|
Internet langsam/Google leitet auf falsche Zeiten um Hallo zusammen! Ich weiß, daß es den gleichenThreadtitel schon einmal gibt, aber das ist anscheinend nicht das gleiche Problem. Fehlermeldungen bekomme ich keine. Allerdings ist seit Freitag 1) mein Internet langsamer 2) wenn ich auf ein Suchergebnis bei Google klicke, lande ich auf völlig anderen Seiten Bis Sonntag war zudem immer wenn ich den Computer wieder hochgefahren habe meine Windows-Firewall deaktiviert. Ließ sich dann aber ohne Probleme wieder aktivieren. Habe daraufhin Spyware Terminator installiert, der auch etwas gefunden und entfernt hat. Danach lief mein Computer zunächst wieder richtig. Doch seit gestern besteht wieder das Problem mit Google. Könnt Ihr mir da helfen? Hier mein Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:49:55, on 30.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\QuickTime\qttask.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\PROGRA~1\INTERN~1\IEXPLORE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://www.crawler.com/search/ie.aspx?tb_id=60327 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = h**p://dnl.crawler.com/support/sa_customize.aspx?TbId=60327 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.crawler.com/search/ie.aspx?tb_id=60327 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://dnl.crawler.com/support/sa_customize.aspx?TbId=60327 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.internetcologne.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll (file missing) O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ALDI Foto Service] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe" O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_SBE.tmp" /EF "HKCU" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Crawler Search - tbr:iemenu O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B134054F-B02B-41A7-A03E-34F7F6928777}: NameServer = 81.173.194.68 213.168.112.60 O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe -- End of file - 8179 bytes |
Hallo LEV04 und http://www.mysmilie.de/generator/ablage/156/257.png Fixen/Löschen mit Hijackthis Hijackthis starten -> Do a system scan only -> einen Haken setzen in folgende weiße Kästchen: Code: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://www.crawler.com/search/ie.aspx?tb_id=60327Der Rechner startet nun neu... danach: Malwarebytes' Anti-Malware
(nach dem scannen auf den Button klicken und Funde löschen lassen!) ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix) |
Erstmal danke für die Hilfe. Hier die Log-Datei von Combo-Fix: ComboFix 08-09-30.03 - stephanie 2008-10-01 20:50:56.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.197 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\stephanie\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\drivers\tdssserv.sys C:\WINDOWS\system32\tdssadw.dll C:\WINDOWS\system32\tdssinit.dll C:\WINDOWS\system32\tdssl.dll C:\WINDOWS\system32\tdsslog.dll C:\WINDOWS\system32\tdssmain.dll C:\WINDOWS\system32\tdssserf.dll C:\WINDOWS\system32\tdssservers.dat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_MCHINJDRV -------\Legacy_TDSSSERV -------\Service_TDSSserv ((((((((((((((((((((((( Dateien erstellt von 2008-09-01 bis 2008-10-01 )))))))))))))))))))))))))))))) . 2008-10-01 20:42 . 2008-10-01 20:42 <DIR> d-------- C:\Programme\CCleaner 2008-10-01 19:26 . 2008-10-01 19:26 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-01 19:26 . 2008-10-01 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\Malwarebytes 2008-10-01 19:26 . 2008-10-01 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-01 19:26 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-01 19:26 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-30 18:37 . 2008-09-30 18:37 <DIR> d-------- C:\Programme\Trend Micro 2008-09-26 15:31 . 2008-09-26 15:31 8,192 --a------ C:\WINDOWS\system32\tdssserf1.dll 2008-09-17 22:11 . 2008-09-20 13:01 <DIR> d-------- C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\Move Networks . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-28 19:14 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-09-24 19:09 --------- d-----w C:\Programme\ICQ6 2008-08-06 21:08 --------- d-----w C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\EPSON 2008-08-06 20:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft 2008-08-05 17:07 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-05 17:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL 2008-08-05 17:04 --------- d-----w C:\Programme\EPSON 2008-08-05 17:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-07 21:29 1,314 ----a-w C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\mdb.bin 2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll 2007-12-26 17:56 