halihalo
ja und noch einer der der äußerst nervige "maleware defender" erwischt hat!
also die symptome meines systems sind ähnlich wie die der anderen mit diesem problem allerdings bekomm ich nicht nur die popups und scheinprogramme sondern er verhindert auch das ausführen von sachen wie hijack etc. soweit ich gelesen hab is das noch bei keinem vorgekommen oder ich habs einfach überlesen allerdings lässt sich das ja relativ einfach mit umbenennen der exe(n). umgehen.
ich hab windows vista auf dem neusten stand
achja was mir noch einfällt dieser "defender" verhindert das wiedereinstellen der windows firewall/defender/etc.

also hier erstmal hijack:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\System32\mobsync.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\Iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\HomeCinema\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [razer] C:\SVEN Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [Copperhead] C:\Program Files\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\SVEN Programme\Itunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [Steam] "c:\sven steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\SVEN Programme\Deamon tools\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WallPaper] C:\Users\Sven\DOWNLO~1\WALLPA~1.90\WALLPA~1.EXE /h
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\SVEN Programme\Samsung Pc Studio\NPSAgent.exe
O4 - HKCU\..\Run: [settdebugx.exe] C:\Users\Sven\AppData\Local\Temp\settdebugx.exe
O4 - HKCU\..\Run: [Malware Defense] "C:\Program Files\Malware Defense\mdefense.exe" -noscan
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: PowerStrip.lnk = C:\SVEN Programme\Powerstrip\PStrip.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\SVEN Programme\Pokerstars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\SVEN Programme\ICq\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\SVEN Programme\ICq\ICQ6.5\ICQ.exe
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O13 - Gopher Prefix: 
O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - http://play.battlefield-heroes.com/static/updater/BFHUpdater_4.0.14.0.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\SVEN Programme\Teamviewer Version4\TeamViewer_Service.exe

--
End of file - 9288 bytes
         

gmer scan:
bricht inmitten des scanns ab

außerdem hatte ich gestern abend avira durchlaufen lasser er hatte auch sachen gefunden bin allerdings eingeschlafen und als ich wachgeworden bin war der rechner neugestartet sammt nicht mehr funktionierendem antivir

danke für eure hilfe!
Bye Sven

edit:habe mal im abgesicherten modus neugestartet und manuell in den systemsteuerungen den schund deinstaliert die popups sind bis jetzt nicht wieder aufgetaucht allerdings is das ja nich so das gelbe vom ei denn ich habe im taskmng. entdeckt das dieses maleware zeugs permanent den internet explorer im hintergrund aufhält und auch gern abundzu mal ne tonwerbung ablaufen lässt...

Hallo und Herzlich Willkommen!

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

3.
versuche mit GMER so:
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Achtung!:
Wenn Gmer nicht ausgeführt werden kann (ein Rootkit kann es verhindern):
versuche gmer.exe umbenennen und dann ausführen
Wähle eine beliebige Dateiname, die Endung soll *.com sein!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

4.
Lade und installiere das Tool RootRepeal

- setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK"
- nach der Scan, klick auf "Save Report"
- speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread

5.
- Lade dir RSIT - http://filepony.de/download-rsit/:
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von RSIT installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
**Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Hi,

ich hab hier meine Log kannst du da was mit anfangen?

