Falsche Weiterleitung bei Google

gleni25 · 10.03.2009, 21:35

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1831
Windows 5.1.2600 Service Pack 3

10.03.2009 21:32:25
mbam-log-2009-03-10 (21-32-25).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 67315
Laufzeit: 4 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

gleni25 · 10.03.2009, 21:36

ComboFix 09-03-06.02 - Baby 2009-03-10 21:23:28.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.656 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Baby\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Baby\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
c:\windows\system32\inform.dat
c:\windows\system32\kmsvc32.dll
c:\windows\system32\wh
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\inform.dat
c:\windows\system32\kmsvc32.dll
c:\windows\system32\wh

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-10 bis 2009-03-10 ))))))))))))))))))))))))))))))
.

2009-03-10 20:15 . 2009-03-10 20:15 <DIR> d-------- c:\programme\CCleaner
2009-03-10 19:58 . 2009-03-10 19:59 <DIR> d-------- C:\rsit
2009-03-10 18:16 . 2009-03-10 18:16 <DIR> d-------- c:\programme\Trend Micro
2009-03-10 18:06 . 2009-03-10 18:21 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\Baby\Anwendungsdaten\Malwarebytes
2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-10 18:06 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-10 18:06 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-10 17:54 . 2009-03-10 17:54 153,104 --a------ c:\windows\system32\drivers\tmcomm.sys
2009-03-10 10:44 . 2009-03-10 10:44 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-10 10:44 . 2009-03-10 10:44 1,409 --a------ c:\windows\QTFont.for
2009-02-19 17:20 . 2009-02-19 18:51 <DIR> d-------- c:\windows\SxsCaPendDel
2009-02-19 15:23 . 2009-02-19 16:13 <DIR> d-------- c:\programme\Paint.NET
2009-02-19 15:22 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll
2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll
2009-02-19 15:15 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-02-19 15:15 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll
2009-02-19 15:15 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll
2009-02-19 15:15 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll
2009-02-19 15:15 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-02-19 14:01 . 2000-11-13 11:55 109,056 --a------ c:\windows\system32\ESFinish.exe
2009-02-19 13:49 . 2009-02-19 16:12 <DIR> d-------- c:\programme\MeeSoft
2009-02-16 15:36 . 2009-02-16 15:36 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\agi
2009-02-16 15:34 . 2009-02-16 15:34 2,117,632 --a------ c:\windows\system32\python25.dll
2009-02-16 15:34 . 2008-09-16 17:26 1,332,197 --a------ c:\windows\system32\pythondll.zip
2009-02-16 15:34 . 2009-02-16 15:34 339,968 --a------ c:\windows\system32\pythoncom25.dll
2009-02-16 15:34 . 2009-02-16 15:34 114,688 --a------ c:\windows\system32\pywintypes25.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-10 14:45 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-10 11:54 --------- d-----w c:\dokumente und einstellungen\Baby\Anwendungsdaten\Azureus
2009-03-09 17:22 --------- d-----w c:\programme\Windows Live Safety Center
2009-02-16 18:22 --------- d-----w c:\programme\MSN Messenger
2009-02-16 14:34 348,160 ----a-w c:\windows\system32\msvcr71.dll
2009-02-15 16:45 --------- d-----w c:\programme\a-squared Anti-Malware
2009-02-04 21:02 --------- d-----w c:\programme\ArcorOnline
2009-01-20 13:27 --------- d-----w c:\programme\ArtMoney
2009-01-03 13:25 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-25 16:48 35,056 ----a-w c:\dokumente und einstellungen\Baby\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-01-25 12:36 14,852 ----a-w c:\programme\settings.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-03-10_20.29.28.60 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-10 19:52:18 16,384 ----atw c:\windows\temp\Perflib_Perfdata_74c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]
"Arcor Online"="c:\progra~1\ARCORO~1\Arcor.exe" [2007-04-12 535544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2004-02-10 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2004-02-10 118784]
"PRONoMgr.exe"="c:\programme\Intel\NCS\PROSet\PRONoMgr.exe" [2002-10-23 86016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-03 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Wireless Connection Manager.lnk - c:\programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe [2008-09-19 12693504]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Baby^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=c:\dokumente und einstellungen\Baby\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 10:39 486856 c:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-02-15 12:45 98304 c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2006-11-10 12:35 90112 c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2009-01-03 14:25 136600 c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"de_serv"=3 (0x3)
"Boonty Games"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13197:TCP"= 13197:TCP:BitComet 13197 TCP
"13197:UDP"= 13197:UDP:BitComet 13197 UDP
"80:TCP"= 80:TCP:dll32
"7171:TCP"= 7171:TCP:dll32

