Google verlinkt falsche URL

gehtdirnixan · 06.07.2009, 19:11

hallo an alle

Ob I-explorer oder Firefox ich werde bei fast jedem Link unter Google auf falsche URL's weitergeleitet.
Sprich, ich klicke einen link an der mich zu der seite trojaner-board führen sollte doch ich lande z.B. auf best5angebote.
und das immer wieder und laufend die selben seiten.
über diese urls habe ich nichts erfahren und zu meinem problem nur spezifische anleitungen, die mich nicht weiter bringen.

desweiteren spinnt manchmal meine maus und "klebt" sozusagen auf meinem bildschirm (nur sekunden).
ich poste hier zum ersten mal und hoffe ich mache alles richtig. bisher haben mir immer andere beiträge geholfen doch diesmal brauche ich eure professionelle hilfe.

1. CCleaner ausgeführt

2. Malwarebytes Report:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2374
Windows 5.1.2600 Service Pack 3

06.07.2009 19:44:12
mbam-log-2009-07-06 (19-44-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 225853
Laufzeit: 30 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AdobeAlerter (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

.........................

---problem besteht weiterhin

3. Hijackthis Report:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:02:07, on 06.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Ashampoo\Ashampoo Core Tuner\ct.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\CPUCooL\CPUCooL.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.microsoft.com/microsoftupdate
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Ashampoo Core Tuner] "C:\Programme\Ashampoo\Ashampoo Core Tuner\ct.exe" -TRAY
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [] (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: CPUCooL.lnk = C:\Programme\CPUCooL\CPUCooL.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - LibUsb-Win32 - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 7301 bytes

4. Ich hoffe das mir jemand helfen kann

beste Grüße

kira · 06.07.2009, 21:23

Hallo gehtdirnixan

- Die Anweisungen bitte gründlich lesen und streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte- und Systemdateien sichtbar machen::
1. Klicke unter Start auf Arbeitsplatz.
2. Klicke im Menü Extras auf Ordneroptionen.
3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen
4. Geschützte und Systemdateien ausblenden --> Haken entfernen
5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.
- Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.

- lade Dir das filelist.zip auf deinen Desktop herunter
- entpacke die Zip-Datei auf deinen Desktop
- starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
- kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)-> starten-> unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)-> weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein
- klicke auf "Scan", um das Tool zu starten
- bitte nichts am Pc machen während der Scan läuft!
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert)
- mit "Ok" wird GMER beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen

Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
am besten nutze den Code-Tags für deinen Post:
vor dein log schreibst du:[code]
hier kommt dein logfile rein
dahinter:[/code]

gruß
Coverflow

gehtdirnixan · 07.07.2009, 07:49

Code:

ATTFilter

 ----- Root ----------------------------- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 6452-04FD

 Verzeichnis von C:\

07.07.2009  08:22                43 filelist.txt
06.07.2009  15:56               205 boot.ini
02.07.2009  11:12               132 lizenz.dat
16.03.2009  14:36         1.155.483 BDANT.cab
16.03.2009  14:36           975.148 BDAXP.cab
12.02.2009  16:53               504 INSTALL.LOG

----- Windows -------------------------- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 6452-04FD

 Verzeichnis von C:\WINDOWS

07.07.2009  08:21               352 WindowsUpdate.log
07.07.2009  08:10                50 wiaservc.log
07.07.2009  08:10               159 wiadebug.log
07.07.2009  08:10                 0 0.log
07.07.2009  08:10                 0 Sti_Trace.log
07.07.2009  08:09             2.048 bootstat.dat
06.07.2009  21:33            32.648 SchedLgU.Txt
06.07.2009  16:06               548 win.ini
06.07.2009  15:56               246 system.ini
06.07.2009  13:43               130 cfplogvw.INI
04.07.2009  18:00                34 cdplayer.ini
02.07.2009  11:08           253.952 Setup1.exe
02.07.2009  11:08            74.752 ST6UNST.EXE
02.07.2009  11:04                66 wiso.ini
02.07.2009  10:51               315 ST6UNST.002
02.07.2009  10:51               315 ST6UNST.001
02.07.2009  10:51               315 ST6UNST.000
30.06.2009  15:05            69.584 MEMORY.DMP
24.06.2009  10:29               396 SIERRA.INI
22.06.2009  19:17             4.767 Irremote.ini
14.06.2009  22:41               122 msmmdx9.ini
11.05.2009  14:36            20.116 ModemLog_Sony Ericsson 750 USB WMC Data Modem.txt
26.04.2009  17:58            11.518 ModemLog_GlobeTrotter HSDPA Modem Interface.txt
19.03.2009  02:24             2.026 ModemLog_Sony Ericsson 750 USB WMC Modem.txt

