Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.11.2009, 23:19   #1
Martini
 
Internet Explorer öffnet automatisch mit Werbung! Trojaner  Meldung.. - Unglücklich

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..



Hallo,

ich hoffe mir kann jemand helfen. Mein Internet Explorer öffnet sich immer automatisch mit irgendwelcher Werbung seit paar tagen.

Noch dazu, hatte ich vor paar Minuten einige Trojaner Meldungen, welche ich mit AntiVir gelöscht habe... kann mir jemand helfen???

Hier ist mein logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:08:33, on 17.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\lxdjcoms.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Softex\OmniPass\Omniserv.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE
C:\Programme\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\msc.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\SweetIM\Messenger\SweetIM.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\DOKUME~1\Martini\LOKALE~1\Temp\b.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MailBlocker] C:\DOKUME~1\Martini\LOKALE~1\Temp\b.exe
O4 - HKCU\..\Run: [Minisoft] C:\DOKUME~1\Martini\LOKALE~1\Temp\h.exe
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {DC6FEBC5-0A2D-458A-A01B-5DB15EEC4305} (IlosoftImageUploadCtl Class) - http://webc.dj-martini.de/controls/IlosoftImageUpload.dll
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MSI\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: lxdjCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdjserv.exe
O23 - Service: lxdj_device - - C:\WINDOWS\system32\lxdjcoms.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Programme\Softex\OmniPass\Omniserv.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Martini/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg

--
End of file - 7832 bytes


Danke schonmal im vorraus!!!

Alt 17.11.2009, 15:39   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Internet Explorer öffnet automatisch mit Werbung! Trojaner  Meldung.. - Standard

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..



Hallo,

poste bitte das Logfile vom Virenscanner.

Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 17.11.2009, 19:17   #3
Martini
 
Internet Explorer öffnet automatisch mit Werbung! Trojaner  Meldung.. - Standard

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..



Hallo Cosinus,

ich danke dir erstmal vielmas für die schnelle Antwort. Ich glaube hab jetzt alles durchgelesen und richtig befolgt...
Hier der Downloadlink: http://www.file-upload.net/download-2018407/Log_Martini.rar.html

Danke dir schonmal vielmals, für deine Zeit und Mühe!
__________________

Alt 17.11.2009, 19:55   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Internet Explorer öffnet automatisch mit Werbung! Trojaner  Meldung.. - Standard

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..



Kannst Du noch das Log von Avira nachreichen? Der hatte ja zuvor auch noch was gefunden.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.11.2009, 20:38   #5
Martini
 
Internet Explorer öffnet automatisch mit Werbung! Trojaner  Meldung.. - Standard

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..



Ja ich lasse ihn nochmal komplett... durchlaufen habe ja nur bis jetzt immer die Warnungen bekommen...wo gefragt wird was ich machen soll.

Gruß
Martin


Alt 17.11.2009, 22:20   #6
Martini
 
Internet Explorer öffnet automatisch mit Werbung! Trojaner  Meldung.. - Standard

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..



Wie versprochen hier der Report von AntiVir! Danke schonmal für deine Hilfe!

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 17. November 2009 21:33

Es wird nach 1910968 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ACER16

Versionsinformationen:
BUILD.DAT : 9.0.0.410 18074 Bytes 25.09.2009 11:51:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 05.08.2009 10:25:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:12
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:46
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:42:00
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:30:38
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 13:02:02
ANTIVIR2.VDF : 7.1.6.222 5998592 Bytes 11.11.2009 21:22:22
ANTIVIR3.VDF : 7.1.6.241 224256 Bytes 16.11.2009 21:45:44
Engineversion : 8.2.1.65
AEVDF.DLL : 8.1.1.2 106867 Bytes 19.09.2009 10:54:24
AESCRIPT.DLL : 8.1.2.44 586107 Bytes 07.11.2009 13:29:28
AESCN.DLL : 8.1.2.5 127346 Bytes 06.09.2009 13:21:42
AERDL.DLL : 8.1.3.2 479604 Bytes 03.10.2009 13:28:28
AEPACK.DLL : 8.2.0.3 422261 Bytes 05.11.2009 23:01:54
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 29.06.2009 13:02:08
AEHEUR.DLL : 8.1.0.180 2093432 Bytes 07.11.2009 13:29:18
AEHELP.DLL : 8.1.7.0 237940 Bytes 06.09.2009 13:21:40
AEGEN.DLL : 8.1.1.74 364917 Bytes 11.11.2009 21:22:44
AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 13:27:52
AECORE.DLL : 8.1.8.2 184694 Bytes 05.11.2009 23:00:52
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:58
AVPREF.DLL : 9.0.3.0 44289 Bytes 12.09.2009 12:11:52
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 14:34:30
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:06
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:38
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:06
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:30
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:22
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:18
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 10:13:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, G:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 17. November 2009 21:33