R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [2008-03-06 3026]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [2007-07-27 330144]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [2008-01-23 501560]
R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-09-19 54432]
S2 spydetector;spydetector;\??\c:\programme\Spyware Process Detector\spydetector.sys --> c:\programme\Spyware Process Detector\spydetector.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2007-10-16 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2007-10-16 265088]
S3 N100;Compaq Ethernet oder Fast Ethernet-NIC-Treiber;c:\windows\system32\drivers\n100325.sys [2007-10-16 130048]
S3 NetWlan5;Symbol-basierter 802.11b drahtloser LAN-Kartentreiber;c:\windows\system32\drivers\netwlan5.sys [2007-10-16 132695]
S3 PAC207;SoC PC-Camera;c:\windows\system32\drivers\pfc027.sys [2005-04-08 162176]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0750ae4a-7c16-11dc-a30a-000bcdc1bc0a}]
\Shell\AutoRun\command - F:\pushinst.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.arcor.de
mStart Page = hxxp://www.arcor.de
mWindow Title = Arcor AG & Co. KG
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: {D8798259-7077-4592-B58E-3456BC2BF75E} = 195.50.140.252 195.50.140.114
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
FF - ProfilePath - c:\dokumente und einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\
FF - prefs.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q=

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: browser.history_expire_days - 5
FF - user.js: browser.history_expire_days_min - 5
FF - user.js: browser.history_expire_sites - 40000
FF - user.js: dom.storage.enabled - true
FF - user.js: privacy.sanitize.sanitizeOnShutdown - false
FF - user.js: privacy.sanitize.promptOnSanitize - false
FF - user.js: privacy.item.offlineApps - true
FF - user.js: browser.safebrowsing.malware.enabled - true
FF - user.js: nglayout.initialpaint.delay - 50
FF - user.js: network.http.pipelining - true
FF - user.js: network.prefetch-next - true
FF - user.js: config.trim_on_minimize - false
FF - user.js: browser.sessionhistory.max_total_viewers - -1
FF - user.js: browser.cache.memory.capacity - 18432
FF - user.js: browser.cache.disk.capacity - 10000
FF - user.js: browser.cache.offline.capacity - 25000
FF - user.js: browser.sessionstore.interval - 10000000
FF - user.js: browser.sessionstore.max_tabs_undo - 10
FF - user.js: browser.urlbar.maxRichResults - 12
FF - user.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q=
FF - user.js: keyword.enabled - true
FF - user.js: browser.fixup.alternate.suffix - .de
FF - user.js: browser.urlbar.doubleClickSelectsAll - true
FF - user.js: browser.urlbar.clickSelectsAll - false
FF - user.js: browser.zoom.siteSpecific - true
FF - user.js: browser.search.openintab - false
FF - user.js: browser.tabs.loadDivertedInBackground - false
FF - user.js: browser.tabs.closeButtons - 1
FF - user.js: browser.download.manager.useWindow - true
FF - user.js: browser.download.manager.retention - 1
FF - user.js: browser.download.manager.closeWhenDone - true
FF - user.js: extensions.checkCompatibility - true
FF - user.js: extensions.hideInstallButton - false
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-10 21:25:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1123561945-854245398-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1CEE8B00-99C8-5C9A-41D5-15011CC18B77}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-10 21:27:06
ComboFix-quarantined-files.txt 2009-03-10 20:26:56
ComboFix2.txt 2009-03-10 19:55:53
ComboFix3.txt 2009-03-10 19:30:51

Vor Suchlauf: 9.163.546.624 Bytes frei
Nach Suchlauf: 9,151,209,472 Bytes frei

205 --- E O F --- 2009-02-25 09:53:54

gleni25 · 10.03.2009, 21:37

Das Log von kaspersky kommt gleich

gleni25 · 10.03.2009, 21:58

kurze frage sieht es jetzt wieder gut aus???