Code: Alles auswählenAufklappen

ATTFilter

http://www.file-upload.net/download-2120559/GMER-1.doc.html
         

Code: Alles auswählenAufklappen

ATTFilter

http://www.file-upload.net/download-2120617/root.txt.html
         

Code: Alles auswählenAufklappen

ATTFilter

http://www.file-upload.net/download-2120619/root1.txt.html
         

Code: Alles auswählenAufklappen

ATTFilter

http://www.file-upload.net/download-2120621/root2.txt.html
         

Code: Alles auswählenAufklappen

ATTFilter

http://www.file-upload.net/download-2120642/log.txt.html
         

Code: Alles auswählenAufklappen

ATTFilter

http://www.file-upload.net/download-2120649/info.txt.html
         

Danke

so hier mal meine programme

Code: Alles auswählenAufklappen

ATTFilter

Activation Assistant for the 2007 Microsoft Office suites	Microsoft Corporation	11.03.2009	14,0MB	
Adobe AIR	Adobe Systems Inc.	16.10.2009	30,7MB	1.5.2.8900
Adobe Flash Player 10 ActiveX	Adobe Systems Incorporated	11.04.2009		10.0.22.87
Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	20.04.2009		10.0.22.87
Adobe Reader 8.1.4 - Deutsch	Adobe Systems Incorporated	04.05.2009	99,7MB	8.1.4
Adobe Shockwave Player 11	Adobe Systems, Inc.	11.03.2009	14,4MB	11
Apple Application Support	Apple Inc.	10.12.2009	32,4MB	1.1.0
Apple Mobile Device Support	Apple Inc.	10.12.2009	40,3MB	2.6.0.32
Apple Software Update	Apple Inc.	12.03.2009	2,16MB	2.1.1.116
ATI Catalyst Install Manager	ATI Technologies, Inc.	27.03.2008	13,9MB	3.0.664.0
Audacity 1.2.6		13.09.2009	8,43MB	
Audiograbber 1.83 SE	Audiograbber Deutschland	27.03.2008		1.83 SE 
Audiograbber Lame-MP3-Plugin	AG	12.08.2009	5,84MB	1.0
Avira AntiVir Personal - Free Antivirus	Avira GmbH	11.03.2009	52,9MB	
AVS Update Manager 1.0	Online Media Technologies Ltd.	27.04.2009	5,95MB	
Battlefield Heroes	EA Digital illusions	19.03.2009	315,8MB	
Bonjour	Apple Inc.	23.04.2009	0,49MB	1.0.106
Borderlands		06.11.2009	7.039,4MB	1.0
CCleaner	Piriform	31.12.2009	2,88MB	2.27
CDBurnerXP	CDBurnerXP	30.12.2009	14,7MB	4.2.7.1801
Compatibility Pack für 2007 Office System	Microsoft Corporation	12.11.2009	68,2MB	12.0.6425.1000
Counter-Strike	Valve	15.03.2009		
Counter-Strike: Source	Valve	15.03.2009		
Cradle of Rome Deluxe	Zylom Games	16.12.2009	57,0MB	1.0.0
CyberLink PowerDirector	CyberLink Corp.	09.04.2008	216,1MB	6.5.2314
DAEMON Tools Toolbar	DT Soft Ltd	26.04.2009		1.0.8.0552
Diablo II		19.07.2009	1.800,6MB	
DivX Web Player	DivX,Inc.	19.10.2009	2,83MB	1.5.0
DotAzilla	Dota-League.com	08.06.2009	3,03MB	
ESL Wire 1.0.1	Turtle Entertainment GmbH	21.09.2009	42,1MB	
FileZilla Client 3.2.7.1		06.11.2009	14,2MB	3.2.7.1
Firebird SQL Server - MAGIX Edition	MAGIX AG	30.03.2008	6,57MB	2.0.1.8
Free Audio CD Burner version 1.2	DVDVideoSoft Limited.	30.11.2009	2,60MB	
Free YouTube Download 2.3	DVDVideoSoft Limited.	01.12.2009	2,80MB	
Free YouTube to MP3 Converter version 3.2	DVDVideoSoft Limited.	30.11.2009	2,67MB	
Garena	Garena Interactive Pte Ltd.	16.03.2009	17,3MB	3.2
Gears of War	Microsoft Game Studios	07.07.2009	10.174,0MB	1.00.0000
Google Earth	Google	22.12.2009	69,6MB	5.1.7894.7252
Half-Life 2: Deathmatch	Valve	15.03.2009		
Half-Life 2: Lost Coast	Valve	15.03.2009		
Heroes of Newerth	S2 Games	02.12.2009	305,7MB	0.9.0
HijackThis 2.0.2	TrendMicro	30.12.2009	0,39MB	2.0.2
ICQ6.5	ICQ	11.03.2009	47,2MB	6.5
iTunes	Apple Inc.	10.12.2009	133,1MB	9.0.2.25
Java(TM) 6 Update 6	Sun Microsystems, Inc.	23.04.2008	171,1MB	1.6.0.60
K-Lite Codec Pack 4.7.5 (Full)		20.04.2009	25,9MB	4.7.5
LAME v3.98.2 for Audacity		01.12.2009	1,18MB	
League of Legends		31.08.2009	1.090,6MB	
LogMeIn Hamachi	LogMeIn, Inc.	08.11.2009	2,89MB	2.0.1.66
Luxor - The Quest for the Afterlife Deluxe	Zylom Games	24.05.2009	204,9MB	1.0.0
Luxor 3 Demo	MumboJumbo	02.04.2009	54,2MB	
MakeDisc	CyberLink Corp.	11.03.2009	102,1MB	3.0.2601
Malwarebytes' Anti-Malware	Malwarebytes Corporation	30.12.2009	4,11MB	
MCE Software Encoder 1.1	CyberLink Corporation	11.03.2009	1,33MB	1.1.0.1918
Messenger Plus! Live	Yuna Software	08.12.2009	12,7MB	4.83.0.374
Microsoft .NET Framework 1.1		30.03.2008		
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU	Microsoft Corporation	07.07.2009	37,0MB	
Microsoft .NET Framework 3.5 SP1	Microsoft Corporation	11.03.2009	27,8MB	
Microsoft Games for Windows - LIVE	Microsoft Corporation	15.12.2009	8,31MB	3.2.217.0
Microsoft Games for Windows - LIVE Redistributable	Microsoft Corporation	19.11.2009	32,3MB	3.1.99.0