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '84726' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Havana Club Weltempfänger.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SweetIM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OPXPApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SQLAGENT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageTryStartService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OmniServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SQLSERVR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LXDJCOMS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHEDUL2.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSDTC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTWDINS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Martini\Lokale Einstellungen\Temp\g.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.aaft
C:\Dokumente und Einstellungen\Martini\Lokale Einstellungen\Temp\i.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP479\A0102469.DLL
[FUND] Ist das Trojanische Pferd TR/BHOLamp.hej
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP479\A0102476.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102484.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102485.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102487.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102488.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
Beginne mit der Suche in 'D:\' <ACERDATA>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Martini\Lokale Einstellungen\Temp\g.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.aaft
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6820dc.qua' verschoben!
C:\Dokumente und Einstellungen\Martini\Lokale Einstellungen\Temp\i.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ff7cdfd.qua' verschoben!
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP479\A0102469.DLL
[FUND] Ist das Trojanische Pferd TR/BHOLamp.hej
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3420de.qua' verschoben!
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP479\A0102476.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fafeedf.qua' verschoben!
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102484.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f94d437.qua' verschoben!
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102485.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4df3cd2f.qua' verschoben!
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102487.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f95dc6f.qua' verschoben!
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102488.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f902c9f.qua' verschoben!


Ende des Suchlaufs: Dienstag, 17. November 2009 23:16
Benötigte Zeit: 1:41:12 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

12177 Verzeichnisse wurden überprüft
445863 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
8 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
445852 Dateien ohne Befall
10301 Archive wurden durchsucht
3 Warnungen
10 Hinweise
84726 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Alt 17.11.2009, 23:06   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Internet Explorer öffnet automatisch mit Werbung! Trojaner  Meldung.. - Standard

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..



Okay, mach mal nun bitte einen Durchlauf mit Combofix, evtl. Reste löschen wir danach dann gezielt(er)

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.11.2009, 13:49   #8
Martini
 
Internet Explorer öffnet automatisch mit Werbung! Trojaner  Meldung.. - Standard

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..



Hallo, so hier nun der Log von Combo-Fix, hoffe ich habe alles richtig gemacht...

Code:
ATTFilter
ComboFix 09-11-18.06 - Martini 18.11.2009 14:36.5.2 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.2046.1465 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Martini\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Avira Firewall *disabled* {55185680-1D7E-44D7-3094-596BB89B90C9}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ic32.dll
c:\windows\system32\vimc.exe
c:\windows\system32\wk32.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-10-18 bis 2009-11-18  ))))))))))))))))))))))))))))))
.

2009-11-18 13:36 . 2004-08-04 04:00	95360	----a-w-	c:\windows\system32\drivers\atapi.sys
2009-11-18 13:36 . 2004-08-04 04:00	95360	----a-w-	c:\windows\system32\dllcache\atapi.sys
2009-11-17 17:33 . 2009-11-17 17:33	--------	d-----w-	C:\rsit
2009-11-17 17:32 . 2009-09-10 13:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-17 17:32 . 2009-11-17 17:32	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-17 17:32 . 2009-09-10 13:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-11-17 17:32 . 2009-11-17 17:32	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-11-15 20:41 . 2009-11-15 20:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-11-15 01:53 . 2009-11-15 01:53	--------	d-----w-	c:\programme\Stereoscopic Player
2009-11-11 21:43 . 2009-11-11 21:43	--------	d-sh--w-	c:\dokumente und einstellungen\Internet\IETldCache
2009-11-05 12:39 . 2009-11-05 12:39	--------	d-sh--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-19 13:30 . 2009-10-19 13:30	--------	d-----w-	c:\programme\ADAC Special Gebrauchtwagen 2009
2009-10-18 13:19 . 2006-05-23 11:31	93948	----a-w-	c:\windows\system32\perfc007.dat
2009-10-18 13:19 . 2006-05-23 11:31	481892	----a-w-	c:\windows\system32\perfh007.dat
2009-10-17 17:44 . 2009-10-17 17:44	--------	d-----w-	c:\programme\Havana Club Weltempfänger
2009-10-07 20:23 . 2009-10-07 20:23	--------	d-----w-	c:\programme\Lx_cats
2009-10-07 20:15 . 2009-10-07 20:15	--------	d-----w-	c:\programme\Lexmark 1400 Series
2009-09-30 19:16 . 2009-09-30 19:16	--------	d-----w-	c:\programme\Gemeinsame Dateien\DivX Shared
2009-09-11 15:31 . 2004-08-04 04:00	133632	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-04 21:45 . 2004-08-04 04:00	58880	----a-w-	c:\windows\system32\msasn1.dll
2009-08-29 08:54 . 2006-01-09 19:01	916480	----a-w-	c:\windows\system32\wininet.dll
2009-08-26 09:14 . 2004-08-04 04:00	247326	----a-w-	c:\windows\system32\strmdll.dll
2009-05-01 22:02 . 2009-05-01 22:02	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 22:02 . 2009-05-01 22:02	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2008-10-08 173368]

