Berichte:

ComboFix 09-03-04.01 - Oliver 2009-03-07 16:10:12.1 - FAT32x86
ausgeführt von:: c:\dokumente und einstellungen\Oliver\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Oliver\Anwendungsdaten\inst.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-07 bis 2009-03-07 ))))))))))))))))))))))))))))))
.

2009-03-06 15:25 . 2009-03-06 15:25 <DIR> d-------- c:\dokumente und einstellungen\Oliver\Anwendungsdaten\Malwarebytes
2009-03-06 15:25 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-06 15:25 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-06 15:18 . 2009-03-06 15:18 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-06 15:18 . 2009-03-06 15:18 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-06 15:09 . 2009-03-06 15:09 <DIR> d-------- c:\programme\CCleaner
2009-03-01 15:46 . 2009-03-01 15:46 <DIR> d-------- c:\windows\McAfee.com
2009-02-27 23:34 . 2009-02-27 23:34 <DIR> d-------- c:\windows\BDOSCAN8
2009-02-27 20:35 . 2009-02-27 20:35 <DIR> d-------- c:\windows\system32\Kaspersky Lab
2009-02-27 20:35 . 2009-02-27 20:35 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-29 00:33 47,360 ----a-w c:\dokumente und einstellungen\Oliver\Anwendungsdaten\pcouffin.sys
2009-01-28 22:39 47,360 ----a-w c:\windows\system32\drivers\pcouffin.sys
2009-01-28 22:39 --------- d-----w c:\dokumente und einstellungen\Oliver\Anwendungsdaten\Vso
2009-01-27 19:31 --------- d-----w c:\programme\Western Digital Technologies
2009-01-22 12:30 87,936 ----a-w c:\dokumente und einstellungen\Oliver\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-01-18 23:26 --------- d-----w c:\dokumente und einstellungen\Oliver\Anwendungsdaten\Corel
2009-01-18 23:00 --------- d-----w c:\programme\Gemeinsame Dateien\Corel
2009-01-18 22:59 --------- d-----w c:\programme\Corel
2009-01-18 22:53 --------- d-----w c:\programme\CorelDRAW Graphics Suite 11
2008-11-27 17:57 64,088 ----a-w c:\dokumente und einstellungen\Helma\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-11-27 17:48 61,836,888 ----a-w c:\dokumente und einstellungen\Helma\setup_neckermann_de_Fotowelt.exe
2007-12-06 18:36 284 ----a-w c:\dokumente und einstellungen\Oliver\Anwendungsdaten\ViewerApp.dat
2003-01-21 02:00 13,095,560 ----a-r c:\windows\system32\config\systemprofile\MpSetup.exe
2003-01-21 02:00 13,095,560 ----a-r c:\dokumente und einstellungen\Oliver\MpSetup.exe
2003-01-21 02:00 13,095,560 ----a-r c:\dokumente und einstellungen\Helma\MpSetup.exe
2003-01-21 02:00 13,095,560 ----a-r c:\dokumente und einstellungen\Default User\MpSetup.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-20 98304]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-20 532480]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 40960]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\System32\IME\PINTLGNT\ImScInst.exe" [2003-04-02 59392]
"PHIME2002ASync"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2003-04-02 455168]
"PHIME2002A"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2003-04-02 455168]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-05-15 339968]
"LManager"="c:\programme\Launch Manager\QtZgAcer.EXE" [2004-07-05 315392]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-24 136600]
"Lexmark X5100 Series"="c:\programme\Lexmark X5100 Series\lxbabmgr.exe" [2003-03-04 86099]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-06-05 413696]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\eBay\\Turbo Lister2\\Tl.exe"=
"c:\\WINDOWS\\System32\\LEXPPS.EXE"=
"c:\\WINDOWS\\System32\\FXSCLNT.exe"=
"c:\\Programme\\Lexmark X5100 Series\\LXBAAIOX.EXE"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avcenter.exe"=
"c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=

