Trojaner-Board - Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt (https://www.trojaner-board.de/69096-kein-virenscanner-windowsupdate-systemwiederherstellung-defekt.html)

Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt

Hallo!

AntiVir lässt sich nicht mehr aktualisieren,ebenso Windows. Eine Systemwiederherstellung ist nicht mehr möglich, die Systemwiederherstellungspunkte werden angezeigt, aber die Herstellung lässt sich nicht starten. Drücke ich auf den "Weiter"-Knopf passiert nichts. ich habe es auch im abgesicherten Modus bereits versucht.

Ich hatte den Zlob.DNSChanger auf dem Rechner und mit Hilfe von ExterminateIt händisch beseitigt.

Und nun weiss ich nicht mehr weiter.

Beste Grüße
Thomas

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:29:09, on 25.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ThreatFire\TFTray.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\aborange DayDisplay\DayDisplay.exe
C:\Programme\PureText\PureText.exe
C:\Programme\A Note\A Note.exe
C:\Programme\PhraseExpress\phraseexpress.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ThreatFire\TFService.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\CNAB3RPK.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - (no file)
O2 - BHO: Ziepod One-Click IE Helper - {57A30D1E-08B9-4EF4-B273-AAEA1C234A5B} - (no file)
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - (no file)
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [aborange DayDisplay] C:\Programme\aborange DayDisplay\DayDisplay.exe
O4 - HKCU\..\Run: [PureText] "C:\Programme\PureText\PureText.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: A Note.lnk = C:\Programme\A Note\A Note.exe
O4 - Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe
O4 - Startup: Verknüpfung mit DayDisplay.lnk = C:\Programme\aborange DayDisplay\DayDisplay.exe
O4 - Startup: Verknüpfung mit meOme.lnk = ?
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer = 194.97.173.124 194.97.173.125
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

SmitFraudFix v2.391

Scan done at 2:04:01,14, 25.01.2009
Run from C:\Dokumente und Einstellungen\ICH\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 194.97.173.124
DNS Server Search Order: 194.97.173.125

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125

»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 194.97.173.124
DNS Server Search Order: 194.97.173.125

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125

Ergänzung:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.0.0.1 localhost
127.0.0.1 localhost

Hallo und :hallo:

Lebst du in bzw. Nähe Kiel und ist dein Provider Freenet?

Seit wann hast du Probleme?

1.) Deinstalliere folgende Programme (Start=>Systemsteuerung=>Programme):

Code:

ZoneAlarm (Schrott)

Alles von Google (Datenkrake)

Ad-Aware (Schrott)

Unlocker

2.) Starte HJT => Do a system scan only => Markiere:

Code:

O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - (no file)

O2 - BHO: Ziepod One-Click IE Helper - {57A30D1E-08B9-4EF4-B273-AAEA1C234A5B} - (no file)

O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file)

O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - (no file)

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - (no file)

O4 - Startup: Verknüpfung mit meOme.lnk = ?

O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O18 - Protocol: haufereader - (no CLSID) - (no file)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

=> Fix checked

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

3.) GMER - Rootkit Detection

Lade Gmer von hier
entpacke es auf den Dektop
Doppelklicke die gmer.exe
Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Zitat:

Zitat von john.doe (Beitrag 408659)

Hallo und :hallo:

Lebst du in bzw. Nähe Kiel und ist dein Provider Freenet?

Seit wann hast du Probleme?

Hallo Andreas, vielen dank für deine freundliche Begrüßung und die schnelle Antwort.

Ich wohne in Tübingen und mein Provider ist meome.

Die Probleme dürften so seit dem 14. Januar bestehen. Damals wurde mein AntiVir das letzte mal umgedatet.

Was empfiehlst du mir an Stelle von Zone Alarm.

Werde am Nachmittag mal deine Tipps durch führen.

Beste Grüße
Thomas

Zitat:

Ich wohne in Tübingen und mein Provider ist meome.

Dann kannst du den O17 Eintrag auch noch fixen.