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2008-10-08 11:22	1172792	----a-w-	c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2009-02-15 111928]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
" Malwarebytes Anti-Malware  (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):76,69,73,74,61,75,69,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
2005-09-26 13:54	49152	----a-w-	c:\programme\Softex\OmniPass\OPXPGina.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk /r \??\G:\0autocheck autochk *

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"eRecoveryService"=c:\acer\Empowering Technology\eRecovery\eRAgent.exe
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe"
"LManager"=c:\progra~1\LAUNCH~1\LManager.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\SpacialAudio\\SAMBC\\SAMBC.EXE"=
"c:\\Programme\\Radio-Tollbox\\Radio Toolbox\\rtb.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\groove.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\onenote.exe"=
"c:\\totalcmd\\TOTALCMD.EXE"=
"c:\\Programme\\homepage MAKER\\Express SE\\p3AppServ\\bin\\mysql\\bin\\mysqld.exe"=
"c:\\Programme\\homepage MAKER\\Express SE\\p3AppServ\\bin\\apache\\bin\\httpd.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\ArKaos VJ 3.6.1 FC2\\ArKaos.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\WINDOWS\\System32\\lxdjcoms.exe"=
"c:\\Programme\\Lexmark 1400 Series\\lxdjamon.exe"=
"c:\\Programme\\Lexmark 1400 Series\\App4R.exe"=
"c:\\WINDOWS\\System32\\lxdjcfg.exe"=
"c:\\WINDOWS\\System32\\SPOOL\\drivers\\W32X86\\3\\LXDJJSWX.EXE"=
"c:\\WINDOWS\\System32\\SPOOL\\drivers\\W32X86\\3\\LXDJtime.exe"=
"c:\\Programme\\Lexmark 1400 Series\\Wireless\\lxdjwpss.exe"=
"c:\\WINDOWS\\System32\\SPOOL\\DRIVERS\\W32X86\\3\\lxdjPSWX.EXE"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [29.06.2009 13:59 108289]
R2 MarxDev1;MarxDev1;c:\windows\system32\drivers\MARXDEV1.SYS [16.12.2006 10:24 8864]
R2 MarxDev2;MarxDev2;c:\windows\system32\drivers\MARXDEV2.SYS [16.12.2006 10:24 8864]
R2 MarxDev3;MarxDev3;c:\windows\system32\drivers\MARXDEV3.SYS [16.12.2006 10:24 8864]
S2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;\??\c:\windows\system32\eLock2BurnerLockDriver.sys --> c:\windows\system32\eLock2BurnerLockDriver.sys [?]
S2 eLock2FSCTLDriver;eLock2FSCTLDriver;\??\c:\windows\system32\eLock2FSCTLDriver.sys --> c:\windows\system32\eLock2FSCTLDriver.sys [?]
S2 lxdjCATSCustConnectService;lxdjCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdjserv.exe [07.10.2009 21:16 99248]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MSI\MAGIX\Common\Database\bin\fbserver.exe [06.11.2007 00:04 1527900]
S3 fspio;fspio;c:\windows\system32\drivers\fspio.sys [15.07.2007 09:29 3816]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [25.04.2007 17:51 264704]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [12.03.2008 20:23 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [12.03.2008 20:23 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [12.03.2008 20:23 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [12.03.2008 20:23 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [12.03.2008 20:23 98568]
S3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [13.07.2004 12:40 48384]
S4 FanSpeedNT Service;FanSpeedNT Service;"c:\dokume~1\Martini\LOKALE~1\Temp\Rar$EX00.969\fanspeedNT.exe"  --> c:\dokume~1\Martini\LOKALE~1\Temp\Rar$EX00.969\fanspeedNT.exe [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - CLASSPNP_2
*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - CLASSPNP_2
*Deregistered* - mbr
*Deregistered* - PROCEXP113