----- System  --- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 6452-04FD

 Verzeichnis von C:\WINDOWS\system

22.06.2009  19:17             5.024 WINGPAL.WND
22.06.2009  19:17             6.736 WINGDIB.DRV
22.06.2009  19:17           188.960 WINGDE.DLL
22.06.2009  19:17            12.800 WING32.DLL
22.06.2009  19:17            92.208 WING.DLL
22.06.2009  19:17             1.966 DVA.386

----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 6452-04FD

 Verzeichnis von C:\WINDOWS\system32

07.07.2009  08:10             2.206 wpa.dbl
06.07.2009  19:44           441.184 perfh009.dat
06.07.2009  19:44            71.250 perfc009.dat
06.07.2009  19:44           458.924 perfh007.dat
06.07.2009  19:44            84.678 perfc007.dat
06.07.2009  19:44         1.070.816 PerfStringBackup.INI
06.07.2009  16:54             8.627 PAV_FOG.OPC
06.07.2009  09:12           243.712 igfxsrvc.exe
03.07.2009  20:07           136.464 FNTCACHE.DAT
03.07.2009  19:00            84.706 jzzlolhqt
02.07.2009  11:54               467 Datei8
02.07.2009  11:54               469 Datei7
02.07.2009  11:54               465 Datei6
02.07.2009  11:54               469 Datei5
02.07.2009  11:54               467 Datei10
02.07.2009  11:54               471 Datei2
02.07.2009  11:54               471 Datei4
02.07.2009  11:54               470 Datei3
02.07.2009  11:54               467 Datei9
02.07.2009  11:54               470 Datei1
02.07.2009  11:54               468 Datei0
02.07.2009  10:54           148.888 javaws.exe
02.07.2009  10:54           144.792 javaw.exe
02.07.2009  10:54            73.728 javacpl.cpl
02.07.2009  10:54           144.792 java.exe
02.07.2009  10:54           410.984 deploytk.dll
02.07.2009  10:16           219.136 uxtheme.dll
25.06.2009  01:23            53.299 pthreadVC.dll
25.06.2009  01:23            68.224 WanPacket.dll
25.06.2009  01:23           240.248 wpcap.dll
25.06.2009  01:23            88.696 Packet.dll
24.06.2009  14:28           107.888 CmdLineExt.dll
22.06.2009  19:17            12.800 WING32.DLL
22.06.2009  19:17            92.208 WING.DLL
16.06.2009  19:33                45 initdebug.nfo
21.05.2009  07:28           233.472 REX Shared Library.dll
21.05.2009  06:24             1.683 oeminfo.ini
01.05.2009  23:02            90.112 dpl100.dll
01.05.2009  23:02           823.296 divx_xx0c.dll
01.05.2009  23:02           811.008 divx_xx16.dll
01.05.2009  23:02           815.104 divx_xx0a.dll
01.05.2009  23:02           685.056 DivX.dll
01.05.2009  23:02           823.296 divx_xx07.dll
01.05.2009  23:02           802.816 divx_xx11.dll
24.04.2009  11:27                 0 TVersityMediaServer.log
16.03.2009  14:18           235.352 xactengine3_4.dll
16.03.2009  14:18            22.360 X3DAudio1_6.dll
16.03.2009  14:18            69.448 XAPOFX1_3.dll
16.03.2009  14:18           517.448 XAudio2_4.dll
09.03.2009  15:27           453.456 d3dx10_41.dll
09.03.2009  15:27         1.846.632 D3DCompiler_41.dll