R1 SMBHC;Microsoft SM Bus-Hostcontrollertreiber;c:\windows\system32\drivers\smbhc.sys [2004-07-06 6784]
R3 SMBBATT;Microsoft Smart Battery-Treiber;c:\windows\system32\drivers\smbbatt.sys [2004-07-06 16128]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = https://signin.ebay.de/ws/eBayISAPI.dll?SignIn&UsingSSL=1&pUserId=&co_partnerId=2&siteid=77&ru=http%3A%2F%2Fcgi5.ebay.de%3A80%2Fws2%2FeBayISAPI.dll%3FSellItem%26hc%3D1%26hm%3Du m.s5tjbhnm506%26SellItem%3D%26guest%3D1%26pass%3D%7B_pass_%7D%26userid%3D&pageType=1144
mStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.versatel.de/internet-cd/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
TCP: {68BCE9D4-E7A6-4D60-9318-8857F3BA5136} = 82.144.41.8 82.145.9.8
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-07 16:11:16
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-07 16:12:33
ComboFix-quarantined-files.txt 2009-03-07 15:12:32

Vor Suchlauf: 2.060.763.136 Bytes frei
Nach Suchlauf: 2,357,592,064 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

115 --- E O F --- 2007-09-09 14:16:16


Hier der Bericht vom Panda Active Scan:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-03-07 18:59:05
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 2
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Avira AntiVir PersonalEdition 8.0.1.30 No Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Helma\Cookies\helma@adtech[1].txt
00590315 Rootkit/Agent.LNB HackTools No 0 Yes No C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP516\A0076067.SYS
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location 5
;===================================================================================================================================================== ==============================
No C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Anwendungsdaten\Macromedia\Common\cc27800a1.dll 5
No C:\Dokumente und Einstellungen\Oliver\Desktop\ComboFix.exe 5
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description 5
;===================================================================================================================================================== ==============================
184380 MEDIUM MS08-002 5
184379 MEDIUM MS08-001 5
182048 HIGH MS07-069 5
182046 HIGH MS07-067 5
182043 HIGH MS07-064 5
179553 HIGH MS07-061 5
176382 HIGH MS07-057 5
176383 HIGH MS07-058 5
120815 HIGH MS06-022 5
;===================================================================================================================================================== ==============================

Wie solls weitergehen?

Danke,
Oliver

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop

• Starte das Programm durch einen Doppelklick auf das Avenger Symbol:
  .
  

• Setze den Haken bei "Automatically disable any rootkits found"
• Kopiere nun folgenden Text in das weiße Feld bei -> "Input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Anwendung sdaten\Macromedia\Common\cc27800a1.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Forum.

Wenn du dein Laufwerk zum Laufen gebracht hast solltest du nach unten stehender Anleitung neuaufsetzen.

Hallo!

Würdest Du bitte noch auf die zuvor gestellten Fragen von mir eingehen?!

Du schreibst davon, das ich keinerlei Daten Sichern sollte...
Und leider funktioniert der Link zu den "zu vermeidenden" Dateiendungen nicht.

- Wie sieht es hier mit den Daten externen Festplatten aus?

Hier der gewünschte Report:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Anwendung sdaten\Macromedia\Common\cc27800a1.dll"
Deletion of file "C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Anwendung sdaten\Macromedia\Common\cc27800a1.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.




Gruß und Dank,
Oliver

Der Link zu den Dateiendungen ist in Ordnung.

Das Laufwerk solltest du jetzt einsetzen und möglichs schnell neuaufsetzen. Ob und wie du Dateien sichern darfst bzw. solltest ist ebenfalls weiter unten erklärt. Ein Risiko ist es immer. Allerdings vertretbar wenn die Dateien nicht ausführbar sind und vor dem Neuaufspielen auf ein abgesichertes System durchgecheckt werden.

Herzlichen Dank für die Hilfe!

Werde jetzt nochmal die Anleitung zum "Neuaufsetzen des Systems" durchlesen und dann geht´s ab...

MBR.exe hat auch nix ergeben - ich denke das ist eine positive Nachricht!

Würde mich noch abschließend über ein paar Tips oder Empfehlungen, für Schutzprogramme freuen.

Gruß,
Oliver

Sehr gut.

