Windowsclick.com Trojaner hat meinen PC befallen

john.doe · 21.08.2009, 19:28

SuperAntiSpyware deinstallieren oder den Wächter deaktivieren, falls du es behalten möchtest.

1.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

sheryO · 22.08.2009, 14:20

Ich lasse gerade dieses Panda Active Scan meinen PC scannen.
Das hat auch soweit gut funktioniert, nur jetzt bleibt der Scan schon seit mehr als einer Stunde bei 17% stehen.
"Stehen bleiben" heißt in diesem Fall, dass sich nicht die Anzeige von 17% nicht ändert, die bearbeiteten Element wechseln aber ständig. Bei diesen bearbeiteten Elementen handelt es sich z.B. um C:\WINDOWS\Installer\9cc6e1.msp[unk_1760].
Von 1% bis 17% hat er dagegen nur etwa 20 Minuten gebraucht.

Ich weiß, solche Scans können teilweise echt lange dauern, aber ich wundere mich halt, dass es jetzt schon so lange bei 17% steht.

Ich hoffe, ihr könnt mir kurz sagen, ob das normal ist oder nicht.

MfG
sheryO

Edit: Hat sich erledigt, inzwischen hat es fertig gescannt.

sheryO · 22.08.2009, 15:10

Hier das Log von Panda Active Scan:

Zitat:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-08-22 15:57:58
PROTECTIONS: 1
MALWARE: 4
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt
02537438 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP171\A0072941.sys
02537438 Spyware/Virtumonde Spyware No 1 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACkwfnldouwe.sys.vir
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP171\A0072945.sys
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP175\A0073592.sys
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP171\A0072944.dll
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\UACabpawqteoe.dll.vir
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location N
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description N
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Jetzt zum Prevx 3.0:

Leider kann ich keine Screenshots machen, da meiner Tastatur die Taste dazu fehlt...
Daher habe ich einfach alles abgeschrieben:

Zitat:

Scan Result: Infected
1 infection has been indentified in your system
Status: L Threat
Name: kbccdbdwpspwiwul.sys in c:\windows\system32\drivers\
Threat Identified: Medium Risk Malware

MfG
sheryO

john.doe · 22.08.2009, 15:26

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

File::
c:\windows\system32\drivers\kbccdbdwpspwiwul.sys
C:\WINDOWS\Installer\9cc6e1.msp

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

sheryO · 22.08.2009, 15:41

Hier ist das Log:

Zitat:

ComboFix 09-08-21.02 - Administrator 22.08.2009 16:32.3.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1592 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\Malware Abwehrsystem\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\Installer\9cc6e1.msp"
"c:\windows\system32\drivers\kbccdbdwpspwiwul.sys"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\9cc6e1.msp
c:\windows\system32\drivers\kbccdbdwpspwiwul.sys

.
((((((((((((((((((((((( Dateien erstellt von 2009-07-22 bis 2009-08-22 ))))))))))))))))))))))))))))))
.

