Trojaner-Board - toyhide.bmp / IE verschwindet aus Taskleiste

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - toyhide.bmp / IE verschwindet aus Taskleiste (https://www.trojaner-board.de/52287-toyhide-bmp-ie-verschwindet-taskleiste.html)

toyhide.bmp / IE verschwindet aus Taskleiste

Hallo,
habe so manches Problem mit meinem Laptop:
1. Das Herunterfahren des Rechners geht, wenn überhaupt, sehr sehr langsam (20 Min)
2. Es wurde ein Windows-Wallpaper FunPack installiert, woraufhin nun auch als Hintergrund eine Datei/Bild mit dem Namen toyhide.bmp zu finden ist.
3. Das Icon für den Internet-Explorer verschwindet regelmäßig aus der Taskleiste und ist auch nicht mehr auf dem Desktop zu finden (Zugriff dann nur über Suchfunktion möglich)
4. Virenprogramme (hier: Bitdefender) finden keine Ursache- meine amateurhaften Versuche mit RegCleaner, HiJackThis, CCleaner, Spydoctor usw. schlugen fehl.

Habe nun das Logfile mal reingestellt- wäre toll, wenn ihr mal drüberschauen könntet.

Beste Grüße Chris

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:36:20, on 11.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programme\BitDefender\BitDefender 2008\bdagent.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
c:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Acronis Popup Blocker] RunDll32.exe C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll,Run
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF119474-A88D-41AE-9AB7-9A71FAE285E7}: NameServer = 192.168.2.10
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 12554 bytes

BIN FÜR JEGLICHE HILFE DANKBAR!

Hallo chris011278 und

http://www.mysmilie.de/generator/ablage/156/257.png

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 1)

Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Sorry die Ausdrucksweise, aber: Scheißndreck!

Den 1. Schritt deiner Anleitung konnte ich durchführen, habe das Programm laufen lassen, woraufhin keine verdächtigen Objekte gefunden wurden.

Beim 2.Programm wurde es dann aber heikel: Das Problem war/ist, dass ich den Rechner nicht im abgesicherten Modus starten kann, kann zwar die Option bei Neustart anwählen, es erscheint auch das Windows XP-Logo, danach allerdings nur noch schwarzer Bildschirm mit einem blinkenden Cursor links oben. Darauf startete ich Windows "normal" und wollte den abgesicherten Modus über Ausführen-->msconfig--> Boot.ini--> Safeboot aktivieren. Gleiches Problem: Windows-Logo, danach schwarz!

Das viel größere Problem besteht allerdings nun für mich, dass ich das Betriebsystem auch nicht mehr "normal" starten kann!!! Liegt vielleicht daran, dass ich die Safeboot-Aktivierung durchgeführt habe und sie jetzt aber nicht mehr deaktivieren kann??? Kann das sein???

Bin am Verrecken... :pukeface:

Versuche bitte folgendes:

--> Lege die XP-Installations-CD in dein Laufwerk
--> lasse dann von der CD booten (im Bios als '"first-device" einstellen)
--> dann die Wiederherstellungskonsole (mit Taste ´R´) starten, du kommst nun auf die DOS-Ebene
--> nun folgendes eintippen:

edit c:\boot.ini (ENTER)

lösche den Eintrag --> /safeboot:minimal heraus

so sollte es dann aussehen:

Zitat:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

--> Datei speichern -> eintippen -> exit (ENTER)
--> danach nicht von CD starten sondern das System ganz normal hochfahren lassen!

Keine Garantie dafür das es funktioniert!

Hi, Laptop ist "wie durch ein Wunder" (ich weiß, in dieser Szene gibt´s keine Wunder) nach etlichen Versuchen ohne XP-CD im abgesicherten Modus hochgefahren. Schon mal ein Erfolg...
Habe jetzt wie nach deiner Anleitung die Rapports angehängt! Blöde Frage: sollte ich bei dem SmitfraudFix nur suchen lassen oder auch löschen lassen und die anderen Sachen, die noch angeboten sind?

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 744

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 127520
Scan Dauer: 54 minute(s), 14 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

__________________________________________________

SmitFraudFix v2.320

Scan done at 19:36:25,46, 13.05.2008
Run from F:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Christian

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Christian\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\CHRIST~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{066BD393-98A1-47D4-A1F5-7B2238D8D6C5}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{DF119474-A88D-41AE-9AB7-9A71FAE285E7}: NameServer=192.168.2.10
HKLM\SYSTEM\CS1\Services\Tcpip\..\{066BD393-98A1-47D4-A1F5-7B2238D8D6C5}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DF119474-A88D-41AE-9AB7-9A71FAE285E7}: NameServer=192.168.2.10
HKLM\SYSTEM\CS3\Services\Tcpip\..\{066BD393-98A1-47D4-A1F5-7B2238D8D6C5}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{DF119474-A88D-41AE-9AB7-9A71FAE285E7}: NameServer=192.168.2.10
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

DANKE FÜR DEINE MÜHE MIT MIR AMATEUR (aber ich glaub´, ich bin nicht alleine hier...)

Also Malwarebytes und Smitfraudfix haben nichts gefunden, gehen wir einen Schritt tiefer in das System:

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen.

Normaler Modus?
Ich hoffe, ich krieg´die kiste wieder an, wenn ich sie herunterfahre :o

Zitat:

Zitat von chris011278 (Beitrag 338013)

Normaler Modus?
Ich hoffe, ich krieg´die kiste wieder an, wenn ich sie herunterfahre :o

Irgendwann musst du doch eh wieder in den "Normalen"-Modus.. ;)

So, ist tatsächlich wieder hochgefahren ;-)

Hier der Bericht:

ComboFix 08-05-12.1 - Christian 2008-05-13 20:12:22.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1578 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Christian\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-13 bis 2008-05-13 ))))))))))))))))))))))))))))))
.

2008-05-13 19:36 . 2008-05-13 19:36 5,282 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-13 15:47 . 2008-05-13 15:47 <DIR> d--hs---- C:\FOUND.009
2008-05-13 15:18 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-13 15:18 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-13 15:18 . 2008-04-24 08:10 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-13 15:18 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-13 15:18 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-13 15:18 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-13 15:18 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-13 15:18 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-13 12:06 . 2008-05-13 12:06 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-13 12:06 . 2008-05-13 12:06 <DIR> d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Malwarebytes
2008-05-13 12:06 . 2008-05-13 12:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-13 12:06 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-13 12:06 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-12 02:16 . 2008-05-12 02:16 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-12 02:16 . 2008-05-12 02:16 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-12 01:49 . 2004-08-04 05:00 68,608 --a------ C:\WINDOWS\system32\dllcache\plugin.ocx
2008-05-11 23:15 . 2008-05-11 23:15 <DIR> d--hs---- C:\FOUND.008
2008-05-11 23:05 . 2008-05-11 23:05 <DIR> d-------- C:\Programme\CCleaner
2008-05-11 22:41 . 2008-05-11 22:41 <DIR> d-------- C:\Programme\CleanUp!
2008-05-11 22:33 . 2008-05-11 22:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-11 22:23 . 2008-05-11 22:23 <DIR> d-------- C:\Programme\Trend Micro
2008-05-03 14:01 . 2008-05-03 14:01 <DIR> d--hs---- C:\FOUND.007
2008-05-02 17:40 . 2008-05-02 17:40 <DIR> d-------- C:\WINDOWS\Sun
2008-05-02 17:40 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-02 17:39 . 2008-05-02 17:39 <DIR> d-------- C:\Programme\Java
2008-05-02 17:39 . 2008-05-02 17:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-04-30 08:19 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-04-30 08:19 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-04-30 08:19 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-04-28 22:23 . 2008-04-28 22:23 <DIR> d-------- C:\Programme\Windows Live
2008-04-27 17:32 . 2008-04-27 17:33 <DIR> d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\MSNInstaller
2008-04-27 17:09 . 2008-04-27 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\Christian\Contacts
2008-04-27 17:06 . 2008-04-27 17:07 <DIR> d-------- C:\WINDOWS\system32\DRVSTORE
2008-04-27 16:47 . 2008-04-27 16:48 <DIR> d--hs---- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-04-27 16:47 . 2008-04-27 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-13 18:09 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-04-05 15:01 --------- d-----w C:\Programme\RegCleaner
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-17 23:14 --------- d-----w C:\Programme\ACD Systems
2008-03-17 10:40 85,520 ----a-w C:\WINDOWS\system32\drivers\bdfndisf.sys
2008-03-05 18:32 73,728 ----a-w C:\WINDOWS\ALCFDRTM.EXE
2008-03-01 16:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54 233,472 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54 102,912 ----a-w C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 08:55 625,664 --s-a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2007-05-03 06:27 47,992 ----a-w C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"eRecoveryService"="" []
"pdfSaver3"="C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe" [2004-09-05 17:20 380928]
"H/PC Connection Agent"="C:\PROGRA~1\MICROS~3\wcescomm.exe" [2006-06-26 21:09 1211176]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-07-21 13:06 20036648]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-12-07 21:10 344064]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-08-12 17:45 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 10:50 88363 C:\WINDOWS\AGRSMMSG.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 14:44 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 14:43 688218]
"SoundMan"="SOUNDMAN.EXE" [2004-11-02 14:53 77824 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2004-12-10 15:38 2749440 C:\WINDOWS\ALCWZRD.EXE]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 01:07 32768]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-03-07 09:54 180224]
"ePowerManagement"="C:\Acer\ePM\ePM.exe" [2005-03-07 10:06 2889216]
"LManager"="C:\Programme\Launch Manager\QtZgAcer.EXE" [2004-12-09 12:35 311296]
"eRecoveryService"="" []
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 22:46 624248]
"pdfSaver3"="" []
"Acronis*True*Image Monitor"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2007-04-05 17:46 436897]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-04-05 17:46 69632]
"Acronis Popup Blocker"="C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll" [2007-04-05 17:59 420479]
"AdobeVersionCue"="C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe" [2004-03-25 11:35 1732608]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 05:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-04-27 11:25 257088]
"XTNDConnect PC - ErPhn2"="C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe" [2003-02-13 09:41 53248]
"BitDefender Antiphishing Helper"="C:\Programme\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 15:46 61440]
"BDAgent"="C:\Programme\BitDefender\BitDefender 2008\bdagent.exe" [2008-03-17 12:39 360448]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 05:00 160768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 05:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe [2005-08-16 14:06:22 577597]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-04-05 18:09:44 110592]
LRZ VPN Client.lnk - C:\Programme\LRZ VPN Client\vpngui.exe [2007-07-10 22:29:39 1466384]
WinZip Quick Pick.lnk - C:\Programme\WinZip\WZQKPICK.EXE [2008-03-13 16:10:56 106561]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DIVXc32.dll
"vidc.DIV4"= DIVXc32f.dll
"MSACM.CTRXAUD"= ctrxaud.acm
"VIDC.CTRX"= ctrxvid.drv

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\WINDOWS\\system32\\RUNDLL32.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\MSMSGS.EXE"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"443:TCP"= 443:TCP:ooVoo TCP port 443
"443:UDP"= 443:UDP:ooVoo UDP port 443
"37674:TCP"= 37674:TCP:ooVoo TCP port 37674
"37674:UDP"= 37674:UDP:ooVoo UDP port 37674
"37675:UDP"= 37675:UDP:ooVoo UDP port 37675

R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 13:10]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-01-03 11:51]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2008-03-17 12:40]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-12-18 14:06]
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2004-12-23 09:59]
S3 int15.sys;int15.sys;c:\acernb\int15.sys []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-13 20:13:56
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-13 20:14:18
ComboFix-quarantined-files.txt 2008-05-13 18:14:18

14 Verzeichnis(se), 21,640,085,504 Bytes frei
26 Verzeichnis(se), 21,638,742,016 Bytes frei

184

Ich Depp, bin grad an einem anderen Rechner- habe das ComboFix ohne Verbindung zum Internet laufen lassen- sollte ich mit Verbindung laufen lassen?

Zitat:

Zitat von chris011278 (Beitrag 338030)

Ich Depp, bin grad an einem anderen Rechner- habe das ComboFix ohne Verbindung zum Internet laufen lassen- sollte ich mit Verbindung laufen lassen?

Nein, das ist schon ok. ;)
Combofix deaktiviert für die Zeit des Scans eh alle Netzwerk- (Internet-)verbindungen.

Ich schau es mir gleich mal an...

Hat das ComboFix etwas ergeben oder bin ich bereits geheilt?

:kloppen:

Zitat:

Zitat von chris011278 (Beitrag 338335)

Hat das ComboFix etwas ergeben oder bin ich bereits geheilt?

:kloppen:

Also ich kann nichts finden im System, bestehen denn die Probleme mit dem IE immer noch?

Habe nun das IE Icon wieder in die Taskleiste zurück- anscheinend ist es dort aber schon vorhanden, da ich gefragt wurde, ob ich die existierende Datei ersetzen möchte...also anscheinend sieht man das Icon nur nicht, aber wir sehen mal was jetzt passiert. Was mir jetzt noch auffällt, ich aber noch nicht hier geschrieben habe ist, dass auch beim Öffnen von Outlook das Programm nicht sichtbar ist... das sieht dann beim Herunterfahren so aus, dass auf einmal 5 outlook-Fenster in der Takleiste erscheinen und geschlossen werden, die aber definitiv nicht sichtbar waren...
noch andere Frage: diese toyhide.bmp-Datei ist nicht beunruhigend?

Das klingt alles sehr seltsam, die toyhide.bmp konnte ich bislang noch nicht finden, daher folgendes:

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Here you are:

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\

15.05.2008 16:27 2.145.505.280 hiberfil.sys
15.05.2008 16:27 2.145.386.496 pagefile.sys
13.05.2008 20:34 13.170 ComboFix.txt
13.05.2008 19:59 211 boot.ini
13.05.2008 19:38 3.359 rapport.txt
11.05.2008 09:07 31 WFCNAME.INI
30.12.2004 18:51 0 MSDOS.SYS

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

15.05.2008 19:34 81.984 bdod.bin
14.05.2008 22:38 252.680 FNTCACHE.DAT
13.05.2008 19:36 5.282 tmp.reg
13.05.2008 19:36 0 tmp.txt
13.05.2008 11:36 1.158 wpa.dbl
11.05.2008 22:34 728.094 PerfStringBackup.INI
11.05.2008 22:34 49.424 perfc007.dat
11.05.2008 22:34 318.680 perfh007.dat
11.05.2008 22:34 40.998 perfc009.dat
11.05.2008 22:34 313.280 perfh009.dat
02.05.2008 17:40 6.583 jupdate-1.6.0_05-b13.log
28.04.2008 08:03 82.944 IEDFix.exe
28.04.2008 08:03 82.944 404Fix.exe
27.04.2008 17:33 16.832 amcompat.tlb
27.04.2008 17:33 23.392 nscompat.tlb
27.04.2008 16:54 1.423 mapisvc.inf
24.04.2008 08:10 86.528 VACFix.exe
18.04.2008 17:36 7.056.054 toyhide.bmp
06.04.2008 07:56 19.836.024 MRT.exe

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Prefetch

15.05.2008 19:35 17.570 CMD.EXE-087B4001.pf
15.05.2008 19:35 12.042 FIND.EXE-0EC32F1E.pf
15.05.2008 19:32 71.398 EXPLORER.EXE-082F38A9.pf
15.05.2008 19:25 64.174 MSNMSGR.EXE-3ACF7E89.pf
15.05.2008 19:25 57.064 DW20.EXE-286F6FAE.pf
15.05.2008 19:10 75.444 WUAUCLT.EXE-399A8E72.pf
15.05.2008 18:57 71.320 UPGREPL.EXE-07824629.pf
15.05.2008 17:40 70.466 WMPLAYER.EXE-09969333.pf
15.05.2008 17:12 66.000 WINWORD.EXE-259486DA.pf
15.05.2008 17:12 82.932 OUTLOOK.EXE-22C5790A.pf
15.05.2008 16:29 89.262 FIREFOX.EXE-1D57670A.pf
15.05.2008 16:28 67.386 UISCAN.EXE-2997F89E.pf
15.05.2008 16:28 100.412 ACRODIST.EXE-31C6F71B.pf
15.05.2008 16:28 1.157.096 NTOSBOOT-B00DFAAD.pf
15.05.2008 08:15 40.726 WINDOWSXP-KB923789-X86-DEU.EX-1615F8CC.pf
15.05.2008 08:15 13.186 INSTALL_FP6_WU_R88.EXE-112418BB.pf
15.05.2008 08:15 7.988 GENINST.EXE-08D53534.pf
15.05.2008 08:15 42.074 WMIPRVSE.EXE-28F301A9.pf
15.05.2008 08:14 18.928 LOGONUI.EXE-0AF22957.pf
15.05.2008 08:08 22.112 ALG.EXE-0F138680.pf
15.05.2008 01:50 69.994 UPDATE.EXE-2EB96560.pf
14.05.2008 22:39 9.460 FNPLICENSINGSERVICE.EXE-1A968544.pf
14.05.2008 22:39 21.564 ATIPTAXX.EXE-12B5048A.pf
14.05.2008 22:39 12.352 ATI2EVXX.EXE-19D16EB9.pf
14.05.2008 22:39 11.000 AGRSMMSG.EXE-0034A7F7.pf
14.05.2008 22:39 12.210 WZQKPICK.EXE-160BDDE7.pf
14.05.2008 22:39 16.844 VPNGUI.EXE-1A96EA9B.pf
14.05.2008 22:39 11.180 JUSCHED.EXE-273776BA.pf
14.05.2008 22:39 12.402 RAPIMGR.EXE-18CD48BF.pf
14.05.2008 22:39 37.724 IMAPI.EXE-0BF740A4.pf
14.05.2008 22:39 8.282 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf
14.05.2008 22:39 15.622 RUNDLL32.EXE-1218E1AC.pf
14.05.2008 22:39 24.864 VSSERV.EXE-0F22F5F8.pf
14.05.2008 22:39 15.236 CTFMON.EXE-0E17969B.pf
14.05.2008 22:39 10.650 SYNTPLPR.EXE-0AB61C3B.pf
14.05.2008 22:39 21.336 LIVESRV.EXE-277B36B4.pf
14.05.2008 22:39 14.514 IPODSERVICE.EXE-233792DA.pf
14.05.2008 22:39 14.204 USERINIT.EXE-30B18140.pf
14.05.2008 22:39 8.362 SCHEDUL2.EXE-2651AD3F.pf
14.05.2008 22:39 13.218 HDAUDPROPSHORTCUT.EXE-368919FF.pf
14.05.2008 22:39 19.746 WCESCOMM.EXE-09177CEB.pf
14.05.2008 22:39 114.696 SVCHOST.EXE-3530F672.pf
14.05.2008 22:39 13.432 ALAUNCH.EXE-2E2BAF3E.pf
14.05.2008 21:19 71.192 EXCELCNV.EXE-2D7AF3A3.pf
14.05.2008 21:19 16.194 VERCLSID.EXE-3667BD89.pf
14.05.2008 21:08 14.112 CALC.EXE-02CD573A.pf
14.05.2008 19:24 29.914 MSIEXEC.EXE-2F8A8CAE.pf
14.05.2008 19:24 17.744 FILEFORMATCONVERTERS.EXE-04A258B7.pf
14.05.2008 18:57 65.644 EXCEL.EXE-3281D776.pf
14.05.2008 18:50 15.042 RUNDLL32.EXE-451FC2C0.pf
14.05.2008 17:33 34.702 BDWIZREG.EXE-01ADB2DC.pf
14.05.2008 17:33 73.014 SECCENTER.EXE-0E6D4A9E.pf
14.05.2008 17:31 64.816 SKYPE.EXE-21F19BC8.pf
14.05.2008 13:53 139.304 HELPSVC.EXE-2878DDA2.pf
14.05.2008 13:53 464.370 Layout.ini
14.05.2008 09:01 70.284 UPDATE.EXE-06D5C9EB.pf
14.05.2008 08:44 6.938 XCOMMSVR.EXE-388D1247.pf
14.05.2008 08:44 22.850 BTSTAC~1.EXE-295D354F.pf
14.05.2008 08:44 18.714 CVPND.EXE-1E8D3CD1.pf
14.05.2008 08:44 6.714 TINTSETP.EXE-39BF0732.pf
14.05.2008 08:44 9.242 EPM-DM.EXE-29DA7F3C.pf
14.05.2008 08:44 11.948 SOUNDMAN.EXE-19745A34.pf
14.05.2008 08:44 43.150 CSRSS.EXE-12B63473.pf
14.05.2008 08:44 20.762 LSASS.EXE-20DB6D1B.pf
14.05.2008 08:44 13.148 SERVICES.EXE-2F433351.pf
14.05.2008 08:44 12.742 SCARDSVR.EXE-12E160E4.pf
14.05.2008 08:44 30.346 SPOOLSV.EXE-282F76A7.pf
14.05.2008 08:44 7.046 IMSCINST.EXE-009A1717.pf
14.05.2008 08:44 61.840 WINLOGON.EXE-32C57D49.pf
13.05.2008 20:34 18.584 NOTEPAD.EXE-336351A9.pf
13.05.2008 20:34 63.658 FDSV.CFEXE-2F207127.pf
13.05.2008 20:34 11.416 CATCHME.TMP-265A4B2E.pf
13.05.2008 20:33 11.602 SORT.EXE-194AE83C.pf
13.05.2008 20:33 32.510 CSCRIPT.EXE-1C26180C.pf
13.05.2008 20:33 6.788 FINDSTR.CFEXE-38519B93.pf
13.05.2008 20:33 9.352 NIRCMDC.CFEXE-049E77E5.pf
13.05.2008 20:33 12.178 NIRCMD.CFEXE-19FF4781.pf
13.05.2008 20:33 4.292 SED.CFEXE-268D7E58.pf
13.05.2008 20:33 9.324 SWREG.CFEXE-2BF4FFCD.pf
13.05.2008 20:33 2.882 VFIND.CFEXE-2033727F.pf
13.05.2008 20:33 3.954 GREP.CFEXE-20443039.pf
13.05.2008 20:33 11.844 FINDSTR.EXE-0CA6274B.pf
13.05.2008 20:13 17.838 CF21268.EXE-3B142020.pf
13.05.2008 15:33 35.938 WSCNTFY.EXE-1B24F5EB.pf
13.05.2008 11:59 91.772 IEXPLORE.EXE-2CA9778D.pf
11.05.2008 22:16 9.832 LOGON.SCR-151EFAEA.pf
86 Datei(en) 4.352.008 Bytes
0 Verzeichnis(se), 21.293.367.296 Bytes frei

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

15.05.2008 16:30 1.884.363 WindowsUpdate.log
15.05.2008 16:27 159 wiadebug.log
15.05.2008 16:27 0 0.log
15.05.2008 16:27 2.048 bootstat.dat
15.05.2008 08:15 50 wiaservc.log
15.05.2008 08:15 12 bthservsdp.dat
15.05.2008 08:15 32.544 SchedLgU.Txt
15.05.2008 08:14 121 bdagent.INI
15.05.2008 01:50 1.083 netfxocm.log
15.05.2008 01:50 2.821 tsoc.log
15.05.2008 01:50 2.061 comsetup.log
15.05.2008 01:50 1.374 imsins.log
15.05.2008 01:50 6.184 FaxSetup.log
15.05.2008 01:50 309 msgsocm.log
15.05.2008 01:50 1.247 ntdtcsetup.log
15.05.2008 01:50 6.649 iis6.log
15.05.2008 01:50 342 ocmsn.log
15.05.2008 01:50 1.846 msmqinst.log
15.05.2008 01:50 311 tabletoc.log
15.05.2008 01:50 2.916 ocgen.log
15.05.2008 01:50 163.361 KB950749.log
15.05.2008 01:50 425 MedCtrOC.log
15.05.2008 01:50 0 setupact.log
15.05.2008 01:50 0 setuperr.log
13.05.2008 20:34 395.014 setupapi.log
13.05.2008 20:34 227 system.ini
13.05.2008 19:59 734 win.ini
13.05.2008 19:35 289.776 ntbtlog.txt
12.05.2008 02:16 1.409 QTFont.for
12.05.2008 02:16 54.156 QTFont.qfn
09.05.2008 10:22 16.796 ModemLog_Agere Systems HDA Modem #2.txt
27.04.2008 17:27 1.040.447 setupapi.log.1.old
05.03.2008 20:32 73.728 ALCFDRTM.VER

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\tasks

15.05.2008 16:27 6 SA.DAT
04.08.2004 05:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 21.293.367.296 Bytes frei

----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\temp

15.05.2008 18:57 892 updateop.xml
15.05.2008 16:28 216 kds.xml
15.05.2008 08:15 14 rtsr.dat
13.05.2008 22:37 133 httproxy_clt081F9AE01210711050
13.05.2008 22:36 133 httproxy_clt081F9AE01210710968
13.05.2008 22:35 276 httproxy_clt081F9AE01210710927
13.05.2008 22:34 202 httproxy_clt081F9AE01210710880
13.05.2008 22:34 217 httproxy_clt081F9AE01210710866
13.05.2008 22:34 118 httproxy_clt081F9AE01210710845
13.05.2008 22:29 155 httproxy_clt0648C9401210710549
13.05.2008 22:28 156 httproxy_clt0648C9401210710526
13.05.2008 22:28 240 httproxy_clt0648C9401210710495
13.05.2008 22:28 240 httproxy_clt0648C9401210710481
13.05.2008 22:26 116 httproxy_clt0648C9401210710394
13.05.2008 22:26 116 httproxy_clt0648C9401210710378
13.05.2008 22:26 109 httproxy_clt0648C9401210710373
13.05.2008 22:12 542 httproxy_clt064109881210709549
13.05.2008 22:12 571 httproxy_clt063CDD601210709521
18 Datei(en) 4.446 Bytes
0 Verzeichnis(se), 21.293.367.296 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

15.05.2008 19:35 129.228 filelist.txt
15.05.2008 19:25 512 ~DFA9F.tmp
15.05.2008 19:25 32.768 ~DFA89.tmp
15.05.2008 19:25 512 ~DFF710.tmp
15.05.2008 19:25 32.768 ~DFF6DE.tmp
15.05.2008 19:25 156 dw.log
15.05.2008 17:36 384 WcesView.log
15.05.2008 16:32 850 jusched.log
15.05.2008 16:27 545 libFNP_events.log
15.05.2008 16:27 375 WCESCOMM.LOG
15.05.2008 08:14 5.035 WCESLog.log
14.05.2008 21:36 512 ~DF297B.tmp
14.05.2008 21:20 512 ~DFB447.tmp
14.05.2008 21:20 70.144 4C07B200
14.05.2008 21:19 57.856 96C6B200
14.05.2008 21:19 512 ~DF4B5E.tmp
14.05.2008 21:14 10.591.333 fla2B3.tmp
14.05.2008 21:10 32.768 ~DFD8E1.tmp
14.05.2008 21:10 512 ~DFD8ED.tmp
14.05.2008 21:10 32.768 ~DF7A51.tmp
14.05.2008 21:10 512 ~DF7A5D.tmp
14.05.2008 19:24 1.272.074 Compatibility Pack for the 2007 Office system (0).log
14.05.2008 18:57 32.768 ~DF270D.tmp
23.03.2007 03:07 2.478 filelist.bat
24 Datei(en) 12.297.882 Bytes
0 Verzeichnis(se), 21.293.367.296 Bytes frei

Ein Kollege (Raman ;) ) und auch ich haben nichts in der Filelist entdecken können, und ich denke nicht das die toyhide.bmp Malware ist, dafür wäre sie viel zu groß..

Versuche mal die Datei im Ordnen c:\windows\System32\ umzubenennen in -> toyhide.bm_

Was passiert?

In dem Ordner heißt die Datei nur toyhide- das Format ist nicht mit angegeben, nur in Spalte Typ steht Bitmap als Dateiformat. Die Datei kann ich aber problemlos umbenennen...

Das bedeutet eigentlich nur das du die "Erweiterungen bei bekannten Dateitypen ausblenden" aktiviert hast.

Und wenn du die Datei löscht, inklusive danach aus dem Papierkorb und den Rechner neu startest? Ist sie danach wieder vorhanden unter System32?

toyhide.bmp ist gelöscht worden, Papierkorb mit Acronis gesäubert-> Datei taucht nach Neustart nicht mehr auf!
IE war schon vor dem Neustart nicht mehr in Taskleiste...ist der IE vielleicht sauer, dass er nicht mein Standardbrowser ist? :koch:

Zitat:

Zitat von chris011278 (Beitrag 338398)

IE war schon vor dem Neustart nicht mehr in Taskleiste...ist der IE vielleicht sauer, dass er nicht mein Standardbrowser ist? :koch:

:D Kann gut möglich sein, aber so langsam kann ich dir auch nicht mehr weiterhelfen, mir fällt absolut nichts mehr ein.

Es kann aber durchaus sein, das du durch das Wallpaper-Pack einige "interne" Einstellungen verändert/abgeändert wurden.
Das ist schon des öfteren vorgekommen da diese "Fun-Packs" solche Fehler hervorrufen, vor allem wenn man es wieder deinstalliert hat. ;)

Kein Thema- du hast mir mehr als geholfen :-)
Dicken Respekt vor eurer Arbeit...

Beste Grüße Chris

Danke, und alles Gute.. :)