Wiel kaspersky kann sich nur noch um stunden handeln!

schrauber · 10.03.2009, 22:01

joah, der kann schon dauern

wie es aussieht kann ich dir sagen wenn ich den onlinescan sehe.

gleni25 · 10.03.2009, 22:06

jo oki!
Ich poste es so bald es fertig is kann dir aber net sagen wie lang es noch dauert!
Weiß ja net wie lang du noch so online bist ansonsten poste ich es dir un du schaust morgen drüber wenn du bock hast!

Lg

gleni25 · 10.03.2009, 23:01

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 10. März 2009 23:00:57
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 10/03/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 1703800
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Ordner:
C:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 39928
Viren gefunden: 1
Infizierte Objekte gefunden: 58
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:57:33

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\bl.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\is2.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Identities\{CEFA51C7-326E-451A-A64D-819FC0DC7497}\Microsoft\Outlook Express\Folders.dbx Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Identities\{CEFA51C7-326E-451A-A64D-819FC0DC7497}\Microsoft\Outlook Express\Offline.dbx Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\temp\etilqs_fI9yhFBCvDrb5YNz2CdX Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\temp\~DF7F52.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Baby\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP444\A0163503.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP444\A0163506.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163555.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163557.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163559.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163561.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163564.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163565.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163588.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163590.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163593.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163595.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163602.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163604.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163607.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163608.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163617.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163619.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163620.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP445\A0163622.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163629.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163631.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163634.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163636.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163640.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163642.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163645.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163646.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163658.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163660.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163663.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163664.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163673.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163675.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163678.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163679.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163711.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163713.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163716.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP446\A0163717.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP447\A0163743.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP447\A0163749.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP447\A0163750.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP447\A0163752.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP447\A0163755.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP447\A0163756.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163774.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163775.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163778.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163779.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163781.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163784.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163785.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163810.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163812.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163815.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP448\A0163816.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\System Volume Information\_restore{3A3FCF9C-C7ED-482C-9CFB-3C2C4045AD42}\RP451\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\50a5000a1.dll Infizierte Objekte: Trojan.Win32.Agent.btxi übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\Perflib_Perfdata_74c.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

schrauber · 11.03.2009, 06:12

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Zitat:

File::
C:\WINDOWS\system32\config\systemprofile\Anwendung sdaten\Macromedia\Common\50a5000a1.dll
c:\windows\system32\dllcache\printfilterpipelinesv c.exe

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

gleni25 · 11.03.2009, 10:48

ComboFix 09-03-10.01 - Baby 2009-03-11 10:38:49.6 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.644 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Baby\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-11 bis 2009-03-11 ))))))))))))))))))))))))))))))
.

