da ich die genaue meldung nicht kenne kann ich dir darauf nicht antworten. ich möchte das du den ordner qoobox, welcher sich auf c: befindest, mit winzip oder rar packst und dann hoch lädst.
ich muss mir die dateien mal ansehen.
http://www.trojaner-board.de/54791-a...ner-board.html
um thunderbird kümmern wir uns dann danach.

Zitat:

Zitat von markusg

da ich die genaue meldung nicht kenne kann ich dir darauf nicht antworten. ich möchte das du den ordner qoobox, welcher sich auf c: befindest, mit winzip oder rar packst und dann hoch lädst.
ich muss mir die dateien mal ansehen.
http://www.trojaner-board.de/54791-a...ner-board.html
um thunderbird kümmern wir uns dann danach.

Alles klar, mache ich, wie gesagt, wenn ich später zuhause bin.

HRR

ja keine eile.

So, hier kommt erst mal die Combofix logfile von gestern Nacht:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-10-19.04 - Besitzer 29.10.2010   0:21.2.1 - x86 MINIMAL
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.511.402 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\234.com.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Besitzer\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning enabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.

(((((((((((((((((((((((   Dateien erstellt von 2010-09-28 bis 2010-10-28  ))))))))))))))))))))))))))))))
.

2010-10-24 18:17 . 2006-02-28 12:00	41600	-c--a-w-	c:\windows\system32\dllcache\weitekp9.dll
2010-10-24 18:17 . 2006-02-28 12:00	31360	-c--a-w-	c:\windows\system32\dllcache\weitekp9.sys
2010-10-24 18:15 . 2006-02-28 12:00	16896	-c--a-w-	c:\windows\system32\dllcache\quser.exe
2010-10-24 18:14 . 2006-02-28 12:00	59904	-c--a-w-	c:\windows\system32\dllcache\imkrinst.exe
2010-10-24 18:13 . 2006-02-28 12:00	334848	-c--a-w-	c:\windows\system32\dllcache\aqueue.dll
2010-10-24 18:10 . 2006-02-28 12:00	16384	-c--a-w-	c:\windows\system32\dllcache\isignup.exe
2010-10-24 18:10 . 2006-02-28 12:00	16384	----a-w-	c:\programme\Internet Explorer\Connection Wizard\isignup.exe
2010-10-24 17:58 . 2006-02-28 12:00	24661	-c--a-w-	c:\windows\system32\dllcache\spxcoins.dll
2010-10-24 17:58 . 2006-02-28 12:00	24661	----a-w-	c:\windows\system32\spxcoins.dll
2010-10-24 17:58 . 2006-02-28 12:00	13824	-c--a-w-	c:\windows\system32\dllcache\irclass.dll
2010-10-24 17:58 . 2006-02-28 12:00	13824	----a-w-	c:\windows\system32\irclass.dll
2010-10-24 17:58 . 2006-02-28 12:00	14573	----a-r-	c:\windows\SETD6.tmp
2010-10-24 17:57 . 2006-02-28 12:00	14043	----a-r-	c:\windows\SETA3.tmp
2010-10-24 17:57 . 2006-02-28 12:00	1086058	----a-r-	c:\windows\SET97.tmp
2010-10-24 17:57 . 2006-02-28 12:00	1014663	----a-r-	c:\windows\SET94.tmp
2010-10-20 20:05 . 2010-10-20 20:16	--------	d-----w-	C:\234.com
2010-10-20 19:34 . 2010-10-20 19:37	--------	d-----w-	C:\32788R22FWJFW.2.tmp
2010-10-20 19:25 . 2010-10-20 19:34	--------	d-----w-	C:\32788R22FWJFW.1.tmp
2010-10-17 20:50 . 2010-10-17 20:50	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Thunderbird
2010-10-17 20:50 . 2010-10-17 20:50	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2010-10-17 20:49 . 2010-10-17 20:49	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-10-17 19:27 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-17 19:27 . 2010-10-17 19:27	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-10-17 19:27 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-17 19:11 . 2010-10-17 18:55	6153352	----a-w-	c:\temp\mbam-setup-1.46.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2002-03-26 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2002-03-26 106496]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"LXSUPMON"="c:\windows\system32\LXSUPMON.EXE" [2002-01-28 885760]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-06-16 180269]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-09-01 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-04 44544]

c:\dokumente und einstellungen\Besitzer\Startmen�\Programme\Autostart\
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2007-9-7 1070384]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ulead Kalendar Checker 4.0 SE.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Ulead Kalendar Checker 4.0 SE.lnk
backup=c:\windows\pss\Ulead Kalendar Checker 4.0 SE.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^OpenOffice.org 2.4.lnk]
path=c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\OpenOffice.org 2.4.lnk
backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 21:16	39792	----a-w-	c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2006-02-10 18:40	2048000	----a-w-	c:\programme\Ahead\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 08:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 14:07	2260480	--sha-r-	c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"gusvc"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\InterVideo\\DVD8\\WinDVD.exe"=
"c:\\Programme\\UltraVNC\\winvnc.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.07.2009 11:00 108289]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [04.09.2007 11:14 87344]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [24.02.2008 16:56 6016]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [24.02.2008 16:34 4352]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [07.11.2006 02:00 14976]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [24.02.2008 16:34 265088]
.
Inhalt des "geplante Tasks" Ordners