Hier noch ein zwei Tips für das Leben danach.. ^^

• Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda, Kaspersky's Internet Security 2009 oder avast free.
  Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
  .
• Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
  .
• Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
  .
• Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
  .
• Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
  .
• Das aktuelle ServicePack sollte installiert sein:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
  .
• Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
    Vista_Firewall punktgenau konfigurieren
  .
• Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodoo o-ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Ganz im Gegenteil
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
    und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
  .
• Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
  .
  Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista



Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..

Habe das selbe Problem:
hjthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:46:12, on 20.06.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\acs.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\tp4mon.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINNT\system32\CF11212.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\notepad.exe
C:\Programme\CA\eTrust Antivirus\Realmon.exe
C:\Programme\TP-LINK\TWCU\TWCU.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TWCU] C:\Programme\TP-LINK\TWCU\TWCU.exe -nogui
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] REM C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AutoStart-Manager 2006] "C:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe" /AUTOSTART
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\Treppschuh\Anwendungsdaten\Macromedia\Common\4c02c01e19.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1221417596065
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINNT\system32\acs.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 6023 bytes









ComboFix 09-06-19.01 - Treppschuh 20.06.2009 16:34.2 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.49.1031.18.511.356 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Treppschuh\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-05-20 bis 2009-06-20 ))))))))))))))))))))))))))))))
.

