svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen

cosinus · 16.08.2010, 17:02

Immer mit der Ruhe, so schnell bin ich nicht!

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Regnull::
[HKEY_USERS\S-1-5-21-515967899-179605362-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{99473EB2-B3DA-06FC-4BBE-CD4A6D900243}*]

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"51084:TCP"=-
"59510:UDP"=-

File::
c:\windows\S96A258C3.tmp

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Costa2000 · 16.08.2010, 17:41

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-08-15.04 - Benutzername 16.08.2010  18:28:17.2.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Benutzername\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Benutzername\Desktop\CFScript.txt

FILE ::
"c:\windows\S96A258C3.tmp"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\S96A258C3.tmp . . . . Nicht in der Lage zu löschen

Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert 
Kopie von - c:\qoobox\Quarantine\C\WINDOWS\system32\winlogon.bak.vir wurde wiederhergestellt 

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-16 bis 2010-08-16  ))))))))))))))))))))))))))))))
.

2010-08-16 10:22 . 2010-08-16 10:22	--------	d-----w-	C:\_OTL
2010-08-15 21:53 . 2010-08-15 21:53	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Malwarebytes
2010-08-15 21:53 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-15 21:53 . 2010-08-15 21:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-15 21:53 . 2010-08-15 21:53	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-15 21:53 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-14 18:34 . 2010-08-14 18:34	95024	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2010-08-14 18:25 . 2010-08-14 18:25	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-08-14 18:24 . 2010-08-16 14:44	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-08-14 14:00 . 2010-08-14 14:00	--------	d-----w-	c:\programme\Rainlendar2
2010-08-11 14:41 . 2010-07-14 08:00	108032	----a-w-	c:\windows\system32\ff_vfw.dll
2010-08-11 14:41 . 2010-06-08 16:10	790528	----a-w-	c:\windows\system32\xvidcore.dll
2010-08-11 14:41 . 2010-06-08 16:10	134144	----a-w-	c:\windows\system32\xvidvfw.dll
2010-08-11 14:41 . 2004-01-25 16:18	217088	----a-w-	c:\windows\system32\yv12vfw.dll
2010-08-10 09:43 . 2010-08-10 09:43	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2010-08-05 14:36 . 2010-08-14 02:59	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Baahme
2010-08-04 17:57 . 2010-08-04 17:57	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-07-31 23:06 . 2010-07-31 23:06	--------	d-----w-	c:\programme\Uconomix
2010-07-31 19:20 . 2010-07-31 19:21	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Mozilla-Cache
2010-07-23 11:19 . 2010-07-23 11:19	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\TeamViewer
2010-07-21 20:52 . 2010-07-22 11:57	--------	d-----w-	c:\programme\Hardcopy
2010-07-21 20:52 . 2010-03-20 07:45	501760	----a-w-	c:\windows\SwSetupu.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-16 16:33 . 2008-12-19 23:29	0	----a-w-	c:\windows\S96A258C3.tmp
2010-08-16 15:03 . 2009-01-04 20:05	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\XnView
2010-08-16 14:49 . 2008-12-20 00:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-16 13:59 . 2009-01-01 19:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-08-16 10:43 . 2008-12-21 15:28	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Media Player Classic
2010-08-16 10:43 . 2009-11-03 22:45	--------	d-----w-	c:\programme\CCleaner
2010-08-15 22:58 . 2010-07-07 13:56	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Eshye
2010-08-15 19:53 . 2008-12-19 19:08	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\AdobeUM
2010-08-14 19:52 . 2010-05-21 15:23	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Siidg
2010-08-14 03:28 . 2004-08-04 12:00	76538	----a-w-	c:\windows\system32\perfc007.dat
2010-08-14 03:28 . 2004-08-04 12:00	420824	----a-w-	c:\windows\system32\perfh007.dat
2010-08-14 03:19 . 2009-05-12 16:50	--------	d-----w-	c:\programme\IrfanView
2010-08-14 03:04 . 2008-12-19 19:09	25208	----a-w-	c:\dokumente und einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-14 02:59 . 2010-06-02 21:16	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Incaa
2010-08-14 02:54 . 2009-06-14 14:07	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Bemuev
2010-08-14 02:54 . 2009-11-06 06:31	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Adykem
2010-08-14 02:52 . 2010-07-10 02:52	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Xexuys
2010-08-14 02:43 . 2009-02-25 11:31	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Encoma
2010-08-14 02:43 . 2010-06-14 10:26	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Heirce
2010-08-14 02:43 . 2009-03-07 10:23	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Avedez
2010-08-14 02:43 . 2009-11-17 01:18	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Sovozo
2010-08-13 16:19 . 2010-03-24 02:16	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\aborange
2010-08-12 13:28 . 2008-12-19 19:06	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2010-08-11 14:42 . 2009-11-05 23:52	--------	d-----w-	c:\programme\K-Lite Codec Pack
2010-08-10 09:55 . 2009-05-17 08:21	--------	d-----w-	c:\programme\QuickTime
2010-08-05 13:52 . 2010-06-14 09:54	--------	d-----w-	c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\gtk-2.0
2010-07-31 23:29 . 2010-07-15 13:01	--------	d-----w-	c:\programme\PMlabs
2010-07-16 22:57 . 2010-04-18 00:53	--------	d-----w-	c:\programme\MSECache
2010-07-15 13:00 . 2010-07-15 12:51	--------	d-----w-	c:\programme\picture-shark
2010-06-14 14:30 . 2008-12-19 15:57	743936	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-05-28 14:25 . 2010-05-28 14:25	50	----a-w-	c:\windows\system32\m8440def.dat
.