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{69D201E7-F949-D26C-80B6-5880F7127182}]
c:\windows\system32\win32inni\svchost.exe s
.
Inhalt des "geplante Tasks" Ordners

2009-11-15 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2006-10-02 15:22]

2008-11-08 c:\windows\Tasks\PC abschalten.job
- c:\windows\System32\shutdown.exe [2004-08-04 04:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
IE: Senden an &Bluetooth-Gerät... - c:\programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
DPF: {DC6FEBC5-0A2D-458A-A01B-5DB15EEC4305} - hxxp://webc.dj-martini.de/controls/IlosoftImageUpload.dll
FF - ProfilePath - c:\dokumente und einstellungen\Martini\Anwendungsdaten\Mozilla\Firefox\Profiles\76rq43hg.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.de/search?q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPnsv_vp3_mp3.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: browser.link.open_newwindow - 3
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CIDFE0BD779-44EE-4A4B-AA2E-743C63F2E5E6", "AllAccess");
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{8D85C8A8-284B-46E5-AD8F-6EB5A4FAC059} - (no file)
AddRemove-mIRC - c:\programme\RadioDrom\DromChat.exe
AddRemove-Vista Transformation Pack - c:\windows\System32\vimc.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-18 14:42
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: TUKERNEL.EXE catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x8A75C1F8]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf765bfc3
\Driver\ACPI -> ACPI.sys @ 0xf7495cb8
\Driver\atapi -> 0x8a75c1f8
IoDeviceObjectType -> DeleteProcedure -> TUKERNEL.EXE @ 0x8059e19a
 SecurityProcedure -> TUKERNEL.EXE @ 0x805b008a
\Device\Harddisk0\DR0 -> DeleteProcedure -> TUKERNEL.EXE @ 0x8059e19a
 SecurityProcedure -> TUKERNEL.EXE @ 0x805b008a
NDIS: Atheros AR5005G Wireless Network Adapter -> SendCompleteHandler -> NDIS.sys @ 0xbaeddbc3
 PacketIndicateHandler -> NDIS.sys @ 0xbaee9b21
 SendHandler -> NDIS.sys @ 0xbaeddd33
Warning: possible MBR rootkit infection !
user & kernel MBR OK 

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3848056783-802410026-517143755-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B0958272-77D5-FEEA-4DDB-C96D3D4CDB49}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oaliocnippfkjoghgdefefdhohdkie"=hex:6a,61,68,70,62,70,69,66,64,62,6d,61,6f,65,
   69,62,6b,69,65,68,00,1e
"nabdibcdgjllpenecoipgcbjgnmf"=hex:6a,61,68,70,6e,70,6f,70,64,69,62,69,6f,63,
   6f,6c,65,63,69,66,00,1e

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(908)
c:\windows\system32\Ati2evxx.dll
c:\programme\Softex\OmniPass\opxpgina.dll
c:\windows\system32\cscui.dll

- - - - - - - > 'lsass.exe'(964)
c:\windows\system32\relog_ap.dll
.
Zeit der Fertigstellung: 2009-11-18 14:43
ComboFix-quarantined-files.txt  2009-11-18 13:43
ComboFix2.txt  2008-01-02 09:10
ComboFix3.txt  2008-01-01 21:23

Vor Suchlauf: 2.896.035.840 Bytes frei
Nach Suchlauf: 3.467.739.136 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer /TUTag=3V2JMH /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition (TuneUp Backup)" /noexecute=optin /fastdetect /usepmtimer /TUTag=3V2JMH-BAK

- - End Of File - - 7A10AD2B6FE468527C885500EDE0856D
         

Alt 18.11.2009, 14:33   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Internet Explorer öffnet automatisch mit Werbung! Trojaner  Meldung.. - Ausrufezeichen

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..



Aus der boot.ini:

Code:
ATTFilter
(...)WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer /TUTag=3V2JMH /Kernel=TUKernel.exe
         
TuneUp war mir schon immer suspekt (Laien haben sich das System kaputtoptimiert ), aber dass es den Kernel "verändert" bzw. in der boot.ini einen anderen Kernel zur Benutzung angibt fällt mir jetzt erst auf und das halte ich für höchst bedenklich! Bitte TuneUp deinstallieren!!


Danach bitte das hier tun:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:
ATTFilter
KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{69D201E7-F949-D26C-80B6-5880F7127182}]

RegNull::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

Folder::
c:\windows\system32\win32inni
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Geändert von cosinus (18.11.2009 um 14:39 Uhr)

Alt 18.11.2009, 17:03   #10
Martini
 
Internet Explorer öffnet automatisch mit Werbung! Trojaner  Meldung.. - Standard

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..