2009-03-11 10:15 . 2009-03-11 10:15 <DIR> d-------- c:\windows\LastGood
2009-03-10 23:11 . 2009-03-10 23:11 <DIR> d-------- c:\programme\Avira
2009-03-10 23:11 . 2009-03-10 23:11 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-10 18:16 . 2009-03-10 18:16 <DIR> d-------- c:\programme\Trend Micro
2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\Baby\Anwendungsdaten\Malwarebytes
2009-03-10 18:06 . 2009-03-10 18:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-10 17:54 . 2009-03-10 17:54 153,104 --a------ c:\windows\system32\drivers\tmcomm.sys
2009-03-10 10:44 . 2009-03-10 10:44 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-10 10:44 . 2009-03-10 10:44 1,409 --a------ c:\windows\QTFont.for
2009-02-19 17:20 . 2009-02-19 18:51 <DIR> d-------- c:\windows\SxsCaPendDel
2009-02-19 15:23 . 2009-02-19 16:13 <DIR> d-------- c:\programme\Paint.NET
2009-02-19 15:22 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll
2009-02-19 15:15 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll
2009-02-19 15:15 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-02-19 15:15 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll
2009-02-19 15:15 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll
2009-02-19 15:15 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll
2009-02-19 15:15 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-02-19 14:01 . 2000-11-13 11:55 109,056 --a------ c:\windows\system32\ESFinish.exe
2009-02-19 13:49 . 2009-02-19 16:12 <DIR> d-------- c:\programme\MeeSoft
2009-02-16 15:36 . 2009-02-16 15:36 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\agi
2009-02-16 15:34 . 2009-02-16 15:34 2,117,632 --a------ c:\windows\system32\python25.dll
2009-02-16 15:34 . 2008-09-16 17:26 1,332,197 --a------ c:\windows\system32\pythondll.zip
2009-02-16 15:34 . 2009-02-16 15:34 339,968 --a------ c:\windows\system32\pythoncom25.dll
2009-02-16 15:34 . 2009-02-16 15:34 114,688 --a------ c:\windows\system32\pywintypes25.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-10 22:08 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-10 11:54 --------- d-----w c:\dokumente und einstellungen\Baby\Anwendungsdaten\Azureus
2009-03-09 17:22 --------- d-----w c:\programme\Windows Live Safety Center
2009-02-16 18:22 --------- d-----w c:\programme\MSN Messenger
2009-02-16 14:34 348,160 ----a-w c:\windows\system32\msvcr71.dll
2009-02-15 16:45 --------- d-----w c:\programme\a-squared Anti-Malware
2009-02-04 21:02 --------- d-----w c:\programme\ArcorOnline
2009-01-20 13:27 --------- d-----w c:\programme\ArtMoney
2009-01-03 13:25 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-25 16:48 35,056 ----a-w c:\dokumente und einstellungen\Baby\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-01-25 12:36 14,852 ----a-w c:\programme\settings.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-03-10_20.29.28.60 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-05-09 11:15:47 45,376 ----a-w c:\windows\system32\drivers\avgntdd.sys
+ 2008-01-21 16:11:28 22,336 ----a-w c:\windows\system32\drivers\avgntmgr.sys
- 2007-03-22 08:36:24 43,584 ------w c:\windows\system32\drivers\avipbb.sys
+ 2008-10-30 09:21:03 75,072 ----a-w c:\windows\system32\drivers\avipbb.sys
- 2007-03-05 09:20:02 28,352 ------w c:\windows\system32\drivers\ssmdrv.sys
+ 2007-11-08 17:03:26 21,248 ----a-w c:\windows\system32\drivers\ssmdrv.sys
+ 2009-03-11 08:14:20 16,384 ----atw c:\windows\temp\Perflib_Perfdata_3b8.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]
"Arcor Online"="c:\progra~1\ARCORO~1\Arcor.exe" [2007-04-12 535544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2004-02-10 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2004-02-10 118784]
"PRONoMgr.exe"="c:\programme\Intel\NCS\PROSet\PRONoMgr.exe" [2002-10-23 86016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-03 136600]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Wireless Connection Manager.lnk - c:\programme\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe [2008-09-19 12693504]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Baby^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=c:\dokumente und einstellungen\Baby\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 10:39 486856 c:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-02-15 12:45 98304 c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2006-11-10 12:35 90112 c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2009-01-03 14:25 136600 c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"de_serv"=3 (0x3)
"Boonty Games"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13197:TCP"= 13197:TCP:BitComet 13197 TCP
"13197:UDP"= 13197:UDP:BitComet 13197 UDP
"80:TCP"= 80:TCP:dll32
"7171:TCP"= 7171:TCP:dll32

R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [2008-03-06 3026]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [2007-07-27 330144]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [2008-01-23 501560]
R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-09-19 54432]
S2 spydetector;spydetector;\??\c:\programme\Spyware Process Detector\spydetector.sys --> c:\programme\Spyware Process Detector\spydetector.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2007-10-16 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2007-10-16 265088]
S3 N100;Compaq Ethernet oder Fast Ethernet-NIC-Treiber;c:\windows\system32\drivers\n100325.sys [2007-10-16 130048]
S3 NetWlan5;Symbol-basierter 802.11b drahtloser LAN-Kartentreiber;c:\windows\system32\drivers\netwlan5.sys [2007-10-16 132695]
S3 PAC207;SoC PC-Camera;c:\windows\system32\drivers\pfc027.sys [2005-04-08 162176]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - AVIPBB
*NewlyCreated* - SSMDRV