2009-06-20 14:34 . 2009-06-20 14:34 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_3b0.dat
2009-06-15 18:23 . 2009-06-15 18:23 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_2b8.dat
2009-06-15 17:41 . 2009-06-15 17:41 81920 ----a-w- c:\winnt\system32\OpenAL32.dll
2009-06-15 17:41 . 2009-06-15 17:41 233472 ----a-w- c:\winnt\system32\wrap_oal.dll
2009-06-15 17:41 . 2009-06-15 18:07 -------- d-----w- c:\programme\DarXide games
2009-06-11 14:23 . 2009-06-20 14:33 4096 ----a-w- c:\dokumente und einstellungen\Treppschuh\Anwendungsdaten\Macromedia\Common\4c02c01e19.exe
2009-06-06 12:14 . 2009-06-06 12:14 -------- d-----w- c:\programme\Pool 'm Up
2009-06-06 12:05 . 2009-06-19 04:58 59904 ----a-w- c:\dokumente und einstellungen\Treppschuh\Anwendungsdaten\Macromedia\Common\4c02c01e1.dll
2009-06-05 18:44 . 2009-06-06 11:53 -------- d-----w- c:\programme\Pool Billard 1
2009-06-05 18:44 . 2009-06-05 18:44 74240 ----a-w- c:\winnt\cadkasdeinst01.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-20 14:32 . 2009-06-20 14:32 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_2a8.dat
2009-06-15 17:29 . 2009-02-01 15:31 -------- d-----w- c:\programme\Microsoft ActiveSync
2009-05-04 19:37 . 2008-11-28 22:51 8262 ----a-w- c:\winnt\extend.dat
2009-05-03 19:51 . 2009-01-21 17:33 -------- d-----w- c:\dokumente und einstellungen\Treppschuh\Anwendungsdaten\LPC
2009-05-03 19:44 . 2009-01-21 17:33 -------- d-----w- c:\programme\Link Popularity Check
2009-05-02 21:42 . 2008-08-18 16:21 -------- d-----w- c:\programme\Draw
2009-05-02 08:47 . 2009-05-02 08:47 -------- d-----w- c:\programme\Tools&More
2009-05-02 07:52 . 2009-05-01 19:09 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-05-01 19:09 . 2009-05-01 19:09 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-05-01 08:26 . 2009-05-01 08:26 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_2a4.dat
2008-08-14 13:28 . 2008-08-14 13:28 22080 ---h--w- c:\programme\folder.htt
2007-12-19 16:21 . 2007-12-19 16:21 3587402 ----a-w- c:\programme\xpage6prof.jar
2007-12-03 09:20 . 2007-12-03 09:20 268 ----a-w- c:\programme\updater.conf
1997-11-24 00:46 . 2008-08-18 16:23 26995 ------w- c:\programme\CorelDRAW 8 Readme.html
1997-11-23 16:36 . 2008-08-18 16:21 2695 ------w- c:\programme\CorelDRAW 8 Installation Notes.html
1997-11-23 15:26 . 2008-08-18 16:24 1269 ------w- c:\programme\Corel Media Folders 8 Readme.html
1997-11-23 15:08 . 2008-08-18 16:24 7773 ------w- c:\programme\CorelSCAN 8 Readme.html
1997-11-22 00:12 . 2008-08-18 16:24 97282 ------w- c:\programme\3rd Party Clipart Readme.html
1997-11-21 23:23 . 2008-08-18 16:24 3126 ------w- c:\programme\CorelDRAW 8 Filters Readme.html
1997-11-21 23:23 . 2008-08-18 16:23 1904 ------w- c:\programme\CorelTUTORS 8 Readme.html
1997-11-21 23:23 . 2008-08-18 16:23 4745 ------w- c:\programme\CorelPHOTO-PAINT 8 Readme.html
1997-11-21 23:23 . 2008-08-18 16:22 1269 ------w- c:\programme\Corel Texture Maker 8 Readme.html
1997-11-21 23:23 . 2008-08-18 16:22 2426 ------w- c:\programme\CorelDRAW Printing & Color Management Readme.html
1997-11-21 23:23 . 2008-08-18 16:22 2774 ------w- c:\programme\CorelDRAW WEB Related Features Readme.html
1997-11-21 23:23 . 2008-08-18 16:23 1178 ------w- c:\programme\Corel SCRIPT 7_8 Readme.html
1997-11-21 23:23 . 2008-08-18 16:22 2609 ------w- c:\programme\Corel Readme.html
1997-11-21 23:23 . 2008-08-18 16:22 1841 ------w- c:\programme\Corel DREAM 3D Readme.html
1997-11-06 15:23 . 2008-08-18 16:21 3824 ------w- c:\programme\newdaisy.gif
1997-10-30 16:27 . 2008-08-18 16:23 82 ------w- c:\programme\Drawreg.url
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="REM" [X]
"AutoStart-Manager 2006"="c:\programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe" [2005-12-23 397312]
"WAB"="c:\dokumente und einstellungen\Treppschuh\Anwendungsdaten\Macromedia\Common\4c02c01e19.exe" [2009-06-20 4096]
"rundll32.exe"="" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-07 136600]
"TWCU"="c:\programme\TP-LINK\TWCU\TWCU.exe" [2005-08-09 413696]
"Realtime Monitor"="c:\progra~1\CA\ETRUST~1\realmon.exe" [2003-03-21 487696]
"TrackPointSrv"="tp4mon.exe" - c:\winnt\system32\tp4mon.exe [1999-12-08 86288]
"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-20 112400]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [2003-06-20 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-20 189712]

R2 LogWatch;Ereignisprotokoll-Überwachung;c:\programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [20.09.2002 00:29 53248]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [08.04.2009 12:38 92008]
S3 CA_LIC_CLNT;CA-Lizenz-Client;c:\programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [20.09.2002 00:27 77824]
S3 CA_LIC_SRVR;CA-Lizenzserver;c:\programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [20.09.2002 00:41 77824]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - IPNAT
*NewlyCreated* - RASAUTO
*NewlyCreated* - SHAREDACCESS
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gmx.net/de/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-20 16:38
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(196)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'explorer.exe'(208)
c:\winnt\AppPatch\AcLayers.DLL
c:\winnt\system32\AVIFIL32.DLL
c:\programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
.
Zeit der Fertigstellung: 2009-06-20 16:39
ComboFix-quarantined-files.txt 2009-06-20 14:39

Vor Suchlauf: 44.456.587.264 Bytes frei
Nach Suchlauf: 44.451.360.768 Bytes frei

Ich werde immer wieder beim Wechsel von der Startseite der Bank auf eine Seite geleitet, die 20 tans verlangt.