2009-08-22 13:59 . 2009-08-22 13:59 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-08-22 13:59 . 2009-08-22 13:59 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-08-22 13:59 . 2009-08-22 13:59 -------- d-----w- c:\programme\Prevx
2009-08-22 13:59 . 2009-08-22 14:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-08-22 11:16 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-08-22 11:16 . 2009-08-22 11:16 -------- d-----w- c:\programme\Panda Security
2009-08-21 17:24 . 2009-08-22 11:08 117760 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-08-21 17:23 . 2009-08-21 17:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-21 17:23 . 2009-08-21 17:23 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-08-21 17:23 . 2009-08-21 17:23 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-21 17:22 . 2009-08-21 17:22 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-08-21 16:52 . 2009-08-21 16:52 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-08-21 16:44 . 2009-08-21 16:44 -------- d-----w- c:\programme\The KMPlayer
2009-08-21 16:40 . 2009-08-21 16:40 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-08-21 16:40 . 2009-08-21 16:40 152576 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-21 12:57 . 2009-08-21 12:57 -------- d-----w- c:\programme\CCleaner
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2009-08-20 13:58 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-20 13:58 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-08-20 13:58 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-08-20 13:58 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\programme\Avira
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-08-20 13:43 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-20 13:43 . 2009-08-20 14:21 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-20 13:43 . 2009-08-20 13:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-20 13:43 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-20 13:37 . 2009-08-20 13:37 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-08-20 11:30 . 2009-08-20 11:30 -------- d-s---w- C:\test.com
2009-08-18 18:10 . 2009-08-18 18:10 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Yahoo
2009-08-18 18:00 . 2009-08-18 18:00 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Yahoo!
2009-08-18 17:59 . 2009-08-20 10:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2009-08-18 17:59 . 2009-08-20 10:29 -------- d-----w- c:\programme\Yahoo!
2009-08-13 08:04 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-21 16:40 . 2006-06-28 09:45 -------- d-----w- c:\programme\Java
2009-08-21 16:17 . 2006-06-28 09:46 -------- d-----w- c:\programme\VideoLAN
2009-08-21 16:17 . 2009-03-08 11:37 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2009-08-21 16:16 . 2009-03-08 11:40 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM
2009-08-21 16:15 . 2006-06-28 09:44 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-08-21 16:14 . 2006-06-28 09:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-21 16:11 . 2006-06-28 09:47 -------- d-----w- c:\programme\Google
2009-08-21 15:09 . 2009-07-09 12:34 -------- d-----w- c:\programme\Garena
2009-08-21 14:39 . 2008-08-19 12:36 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SPORE Creature Creator
2009-08-21 14:01 . 2009-03-07 16:15 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2009-08-07 15:57 . 2008-05-13 09:07 112985 ----a-w- c:\windows\War3Unin.dat
2009-08-05 08:59 . 2002-12-31 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-21 10:35 . 2009-07-21 10:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ubisoft
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 107832 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-07-21 10:35 . 2009-07-21 10:35 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-07-21 10:35 . 2009-07-21 10:35 2337865 ----a-w- c:\windows\system32\pbsvc.exe
2009-07-21 10:27 . 2006-06-28 09:47 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-21 10:24 . 2009-07-21 10:24 -------- d-----w- c:\programme\DAEMON Tools Toolbar
2009-07-21 10:21 . 2009-07-21 10:21 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-07-17 19:01 . 2002-12-31 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-12 10:21 . 2002-12-31 12:00 233472 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2002-12-31 12:00 915456 ------w- c:\windows\system32\wininet.dll
2009-07-03 16:51 . 2006-07-17 08:28 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-06-19 16:03 . 2009-06-19 16:03 552 ----a-w- c:\windows\system32\d3d8caps.dat
2009-06-16 14:36 . 2002-12-31 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2002-12-31 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2002-12-31 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2002-12-31 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2002-12-31 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2006-06-28 09:32 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2002-12-31 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2002-12-31 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-08-21_13.26.05 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-22 14:36 . 2009-08-22 14:36 16384 c:\windows\temp\Perflib_Perfdata_750.dat
+ 2009-08-21 17:23 . 2009-08-21 17:23 65024 c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe
+ 2009-08-21 17:23 . 2009-08-21 17:23 18944 c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe
+ 2009-07-11 22:02 . 2009-07-11 22:02 159032 c:\windows\WinSxS\x86_Microsoft.VC90.ATL_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_353599c2\atl90.dll
+ 2009-08-21 16:40 . 2009-08-21 16:40 149280 c:\windows\system32\javaws.exe
+ 2009-08-21 16:40 . 2009-08-21 16:40 145184 c:\windows\system32\javaw.exe
+ 2009-08-21 16:40 . 2009-08-21 16:40 145184 c:\windows\system32\java.exe
+ 2009-08-21 16:40 . 2009-08-21 16:40 537600 c:\windows\Installer\d646b.msi
+ 2009-08-21 15:03 . 2009-08-21 15:03 195584 c:\windows\Installer\1cf86.msi
+ 2009-04-17 06:59 . 2009-04-17 06:59 128256 c:\windows\Downloaded Program Files\as2stubie.dll
+ 2009-08-21 17:23 . 2009-08-21 17:23 1516544 c:\windows\Installer\43894.msi
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Samsung Common SM"="c:\windows\Samsung\ComSMMgr\ssmmgr.exe" [2005-07-03 372736]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-08-21 149280]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" - c:\windows\system32\Hdaudpropshortcut.exe [2004-03-17 61952]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NAMCO BANDAI Games\\Warhammer® Mark of Chaos\\Warhammer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"g:\\Warcraft III\\Warcraft III.exe"=
"c:\\Programme\\The Creative Assembly\\Rome - Total War\\RomeTW.exe"=
"c:\\Programme\\WEB.DE\\WEB.DE MultiMessenger\\MESSENGR.EXE"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Garena\\Garena.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [22.08.2009 13:16 28544]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [22.08.2009 15:59 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [22.08.2009 15:59 27656]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [05.08.2009 16:06 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [05.08.2009 16:06 74480]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.08.2009 15:58 108289]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [22.08.2009 15:59 4368952]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [05.08.2009 16:06 7408]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - PAVBOOT