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0750ae4a-7c16-11dc-a30a-000bcdc1bc0a}]
\Shell\AutoRun\command - F:\pushinst.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.arcor.de
mStart Page = hxxp://www.arcor.de
mWindow Title = Arcor AG & Co. KG
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: {D8798259-7077-4592-B58E-3456BC2BF75E} = 195.50.140.252 195.50.140.114
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
FF - ProfilePath - c:\dokumente und einstellungen\Baby\Anwendungsdaten\Mozilla\Firefox\Profiles\0l8emkg2.default\
FF - prefs.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q=

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: browser.history_expire_days - 5
FF - user.js: browser.history_expire_days_min - 5
FF - user.js: browser.history_expire_sites - 40000
FF - user.js: dom.storage.enabled - true
FF - user.js: privacy.sanitize.sanitizeOnShutdown - false
FF - user.js: privacy.sanitize.promptOnSanitize - false
FF - user.js: privacy.item.offlineApps - true
FF - user.js: browser.safebrowsing.malware.enabled - true
FF - user.js: nglayout.initialpaint.delay - 50
FF - user.js: network.http.pipelining - true
FF - user.js: network.prefetch-next - true
FF - user.js: config.trim_on_minimize - false
FF - user.js: browser.sessionhistory.max_total_viewers - -1
FF - user.js: browser.cache.memory.capacity - 18432
FF - user.js: browser.cache.disk.capacity - 10000
FF - user.js: browser.cache.offline.capacity - 25000
FF - user.js: browser.sessionstore.interval - 10000000
FF - user.js: browser.sessionstore.max_tabs_undo - 10
FF - user.js: browser.urlbar.maxRichResults - 12
FF - user.js: keyword.URL - hxxp://google.de/search?btnG=Google+Search&q=
FF - user.js: keyword.enabled - true
FF - user.js: browser.fixup.alternate.suffix - .de
FF - user.js: browser.urlbar.doubleClickSelectsAll - true
FF - user.js: browser.urlbar.clickSelectsAll - false
FF - user.js: browser.zoom.siteSpecific - true
FF - user.js: browser.search.openintab - false
FF - user.js: browser.tabs.loadDivertedInBackground - false
FF - user.js: browser.tabs.closeButtons - 1
FF - user.js: browser.download.manager.useWindow - true
FF - user.js: browser.download.manager.retention - 1
FF - user.js: browser.download.manager.closeWhenDone - true
FF - user.js: extensions.checkCompatibility - true
FF - user.js: extensions.hideInstallButton - false
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-11 10:40:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1123561945-854245398-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1CEE8B00-99C8-5C9A-41D5-15011CC18B77}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-11 10:42:47
ComboFix-quarantined-files.txt 2009-03-11 09:42:34
ComboFix2.txt 2009-03-11 09:37:36
ComboFix3.txt 2009-03-10 20:27:09
ComboFix4.txt 2009-03-10 19:55:53
ComboFix5.txt 2009-03-11 09:38:25

Vor Suchlauf: 9.185.710.080 Bytes frei
Nach Suchlauf: 9,172,828,160 Bytes frei

204 --- E O F --- 2009-02-25 09:53:54

gleni25 · 11.03.2009, 10:49

Hab es so gemacht wie du geschrieben hast!

Sieht es jetzt wieder gut aus???
Lg

10.03.2009, 22:01	#35
schrauber /// the machine /// TB-Ausbilder	Falsche Weiterleitung bei Google joah, der kann schon dauern wie es aussieht kann ich dir sagen wenn ich den onlinescan sehe. __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

Falsche Weiterleitung bei Google

Log-Analyse und Auswertung: Falsche Weiterleitung bei Google