Ich werde auf folgende Seite geschickt:
https://bankingportal.kreissparkasse-heilbronn.de/portal/portal/Starten
Sieht aus, wie die Loginseite der Bank, dann Kt.-Nr. und Pin eingeben, dann erscheint die Seite mit der TAN Abfrage.. so ein Mist.

Wie kriege ich raus, wo der Server steht?
Fällt Euch was bei meinem Logs auf?

Das ist ein Silent Banker. Leider sehr boese.


Mache bitte folgendes:

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

http://www.trojaner-board.de/70737-20x-tan-abfrage-startprobleme-langsam-trojaner-2.html#post442626

Registry:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"WAB"=-

collect::
C:\Dokumente und Einstellungen\Treppschuh\Anwendungsdaten\Macromedia\Common\4c02c01e19.exe


dirlook:
C:\Dokumente und Einstellungen\Treppschuh\Anwendungsdaten\Macromedia\Common\
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Das ist nicht die Ultimative Loesung, verschafft dir aber Zeit, die Daten zu sichern und das System neu aufzusetzen

Hier der Log:
ComboFix 09-06-19.01 - Treppschuh 20.06.2009 18:12.3 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.49.1031.18.511.355 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Treppschuh\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Treppschuh\Desktop\CFScript.txt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

file zipped: c:\dokumente und einstellungen\Treppschuh\Anwendungsdaten\Macromedia\Common\4c02c01e19.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Treppschuh\Anwendungsdaten\Macromedia\Common\4c02c01e19.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-05-20 bis 2009-06-20 ))))))))))))))))))))))))))))))
.

2009-06-20 16:11 . 2009-06-20 16:11 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_3a0.dat
2009-06-20 16:09 . 2009-06-20 16:09 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_2a8.dat
2009-06-15 18:23 . 2009-06-15 18:23 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_2b8.dat
2009-06-15 17:41 . 2009-06-15 17:41 81920 ----a-w- c:\winnt\system32\OpenAL32.dll
2009-06-15 17:41 . 2009-06-15 17:41 233472 ----a-w- c:\winnt\system32\wrap_oal.dll
2009-06-15 17:41 . 2009-06-15 18:07 -------- d-----w- c:\programme\DarXide games
2009-06-06 12:14 . 2009-06-06 12:14 -------- d-----w- c:\programme\Pool 'm Up
2009-06-06 12:05 . 2009-06-19 04:58 59904 ----a-w- c:\dokumente und einstellungen\Treppschuh\Anwendungsdaten\Macromedia\Common\4c02c01e1.dll
2009-06-05 18:44 . 2009-06-06 11:53 -------- d-----w- c:\programme\Pool Billard 1
2009-06-05 18:44 . 2009-06-05 18:44 74240 ----a-w- c:\winnt\cadkasdeinst01.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-15 17:29 . 2009-02-01 15:31 -------- d-----w- c:\programme\Microsoft ActiveSync
2009-05-04 19:37 . 2008-11-28 22:51 8262 ----a-w- c:\winnt\extend.dat
2009-05-03 19:51 . 2009-01-21 17:33 -------- d-----w- c:\dokumente und einstellungen\Treppschuh\Anwendungsdaten\LPC
2009-05-03 19:44 . 2009-01-21 17:33 -------- d-----w- c:\programme\Link Popularity Check
2009-05-02 21:42 . 2008-08-18 16:21 -------- d-----w- c:\programme\Draw
2009-05-02 08:47 . 2009-05-02 08:47 -------- d-----w- c:\programme\Tools&More
2009-05-02 07:52 . 2009-05-01 19:09 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-05-01 19:09 . 2009-05-01 19:09 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-05-01 08:26 . 2009-05-01 08:26 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_2a4.dat
2008-08-14 13:28 . 2008-08-14 13:28 22080 ---h--w- c:\programme\folder.htt
2007-12-19 16:21 . 2007-12-19 16:21 3587402 ----a-w- c:\programme\xpage6prof.jar
2007-12-03 09:20 . 2007-12-03 09:20 268 ----a-w- c:\programme\updater.conf
1997-11-24 00:46 . 2008-08-18 16:23 26995 ------w- c:\programme\CorelDRAW 8 Readme.html
1997-11-23 16:36 . 2008-08-18 16:21 2695 ------w- c:\programme\CorelDRAW 8 Installation Notes.html
1997-11-23 15:26 . 2008-08-18 16:24 1269 ------w- c:\programme\Corel Media Folders 8 Readme.html
1997-11-23 15:08 . 2008-08-18 16:24 7773 ------w- c:\programme\CorelSCAN 8 Readme.html
1997-11-22 00:12 . 2008-08-18 16:24 97282 ------w- c:\programme\3rd Party Clipart Readme.html
1997-11-21 23:23 . 2008-08-18 16:24 3126 ------w- c:\programme\CorelDRAW 8 Filters Readme.html
1997-11-21 23:23 . 2008-08-18 16:23 1904 ------w- c:\programme\CorelTUTORS 8 Readme.html
1997-11-21 23:23 . 2008-08-18 16:23 4745 ------w- c:\programme\CorelPHOTO-PAINT 8 Readme.html
1997-11-21 23:23 . 2008-08-18 16:22 1269 ------w- c:\programme\Corel Texture Maker 8 Readme.html
1997-11-21 23:23 . 2008-08-18 16:22 2426 ------w- c:\programme\CorelDRAW Printing & Color Management Readme.html
1997-11-21 23:23 . 2008-08-18 16:22 2774 ------w- c:\programme\CorelDRAW WEB Related Features Readme.html
1997-11-21 23:23 . 2008-08-18 16:23 1178 ------w- c:\programme\Corel SCRIPT 7_8 Readme.html
1997-11-21 23:23 . 2008-08-18 16:22 2609 ------w- c:\programme\Corel Readme.html
1997-11-21 23:23 . 2008-08-18 16:22 1841 ------w- c:\programme\Corel DREAM 3D Readme.html
1997-11-06 15:23 . 2008-08-18 16:21 3824 ------w- c:\programme\newdaisy.gif
1997-10-30 16:27 . 2008-08-18 16:23 82 ------w- c:\programme\Drawreg.url
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\dokumente und einstellungen\Treppschuh\Anwendungsdaten\Macromedia\Common\ ----

