Trojaner-Board - werbefenster gehen immer wieder auf IE

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - werbefenster gehen immer wieder auf IE (https://www.trojaner-board.de/53589-werbefenster-gehen-immer-ie.html)

werbefenster gehen immer wieder auf IE

Hallo seit ein paar Tagen gehen bei mein IE dauernd werbefenster auf
ich habe Spyware Doctor laufen und ad-aware finden leider nichts.
Kann mir vieleicht jemand helfen ???

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:37, on 06.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ScsiAccess.EXE
D:\Programme\Spyware Doctor\pctsAuxs.exe
D:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\dokumente und einstellungen\lory\lokale einstellungen\anwendungsdaten\tfzbhstrf.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {FC9F68DA-8485-41AA-9EA3-FA7C639DC486} - C:\WINDOWS\system32\awvsrqr.dll (file missing)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISTray] "D:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [tfzbhstrf] c:\dokumente und einstellungen\lory\lokale einstellungen\anwendungsdaten\tfzbhstrf.exe tfzbhstrf
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://88.53.197.250/activex/AMC.cab
O20 - Winlogon Notify: awvsrqr - C:\WINDOWS\
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\aawservice.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5582 bytes

Hallo Paulurosud und

http://www.mysmilie.de/generator/ablage/156/257.png

Das sieht alles sehr eindeutig nach einer "Vundo-Variante" aus, daher folgendes:

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Hallo hier die Datei

ComboFix 08-06-06.4 - Lory 2008-06-06 23:48:54.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1505 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Lory\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Condizioni generali.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Disinstalla.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Riservatezza.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\WebMediaPlayer.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Website.url
c:\Dokumente und Einstellungen\Lory\Lokale Einstellungen\Anwendungsdaten\tfzbhstrf.dat
c:\dokumente und einstellungen\lory\lokale einstellungen\anwendungsdaten\tfzbhstrf.exe
c:\Dokumente und Einstellungen\Lory\Lokale Einstellungen\Anwendungsdaten\tfzbhstrf_nav.dat
c:\Dokumente und Einstellungen\Lory\Lokale Einstellungen\Anwendungsdaten\tfzbhstrf_navps.dat
C:\Programme\webmediaplayer
C:\Programme\webmediaplayer\resources\languages_v2.xml
C:\Programme\webmediaplayer\resources\webmedias
C:\Programme\webmediaplayer\skins\classic.skn
C:\Programme\webmediaplayer\sqlite3.dll
C:\Programme\webmediaplayer\uninst.exe
C:\Programme\webmediaplayer\WebMediaPlayer.exe
C:\WINDOWS\BM27e394a2.xml
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\yycdd.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-06 bis 2008-06-06 ))))))))))))))))))))))))))))))
.

2008-06-06 23:37 . 2008-06-06 23:37 <DIR> d-------- C:\Programme\CCleaner
2008-06-06 23:22 . 2008-06-06 23:22 <DIR> d-------- C:\Programme\Trend Micro
2008-06-06 00:32 . 2008-06-06 00:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-01 16:32 . 2008-06-01 16:31 159,880 --a------ C:\WINDOWS\system32\drivers\pctfw2.sys
2008-06-01 16:31 . 2008-06-01 16:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools
2008-06-01 10:24 . 2008-06-01 10:24 <DIR> d-------- C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\PC Tools
2008-06-01 10:24 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-06-01 10:24 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-06-01 10:24 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-06-01 10:24 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-05-31 15:59 . 2008-05-31 15:59 <DIR> d-------- C:\Programme\Lavasoft
2008-05-31 15:59 . 2008-05-31 16:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-28 13:06 . 2008-05-28 13:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
2008-05-27 18:14 . 2008-05-27 18:14 <DIR> d-------- C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\Ashampoo
2008-05-27 18:14 . 2008-05-27 18:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-05-26 13:15 . 2008-05-26 13:15 244 --ah----- C:\sqmnoopt10.sqm
2008-05-26 13:15 . 2008-05-26 13:15 232 --ah----- C:\sqmdata10.sqm
2008-05-24 22:17 . 2008-05-24 22:22 <DIR> d-------- C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\mIRC
2008-05-24 09:56 . 2008-05-24 09:56 <DIR> d-------- C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\Nero
2008-05-20 16:20 . 2008-05-20 16:20 <DIR> d-------- C:\Programme\Axis Communications
2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe
2008-05-12 11:43 . 2008-05-12 11:43 244 --ah----- C:\sqmnoopt09.sqm
2008-05-12 11:43 . 2008-05-12 11:43 232 --ah----- C:\sqmdata09.sqm
2008-05-11 20:17 . 2008-05-11 20:17 244 --ah----- C:\sqmnoopt08.sqm
2008-05-11 20:17 . 2008-05-11 20:17 232 --ah----- C:\sqmdata08.sqm
2008-05-11 18:52 . 2008-05-11 18:52 244 --ah----- C:\sqmnoopt07.sqm
2008-05-11 18:52 . 2008-05-11 18:52 232 --ah----- C:\sqmdata07.sqm
2008-05-11 17:34 . 2008-05-11 17:34 244 --ah----- C:\sqmnoopt06.sqm
2008-05-11 17:34 . 2008-05-11 17:34 232 --ah----- C:\sqmdata06.sqm
2008-05-11 17:31 . 2008-05-11 17:31 244 --ah----- C:\sqmnoopt05.sqm
2008-05-11 17:31 . 2008-05-11 17:31 232 --ah----- C:\sqmdata05.sqm
2008-05-07 18:29 . 2008-05-07 18:29 <DIR> d-------- C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\Nokia Multimedia Player