Zitat:

Was empfiehlst du mir an Stelle von Zone Alarm.

Keine PFW, die sind sinnfrei. Wenn überhaupt, dann die von Windows.

Einige Links zum Thema PFW:
Lutz Donnerhacke: de.comp.security.firewall FAQ
http://www.fefe.de/pffaq/halbesicherheit.txt
Personal Firewall Security FAQ
Wie Personal Firewalls ausgetrickst werden können
http://www.stud.tu-ilmenau.de/~traenk/zaweg.htm
PC Flank: Make sure you're protected on all sides.
heise online - 13.05.04 - Kritische Sicherheitslücken in Symantecs Desktop Firewalls
pfargumente
CCC | FAQ - Sicherheit

ciao, andreas

Hallo Thomas,

ich hatte genau das gleiche Prob.

Habe mir über Chip.de von AVG den Atnivirus geladen, direkt über die AVG-Seite wird bei dir nicht gehen, weil vermutlich die seiten blockiert werden.

Antivir deinstalliert, und AVG installiert. Mit zweiten PC (nicht infiziert) über die AVG-Homepage die akutelle Datenbank geladen und auf CD gebrannt. AVG über Tools aus verzeichnis aktualisieren auf den neuesten Stand gebracht.

Wenn Du dann dein System scannst wird er erstmal nichts finden, erst nachdem du den Rechner neu Startest. Es ist der Generic10.xxxx

Falls du keinen zweiten PC zum laden der aktuellen Datenbank hast, kann ich sie dir per Email schicken.

Gruß

Stefan

@Andreas:

Vielen Dank für deine Hilfe.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:32:43, on 25.01.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\ThreatFire\TFService.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\Rundll32.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\ThreatFire\TFTray.exe

C:\Programme\Microsoft IntelliPoint\ipoint.exe

C:\Programme\Microsoft IntelliType Pro\itype.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\PureText\PureText.exe

C:\Programme\A Note\A Note.exe

C:\Programme\PhraseExpress\phraseexpress.exe

C:\Programme\aborange DayDisplay\DayDisplay.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\CNAB3RPK.EXE

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\Programme\AVG\AVG8\avgcsrvx.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\Programme\AVG\AVG8\avgcsrvx.exe

C:\Programme\AVG\AVG8\avgtray.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\ICH\Desktop\gmer.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe
 

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe

O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe

O4 - HKCU\..\Run: [aborange DayDisplay] C:\Programme\aborange DayDisplay\DayDisplay.exe

O4 - HKCU\..\Run: [PureText] "C:\Programme\PureText\PureText.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: A Note.lnk = C:\Programme\A Note\A Note.exe

O4 - Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe

O4 - Startup: Verknüpfung mit DayDisplay.lnk = C:\Programme\aborange DayDisplay\DayDisplay.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer = 194.97.173.124 194.97.173.125

O18 - Protocol: haufereader - (no CLSID) - (no file)

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe

O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@Stefan:
Danke für deinen Hinweis auf den AVG Anti-Virus. Das herunter laden hat sogar funktioniert. Werde nun mal den Scan starten.

Ergebnis von Gmer:
http://www.file-upload.net/download-1407252/Gmer.txt.html

Du solltest nicht auf jemanden hören, der selbst mit Rootkits infiziert ist. ZoneAlarm ist noch nicht deinstalliert. Hole das nach. Das Zeuch versaut alle Logs.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Drivers to delete:

gaopdxserv.sys

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Ich bekomme die Meldung:
Error: Invalid script. A valid script must began with a command directive. Aborting execution.

Versuche es mit diesem hier:

Code:

Drivers to delete:

gaopdxserv.sys
 

Files to delete:

C:\WINDOWS\system32\drivers\gaopdxkdqomlem.sys

C:\WINDOWS\system32\gaopdxxbqekxyj.dll

ciao, andreas

So jetzt ging es:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.
 

Hidden driver "gaopdxserv.sys" found!