09.03.2009  15:27         4.178.264 D3DX9_41.dll
05.03.2009  00:57                56 ezsidmv.dat
12.02.2009  08:27           993.816 igxpun.exe
11.02.2009  12:42            21.900 oemlogo.bmp
21.01.2009  13:35            32.416 igxpxs32.vp
21.01.2009  11:52           155.648 igfxCoIn_v5029.dll
21.01.2009  11:44         3.773.440 igxpdx32.dll
21.01.2009  11:44         2.686.368 igxpdv32.dll
21.01.2009  11:43         1.498.560 igkrng400.bin
21.01.2009  11:43            57.344 igxprd32.dll
21.01.2009  11:43           183.808 igxpgd32.dll
21.01.2009  11:32         2.600.960 ig4dev32.dll
21.01.2009  11:28         4.112.384 ig4icd32.dll
21.01.2009  11:20           279.040 igfxrtrk.lrc
21.01.2009  11:20           282.624 igfxrsve.lrc
21.01.2009  11:20           277.504 igfxrslv.lrc
21.01.2009  11:20           262.656 igfxrtha.lrc
21.01.2009  11:20           282.624 igfxrsky.lrc
21.01.2009  11:20           291.328 igfxrrus.lrc
21.01.2009  11:20           294.912 igfxrptg.lrc
21.01.2009  11:20           287.744 igfxrplk.lrc
21.01.2009  11:20           279.552 igfxrnor.lrc
21.01.2009  11:20           289.280 igfxrptb.lrc
21.01.2009  11:20           299.008 igfxrnld.lrc
21.01.2009  11:20           205.312 igfxrkor.lrc
21.01.2009  11:20           206.848 igfxrjpn.lrc
21.01.2009  11:20           288.256 igfxrhun.lrc
21.01.2009  11:20           249.856 igfxrheb.lrc
21.01.2009  11:20           304.640 igfxrita.lrc
21.01.2009  11:20           281.088 igfxrfin.lrc
21.01.2009  11:20           303.104 igfxrfra.lrc
21.01.2009  11:20           303.104 igfxresp.lrc
21.01.2009  11:20           310.784 igfxrell.lrc
21.01.2009  11:20           303.616 igfxrdeu.lrc
21.01.2009  11:20           280.576 igfxrdan.lrc
21.01.2009  11:20           179.712 igfxrcht.lrc
21.01.2009  11:20           282.624 igfxrcsy.lrc
21.01.2009  11:20           178.176 igfxrchs.lrc
21.01.2009  11:20           252.416 igfxrara.lrc
21.01.2009  11:20           134.656 igfxtray.exe
21.01.2009  11:20            23.552 igfxexps.dll
21.01.2009  11:20           165.888 igfxext.exe
21.01.2009  11:20           166.912 hkcmd.exe
21.01.2009  11:20           645.632 igfxcfg.exe
21.01.2009  11:18           119.296 igfxcpl.cpl
21.01.2009  11:18           134.656 igfxpers.exe
21.01.2009  11:18           130.048 igfxdo.dll
21.01.2009  11:18           199.168 igfxpph.dll
21.01.2009  11:18           275.968 igfxrenu.lrc
21.01.2009  11:18            51.712 igfxsrvc.dll
21.01.2009  11:17         5.702.656 igfxress.dll
21.01.2009  11:17            93.696 hccutils.dll
21.01.2009  11:17           205.824 igfxdev.dll
21.01.2009  11:12             2.096 igxpxk32.vp


----- Prefetch ------------------------- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 6452-04FD

 Verzeichnis von C:\WINDOWS\Prefetch

07.07.2009  08:11         1.587.378 NTOSBOOT-B00DFAAD.pf
02.07.2009  08:28           282.358 Layout.ini


----- Tasks ---------------------------- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 6452-04FD