Microsoft Office Home and Student 2007	Microsoft Corporation	03.09.2009	299,8MB	12.0.6425.1000
Microsoft Office PowerPoint Viewer 2007 (German)	Microsoft Corporation	13.10.2009	76,5MB	12.0.6425.1000
Microsoft Silverlight	Microsoft Corporation	08.09.2009	3,14MB	3.0.40818.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053	Microsoft Corporation	28.07.2009	0,25MB	8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	20.04.2008	0,41MB	8.0.56336
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148	Microsoft Corporation	28.07.2009	0,19MB	9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022	Microsoft Corporation	23.04.2008	2,06MB	9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	21.09.2009	0,58MB	9.0.30729
Microsoft Works	Microsoft Corporation	10.06.2009	378,0MB	9.7.0621
Mozilla Firefox (3.0.16)	Mozilla	15.12.2009	29,1MB	3.0.16 (de)
MSXML 4.0 SP2 (KB936181)	Microsoft Corporation	27.03.2008	1,27MB	4.20.9848.0
MSXML 4.0 SP2 (KB941833)	Microsoft Corporation	27.03.2008	1,27MB	4.20.9849.0
MSXML 4.0 SP2 (KB954430)	Microsoft Corporation	11.03.2009	1,28MB	4.20.9870.0
MSXML 4.0 SP2 (KB973688)	Microsoft Corporation	25.11.2009	1,34MB	4.20.9876.0
Mumble and Murmur	Mumble	20.12.2009	44,6MB	1.2.0
Nero 8 Essentials	Nero AG	20.04.2008	1.835,1MB	8.3.124
NVIDIA Drivers	NVIDIA Corporation	24.08.2009		1.9
NVIDIA PhysX	NVIDIA Corporation	24.08.2009	120,1MB	9.09.0814
NVIDIA Stereoscopic 3D Driver	NVIDIA Corporation	24.08.2009	11,9MB	7.16.11.9062
PC Connectivity Solution	Nokia	30.11.2009	9,25MB	8.15.0.0
Peggle Deluxe	Zylom Games	25.04.2009	68,6MB	1.0.0
Peggle(TM) Nights Deluxe	Zylom Games	25.04.2009	68,6MB	1.0.0
PhotoNow!	CyberLink Corp.	11.03.2009	1,60MB	1.0.4310
Play Movie	CyberLink Corp.	11.03.2009	95,9MB	BD+HD 1.5.3815
PokerStars	PokerStars	14.04.2009	56,3MB	
PowerDVD	CyberLink Corporation	11.03.2009	118,9MB	7.3.3730c.0
PowerProducer	CyberLink Corp.	11.03.2009	190,2MB	4.2.2612
PowerStrip 3 (remove only)		23.09.2009	2,50MB	
PunkBuster Services	Even Balance, Inc.	15.12.2009		0.988
Quake Live Mozilla Plugin	id Software	15.12.2009	2,82MB	1.0.277
QuickTime	Apple Inc.	10.12.2009	77,3MB	7.65.17.80
Razer Copperhead	 Razer USA Ltd.	23.03.2009	0,90MB	5.01
RealPlayer	RealNetworks	11.03.2009	46,3MB	
Realtek 8169, 8168, 8101E and 8102E Ethernet Network Card Driver for Windows Vista	Realtek	16.09.2009	1,37MB	1.00.0000
SAMSUNG Mobile Composite Device Software		30.11.2009		
Samsung Mobile Modem Device Software		30.11.2009		
SAMSUNG Mobile Modem Driver Set		30.11.2009		
Samsung Mobile phone USB driver Software		30.11.2009		
SAMSUNG Mobile USB Modem 1.0 Software		30.11.2009		
SAMSUNG Mobile USB Modem Software		30.11.2009		
Samsung New PC Studio	Samsung Electronics Co., Ltd.	30.11.2009	173,6MB	1.00.0000
Samsung New PC Studio USB Driver Installer	Samsung Electronics Co., Ltd.	30.11.2009	8,55MB	1.00.0000
SAMSUNG USB Mobile Device Software		30.11.2009		
SamsungConnectivityCableDriver	Samsung	30.11.2009	0,62MB	6.83.6.2.1
Skype web features	Skype Technologies S.A.	15.09.2009	4,34MB	1.0.3971
Skype™ 4.1	Skype Technologies S.A.	15.09.2009	31,1MB	4.1.166
Spelling Dictionaries Support For Adobe Reader 8	Adobe Systems	20.04.2008	67,5MB	8.0.0
Steam	Valve	15.03.2009	1,47MB	1.0.0.0
TeamSpeak 2 RC2	Dominating Bytes Design	12.03.2009		2.0.32.60
TeamViewer 4	TeamViewer GmbH	11.03.2009	4,99MB	
TmNationsForever	Nadeo	13.12.2009	717,7MB	
TVsweeper 3	Sonavis	20.04.2008	4,11MB	3.0.3
Ulead PhotoImpact 12	Ulead System	11.03.2009	389,2MB	12.0
Uninstall 1.0.0.1		01.12.2009	19,9MB	
UxStyle Core Beta	The Within Network, LLC	10.07.2009	72,00KB	0.1.0.0
VLC media player 0.9.8a	VideoLAN Team	24.03.2009	60,4MB	0.9.8a
Warcraft III		11.03.2009	1.207,8MB	
Warcraft III: All Products		11.03.2009	1.207,8MB	
Windows Live Anmelde-Assistent	Microsoft Corporation	22.04.2009	1,93MB	5.000.818.5
Windows Live Essentials	Microsoft Corporation	15.11.2009	44,0MB	14.0.8089.0726
Windows Live-Uploadtool	Microsoft Corporation	22.04.2009	0,22MB	14.0.8014.1029
Windows Media Player Firefox Plugin	Microsoft Corp	09.12.2009	0,29MB	1.0.0.8
Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor  (05/27/2006 1.3.2.0)	Advanced Micro Devices	07.07.2009	12,8MB	05/27/2006 1.3.2.0
Windows-Treiberpaket - Nokia pccsmcfd  (10/12/2007 6.85.4.0)	Nokia	30.11.2009	8,99MB	10/12/2007 6.85.4.0
WinPcap 4.0.2	CACE Technologies	11.03.2009	0,19MB	4.0.0.1040
WinRAR		17.03.2009	3,72MB	
Zuma Deluxe	Zylom Games	25.04.2009	68,6MB	1.0.0
µTorrent		12.03.2009	212,9MB	1.8.2
         