Hallo Arne,

also ich habe alles wie beschrieben nach der Deinstallation von TuneUp kommt jetzt immer bei PC starten (nach booten) folgende Fehlermeldung:



Während ComboFix lief gab es auch immer wieder eine Fehlermeldung unten rechts in der Taskleiste:

PEV.cFxxe bzw. auch PEV.exe beschädigt

Die Datei Verzeichnis
/Windows/ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt ist beschädigt nicht lesbar. Führes sie CHKDSK aus

Nach dem Combofix fertig war und meinen laptop neu gestartet hattte gab es nur ein Hinweis der ganz kurz auf ging im ComboFix

combofin Find 3M konnte nicht gefunden werden...(glaube das sowas dort stand/ ging einfach zu schnell) und ich sollte CHKDSK ausführen.

Mir wurde auch kein Log geöffnet oder unter C:/ fand ich auch nix... was nun???

Geändert von Martini (18.11.2009 um 17:10 Uhr)

Alt 19.11.2009, 08:57   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Internet Explorer öffnet automatisch mit Werbung! Trojaner  Meldung.. - Ausrufezeichen

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..



Oje, Dateisystem hinüber?!

chkdsk der Systempartition

1. Klick auf Start, Ausführen
2. Tipp ein cmd und bestätige mit ok, die Konsole öffnet sich.
3. Tipp dort ein: chkdsk %systemdrive% /f /r /v und bestätige mit enter.
4. Die folgende Abfrage mit j bestätigen und enter drücken.
5. Windows neu starten, es sollte ein Hinweis auf eine geplante Datenträgerüberprüfung erscheinen - die Zeit verstreichen lassen, keine Taste drücken!!
6. Abwarten bis der Vorgang abgeschlossen ist. Bei großen Partitionen kann es u.U. recht lange dauern. Windows bootet automatisch neu.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.11.2009, 21:35   #12
Martini
 
Internet Explorer öffnet automatisch mit Werbung! Trojaner  Meldung.. - Standard

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..



Aallo Arne,
habe ich nun gerade alles gemacht! PC ist jetzt neugestartet der SQL server fehler kommt immernoch...

Überprüfung ist abgeschlossen und was nun??
Mir wurde in der Konsole angezeigt das chkdsk nicht ausgeführt werden kann...

Alt 19.11.2009, 21:57   #13
Martini
 
Internet Explorer öffnet automatisch mit Werbung! Trojaner  Meldung.. - Standard

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..



Hier ist jetzt der neue Log von ComboFix diesesmal hat glaube alles funktioniert, habe nur noch den fehler mit SQL-Server...

Danke für die Hilfe!! Wie geht es jetzt weiter?

Code:
ATTFilter
ComboFix 09-11-19.03 - Martini 19.11.2009 22:41.7.2 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.2046.1562 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Martini\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Martini\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Avira Firewall *disabled* {55185680-1D7E-44D7-3094-596BB89B90C9}
.

(((((((((((((((((((((((   Dateien erstellt von 2009-10-19 bis 2009-11-19  ))))))))))))))))))))))))))))))
.