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-08-22 c:\windows\Tasks\User_Feed_Synchronization-{117DDDD8-B5A2-4142-9C91-0696CDDE48BA}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {0B316D96-1017-4617-B52A-C617BD9C68B8} = 192.168.100.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9oes8frx.default\
FF - prefs.js: browser.search.selectedEngine - GoogIe
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=8QYAJ5lM&q=
FF - plugin: c:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----

FF - user.js: browser.search.selectedEngine - GoogIe
FF - user.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=8QYAJ5lM&q=
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-22 16:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(512)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1572)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-22 16:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-22 14:39
ComboFix2.txt 2009-08-21 16:28
ComboFix3.txt 2009-08-21 13:27

Vor Suchlauf: 3.575.201.792 Bytes frei
Nach Suchlauf: 3.532.341.248 Bytes frei

245 --- E O F --- 2009-08-21 15:03

MfG
sheryO

john.doe · 22.08.2009, 15:59

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Deinstalliere:

Panda Active Scan
PrevxCSI
SuperAntiSpyware (oder deaktiviere den Wächter, falls du es behalten möchtest)

3.) Füttere ComboFix (cofi.exe) mit folgendem Script:

Code:

ATTFilter

KILLALL::

Driver::
pavboot
pxscan
SASDIFSV
SASKUTIL
CSIScanner
SASENUM

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-

Folder::
c:\programme\VideoLAN
c:\programme\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\programme\DAEMON Tools Toolbar

4.) Start => Ausführen => combofix /u => OK

5.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

sheryO · 22.08.2009, 17:44

Schritt 1-4 habe ich erfolgreich durchgeführt. Hier schonmal das Log von ComboFix:

Zitat:

ComboFix 09-08-21.02 - Administrator 22.08.2009 17:58.4.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1661 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\Malware Abwehrsystem\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.061027-1641.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Statistics.ini
c:\programme\DAEMON Tools Toolbar
c:\programme\Spybot - Search & Destroy
c:\programme\Spybot - Search & Destroy\Help\Deutsch.chm
c:\programme\Spybot - Search & Destroy\Includes\Browserpages.sbs
c:\programme\Spybot - Search & Destroy\Includes\Cookies.sbi
c:\programme\Spybot - Search & Destroy\Includes\Cookies.sbs
c:\programme\Spybot - Search & Destroy\Includes\Dialer.sbi
c:\programme\Spybot - Search & Destroy\Includes\Dialer.sbs
c:\programme\Spybot - Search & Destroy\Includes\Domains.sbs
c:\programme\Spybot - Search & Destroy\Includes\Hijackers.sbi
c:\programme\Spybot - Search & Destroy\Includes\Keyloggers.sbi
c:\programme\Spybot - Search & Destroy\Includes\Logs.uts
c:\programme\Spybot - Search & Destroy\Includes\Malware.sbi
c:\programme\Spybot - Search & Destroy\Includes\ProcWatch.sbs
c:\programme\Spybot - Search & Destroy\Includes\PUPS.sbi
c:\programme\Spybot - Search & Destroy\Includes\RegWatch.sbs
c:\programme\Spybot - Search & Destroy\Includes\Revision.sbi
c:\programme\Spybot - Search & Destroy\Includes\Revision.sbs
c:\programme\Spybot - Search & Destroy\Includes\Searchpages.sbs
c:\programme\Spybot - Search & Destroy\Includes\Security.sbi
c:\programme\Spybot - Search & Destroy\Includes\Services.sbs
c:\programme\Spybot - Search & Destroy\Includes\Spybots.sbi
c:\programme\Spybot - Search & Destroy\Includes\Targets.Deutsch.nfo
c:\programme\Spybot - Search & Destroy\Includes\Tracks.uti
c:\programme\Spybot - Search & Destroy\Includes\Trojans.sbi
c:\programme\Spybot - Search & Destroy\Includes\URL-Blacklist.sbs
c:\programme\Spybot - Search & Destroy\Updates\advcheck.zip
c:\programme\Spybot - Search & Destroy\Updates\clsid.zip
c:\programme\Spybot - Search & Destroy\Updates\desc.deutsch.zip
c:\programme\Spybot - Search & Destroy\Updates\desc.english.zip
c:\programme\Spybot - Search & Destroy\Updates\help.deutsch.zip
c:\programme\Spybot - Search & Destroy\Updates\help.english.zip
c:\programme\Spybot - Search & Destroy\Updates\helpres.english.zip
c:\programme\Spybot - Search & Destroy\Updates\includes.zip
c:\programme\Spybot - Search & Destroy\Updates\lang.deutsch.zip
c:\programme\Spybot - Search & Destroy\Updates\online.ini
c:\programme\Spybot - Search & Destroy\Updates\skins.main.zip
c:\programme\Spybot - Search & Destroy\Updates\tools.zip
c:\programme\VideoLAN