(((((((((((((((((((((((((((((   SnapShot@2010-08-16_14.11.29   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-08-16 16:33 . 2010-08-16 16:33	16384              c:\windows\Temp\Perflib_Perfdata_208.dat
+ 2010-08-16 15:25 . 2010-08-16 15:25	16384              c:\windows\Temp\Perflib_Perfdata_180.dat
+ 2004-08-04 12:00 . 2004-08-04 12:00	507392              c:\windows\system32\winlogon.exe
- 2004-08-04 12:00 . 2008-12-19 17:35	507392              c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2010-07-11 2199040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"PaperPort PTD"="c:\programme\Scansoft\PaperPort\pptd40nt.exe" [2002-08-08 45108]
"IndexSearch"="c:\programme\Scansoft\PaperPort\IndexSearch.exe" [2002-08-08 36864]
"SetDefPrt"="c:\programme\Brother\Brmfl03a\BrStDvPt.exe" [2003-10-30 45056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\Benutzername\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2008-12-19 679936]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193]
SmartUI.lnk - c:\programme\Scansoft\PaperPort\SmartUI\SmartUI.exe [2003-2-6 1572864]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 11 (0xb)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
2007-02-16 17:49	149024	----a-w-	c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]
2007-02-17 12:35	1966928	----a-w-	c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-06-12 01:38	34672	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
2008-04-11 05:42	2075584	----a-w-	c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-04 12:00	15360	----a-w-	c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
2004-12-15 12:59	176128	----a-w-	c:\windows\system32\spool\drivers\w32x86\3\hpztsb12.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2008-09-11 10:32	339240	----a-w-	c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 10:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-11-20 19:32	12669544	----a-w-	c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2009-11-20 19:32	110184	----a-w-	c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2006-06-20 21:42	577536	------r-	c:\windows\soundman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-31 13:23	149280	----a-w-	c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
2007-02-17 12:31	1194728	----a-w-	c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\Messenger\\Msmsgs.exe"=
"i:\\eMule\\emule.exe"=
"c:\\Programme\\LeechFTP\\Leechftp.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"c:\\Dokumente und Einstellungen\\Benutzername\\Eigene Dateien\\Warcraft III\\Warcraft III.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [29.04.2009 00:06 5248]
R1 SBRE;SBRE;c:\windows\system32\drivers\SBREDrv.sys [14.08.2010 20:34 95024]
R1 SSHDRV51;SSHDRV51;c:\windows\system32\drivers\SSHDRV51.sys [30.11.2009 15:17 21504]
R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [24.11.2009 15:27 53760]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.11.2009 00:56 135336]
S2 gupdate1c98720debe81a0;Google Update Service (gupdate1c98720debe81a0);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2009 01:32 133104]
S3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [28.05.2010 15:57 2944]
S3 BrSerWDM;Brother WDM-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [14.03.2003 02:04 61952]
S3 BrUsbMdm;Brother MFC-nur-Fax-Modem (USB);c:\windows\system32\drivers\BrUsbMdm.sys [28.05.2010 15:57 11008]
S3 BrUsbScn;Brother MFC-Scannertreiber (USB);c:\windows\system32\drivers\BrUsbScn.sys [28.05.2010 15:57 10368]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 UDTT7049A;DTV-DVB 7049A DVB-T USB Stick;c:\windows\system32\drivers\UDTT7049A.sys [08.11.2009 01:10 60672]
S3 UDTT7049HID;UDTT7049HID - HID Driver;c:\windows\system32\drivers\UDTT7049HID.sys [08.11.2009 01:10 16896]
S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [29.04.2009 00:06 160640]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-08-13 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 17:58]

2010-08-16 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-01-01 21:38]

2010-08-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 23:32]

2010-08-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 23:32]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\m51lj4ia.default\
FF - prefs.js: browser.search.selectedEngine - eBay
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\m51lj4ia.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-16 18:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{99473EB2-B3DA-06FC-4BBE-CD4A6D900243}\InProcServer32*]
"kagchbgmdlecloambmbnng"=hex:62,61,67,66,00,00
"jagcicenacilmeokbaec"=hex:63,61,61,66,6a,6e,00,6e
"iagcidcngiapaajiae"=hex:69,61,61,66,6d,6e,65,6e,6a,70,64,63,64,69,68,62,65,66,
   00,01
"kagcldppbpdimgpfhflgmm"=hex:63,61,63,66,68,6a,00,01
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(852)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(628)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\FRITZ!DSL\IGDCTRL.EXE
c:\windows\system32\Brmfrmps.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\RUNDLL32.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-16  18:39:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-16 16:39
ComboFix2.txt  2010-08-16 14:16

Vor Suchlauf: 12 Verzeichnis(se), 149.778.329.600 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 149.762.183.168 Bytes frei

- - End Of File - - 1084FCF6060AD3F103AD951015EE8183

--- --- ---

Costa2000 · 16.08.2010, 17:43

Hallo Arne,

ich habe es so durchgeführt wie Du gesagt hast. Allerdings wurde ich nach dem Neustart aufgefordert mein Betriebssystem bei Microsoft zu aktivieren und/oder zu registrieren. Ich habe es nur aktiviert. Ist das normal?

Danke.

Gruß
Costa

svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen

Plagegeister aller Art und deren Bekämpfung: svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen