Trojaner-Board - Links führen zu falschem Ziel, Anit-Malware nicht zu installieren

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Links führen zu falschem Ziel, Anit-Malware nicht zu installieren (https://www.trojaner-board.de/70479-links-fuehren-falschem-ziel-anit-malware-installieren.html)

Links führen zu falschem Ziel, Anit-Malware nicht zu installieren

Guten Abend Ihr Wissenden,
unbekannte Mächte haben sich des Rechners meiner Prinzessin bemächtigt und treiben ihr böses Spiel! Helft mir bitte den Drachen zu töten, allein bin ich zu schwach!

Was ist zu beobachten:
- Google-Links landen irgendwelchen Werbeseiten oder enden nach endlosem Suchen auf "error 404".
- Links auf Webseiten (z.B. Registrierungsbutton für dieses Forum) funktionieren nicht
- Systemwiederherstellung geht nicht, Zeitpunkte sind da, Klick führt aber nicht weiter
- Aufruf eines Favoriten öffnet gleich zwei Fenster, erstes ist (meist) richtig, zweites ist (meist) Google
- Wellen des W-Lan-Symbols in der Taskleiste sind meist grau statt grün, das Netz ist aber stabil "hervorragend"
- Windows und Antivir sind regelmäßig aktualisiert, Antivir findet nix (2 Warnungen!?)
- CCleaner geht zu installieren und hat gefunzt und Ergebnis ist als .txt gesichert
- Anti-Malware (auch alternative) stirbt ohne Meldung in der Installation ab
- HJT geht, hier der Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:34:02, on 26.02.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Intel\Wireless\Bin\EvtEng.exe

C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Gemeinsame Dateien\AAV\aavus.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe

C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Sony\VAIO Event Service\VESMgr.exe

C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe

C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe

C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe

C:\Programme\Apoint\Apoint.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\ICO.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Programme\Sony\VAIO Power Management\SPMgr.exe

C:\Programme\Sony\ISB Utility\ISBMgr.exe

C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\Programme\QuickTime\qttask.exe

C:\WINDOWS\PixArt\PAC207\Monitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programme\Apoint\Apntex.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.web.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll

O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe

O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [PrepareYourVAIO] C:\Programme\Sony\Prepare your VAIO\PYVAlert.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [VAIO Update 3] "C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe"  /Stationary

O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Übertragen mit Image Converter 2 - C:\Programme\Sony\Image Converter 2\menu.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.club-vaio.com/de/

O15 - Trusted Zone: *.sony-europe.com

O15 - Trusted Zone: *.sonystyle-europe.com

O15 - Trusted Zone: *.vaio-link.com

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Programme\Sony\Image Converter 2\IcVzMon.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: VAIO Entertainment Aggregation and Control Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe

O23 - Service: VAIO Entertainment Task Scheduler - Sony Corporation - C:\Programme\Sony\VAIO Entertainment\VzTaskScheduler.exe

O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe

O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe

O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe

O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe

O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe

O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe

O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe

O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe

O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
 

--

End of file - 10946 bytes

Die anderen Files (Systeminfo, CCleaner und Antivir) liegen bereit, kann ich bei Bedarf sofort nachliefern.

Ich scheue mich, den Rechner neu aufzusetzen, und hoffe auf Hilfe. Zum Glück kann ich hier erst mal über meinen eigenen mit euch kommunizieren.

Das Forum hat mir Mut gemacht, es riecht hier so gut nach Kompetenz!

Hallo und :hallo:

GMER - Rootkit Detection

Lade Tralala von File-Upload.net - Tralala.exe
Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
Doppelklick auf Tralala.exe
Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner.de hoch und poste den Link.
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Hallo Andreas, freu mich über deine Antwort!

Gmer hat gefunden, und wahrscheinlich auch genug.
Ging hier nicht rein, habs unter

http://www.materialordner.de/JeEmF6OJZ9t3bfUiVQ91yAtZMyulQZV.html

abgelegt.

Seit wann hat Anke denn Probleme?