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CSISCANNER
-------\Legacy_PAVBOOT
-------\Legacy_PXSCAN
-------\Legacy_SASDIFSV
-------\Legacy_SASENUM
-------\Legacy_SASKUTIL
-------\Service_pxscan

((((((((((((((((((((((( Dateien erstellt von 2009-07-22 bis 2009-08-22 ))))))))))))))))))))))))))))))
.

2009-08-22 11:16 . 2009-08-22 15:52 -------- d-----w- c:\programme\Panda Security
2009-08-21 17:23 . 2009-08-21 17:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-21 17:23 . 2009-08-22 15:53 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-21 17:23 . 2009-08-22 15:53 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-08-21 16:52 . 2009-08-21 16:52 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-08-21 16:44 . 2009-08-21 16:44 -------- d-----w- c:\programme\The KMPlayer
2009-08-21 16:40 . 2009-08-21 16:40 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-08-21 16:40 . 2009-08-21 16:40 152576 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-21 12:57 . 2009-08-21 12:57 -------- d-----w- c:\programme\CCleaner
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2009-08-20 13:58 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-20 13:58 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-08-20 13:58 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-08-20 13:58 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\programme\Avira
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-08-20 13:43 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-20 13:43 . 2009-08-20 14:21 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-20 13:43 . 2009-08-20 13:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-20 13:43 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-20 13:37 . 2009-08-20 13:37 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-08-20 11:30 . 2009-08-20 11:30 -------- d-s---w- C:\test.com
2009-08-18 18:10 . 2009-08-18 18:10 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Yahoo
2009-08-18 18:00 . 2009-08-18 18:00 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Yahoo!
2009-08-18 17:59 . 2009-08-20 10:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2009-08-18 17:59 . 2009-08-20 10:29 -------- d-----w- c:\programme\Yahoo!
2009-08-13 08:04 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-21 16:40 . 2006-06-28 09:45 -------- d-----w- c:\programme\Java
2009-08-21 16:17 . 2009-03-08 11:37 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2009-08-21 16:16 . 2009-03-08 11:40 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM
2009-08-21 16:11 . 2006-06-28 09:47 -------- d-----w- c:\programme\Google
2009-08-21 15:09 . 2009-07-09 12:34 -------- d-----w- c:\programme\Garena
2009-08-21 14:39 . 2008-08-19 12:36 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SPORE Creature Creator
2009-08-21 14:01 . 2009-03-07 16:15 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2009-08-07 15:57 . 2008-05-13 09:07 112985 ----a-w- c:\windows\War3Unin.dat
2009-08-05 08:59 . 2002-12-31 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-21 10:35 . 2009-07-21 10:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ubisoft
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 107832 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-07-21 10:35 . 2009-07-21 10:35 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-07-21 10:35 . 2009-07-21 10:35 2337865 ----a-w- c:\windows\system32\pbsvc.exe
2009-07-21 10:27 . 2006-06-28 09:47 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-21 10:21 . 2009-07-21 10:21 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-07-17 19:01 . 2002-12-31 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-12 10:21 . 2002-12-31 12:00 233472 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2002-12-31 12:00 915456 ------w- c:\windows\system32\wininet.dll
2009-07-03 16:51 . 2006-07-17 08:28 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-06-19 16:03 . 2009-06-19 16:03 552 ----a-w- c:\windows\system32\d3d8caps.dat
2009-06-16 14:36 . 2002-12-31 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2002-12-31 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2002-12-31 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2002-12-31 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2002-12-31 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2006-06-28 09:32 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2002-12-31 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2002-12-31 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-08-21_13.26.05 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-22 16:02 . 2009-08-22 16:02 16384 c:\windows\temp\Perflib_Perfdata_6e0.dat
+ 2009-07-11 22:02 . 2009-07-11 22:02 159032 c:\windows\WinSxS\x86_Microsoft.VC90.ATL_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_353599c2\atl90.dll
+ 2009-08-21 16:40 . 2009-08-21 16:40 149280 c:\windows\system32\javaws.exe
+ 2009-08-21 16:40 . 2009-08-21 16:40 145184 c:\windows\system32\javaw.exe
+ 2009-08-21 16:40 . 2009-08-21 16:40 145184 c:\windows\system32\java.exe
+ 2009-08-21 16:40 . 2009-08-21 16:40 537600 c:\windows\Installer\d646b.msi
+ 2009-08-21 15:03 . 2009-08-21 15:03 195584 c:\windows\Installer\1cf86.msi
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Samsung Common SM"="c:\windows\Samsung\ComSMMgr\ssmmgr.exe" [2005-07-03 372736]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" - c:\windows\system32\Hdaudpropshortcut.exe [2004-03-17 61952]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NAMCO BANDAI Games\\Warhammer® Mark of Chaos\\Warhammer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"g:\\Warcraft III\\Warcraft III.exe"=
"c:\\Programme\\The Creative Assembly\\Rome - Total War\\RomeTW.exe"=
"c:\\Programme\\WEB.DE\\WEB.DE MultiMessenger\\MESSENGR.EXE"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Garena\\Garena.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.08.2009 15:58 108289]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-08-22 c:\windows\Tasks\User_Feed_Synchronization-{117DDDD8-B5A2-4142-9C91-0696CDDE48BA}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {0B316D96-1017-4617-B52A-C617BD9C68B8} = 192.168.100.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9oes8frx.default\
FF - prefs.js: browser.search.selectedEngine - GoogIe
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=8QYAJ5lM&q=
FF - plugin: c:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----