ImagePath:  \systemroot\system32\drivers\gaopdxkdqomlem.sys 

Start Type:  4 (Disabled)
 

Rootkit scan completed.
 

Driver "gaopdxserv.sys" deleted successfully.

File "C:\WINDOWS\system32\drivers\gaopdxkdqomlem.sys" deleted successfully.

File "C:\WINDOWS\system32\gaopdxxbqekxyj.dll" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Ich versuchte gerade den Virenscanner upzudaten, das geht jetzt wieder!

Glaube nur nicht, dass wir fertig sind. Der schlimmste Bösewicht ist gekillt, jetzt kommen die anderen.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

3.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

4.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

Ich werde erst Freitag wieder on sein. Du hast aber genug zu tun.

ciao, andreas

Oha! Jetzt habe ich aber Beschäftigung!

Ich wünsche dir eine gute Woche und vielen vielen Dank für deine Geduld und Mühe!

Blacklight

Code:

01/25/09 20:10:11 [Info]: BlackLight Engine 2.2.1092 initialized

01/25/09 20:10:11 [Info]: OS: 5.1 build 2600 (Service Pack 3)

01/25/09 20:10:11 [Note]: 7019 4

01/25/09 20:10:11 [Note]: 7005 0

01/25/09 20:10:15 [Note]: 7006 0

01/25/09 20:10:15 [Note]: 7011 1856

01/25/09 20:10:19 [Note]: 7035 0

01/25/09 20:10:19 [Note]: 7026 0

01/25/09 20:10:19 [Note]: 7026 0

01/25/09 20:10:21 [Note]: FSRAW library version 1.7.1024

01/25/09 20:15:44 [Note]: 7007 0

Malwarebytes Antimalware

Code:

Malwarebytes' Anti-Malware 1.33

Datenbank Version: 1693

Windows 5.1.2600 Service Pack 3
 

26.01.2009 05:53:10

mbam-log-2009-01-26 (05-53-10).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|I:\|M:\|)

Durchsuchte Objekte: 141672

Laufzeit: 2 hour(s), 20 minute(s), 50 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\Local Page (Hijack.Search) -> Bad: (http://www.iesearch.com/) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.

SuperAntiSpyware

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 01/26/2009 at 06:48 PM
 

Application Version : 4.25.1012
 

Core Rules Database Version : 3729

Trace Rules Database Version: 1699
 

Scan type       : Complete Scan

Total Scan Time : 01:36:13
 

Memory items scanned      : 490

Memory threats detected   : 0

Registry items scanned    : 5229

Registry threats detected : 0

File items scanned        : 68577

File threats detected     : 12
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\ICH\Cookies\ich@atdmt[5].txt

        C:\Dokumente und Einstellungen\ICH\Cookies\ich@microsoftwindows.112.2o7[1].txt

        C:\Dokumente und Einstellungen\ICH\Cookies\ich@advertising[1].txt

        C:\Dokumente und Einstellungen\ICH\Cookies\ich@tradedoubler[1].txt

        C:\Dokumente und Einstellungen\ICH\Cookies\ich@adtech[1].txt

        C:\Dokumente und Einstellungen\ICH\Cookies\ich@doubleclick[1].txt

        C:\Dokumente und Einstellungen\ICH\Cookies\ich@adopt.euroclick[1].txt

        C:\Dokumente und Einstellungen\ICH\Cookies\ich@zanox-affiliate[2].txt
 

BearShare File Sharing Client

        C:\PROGRAMME\BEARSHARE\BEARSHARE.EXE

        C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\BEARSHARE.LNK

        C:\DOKUMENTE UND EINSTELLUNGEN\ICH\STARTMENü\MP3\BEARSHARE.LNK

        C:\SYMBOLLEISTEN\SIDEBAR\BEARSHARE.LNK

ComboFix

Code:

ComboFix 09-01-21.04 - ICH 2009-01-28 17:27:37.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1023.690 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\ICH\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\ICH\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.
  ADS - WINDOWS: deleted 72 bytes in 1 streams. 
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\system32\404Fix.exe

c:\windows\system32\Agent.OMZ.Fix.exe

c:\windows\system32\dumphive.exe

c:\windows\system32\IEDFix.C.exe

c:\windows\system32\IEDFix.exe

c:\windows\system32\o4Patch.exe

c:\windows\system32\polynet.dll

c:\windows\system32\Process.exe

c:\windows\system32\SrchSTS.exe

c:\windows\system32\tmp.reg

c:\windows\system32\VACFix.exe

c:\windows\system32\VCCLSID.exe

c:\windows\system32\WS2Fix.exe
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-12-28 bis 2009-01-28  ))))))))))))))))))))))))))))))

.
 

2009-01-26 06:43 . 2009-01-26 06:43        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

2009-01-26 06:42 . 2009-01-26 06:42        <DIR>        d--------        c:\programme\SUPERAntiSpyware

2009-01-26 06:42 . 2009-01-26 06:42        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2009-01-26 06:42 . 2009-01-26 06:42        <DIR>        d--------        c:\dokumente und einstellungen\ICH\Anwendungsdaten\SUPERAntiSpyware.com

2009-01-25 20:19 . 2009-01-25 20:19        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2009-01-25 20:19 . 2009-01-25 20:19        <DIR>        d--------        c:\dokumente und einstellungen\ICH\Anwendungsdaten\Malwarebytes

2009-01-25 20:19 . 2009-01-25 20:19        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-01-25 20:19 . 2009-01-14 16:11        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-25 20:19 . 2009-01-14 16:11        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2009-01-25 18:24 . 2009-01-25 18:24        250        --a------        c:\windows\gmer.ini

2009-01-25 15:21 . 2009-01-27 18:35        <DIR>        d--h-----        C:\$AVG8.VAULT$

2009-01-25 15:08 . 2009-01-25 15:08        <DIR>        d--------        c:\programme\AVG

2009-01-25 15:08 . 2009-01-28 17:00        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8

2009-01-25 01:53 . 2009-01-25 01:54        <DIR>        d--------        c:\dokumente und einstellungen\ICH\SmitfraudFix

2009-01-25 01:11 . 2009-01-25 01:26        <DIR>        d--------        c:\programme\Exterminate It!

2009-01-24 16:08 . 2009-01-24 16:08        <DIR>        d--h-c---        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-01-24 07:35 . 2009-01-24 07:35        <DIR>        d--------        c:\programme\Trend Micro

2009-01-22 18:18 . 2009-01-22 18:18        <DIR>        d--------        c:\dokumente und einstellungen\ICH\Anwendungsdaten\KC Softwares

2009-01-22 18:17 . 2009-01-22 18:17        <DIR>        d--------        c:\programme\KC Softwares

2009-01-21 21:52 . 2009-01-21 21:52        <DIR>        d--------        c:\programme\7-Zip

2009-01-21 20:29 . 2009-01-21 20:30        <DIR>        d--------        c:\programme\Scribble Papers

2009-01-18 08:27 . 2009-01-25 18:19        <DIR>        d--------        c:\programme\Unlocker

2009-01-16 17:06 . 2009-01-25 15:28        <DIR>        d--------        c:\programme\Craagle

2009-01-16 06:56 . 2009-01-18 08:07        <DIR>        d--------        c:\programme\Ashampoo

2009-01-12 18:27 . 2009-01-12 18:27        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead

2009-01-12 18:23 . 2009-01-12 18:23        <DIR>        d--------        c:\programme\Nero

2009-01-02 22:12 . 2009-01-02 22:14        <DIR>        d--------        c:\dokumente und einstellungen\ICH\Anwendungsdaten\XnView

2009-01-01 16:02 . 2009-01-01 16:05        <DIR>        d--------        c:\programme\XMPEG

2009-01-01 15:54 . 2009-01-01 15:54        <DIR>        d--------        c:\programme\iSofter

2009-01-01 15:54 . 2007-02-06 15:01        45,056        --a------        c:\windows\system32\wnaspi32.dll

2009-01-01 15:54 . 2007-02-06 15:01        16,512        --a------        c:\windows\system32\drivers\aspi32.sys

2008-12-31 12:23 . 2009-01-01 09:04        <DIR>        d--------        c:\dokumente und einstellungen\ICH\Anwendungsdaten\Lexware

2008-12-31 12:20 . 2008-12-31 12:20        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Haufe

2008-12-31 12:17 . 2009-01-01 09:04        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware

2008-12-30 20:17 . 2008-12-30 20:51        <DIR>        d--------        c:\windows\SxsCaPendDel

2008-12-30 19:51 . 2008-12-30 19:51        <DIR>        d--------        c:\dokumente und einstellungen\ICH\Anwendungsdaten\Haufe

2008-12-30 15:40 . 2008-12-30 15:40        <DIR>        d--------        c:\programme\Lexware

2008-12-30 15:40 . 2009-01-24 18:01        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\BTrieve

2008-12-30 15:38 . 2008-12-30 15:38        <DIR>        d--------        c:\programme\Haufe

2008-12-30 15:38 . 2008-12-30 15:38        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Haufe

2008-12-30 15:36 . 2008-12-31 12:16        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Lexware
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-28 16:17        ---------        d-----w        c:\programme\Idoswin Pro

2009-01-28 16:06        ---------        d-----w        c:\programme\Mozilla Thunderbird

2009-01-28 16:05        ---------        d---a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2009-01-28 16:05        ---------        d-----w        c:\dokumente und einstellungen\ICH\Anwendungsdaten\A Note

2009-01-28 05:53        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater

2009-01-25 19:34        ---------        d-----w        c:\programme\TV-Browser

2009-01-23 21:02        ---------        d-----w        c:\programme\Preispiraten6

2009-01-23 19:28        ---------        d-----w        c:\programme\Ziepod

2009-01-23 16:49        ---------        d--h--w        c:\programme\InstallShield Installation Information

2009-01-23 15:20        ---------        d-----w        c:\programme\Ahnenblatt

2009-01-23 15:20        ---------        d-----w        c:\dokumente und einstellungen\ICH\Anwendungsdaten\Ahnenblatt

2009-01-23 15:17        ---------        d-----w        c:\dokumente und einstellungen\ICH\Anwendungsdaten\UpdateStar

2009-01-23 15:14        ---------        d-----w        c:\programme\DVD Flick

2009-01-23 15:14        ---------        d-----w        c:\dokumente und einstellungen\ICH\Anwendungsdaten\DVD Flick

2009-01-21 19:50        ---------        d-----w        c:\programme\A Note

2009-01-18 07:06        ---------        d-----w        c:\dokumente und einstellungen\ICH\Anwendungsdaten\Ashampoo

2009-01-16 19:47        ---------        d-----w        c:\programme\Personal Backup 4

2009-01-16 16:14        ---------        d-----w        c:\programme\PhraseExpress

2009-01-07 14:31        ---------        d-----w        c:\programme\Audacity 1.3 Beta (Unicode)

2009-01-07 14:31        ---------        d-----w        c:\dokumente und einstellungen\ICH\Anwendungsdaten\Desktop Sidebar

2009-01-07 14:31        ---------        d-----w        c:\dokumente und einstellungen\ICH\Anwendungsdaten\Audacity

2008-12-27 04:00        ---------        d-----w        c:\programme\Registry System Wizard

2008-12-25 09:06        ---------        d-----w        c:\programme\IrfanView

2008-12-24 19:31        ---------        d-----w        c:\programme\BOINC

2008-12-24 11:33        ---------        d-----w        c:\programme\CCleaner

2008-12-24 08:15        ---------        d-----w        c:\dokumente und einstellungen\ICH\Anwendungsdaten\gtk-2.0