ich edit nach und nach die andern sachen hier im post

frohes neues

hi

Wie ich vermutet habe, im Hintergrund ein Rootkit trickst das System aus
Da eine hundertprozentige Erkennung von Rootkits unmöglich ist, ist die beste Methode wäre zur Entfernung: eine komplette Neuinstallation...

Falls Du dein System doch reinigen möchtest:

1.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
H8SRTd.sys    
Files to delete:
C:\WINDOWS\system32\drivers\H8SRTuoynrfmvot.sys
C:\WINDOWS\system32\H8SRTncnawealbd.dll
C:\WINDOWS\system32\H8SRTrlnqamoohr.dat
C:\WINDOWS\system32\H8SRTdrmyqeqodt.dll
         

→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

3.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

4.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

5.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

hi ich danke dir schonmal für deine kompetente hilfe

hier ist der log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath:  \systemroot\system32\drivers\H8SRTptwfqwdixu.sys 
Start Type:  4 (Disabled)

Rootkit scan completed.

Driver "H8SRTd.sys" deleted successfully.

Error:  file "C:\WINDOWS\system32\drivers\H8SRTuoynrfmvot.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\H8SRTuoynrfmvot.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\H8SRTncnawealbd.dll" not found!
Deletion of file "C:\WINDOWS\system32\H8SRTncnawealbd.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\H8SRTrlnqamoohr.dat" not found!
Deletion of file "C:\WINDOWS\system32\H8SRTrlnqamoohr.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\H8SRTdrmyqeqodt.dll" not found!
Deletion of file "C:\WINDOWS\system32\H8SRTdrmyqeqodt.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         

soe hier ist der malewarebytes log.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3289
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865

03.01.2010 23:03:48
mbam-log-2010-01-03 (23-03-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 296491
Laufzeit: 1 hour(s), 5 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\drivers\H8SRTptwfqwdixu.sys (Malware.Packer) -> Quarantined and deleted successfully.
C:\Windows\System32\H8SRTiwemivecmf.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\H8SRTtmqnspsuey.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\H8SRTpsicdhqhdn.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Users\Sven\AppData\Local\Temp\H8SRT5db8.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
         

rest folgt

Bye tuNed