92,064 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmmdm.sys 2007-12-26 17:56 9,232 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmmdfl.sys 2007-12-26 17:56 79,328 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmserd.sys 2007-12-26 17:56 66,656 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmbus.sys 2007-12-26 17:56 6,208 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmcmnt.sys 2007-12-26 17:56 5,936 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmwhnt.sys 2007-12-26 17:56 4,048 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmcr.sys 2007-12-26 17:56 25,600 ----a-w C:\Dokumente und Einstellungen\stephanie\usbsermptxp.sys 2007-12-26 17:56 22,768 ----a-w C:\Dokumente und Einstellungen\stephanie\usbsermpt.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208] "CTSyncU.exe"="C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-09-28 700416] "EPSON Stylus D92 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE" [2006-09-27 139264] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-12-26 155648] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-16 185896] "ALDI Foto Service"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360] "ALDI_SUED_FotoSuite_Download"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360] "OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152] "WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 C:\WINDOWS\system32\WinDSL_MTU.exe] "SoundMan"="SOUNDMAN.EXE" [2004-12-01 C:\WINDOWS\SOUNDMAN.EXE] "AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 C:\WINDOWS\AGRSMMSG.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 47056] S3 aaudstum;aaudstum;C:\DOKUME~1\STEPHA~1\LOKALE~1\Temp\aaudstum.sys [ ] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [2005-11-17 1527900] S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys [ ] S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 47056] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-NWEReboot - (no file) . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\Mozilla\Firefox\Profiles\gnc71t9h.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-01 20:57:30 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: C:\WINDOWS\explorer.exe -> ?:\WINDOWS\System32\CSCDLL.dll . ------------------------ Weitere laufende Prozesse ------------------------ . C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\CTSVCCDA.EXE . ************************************************************************** . Zeit der Fertigstellung: 2008-10-01 20:59:49 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-10-01 18:59:43 Vor Suchlauf: 7 Verzeichnis(se), 109.833.089.024 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 114,250,878,976 Bytes frei 141 --- E O F --- 2008-09-21 17:55:31 |
Scripten mit Combofix
Code:
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann Combofix Deinstallieren Klick auf Start -> Ausführen -> eintippen combofix /U http://img247.imageshack.us/img247/7...ombofixvs6.jpg Damit ist Combofix und alle weiteren Programme entfernt wurden. Und dann zu guter Letzt den Report von Malwarebytes noch nachreichen. ;) |
ComboFix 08-09-30.03 - stephanie 2008-10-01 21:22:41.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.195 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\stephanie\Desktop\ComboFix.exe Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\stephanie\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! FILE :: C:\WINDOWS\system32\tdssserf1.dll . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\tdssserf1.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-09-01 bis 2008-10-01 )))))))))))))))))))))))))))))) . 2008-10-01 20:42 . 2008-10-01 20:42 <DIR> d-------- C:\Programme\CCleaner 2008-10-01 19:26 . 2008-10-01 19:26 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-01 19:26 . 2008-10-01 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\Malwarebytes 2008-10-01 19:26 . 2008-10-01 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-01 19:26 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-01 19:26 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-30 18:37 . 2008-09-30 18:37 <DIR> d-------- C:\Programme\Trend Micro 2008-09-17 22:11 . 2008-09-20 13:01 <DIR> d-------- C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\Move Networks . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-28 19:14 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-09-24 19:09 --------- d-----w C:\Programme\ICQ6 2008-08-06 21:08 --------- d-----w C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\EPSON 2008-08-06 20:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft 2008-08-05 17:07 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-05 17:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL 2008-08-05 17:04 --------- d-----w C:\Programme\EPSON 2008-08-05 17:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-07 21:29 1,314 ----a-w C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\mdb.bin 2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll 2007-12-26 17:56 92,064 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmmdm.sys 2007-12-26 17:56 9,232 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmmdfl.sys 2007-12-26 17:56 79,328 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmserd.sys 2007-12-26 17:56 66,656 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmbus.sys 2007-12-26 17:56 6,208 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmcmnt.sys 2007-12-26 17:56 5,936 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmwhnt.sys 2007-12-26 17:56 4,048 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmcr.sys 2007-12-26 17:56 25,600 ----a-w C:\Dokumente und Einstellungen\stephanie\usbsermptxp.sys 2007-12-26 17:56 22,768 ----a-w C:\Dokumente und Einstellungen\stephanie\usbsermpt.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208] "CTSyncU.exe"="C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-09-28 700416] "EPSON Stylus D92 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE" [2006-09-27 139264] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-12-26 155648] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-16 185896] "ALDI Foto Service"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360] "ALDI_SUED_FotoSuite_Download"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360] "OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152] "WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 C:\WINDOWS\system32\WinDSL_MTU.exe] "SoundMan"="SOUNDMAN.EXE" [2004-12-01 C:\WINDOWS\SOUNDMAN.EXE] "AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 C:\WINDOWS\AGRSMMSG.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 47056] S3 aaudstum;aaudstum;C:\DOKUME~1\STEPHA~1\LOKALE~1\Temp\aaudstum.sys [ ] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [2005-11-17 1527900] S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys [ ] S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 47056] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-01 21:24:50 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-10-01 21:25:46 ComboFix-quarantined-files.txt 2008-10-01 19:25:42 ComboFix2.txt 2008-10-01 18:59:50 Vor Suchlauf: 7 Verzeichnis(se), 114.214.567.936 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 114,204,971,008 Bytes frei 110 --- E O F --- 2008-09-21 17:55:31 Oh sorry, den Log von Malware-Bytes hatte ich jetzt völlig vergessen: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1226 Windows 5.1.2600 Service Pack 3 01.10.2008 20:23:05 mbam-log-2008-10-01 (20-23-05).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 96674 Laufzeit: 22 minute(s), 37 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\ (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Quarantined and deleted successfully. |
Hab noch eine Nachfrage zum desinstallieren (wahrscheinlich eine doofe1) Wenn ich das mit dem Ausführen machen öffne ich doch Combofix wieder und werde dann wieder zum Fenster "Ausführen"/"Abbrechen" geleitet. Ist das richtig? Oder was mach ich falsch? |
Hallo Combofix habe ich inzwischen auf eine andere Art gelöscht. Habe dann heute noch mal Malwarebytes laufen lassen und plötzlich meldet sich mein Anitvir während des Suchlaufs. Antivir meldet mir das es Malware gefunden hat (tr/reeda830, tr/tdss.g, tr/agent.wyn, bds/agent.rfv, bds/agent.rfw, tr/dldr.fraudload.vbxt und tr/agent.8704.76. Malwarebytes hat aber nichts gefunden. Hier der Log Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1226 Windows 5.1.2600 Service Pack 3 02.10.2008 19:28:02 mbam-log-2008-10-02 (19-28-02).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 91907 Laufzeit: 34 minute(s), 32 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Ist das jetzt nur eine Fehlmeldung von Antivir? soll ich diese objekte auch nochmal von antivir löschen lassen? |
Wo hat denn Antivir die Dateien (Viren) gefunden?! Unter Umständen ist das dieser Ordner: c:\Qoobox Das ist das Quarantäne-Verzeichnis von Combofix. Genau aus diesem Grunde solltest du das CF löschen wie ich es schrieb, denn nur dann wird auch díe Quarantäne gelöscht. ;) Sunny |
Hallo! Leider habe ich Combofix auf Deine Weise nicht gelöscht bekommen. Habe aber die C:/Qoobox gestern schon gelöscht. |
Problem mit Antivir habe ich selbst lösen können. Computer läuft jetzt schneller als vor dem Trojaner. Alles funktioniert wieder bestens. Dankeschön für die schnelle und umfangreiche Hilfe. Ich hoffe, daß ich sie nicht so schnell wieder brauche. ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board