2008-12-20 06:34        ---------        d-----w        c:\dokumente und einstellungen\ICH\Anwendungsdaten\uTorrent

2008-12-19 19:28        ---------        d-----w        c:\programme\uTorrent

2008-12-14 08:21        410,984        ----a-w        c:\windows\system32\deploytk.dll

2008-12-14 08:21        ---------        d-----w        c:\programme\Java

2008-12-13 07:51        603,904        ----a-w        c:\windows\system32\TUProgSt.exe

2008-12-13 07:51        360,192        ----a-w        c:\windows\system32\TuneUpDefragService.exe

2008-12-13 07:51        ---------        d-----w        c:\programme\TuneUp Utilities 2009

2008-12-13 07:12        ---------        d-sh--w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}

2008-12-12 04:51        ---------        d-----w        c:\programme\Google

2008-12-11 12:31        27,904        ----a-w        c:\windows\system32\uxtuneup.dll

2008-12-11 10:57        333,952        ----a-w        c:\windows\system32\drivers\srv.sys

2008-12-01 18:48        ---------        d-----w        c:\programme\Microsoft IntelliType Pro

2008-12-01 18:41        ---------        d-----w        c:\programme\Microsoft IntelliPoint

2008-11-24 17:21        90,112        ----a-w        c:\windows\DUMP3d76.tmp

2008-11-24 17:18        90,112        ----a-w        c:\windows\DUMP445c.tmp

2008-11-22 07:03        37,888        ----a-w        c:\windows\system32\setupnt.dll

2008-11-22 07:03        369,152        ----a-w        c:\windows\system32\autoprnt.exe

2008-11-22 07:03        102,400        ----a-w        c:\windows\system32\snapapi.dll

2008-11-14 20:11        39,424        ----a-w        c:\windows\zipinst.exe

2008-11-09 07:45        25,992        ----a-w        c:\windows\system32\pgdfgsvc.exe

2008-11-06 12:40        36,279        -c--a-w        c:\windows\Internet Logs\UpdClient_2nd_2008_11_06_13_00_57_small.dmp.zip

2008-11-03 20:01        26,138        -c--a-w        c:\windows\Internet Logs\UpdClient_2nd_2008_11_03_18_23_45_small.dmp.zip

2008-11-02 14:02        7,680        ----a-w        c:\windows\system32\ff_vfw.dll

2008-10-28 22:35        684,032        ----a-w        c:\windows\system32\divx.dll

2008-09-17 07:44        454,144        ----a-w        c:\dokumente und einstellungen\ICH\setup.exe

2008-08-17 08:53        14,852        ----a-w        c:\programme\settings.dat

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"aborange DayDisplay"="c:\programme\aborange DayDisplay\DayDisplay.exe" [2007-10-10 410112]

"PureText"="c:\programme\PureText\PureText.exe" [2003-08-21 28672]

"SetDefaultMIDI"="MIDIDef.exe" [2002-12-03 c:\windows\MIDIDEF.EXE]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-14 136600]

"ThreatFire"="c:\programme\ThreatFire\TFTray.exe" [2008-11-17 263456]

"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024]

"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2008-06-10 1442888]

"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]

"P17Helper"="P17.dll" [2005-05-03 c:\windows\system32\P17.dll]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\ICH\Startmen\Programme\Autostart\

A Note.lnk - c:\programme\A Note\A Note.exe [2004-10-30 622592]

PhraseExpress.lnk - c:\programme\PhraseExpress\phraseexpress.exe [2008-08-11 3516520]

Verknpfung mit DayDisplay.lnk - c:\programme\aborange DayDisplay\DayDisplay.exe [2008-08-14 410112]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"UpdateStar"=c:\dokumente und einstellungen\ICH\Anwendungsdaten\UpdateStar\UpdateStar.exe -A
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"UpdReg"=c:\windows\UpdReg.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