2009-11-19 19:46 . 2009-11-19 19:46	--------	d-----w-	C:\FOUND.001
2009-11-18 20:14 . 2009-11-18 20:14	--------	d-sh--w-	c:\dokumente und einstellungen\Martini\PrivacIE
2009-11-18 16:40 . 2004-08-04 04:00	95360	----a-w-	c:\windows\system32\drivers\atapi.sys
2009-11-18 16:40 . 2004-08-04 04:00	95360	----a-w-	c:\windows\system32\dllcache\atapi.sys
2009-11-17 17:33 . 2009-11-17 17:33	--------	d-----w-	C:\rsit
2009-11-17 17:32 . 2009-09-10 13:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-17 17:32 . 2009-11-17 17:32	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-17 17:32 . 2009-09-10 13:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-11-17 17:32 . 2009-11-17 17:32	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-11-15 20:41 . 2009-11-15 20:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-11-15 01:53 . 2009-11-15 01:53	--------	d-----w-	c:\programme\Stereoscopic Player
2009-11-11 21:43 . 2009-11-11 21:43	--------	d-sh--w-	c:\dokumente und einstellungen\Internet\IETldCache
2009-11-05 12:39 . 2009-11-05 12:39	--------	d-sh--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-19 13:30 . 2009-10-19 13:30	--------	d-----w-	c:\programme\ADAC Special Gebrauchtwagen 2009
2009-10-18 13:19 . 2006-05-23 11:31	93948	----a-w-	c:\windows\system32\perfc007.dat
2009-10-18 13:19 . 2006-05-23 11:31	481892	----a-w-	c:\windows\system32\perfh007.dat
2009-10-17 17:44 . 2009-10-17 17:44	--------	d-----w-	c:\programme\Havana Club Weltempfänger
2009-10-07 20:23 . 2009-10-07 20:23	--------	d-----w-	c:\programme\Lx_cats
2009-10-07 20:15 . 2009-10-07 20:15	--------	d-----w-	c:\programme\Lexmark 1400 Series
2009-09-30 19:16 . 2009-09-30 19:16	--------	d-----w-	c:\programme\Gemeinsame Dateien\DivX Shared
2009-09-11 15:31 . 2004-08-04 04:00	133632	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-04 21:45 . 2004-08-04 04:00	58880	----a-w-	c:\windows\system32\msasn1.dll
2009-08-29 08:54 . 2006-01-09 19:01	916480	------w-	c:\windows\system32\wininet.dll
2009-08-26 09:14 . 2004-08-04 04:00	247326	----a-w-	c:\windows\system32\strmdll.dll
2009-05-01 22:02 . 2009-05-01 22:02	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 22:02 . 2009-05-01 22:02	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-11-18_13.42.09   )))))))))))))))))))))))))))))))))))))))))
.
- 2006-12-04 21:45 . 2009-11-18 13:24	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2006-12-04 21:45 . 2009-11-19 19:49	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2009-11-19 19:49 . 2009-11-19 19:49	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2009-11-19 19:49 . 2009-11-19 19:49	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2006-12-04 21:45 . 2009-11-18 13:24	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2008-10-08 173368]

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2008-10-08 11:22	1172792	----a-w-	c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2009-02-15 111928]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
" Malwarebytes Anti-Malware  (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):76,69,73,74,61,75,69,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
2005-09-26 13:54	49152	----a-w-	c:\programme\Softex\OmniPass\OPXPGina.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk /r \??\G:\0autocheck autochk *

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"eRecoveryService"=c:\acer\Empowering Technology\eRecovery\eRAgent.exe
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe"
"LManager"=c:\progra~1\LAUNCH~1\LManager.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\SpacialAudio\\SAMBC\\SAMBC.EXE"=
"c:\\Programme\\Radio-Tollbox\\Radio Toolbox\\rtb.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\groove.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\onenote.exe"=
"c:\\totalcmd\\TOTALCMD.EXE"=
"c:\\Programme\\homepage MAKER\\Express SE\\p3AppServ\\bin\\mysql\\bin\\mysqld.exe"=
"c:\\Programme\\homepage MAKER\\Express SE\\p3AppServ\\bin\\apache\\bin\\httpd.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\ArKaos VJ 3.6.1 FC2\\ArKaos.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\WINDOWS\\System32\\lxdjcoms.exe"=
"c:\\Programme\\Lexmark 1400 Series\\lxdjamon.exe"=
"c:\\Programme\\Lexmark 1400 Series\\App4R.exe"=
"c:\\WINDOWS\\System32\\lxdjcfg.exe"=
"c:\\WINDOWS\\System32\\SPOOL\\drivers\\W32X86\\3\\LXDJJSWX.EXE"=
"c:\\WINDOWS\\System32\\SPOOL\\drivers\\W32X86\\3\\LXDJtime.exe"=
"c:\\Programme\\Lexmark 1400 Series\\Wireless\\lxdjwpss.exe"=
"c:\\WINDOWS\\System32\\SPOOL\\DRIVERS\\W32X86\\3\\lxdjPSWX.EXE"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28.04.2007 21:44 717296]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [29.06.2009 13:59 108289]
R2 MarxDev1;MarxDev1;c:\windows\system32\drivers\MARXDEV1.SYS [16.12.2006 10:24 8864]
R2 MarxDev2;MarxDev2;c:\windows\system32\drivers\MARXDEV2.SYS [16.12.2006 10:24 8864]
R2 MarxDev3;MarxDev3;c:\windows\system32\drivers\MARXDEV3.SYS [16.12.2006 10:24 8864]
S2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;\??\c:\windows\system32\eLock2BurnerLockDriver.sys --> c:\windows\system32\eLock2BurnerLockDriver.sys [?]
S2 eLock2FSCTLDriver;eLock2FSCTLDriver;\??\c:\windows\system32\eLock2FSCTLDriver.sys --> c:\windows\system32\eLock2FSCTLDriver.sys [?]
S2 lxdjCATSCustConnectService;lxdjCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdjserv.exe [07.10.2009 21:16 99248]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MSI\MAGIX\Common\Database\bin\fbserver.exe [06.11.2007 00:04 1527900]
S3 fspio;fspio;c:\windows\system32\drivers\fspio.sys [15.07.2007 09:29 3816]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [25.04.2007 17:51 264704]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [12.03.2008 20:23 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [12.03.2008 20:23 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [12.03.2008 20:23 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [12.03.2008 20:23 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [12.03.2008 20:23 98568]
S3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [13.07.2004 12:40 48384]
S4 FanSpeedNT Service;FanSpeedNT Service;"c:\dokume~1\Martini\LOKALE~1\Temp\Rar$EX00.969\fanspeedNT.exe"  --> c:\dokume~1\Martini\LOKALE~1\Temp\Rar$EX00.969\fanspeedNT.exe [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - CLASSPNP_2
.
Inhalt des "geplante Tasks" Ordners