2010-10-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2006-08-29 12:21]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
LSP: c:\programme\FRITZ!DSL\\sarah.dll
TCP: {27F53186-4724-4223-B776-F5ED011ECDE8} = 192.168.2.1
TCP: {A733E954-2AD1-4A20-965D-06AC0CFB206D} = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\czilyrw8.default\
FF - plugin: c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\plugins\npPxPlay.dll
FF - plugin: c:\programme\Picasa3\npPicasa3.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
.
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(724)
c:\programme\FRITZ!DSL\sarah.dll
c:\programme\FRITZ!DSL\block.dll

- - - - - - - > 'explorer.exe'(2564)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
c:\windows\system32\wscntfy.exe
c:\programme\FRITZ!DSL\StCenter.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-29  00:30:48 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-28 22:30
ComboFix2.txt  2010-10-20 20:16

Vor Suchlauf: 10 Verzeichnis(se), 34.693.464.064 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 34.585.985.024 Bytes frei

- - End Of File - - 14A5D52CDFB84E716F25005BFC415567
         

--- --- ---

HRR

Ähh, die Qoobox file habe ich hochgeladen, nur seh ich sie nicht im thread.

HRR

GMER Rootkitscanner - Paules-PC-Forum.de
poste den GMER report.
ist das einzige problem welches wir lösen müssen, der thunderbird absturtz? sonst läuft jetzt alles?

Zitat:

Zitat von markusg

GMER Rootkitscanner - Paules-PC-Forum.de
poste den GMER report.
ist das einzige problem welches wir lösen müssen, der thunderbird absturtz? sonst läuft jetzt alles?

gmer werde ich runterladen und damit scannen. Im Moment ist der Thunderbird Absturz wohl noch das primäre Problem. Ob sonst noch was nicht funzt, muss man im laufenden Betrieb klären.

Ist die Zipfile mit Qoobox angekommen. Muss ich wissen, sonst versuch ich es nochmal. Oder ist es normal, das die Datei im Thread nicht angezeigt wird??

HRR

die datei ist angekommen. und es ist normal, soll nicht jeder drauf zugriff haben.
sie wurde aber wohl in der zwischenzeit schon von deinem av gelöscht.

Hier die GMER logfile:

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15477 - hxxp://www.gmer.net
Rootkit scan 2010-10-29 21:25:46
Windows 5.1.2600 Service Pack 2
Running: 1xv4his6.exe; Driver: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\uwtdipow.sys


---- System - GMER 1.0.15 ----

SSDT            F8B79EEE                  ZwCreateKey
SSDT            F8B79EE4                  ZwCreateThread
SSDT            F8B79EF3                  ZwDeleteKey
SSDT            F8B79EFD                  ZwDeleteValueKey
SSDT            F8B79F02                  ZwLoadKey
SSDT            F8B79ED0                  ZwOpenProcess
SSDT            F8B79ED5                  ZwOpenThread
SSDT            F8B79F0C                  ZwReplaceKey
SSDT            F8B79F07                  ZwRestoreKey
SSDT            F8B79EF8                  ZwSetValueKey
SSDT            F8B79EDF                  ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         

--- --- ---

HRR

musst du im thunderbird noch mails sichern? sonst könnten wir thunderbird mal neu instalieren.

Zitat:

Zitat von markusg

musst du im thunderbird noch mails sichern? sonst könnten wir thunderbird mal neu instalieren.

Mein Onkel hat den Rechner aufgesetzt. Aber so wie ich das sehe, sind die Daten auf der D:Partition abgelegt. Da ich selbst aber Outlook Express benutze, weiss ich nicht so genau, wie ich das überprüfen soll.

HRR

na wer nutzt dannn denn thunderbird, den jenigen solltest du dann mal fragen ob da daten zu sichern währen.

Zitat:

Zitat von markusg

na wer nutzt dannn denn thunderbird, den jenigen solltest du dann mal fragen ob da daten zu sichern währen.

So kann weitergehen. Also mein Vater nutzt den Rechner, hat aber keine Peilung. Der Rechner wurde von meinem Onkel aufgesetzt.

Im normalen Profil-Ordner von Thunderbird auf der C: Partition steht nichts drin bzw. die Files sind da, aber aufgrund der Dateigröße ist klar, dass da keine e-mails liegen. Auf der D: Partition gibt es einen Ordner mit Thunderbird Maildaten. Ich gehe mal davon aus, dass der Pfad im Thunderbird darauf verweist. Kann es allerdings nicht nachprüfen, da ja Thunderbird beim Start sofort abstürzt.

HRR

wie groß ist der ordner denn, dein vater muss doch wissen ob er wichtige mails hat die er sichern will :-)

Zitat:

Zitat von markusg

wie groß ist der ordner denn, dein vater muss doch wissen ob er wichtige mails hatt die er sichern will :-)

2,4 GB. Mein Vater weiss PC-mäßig garnix, ausser vielleicht, wie man ihn so vermurkst, dass Sohn ihn wieder zum laufen bringen muss ;-). Und natürlich will er die mails wiederhaben.

Im übrigen hab ich mal in dieser profiles.ini auf C: nachgeschaut. Da gibt es keinen Verweis (mehr) auf den neuen Pfad. ??

HRR