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-06 21:51 480,288 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-06-06 21:51 19,419,936 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-06 21:37 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-06 20:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-06 18:37 47,684 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-06 18:37 262,328 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-30 09:43 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-28 15:29 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-05-28 15:29 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-05-14 13:45 --------- d-----w C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\Ahead
2008-05-07 14:48 --------- d-----w C:\Programme\vanBasco's Karaoke Player
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-24 11:49 --------- d-----w C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\Teleca
2008-04-24 07:37 --------- d-----w C:\Programme\Samsung
2008-04-24 07:37 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-24 07:32 --------- d-----w C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\Sony Ericsson
2008-04-24 07:31 --------- d-----w C:\Programme\Sony Ericsson
2008-04-24 07:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-04-24 07:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared
2008-04-24 07:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-04-24 07:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-04-09 17:13 --------- d-----w C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\PC Suite
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-16 19:07 8491008]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2006-02-28 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-10 12:36 77824]
"ISTray"="D:\Programme\Spyware Doctor\pctsTray.exe" [2008-04-10 15:14 1107848]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]
"Nokia.PCSync"="D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 18:35 1294336]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvsrqr]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
backup=C:\WINDOWS\pss\Kodak EasyShare Software.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak software updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak software updater.lnk
backup=C:\WINDOWS\pss\Kodak software updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 19:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 17:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-09-16 19:07 8491008 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-09-16 19:07 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-09-16 19:07 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
--a------ 2007-12-10 11:12 695808 D:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-10 12:36 77824 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-06-13 15:49 16377344 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2007-05-28 21:39 1826816 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2007-06-13 08:16 528384 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"C:\\kav\\kav7.0\\german\\setup.exe"=
"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=
"D:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=

R1 BIOS;BIOS;C:\WINDOWS\system32\drivers\BIOS.sys [2005-03-16 08:23]
R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-06-01 16:31]
R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2007-07-03 19:33]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 14:28]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 23:51:22
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-06 23:52:21
ComboFix-quarantined-files.txt 2008-06-06 21:52:18

8 Verzeichnis(se), 27,055,972,352 Bytes frei
10 Verzeichnis(se), 27,241,435,136 Bytes frei

182 --- E O F --- 2008-05-28 10:24:12

Das sieht doch schon ganz gut soweit aus, nun noch folgendes:

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:



Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvsrqr]

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

ComboFix 08-06-06.4 - Lory 2008-06-07 0:18:03.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1528 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Lory\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Lory\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-06 bis 2008-06-06 ))))))))))))))))))))))))))))))
.