2008-11-08 c:\windows\Tasks\PC abschalten.job
- c:\windows\System32\shutdown.exe [2004-08-04 04:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
IE: Senden an &Bluetooth-Gerät... - c:\programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
DPF: {DC6FEBC5-0A2D-458A-A01B-5DB15EEC4305} - hxxp://webc.dj-martini.de/controls/IlosoftImageUpload.dll
FF - ProfilePath - c:\dokumente und einstellungen\Martini\Anwendungsdaten\Mozilla\Firefox\Profiles\76rq43hg.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.de/search?q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPnsv_vp3_mp3.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: browser.link.open_newwindow - 3
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CIDFE0BD779-44EE-4A4B-AA2E-743C63F2E5E6", "AllAccess");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-19 22:50
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: TUKERNEL.EXE CLASSPNP.SYS disk.sys >>UNKNOWN [0x8A75C1F8]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf765bfc3
\Driver\ACPI -> ACPI.sys @ 0xf7495cb8
\Driver\atapi -> 0x8a75c1f8
IoDeviceObjectType -> DeleteProcedure -> TUKERNEL.EXE @ 0x8059e19a
 SecurityProcedure -> TUKERNEL.EXE @ 0x805b008a
\Device\Harddisk0\DR0 -> DeleteProcedure -> TUKERNEL.EXE @ 0x8059e19a
 SecurityProcedure -> TUKERNEL.EXE @ 0x805b008a
NDIS: Atheros AR5005G Wireless Network Adapter -> SendCompleteHandler -> NDIS.sys @ 0xbaeddbc3
 PacketIndicateHandler -> NDIS.sys @ 0xbaee9b21
 SendHandler -> NDIS.sys @ 0xbaeddd33
Warning: possible MBR rootkit infection !
user & kernel MBR OK 

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3848056783-802410026-517143755-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B0958272-77D5-FEEA-4DDB-C96D3D4CDB49}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oaliocnippfkjoghgdefefdhohdkie"=hex:6a,61,68,70,62,70,69,66,64,62,6d,61,6f,65,
   69,62,6b,69,65,68,00,1e
"nabdibcdgjllpenecoipgcbjgnmf"=hex:6a,61,68,70,6e,70,6f,70,64,69,62,69,6f,63,
   6f,6c,65,63,69,66,00,1e

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(912)
c:\windows\system32\Ati2evxx.dll
c:\programme\Softex\OmniPass\opxpgina.dll
c:\windows\system32\cscui.dll

- - - - - - - > 'lsass.exe'(972)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(2652)
c:\programme\SweetIM\Messenger\mgAdaptersProxy.dll
c:\windows\system32\msls31.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\netshell.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
c:\windows\system32\msdtc.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\lxdjcoms.exe
c:\programme\Softex\OmniPass\Omniserv.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-11-19 22:55 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-11-19 21:55
ComboFix2.txt  2009-11-18 13:43
ComboFix3.txt  2008-01-02 09:10
ComboFix4.txt  2008-01-01 21:23

Vor Suchlauf: 3.316.056.064 Bytes frei
Nach Suchlauf: 3.278.536.704 Bytes frei

- - End Of File - - 91679C690C3B2E3692A30ECCB0B17844
         
Grüße
martin

Alt 19.11.2009, 22:09   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Internet Explorer öffnet automatisch mit Werbung! Trojaner  Meldung.. - Standard

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..