 Verzeichnis von C:\WINDOWS\tasks

07.07.2009  08:09             1.098 GoogleUpdateTaskMachine.job
07.07.2009  08:09                 6 SA.DAT
07.07.2009  08:09               458 Ad-Aware Update (Weekly).job

----- Windows/Temp ----------------------- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 6452-04FD

 Verzeichnis von C:\WINDOWS\Temp

07.07.2009  08:10               409 WGANotify.settings
07.07.2009  08:10            16.384 Perflib_Perfdata_8fc.dat
06.07.2009  16:53         9.076.736 10288bb1336b733a10f746fe6f85c52fPSK_PLUGINS_1


----- Temp ----------------------------- 
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 6452-04FD

 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

07.07.2009  08:21               549 filelist.zip
07.07.2009  08:11                 0 etilqs_FMgZQd6vaa3X9vwRj9LH
07.07.2009  08:10            16.384 Perflib_Perfdata_168.dat
06.07.2009  20:42            14.972 dd_vcredistUI4C25.txt
06.07.2009  20:42           530.268 dd_vcredistMSI4C25.txt
06.07.2009  19:47            22.263 Turkish.bin
06.07.2009  19:47            21.975 Norwegian.bin
06.07.2009  19:47            26.094 Hungarian.bin
06.07.2009  19:47            19.564 Hebrew.bin
06.07.2009  19:47            24.321 Czech.bin
06.07.2009  19:47            22.868 Finnish.bin
06.07.2009  19:47            25.082 Portuguese(Brazil).bin
06.07.2009  19:47            24.232 Polish.bin
06.07.2009  19:47            21.987 Thai.bin
06.07.2009  19:47            26.271 Portuguese.bin
06.07.2009  19:47            16.420 SimChin.bin
06.07.2009  19:47            20.991 Arabic.bin
06.07.2009  19:47            21.944 English.bin
06.07.2009  19:47            25.093 Greek.bin
06.07.2009  19:47            26.136 Russian.bin
06.07.2009  19:47            24.093 SWEDISH.bin
06.07.2009  19:47            27.764 Spanish.bin
06.07.2009  19:47            25.764 German.bin
06.07.2009  19:47            27.421 Italian.bin
06.07.2009  19:47            27.245 French.bin
06.07.2009  19:47            25.758 Dutch.bin
06.07.2009  19:47            16.962 TradChin.bin
06.07.2009  19:47            24.310 Japanese.bin
06.07.2009  19:47            20.145 Korean.bin
06.07.2009  19:47            22.794 Danish.bin
06.07.2009  18:37             5.277 PavLogInst
06.07.2009  15:43            16.384 Perflib_Perfdata_7b0.dat
05.07.2009  12:09           208.896 RtkBtMnt.exe
:

Code:

ATTFilter

 µTorrent
Ad-Aware
Adobe Acrobat 7.0 Professional - English, Français, Deutsch
Adobe Bridge 1.0
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Illustrator CS2
Adobe InDesign CS2
Adobe Photoshop CS2
Adobe Premiere Pro 1.5
Adobe Reader 7.0 - Deutsch
Adobe SVG Viewer 3.0
AnyDVD
Applied Acoustics Lounge Lizard EP VSTi DXi v3.0
ASAPI Update
Ashampoo Burning Studio 6
Ashampoo Core Tuner 1.02
Ashampoo WinOptimizer 5.10
ASIO4ALL
Audiograbber 1.83 SE
AudioShell 1.2
Avira AntiVir Personal - Free Antivirus
AviSynth 2.5
Bass Station 1.50
BEWERBUNGS-MASTER
Canon i250
CCleaner (remove only)
Collab
CPUCooL (remove only)
Die*Sims™*3
DirectWave
Disk Investigator 1.4
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
Dr. DivX 2.0 OSS
eMule
ESET Online Scanner v3
EVEREST Home Edition v2.20
FabFilter_Twin_VSTi_v1.20-READ_NFO-PLZ
FabFilter_Volcano_VSTi_v1.20-READ_NFO-PLZ
ffdshow [rev 1723] [2007-12-24]
Free YouTube to Mp3 Converter version 3.1
FunAccess
Google Earth
HijackThis 2.0.2
homepageMAKER 6 Express v1.1
ICQ6.5
IL Download Manager
Intel(R) Graphics Media Accelerator Driver
Internet Explorer 7
Java(TM) 6 Update 13
Java(TM) 6 Update 7
LibUSB-Win32-0.1.10.1
LIDL Fotoservice
Linplug Albino v2.1
Live 6.0.1
Live 8.0.3
LUXONIX LFX-1310
LUXONIX Ravity 16 v1.4
Macromedia Dreamweaver 8
Macromedia Extension Manager
Macromedia Flash 8
Macromedia Flash 8 Video Encoder
Macromedia FreeHand MXa
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 1
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Language Pack - DEU
Microsoft Silverlight
Microsoft Virtual PC 2007 SP1
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft WSE 3.0 Runtime
Mozilla Firefox (3.5)
MSXML 6.0 Parser (KB927977)
Native Instruments Traktor FS 1.5.0
Nmap 4.90RC1
Octopus
Open Video Converter version 3.22
OpenOffice.org 3.1
OrangeVocoder v2.0-OxYGeN
PC Inspector File Recovery
phonostar-Player Version 2.01.5
PitchWorks remove
Project64 1.6
PSP Video 9 4.07
QuickTime
RealPlayer
Realtek High Definition Audio Driver
Reason 4.0
reFX Vanguard VSTi v1.6.1
rgc:audio z3ta+ VSTi v1.4
Rhino 2.04
Rob Papen Albino 3
Rob Papen BLUE Version 1.6.1
Sereby's XP SP3 Updatepack Version 3.8.4.1
Seven Remix XP 2.1
Skype™ 4.0
Sophos Anti-Rootkit 1.3.1
Spybot - Search & Destroy
Steinberg WaveLab 5.01b
SUPER © Version 2008.bld.33 (Sep 2, 2008)
SUPERAntiSpyware Free Edition
SyncroSoft Emu (Remove only)
Syncrosofts Lizenz Kontrolle
ToxicIII v1.2 Orion Edition Unlocked VSTi
TVersity Codec Pack 1.2
TVersity Media Server  1.0.0.11 RC7
Uninstall 1.0.0.1
Veoh Player
Veoh Web Player Beta
V-Station 1.5.1
winpcap-nmap 4.02
WinRAR
WISO Bewerbung 2008
WWAYM - NWSynth V1.3
Xvid 1.1.3 final uninstall
YouTube Downloader App 1.02

:

Code:

ATTFilter

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-07 08:48:52
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

Code            8A21CE30                                                                                                      ZwEnumerateKey
Code            8A1F90B0                                                                                                      ZwFlushInstructionCache
Code            8A0DB0EE                                                                                                      IofCallDriver
Code            8A50C406                                                                                                      IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!IofCallDriver                                                                                    804EF196 5 Bytes  JMP 8A0DB0F3 
.text           ntkrnlpa.exe!IofCompleteRequest                                                                               804EF226 5 Bytes  JMP 8A50C40B 
PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                                                          805B6806 5 Bytes  JMP 8A1F90B4 
PAGE            ntkrnlpa.exe!ZwEnumerateKey                                                                                   80623FC6 5 Bytes  JMP 8A21CE34 
?               C:\WINDOWS\system32\drivers\sptd.sys                                                                          Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
?               C:\WINDOWS\System32\Drivers\SPTD8653.SYS                                                                      Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text           dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7                                                                   B8D554D0 16 Bytes  CALL 6F9038BA 
.text           dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11                                                              B8D554E1 31 Bytes  [40, D5, B8, 55, 20, E7, CF, ...]
?               C:\WINDOWS\System32\Drivers\dtscsi.sys                                                                        Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text           ntdll.dll!LdrLoadDll                                                                                          7C9263A3 5 Bytes  JMP 003A000A 