2008-06-06 23:37 . 2008-06-06 23:37 <DIR> d-------- C:\Programme\CCleaner
2008-06-06 23:22 . 2008-06-06 23:22 <DIR> d-------- C:\Programme\Trend Micro
2008-06-06 00:32 . 2008-06-06 00:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-01 16:32 . 2008-06-01 16:31 159,880 --a------ C:\WINDOWS\system32\drivers\pctfw2.sys
2008-06-01 16:31 . 2008-06-01 16:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools
2008-06-01 10:24 . 2008-06-01 10:24 <DIR> d-------- C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\PC Tools
2008-06-01 10:24 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-06-01 10:24 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-06-01 10:24 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-06-01 10:24 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-05-31 15:59 . 2008-05-31 15:59 <DIR> d-------- C:\Programme\Lavasoft
2008-05-31 15:59 . 2008-05-31 16:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-28 13:06 . 2008-05-28 13:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
2008-05-27 18:14 . 2008-05-27 18:14 <DIR> d-------- C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\Ashampoo
2008-05-27 18:14 . 2008-05-27 18:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-05-26 13:15 . 2008-05-26 13:15 244 --ah----- C:\sqmnoopt10.sqm
2008-05-26 13:15 . 2008-05-26 13:15 232 --ah----- C:\sqmdata10.sqm
2008-05-24 22:17 . 2008-05-24 22:22 <DIR> d-------- C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\mIRC
2008-05-24 09:56 . 2008-05-24 09:56 <DIR> d-------- C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\Nero
2008-05-20 16:20 . 2008-05-20 16:20 <DIR> d-------- C:\Programme\Axis Communications
2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe
2008-05-12 11:43 . 2008-05-12 11:43 244 --ah----- C:\sqmnoopt09.sqm
2008-05-12 11:43 . 2008-05-12 11:43 232 --ah----- C:\sqmdata09.sqm
2008-05-11 20:17 . 2008-05-11 20:17 244 --ah----- C:\sqmnoopt08.sqm
2008-05-11 20:17 . 2008-05-11 20:17 232 --ah----- C:\sqmdata08.sqm
2008-05-11 18:52 . 2008-05-11 18:52 244 --ah----- C:\sqmnoopt07.sqm
2008-05-11 18:52 . 2008-05-11 18:52 232 --ah----- C:\sqmdata07.sqm
2008-05-11 17:34 . 2008-05-11 17:34 244 --ah----- C:\sqmnoopt06.sqm
2008-05-11 17:34 . 2008-05-11 17:34 232 --ah----- C:\sqmdata06.sqm
2008-05-11 17:31 . 2008-05-11 17:31 244 --ah----- C:\sqmnoopt05.sqm
2008-05-11 17:31 . 2008-05-11 17:31 232 --ah----- C:\sqmdata05.sqm
2008-05-07 18:29 . 2008-05-07 18:29 <DIR> d-------- C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\Nokia Multimedia Player

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-06 22:19 483,872 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-06-06 22:19 19,475,488 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-06 21:37 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-06 20:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-06 18:37 47,684 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-06 18:37 262,328 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-30 09:43 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-28 15:29 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-05-28 15:29 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-05-14 13:45 --------- d-----w C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\Ahead
2008-05-07 14:48 --------- d-----w C:\Programme\vanBasco's Karaoke Player
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-24 11:49 --------- d-----w C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\Teleca
2008-04-24 07:37 --------- d-----w C:\Programme\Samsung
2008-04-24 07:37 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-24 07:32 --------- d-----w C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\Sony Ericsson
2008-04-24 07:31 --------- d-----w C:\Programme\Sony Ericsson
2008-04-24 07:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-04-24 07:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared
2008-04-24 07:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-04-24 07:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-04-09 17:13 --------- d-----w C:\Dokumente und Einstellungen\Lory\Anwendungsdaten\PC Suite
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-16 19:07 8491008]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2006-02-28 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-10 12:36 77824]
"ISTray"="D:\Programme\Spyware Doctor\pctsTray.exe" [2008-04-10 15:14 1107848]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]
"Nokia.PCSync"="D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 18:35 1294336]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
backup=C:\WINDOWS\pss\Kodak EasyShare Software.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak software updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak software updater.lnk
backup=C:\WINDOWS\pss\Kodak software updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 19:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 17:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-09-16 19:07 8491008 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-09-16 19:07 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-09-16 19:07 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
--a------ 2007-12-10 11:12 695808 D:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-10 12:36 77824 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-06-13 15:49 16377344 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2007-05-28 21:39 1826816 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2007-06-13 08:16 528384 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"C:\\kav\\kav7.0\\german\\setup.exe"=
"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=
"D:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=

R1 BIOS;BIOS;C:\WINDOWS\system32\drivers\BIOS.sys [2005-03-16 08:23]
R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-06-01 16:31]
R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2007-07-03 19:33]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 14:28]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-07 00:19:30
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-07 0:20:17
ComboFix-quarantined-files.txt 2008-06-06 22:20:14
ComboFix2.txt 2008-06-06 22:16:51
ComboFix3.txt 2008-06-06 21:52:25

8 Verzeichnis(se), 27,229,200,384 Bytes frei
9 Verzeichnis(se), 27,219,308,544 Bytes frei

158 --- E O F --- 2008-05-28 10:24:12

Malwarebytes' Anti-Malware 1.15
Datenbank Version: 836

00:39:55 07.06.2008
mbam-log-6-7-2008 (00-39-55).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 65968
Scan Dauer: 7 minute(s), 32 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

Wenn es deinerseits keine Probleme mehr gibt, sollte eigentlich alles wieder in Ordnung sein. ;)

Sunny

Hallo Sunny

alles wieder i. o.

vielen Dank für die schnelle Hilfe !!!!!!!!!!!!!

Paulurosud