FF - user.js: browser.search.selectedEngine - GoogIe
FF - user.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=8QYAJ5lM&q=
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-22 18:02
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(512)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3360)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-22 18:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-22 16:04
ComboFix2.txt 2009-08-22 14:39
ComboFix3.txt 2009-08-21 16:28
ComboFix4.txt 2009-08-21 13:27

Vor Suchlauf: 4.050.460.672 Bytes frei
Nach Suchlauf: 3.998.375.936 Bytes frei

266 --- E O F --- 2009-08-21 15:03

Bei Schritt 5 gelingt es mir allerdings nicht, den Online Scanner zu installieren. Nachdem ich die Lizenzbedingungen akzeptiert habe, fängt er an zu installieren. Nach einiger Zeit erscheint dann jedoch die Meldung, dass ich Administratorrechte benötige und bei(m) IE die Sicherheitsstufe 3 einstellen soll. Administratorrechte habe ich, aber ich weiß nicht, was eine IE Sicherheitsstufe ist.

john.doe · 22.08.2009, 17:56

Start => Einstellungen => Systemsteuerung => Internetoptionen => Karte: Sicherheit => Schieberegler auf Stufe 3 schieben

oder:

Karte: Sicherheit => Klick auf Vertrauenswürdige Sites => Klick auf Sites => www.kaspersky.com => Haken weg bei "Für Sites....." => Hinzufügen => OK

ciao, andreas

sheryO · 22.08.2009, 21:01

So, hier ist dann auch der Log von Kaspersky:

Zitat:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 22. August 2009 21:59:18
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 22/08/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2433705
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
G:\
H:\
J:\
O:\
U:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 84863
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:55:20

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\IETldCache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Web Slice-Katalog~.feed-ms Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{9547B858-8F42-11DE-9B9D-0013D3BA5C8B}.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{25FF9545-8F43-11DE-9B9D-0013D3BA5C8B}.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{9547B859-8F42-11DE-9B9D-0013D3BA5C8B}.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF2DF3.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF2EF8.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF2F10.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF31D6.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF3204.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF3935.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF42F8.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DFD8E7.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\PrivacIE\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Verlauf\History.IE5\MSHist012009082220090823\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP2\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\Perflib_Perfdata_6f0.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP2\change.log Das Objekt ist gesperrt übersprungen
G:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
G:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP2\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

MfG
sheryO

john.doe · 22.08.2009, 21:18

Das sieht alles gut aus. Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten oder Meldungen?

Deinstalliere Kaspersky Online Scanner.

ciao, andreas

sheryO · 23.08.2009, 10:22

Den Kaspersky Online Scanner habe ich schon gestern, direkt nach dem Scan deinstalliert. Dem PC geht es, soweit ich das beurteilen kann, auch gut. Er ist wieder viel schneller und die Weiterleitung nach Windowsclick.com erfolgt auch nicht mehr. Sollte es wieder zu Problemen kommen, werde ich mich hier wieder melden.

Und nochmal Vielen Dank für die Hilfe!

MfG
sheryO

john.doe · 23.08.2009, 11:59

1.) Start => Ausführen => combofix /u => OK

2.) Du bist entlassen.

ciao, andreas

Windowsclick.com Trojaner hat meinen PC befallen

Plagegeister aller Art und deren Bekämpfung: Windowsclick.com Trojaner hat meinen PC befallen