---- User code sections - GMER 1.0.15 ----

.text           C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\odolhrur.exe[348] ntdll.dll!LdrLoadDll  7C9263A3 5 Bytes  JMP 003A000A 
.text           C:\WINDOWS\Explorer.EXE[664] ntdll.dll!LdrLoadDll                                                             7C9263A3 5 Bytes  JMP 00B5000A 
.text           C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RtkBtMnt.exe[772] ntdll.dll!LdrLoadDll                                     7C9263A3 5 Bytes  JMP 003D000A 
.text           C:\WINDOWS\SYSTEM32\winlogon.exe[884] ntdll.dll!LdrLoadDll                                                    7C9263A3 3 Bytes  JMP 0093000A 
.text           ...                                                                                                           

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                            [B9ED8A32] sptd.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                    [B9ED8B6E] sptd.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                           [B9ED8AF6] sptd.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                   [B9ED96CC] sptd.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                           [B9ED95A2] sptd.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                            [B9EFAC82] sptd.sys

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                        8A601EB0
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                     8A602808
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                       8A602808
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                          8A602808
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                         8A602808
Device          \Driver\NetBT \Device\NetBT_Tcpip_{CA5A770C-E373-4E3D-A1B8-67871E01DF0D}                                      8A1870E8

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                     Lbd.sys (Boot Driver/Lavasoft AB)

Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                        8A602A40
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                        8A602A40
Device          \FileSystem\Rdbss \Device\FsWrap                                                                              8A0DA0E8
Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                        8A602A40
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                       8A1870E8
Device          \Driver\NetBT \Device\NetbiosSmb                                                                              8A1870E8
Device          \Driver\00000063 \Device\0000005a                                                                             sptd.sys
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                             8A19D0E8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                   8A19D0E8
Device          \FileSystem\Npfs \Device\NamedPipe                                                                            8A1C4750
Device          \Driver\Ftdisk \Device\FtControl                                                                              8A602A40
Device          \FileSystem\Msfs \Device\Mailslot                                                                             8A01D0E8
Device          \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target0Lun0                                                      8A1D8B08
Device          \Driver\dtscsi \Device\Scsi\dtscsi1                                                                           8A1D8B08
Device          \FileSystem\Cdfs \Cdfs                                                                                        89FBB118

---- EOF - GMER 1.0.15 ----

:

kira · 07.07.2009, 08:54

hi

1.
Ad-Watch von Lavasoft und den Tea Timer v Spybot - Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident--> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) > exit.) - bitte abstellen, weil in irgendeiner Weise beeinträchtigen sie die Reinigung
[Ad-Watch] C:\Programme\Lavasoft\Ad-Aware - Haken raus: "Start--> ausführen--> "msconfig" (reinschreiben ohne ""--> OK"
Service: Lavasoft Ad-Aware Service - Dienste deaktivieren,bzw auf `Manuell` stellen: Start --> Ausführen ---> "Services.msc" --> (reinschreiben ohne ""--> OK"

2.
Sicheres Filesharing Programm gibt es keines, dort werden sehr viele Schädlinge verbreitet! Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...Am besten *eMule* gleich deinstallieren!

3.

lade Dir SUPERAntiSpyware FREE Edition herunter.
installiere das Programm und update online.
starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

4.
Danach poste bitte ein neues Hijackthis-Logfile

gehtdirnixan · 07.07.2009, 12:08

Code:

ATTFilter

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 07/07/2009 bei 01:03 PM

Version der Applikation : 4.26.1006

Version der Kern-Datenbank : 3975
Version der Spur-Datenbank : 1915

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:51:24

Gescannte Speicherelemente  : 482
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 4587
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 21035
Erfasste Datei-Elemente   : 0

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:06:02, on 07.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Ashampoo Core Tuner] "C:\Programme\Ashampoo\Ashampoo Core Tuner\ct.exe" -TRAY
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\system32\msconfig.exe /auto
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: []  (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: CPUCooL.lnk = C:\Programme\CPUCooL\CPUCooL.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:   
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 6563 bytes

kira · 07.07.2009, 19:57

hi

1.
- Java-Aktualisierung unter Systemsteuerung → Software → Java...Version (14) müssen installiert sein
- Danach deinstalliere:

Code:

ATTFilter

Java(TM) 6 Update 13
Java(TM) 6 Update 7
ESET Online Scanner v3

2.
Den kompletten Rechner zu überprüfen (Systemprüfung ohne säuberung) mit Kaspersky Online - Scanner:
Internet Explorer-> Extras-> Internetoptionen-> Sicherheit:

alles auf Standardstufe stellen
Active X erlauben
Speichere und poste das Logfile des Scans - speichere die Ergebnis als .txt Datei

** wie sieht mit dein System aus?

gehtdirnixan · 08.07.2009, 05:42

Code:

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Mittwoch, 8. Juli 2009 06:36:16
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken:  7/07/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 2438660
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	C:\
	D:\
	E:\
	F:\
	H:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 130396
	Viren gefunden: 2
	Infizierte Objekte gefunden: 6
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 02:07:53

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\!KillBox\lphcvhywkv.exe	Infizierte Objekte: Backdoor.Win32.Small.vm	übersprungen
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Desktop\Downloads\proxyi(2).exe	Infizierte Objekte: not-a-virus:Server-Proxy.Win32.AnalogX.414	übersprungen
C:\Dokumente und Einstellungen\Administrator\Desktop\Downloads\proxyi.exe	Infizierte Objekte: not-a-virus:Server-Proxy.Win32.AnalogX.414	übersprungen
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\PS3\AnalogX\Proxy\proxy.exe	Infizierte Objekte: not-a-virus:Server-Proxy.Win32.AnalogX.414	übersprungen
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\PS3\proxyi(3).exe	Infizierte Objekte: not-a-virus:Server-Proxy.Win32.AnalogX.414	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Media Player\CurrentDatabase_360.wmdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\DRM\drmstore.hds	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT.LOG	Das Objekt ist gesperrt	übersprungen
C:\Programme\AnalogX\Proxy\proxy.VIR	Infizierte Objekte: not-a-virus:Server-Proxy.Win32.AnalogX.414	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\MEMORY.DMP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{F247BEE5-2F65-4F93-BF4D-5CF3A69765A1}.crmlog	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\EventForwarding-Operational.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\drivers\dtscsi.sys	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\drivers\sptd.sys	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\drivers\sptd8653.sys	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_33c.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.

gehtdirnixan · 08.07.2009, 10:37

wie ich jetzt mitbekommen habe ist es nicht nur google sondern auch lycos, ask, und yahoo.
hab jetzt schon den i-net explorer und aktive x neu installiert genau wie firefox und alle plugins...
...ohne erfolg. langsam weiß ich auch nich mehr.

neu aufsetzen wäre noch ein größeres problem.

kira · 08.07.2009, 14:23

hi

- das Programm "AnalogX Proxy" ist noch in Verwendung?
- Lösche den Backup Ordner von Killbox!
- Gmer entfernen
- Malwarebytes kannst auch deinstallieren

1.
alle Anwendungen, Browser schließen -> Ordner für temporäre Dateien bitte leeren
lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind, nicht löschbar.

Start -> ausführen "cleanmgr" reinschreiben ohne "" -> "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden-> "Ok"
Start -> ausführen -> %temp% reinschreiben ohne ""-> "Ok"
für jedes Benutzerkonto bitte durchführen
anschließend den Papierkorb leeren

2.
reinige dein System mit Ccleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

3.
Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware
oder GeeksToGo
- Wichtig!: installiere auf den Desktop
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann

Zitat:

Achtung! Während ComboFix läuft: Ab sofort die Maus nicht mehr bewegen oder/und auf dem PC irgendetwas machen!!
** Für alle die das Tool benutzen, eine gewisse Vorsicht geboten, also die Reihenfolge und Anweisungen gründlich lesen und streng einhalten!!

- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten
** Eine bebilderte Anleitung findest Du *hier*

**berichte in welchem Zustand dein System sich befindet? Ob noch Probleme auftreten? - wenn ja, welche?

Google verlinkt falsche URL

Log-Analyse und Auswertung: Google verlinkt falsche URL