2009-06-11 14:23 . 2009-06-20 16:12 4096 ----a-w- c:\dokumente und einstellungen\Treppschuh\Anwendungsdaten\Macromedia\Common\\4c02c01e19.exe
2009-06-06 12:05 . 2009-06-19 04:58 59904 ----a-w- c:\dokumente und einstellungen\Trepsh\Anwendungsdaten\Macromedia\Common\\4c02c01e1.dll


(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="REM" [X]
"AutoStart-Manager 2006"="c:\programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe" [2005-12-23 397312]
"rundll32.exe"="" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realtime Monitor"="REM" [X]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-07 136600]
"TWCU"="c:\programme\TP-LINK\TWCU\TWCU.exe" [2005-08-09 413696]
"TrackPointSrv"="tp4mon.exe" - c:\winnt\system32\tp4mon.exe [1999-12-08 86288]
"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-20 112400]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [2003-06-20 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-20 189712]

R2 LogWatch;Ereignisprotokoll-Überwachung;c:\programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [20.09.2002 00:29 53248]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [08.04.2009 12:38 92008]
S3 CA_LIC_CLNT;CA-Lizenz-Client;c:\programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [20.09.2002 00:27 77824]
S3 CA_LIC_SRVR;CA-Lizenzserver;c:\programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [20.09.2002 00:41 77824]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-WAB - c:\dokumente und einstellungen\Treppschuh\Anwendungsdaten\Macromedia\Common\4c02c01e19.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gmx.net/de/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-20 18:16
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(196)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
.
Zeit der Fertigstellung: 2009-06-20 18:17
ComboFix-quarantined-files.txt 2009-06-20 16:17
ComboFix2.txt 2009-06-20 14:40

Vor Suchlauf: 44.456.894.464 Bytes frei
Nach Suchlauf: 44.451.454.976 Bytes frei

114
Hochladen war erfolgreich

Was muß ich nun tun? Danke für die Hilfe..