Zitat:
Zitat von Martini Beitrag anzeigen
Aallo Arne,
habe ich nun gerade alles gemacht! PC ist jetzt neugestartet der SQL server fehler kommt immernoch...

Überprüfung ist abgeschlossen und was nun??
Mir wurde in der Konsole angezeigt das chkdsk nicht ausgeführt werden kann...
In der Konsole kannst Du die Systempartition auch nciht checken. Das geht nur, wenn Du die Abfrage mit Ja bestätigst und neu startest, Windows kann im laufenden Betrieb keinen exklusiven Schreibzugriff auf seine Systempartition reservieren!

Wegen SQL-Server: Das ist nicht rein zufällig ein Bürorechner?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.11.2009, 22:23   #15
Martini
 
Internet Explorer öffnet automatisch mit Werbung! Trojaner  Meldung.. - Standard

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..



Achso...naja wurde ja beim Neustart dann gemacht... muss dir ehrlich sagen habe von sowas nicht soviel Ahnung

Also eigentlich ist es kein Bürorechner es ist mein privat Laptop, habe aber auch zu Hause ein Netzwerk mit mehreren PC´s wenn du das meinst.

Ist der Virus jetzt weg, bzw. die Trojaner? Die Meldung mit mit SQL-Server kommt erst seit dem ich TuneUp deinstalliert habe...

So sieht die Fehlermeldung aus:


Geändert von Martini (19.11.2009 um 22:28 Uhr)

Antwort

Themen zu Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..
adobe, antivir, antivir guard, avira, bho, browser, desktop, explorer, explorer öffnet automatisch, firefox, hijack, hijackthis, internet, internet explorer, logfile, magix, mozilla, mssql, senden, server, software, sweetim, system, temp, toolbars, trojaner, werbung, windows, windows xp, öffnet, öffnet automatisch



Ähnliche Themen: Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..


  1. Windows 7: Internet Explorer startet automatisch Werbung/ Webseiten werden auf Werbung umgeleitet
    Log-Analyse und Auswertung - 27.07.2014 (7)
  2. Internet Explorer öffnet sich selber mit Werbung, ein Fenster "Meldung von Website" ebenfalls
    Plagegeister aller Art und deren Bekämpfung - 24.05.2011 (3)
  3. Internet Explorer öffnet automatisch Werbung
    Plagegeister aller Art und deren Bekämpfung - 13.12.2010 (27)
  4. IE Explorer öffnet sich automatisch mit Werbung, verdacht auf Swizzor
    Log-Analyse und Auswertung - 30.08.2010 (5)
  5. Internet Explorer öffnet sich automatisch und öffnet Werbeseiten
    Log-Analyse und Auswertung - 18.06.2010 (1)
  6. Internet Explorer/Firefox öffnet automatisch und ständig Werbung
    Log-Analyse und Auswertung - 11.06.2010 (6)
  7. Internet Explorer/Firefox öffnet automatisch Werbung
    Log-Analyse und Auswertung - 09.06.2010 (31)
  8. Internet Explorer startet automatisch mit Werbung
    Log-Analyse und Auswertung - 07.04.2010 (16)
  9. internet explorer öffnet automatisch werbung
    Log-Analyse und Auswertung - 25.01.2010 (3)
  10. Internet Explorer öffnet automatisch und öffnet Werbung
    Log-Analyse und Auswertung - 28.08.2009 (18)
  11. i-net explorer öffnet automatisch werbung
    Log-Analyse und Auswertung - 26.05.2009 (23)
  12. Internet Explorer öffnet sich automatisch mit Werbung
    Log-Analyse und Auswertung - 24.04.2009 (0)
  13. Internet Explorer öffnet Automatisch Werbung
    Plagegeister aller Art und deren Bekämpfung - 19.02.2009 (5)
  14. Internet Explorer Öffnet automatisch mit werbung.
    Log-Analyse und Auswertung - 10.11.2008 (1)
  15. Internet Explorer - öffnet automatisch Werbung!
    Log-Analyse und Auswertung - 10.10.2008 (2)
  16. Internet Expl. öffnet ständig Werbung(automatisch)
    Log-Analyse und Auswertung - 16.07.2008 (2)
  17. Explorer öffnet automatisch und stellt Werbung bereit
    Mülltonne - 22.07.2007 (0)

Zum Thema Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung.. - Hallo, ich hoffe mir kann jemand helfen. Mein Internet Explorer öffnet sich immer automatisch mit irgendwelcher Werbung seit paar tagen. Noch dazu, hatte ich vor paar Minuten einige Trojaner Meldungen, - Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung.....
Archiv
Du betrachtest: Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung.. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.