"c:\\Programme\\uTorrent\\uTorrent.exe"=

"c:\\WINDOWS\\system32\\CNAB3RPK.EXE"=

"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2c\\WNt500x86\\RpcSandraSrv.exe"=

"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2c\\RpcAgentSrv.exe"=

"c:\\Programme\\PhraseExpress\\PhraseExpress.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)
 

R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2008-10-30 51488]

R0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [2008-10-30 39200]

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]

R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]

R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [2003-10-20 39808]

R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [2003-10-20 38992]

R3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);c:\windows\system32\drivers\fdlubase.sys [2003-10-20 674048]

R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2008-10-30 33056]

R4 ThreatFire;ThreatFire;c:\programme\ThreatFire\TFService.exe service --> c:\programme\ThreatFire\TFService.exe service [?]

R4 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2008-12-13 603904]

S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [2008-08-20 70336]

S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe [2008-08-11 98488]

S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]
 

--- Andere Dienste/Treiber im Speicher ---
 

*Deregistered* - mchInjDrv
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\ntldr.com i:

\Shell\Open\command - i:\resycled\ntldr.com i:
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aba4590a-69c9-11dd-9566-000b6a22af86}]

\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

.

.

------- Zusätzlicher Suchlauf -------

.

TCP: {9428593B-4BC6-4945-A452-AD230BC14DBC} = 194.97.173.124 194.97.173.125

FF - ProfilePath - c:\dokumente und einstellungen\ICH\Anwendungsdaten\Mozilla\Firefox\Profiles\58yo3vd7.default\

FF - prefs.js: browser.search.selectedEngine - Ask

FF - prefs.js: browser.startup.homepage - hxxp://w*w.firesearch.com/

FF - prefs.js: keyword.URL - hxxp://google.com/search?btnG=Google+Search&q=

FF - plugin: c:\programme\Google\Google Updater\2.4.1425.4532\npCIDetect13.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
 

---- FIREFOX Richtlinien ----

user_pref(browser.throbber.url,hxxp://w*w.google.de/);

user_pref(keyword.URL,hxxp://google.com/search?btnG=Google+Search&q=);

user_pref(advanced.system.supportDDEExec,false);

// This one makes a huge difference. Last value in milliseconds (default is 250) 

FF - user.js: nglayout.initialpaint.delay - 600

// Enable pipelining: 

FF - user.js: network.http.pipelining - true 

FF - user.js: network.http.proxy.pipelining - true 

FF - user.js: network.http.pipelining.maxrequests - 100

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

FF - user.js: network.http.max-connections-per-server - 8

FF - user.js: content.notify.interval - 600000

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net

Rootkit scan 2009-01-28 17:31:40

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1606980848-1303643608-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{50B9C5C2-2ABC-6F65-35CF-D5A3074FF42A}*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

"iakidfmjdmfgmfphdb"=hex:6b,61,70,66,6c,68,66,67,6e,6e,6a,6e,6a,6a,66,65,6b,6b,

   6e,62,64,64,00,09

"hamijpmpnhmdohoo"=hex:6b,61,70,66,6c,68,66,67,6e,6e,6a,6e,6a,6a,66,65,6b,6b,

   6e,62,64,64,00,0a

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(556)

c:\programme\SUPERAntiSpyware\SASWINLO.dll

c:\windows\system32\Ati2evxx.dll

c:\programme\ThreatFire\TFWAH.dll

c:\programme\ThreatFire\TFNI.dll
 

- - - - - - - > 'lsass.exe'(612)

c:\programme\ThreatFire\TFWAH.dll

.

Zeit der Fertigstellung: 2009-01-28 17:34:16

ComboFix-quarantined-files.txt  2009-01-28 16:34:12
 

Vor Suchlauf: 13 Verzeichnis(se), 13.024.169.984 Bytes frei

Nach Suchlauf: 13 Verzeichnis(se), 13,012,652,032 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /TUTag=1D20LD /Kernel=TUKernel.exe

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /fastdetect /NoExecute=OptIn /TUTag=1D20LD-BAK
 

256        --- E O F ---        2009-01-14 19:08:23

HiJackThis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:42:20, on 28.01.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\ThreatFire\TFService.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\CNAB3RPK.EXE

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\Rundll32.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\ThreatFire\TFTray.exe

C:\Programme\Microsoft IntelliPoint\ipoint.exe

C:\Programme\Microsoft IntelliType Pro\itype.exe

C:\Programme\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\PureText\PureText.exe

C:\Programme\A Note\A Note.exe

C:\Programme\PhraseExpress\phraseexpress.exe

C:\Programme\aborange DayDisplay\DayDisplay.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Microsoft Office\Office\WINWORD.EXE

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\ICH\Desktop\NurAerger.com

C:\WINDOWS\System32\wbem\wmiprvse.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe

O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe

O4 - HKCU\..\Run: [aborange DayDisplay] C:\Programme\aborange DayDisplay\DayDisplay.exe

O4 - HKCU\..\Run: [PureText] "C:\Programme\PureText\PureText.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: A Note.lnk = C:\Programme\A Note\A Note.exe

O4 - Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe

O4 - Startup: Verknüpfung mit DayDisplay.lnk = C:\Programme\aborange DayDisplay\DayDisplay.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer = 194.97.173.124 194.97.173.125

O18 - Protocol: haufereader - (no CLSID) - (no file)

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe

O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

Eieiei. :pfui:

Und wieder einer, der sich das Rattengift selbst besorgt hat.

Zitat:

C:\PROGRAMME\BEARSHARE\BEARSHARE.EXE
2009-01-16 17:06 . <DIR> d-------- c:\programme\Craagle
c:\programme\uTorrent

Was ist dein Laufwerk I:?
Gibt es noch Probleme?

ciao, andreas

Hallo Andreas,

ich vermute der Übeltäter war Craagle ...

Ich teste das Programm nach einem Bericht in der PC Welt mal aus, seit dieser Zeit gabs wohl diese Probleme.

Habe es nun zusammen mit Bearshare entfernt.

Ich habe das Gefühl es läuft alles wie es sollte.

Ich habe noch den Ordner Qoobox. Soll ich den einfach löschen?
Sollte ich trotzdem zur Sicherheit nochmals die von dir empfohlenen Programme darüber laufen lassen?

Jedenfalls danke ich dir für deine Hilfe!!!!
Thomas

Ach so: Laufwerk I ist eine externe Festplatte zur Sicherung. Die Sicherung der Partition C habe ich dort komplett gelöscht.

1.) Start => Ausführen => combofix /u => OK
2.) Alle Programme, die wir eingesetzt haben, deinstallieren/löschen.
3.) Starte HJT => Do a system scan only => Markiere:

Code:

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O17 - HKLM\System\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer = 194.97.173.124 194.97.173.125

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing)

=> Fix checked.
4.) Ich empfehle die Deinstallation folgender Programme:

Threatfire
TuneUp Utilities
Google-Gelumpe
Unlocker

ciao, andreas

Und welches Programm sollte ich statt ThreatFire einsetzen?

Wieso glaubt ihr eigentlich alle, dass man sich mit Programmen, die von sich behaupten irgendetwas mit Sicherheit tun zu haben, schützen könnte? Das Gegenteil ist der Fall. Ich sehe hier selten jemanden, der befallen ist und kein Antiviren, Antispyware, PFW oder Antibotprogramm hat und trotz allem befallen ist.

Fast immer sehe ich P2P-Programme und weiß genau, wie die Leute sich selbst infiziert haben. Irgendwie hält sich jeder an meine Anleitung, wobei die meisten die Regel 6 befolgen. :rolleyes:

Lies das hier und entscheide selbst: Kompromittierung unvermeidbar?

ciao, andreas

Danke für den Links. Werde dies mal verinnerlichen.

ThreatFire ist unten, wie du sagst, es hat mir ja eh nicht geholfen ...