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Drivers to delete:

UACd.sys
 

Files to delete:

C:\WINDOWS\system32\drivers\UACirpvuofy.sys

C:\WINDOWS\system32\UACykahnoef.dll

C:\WINDOWS\system32\UACkyaosvye.dll

C:\WINDOWS\system32\UACkcwaipql.dat

C:\WINDOWS\system32\UACntvwpkeq.dll

C:\WINDOWS\system32\UACuemotpvp.dll

C:\WINDOWS\system32\UACykahnoef.dll

C:\WINDOWS\system32\UACgkolmgbj.log

C:\WINDOWS\system32\UACwyekvjej.log

C:\WINDOWS\system32\UACgklojnwt.log

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Seit wann sie Probleme hat? Seit sie mich kennt, siehste doch. Wir reden einfach nicht drüber, hm? :dummguck:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.
 

Hidden driver "UACd.sys" found!

ImagePath:  \systemroot\system32\drivers\UACirpvuofy.sys 

Start Type:  4 (Disabled)
 

Rootkit scan completed.
 

Driver "UACd.sys" deleted successfully.

File "C:\WINDOWS\system32\drivers\UACirpvuofy.sys" deleted successfully.

File "C:\WINDOWS\system32\UACykahnoef.dll" deleted successfully.

File "C:\WINDOWS\system32\UACkyaosvye.dll" deleted successfully.

File "C:\WINDOWS\system32\UACkcwaipql.dat" deleted successfully.

File "C:\WINDOWS\system32\UACntvwpkeq.dll" deleted successfully.

File "C:\WINDOWS\system32\UACuemotpvp.dll" deleted successfully.
 

Error:  file "C:\WINDOWS\system32\UACykahnoef.dll" not found!

Deletion of file "C:\WINDOWS\system32\UACykahnoef.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

File "C:\WINDOWS\system32\UACgkolmgbj.log" deleted successfully.
 

Error:  file "C:\WINDOWS\system32\UACwyekvjej.log" not found!

Deletion of file "C:\WINDOWS\system32\UACwyekvjej.log" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\UACgklojnwt.log" not found!

Deletion of file "C:\WINDOWS\system32\UACgklojnwt.log" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Geht übrigens auch alles nur mit dem Stick zwischen den Rechnern hin und her. Hoffe, ich versau dabei nicht auch noch meinen.

Zitat:

Seit sie mich kennt, siehste doch.

Soooo genau wollte ich es gar nicht wissen. Geht das auch in Datumsangaben wie z.B. seit einem Monat?

Poste ein neues Gmer-Log und arbeite anschliessend unsere Liste ab.
http://www.trojaner-board.de/69886-a...-beachten.html

ciao, andreas

Das Problem besteht angeblich seit 17./18.02.09 (kann länger sein, wurde aber vielleicht nicht bemerkt).

Es gab vor etwas einem halben Jahr Ärger mit "MS Antispyware" o.ä.. Der nervte im Vordergrund, tat so als wäre er von Microsoft und hat zur Installation bzw. Kauf genötigt. Ich habe ihn nach einer ergoogleten Anleitung gelöscht. CCleaner, gestern zum ersten Mal eingesetzt, hat hier noch Reste beseitigt, ich hatte die .exe und ein paar Einträge von Hand gelöscht. Hat funktioniert, seither keine Probleme. Brauchst du die Sicherungen (.reg) aus CCleaner?

Es gibt auch Zwei Warnungen aus Antivir, die "schon immer" da sind, jedoch keine Funde. Auch diesen Bericht habe ich als .txt gesichert (Zusammenfassung siehe unten).

Habe also gegoogelt, aber nichts wirklich auf mein Problem konkret passendes gefunden. Die Themen hier im Forum waren noch am nächsten dran. Die Anmeldung war mit den ganzen Fehlleitungen kaum hinzubekommen. Einzig die direkte Eingabe in die Adresszeile brachte das richtige Ziel. Alle anderen, z.B. Button "Registrieren" gingen ins Unbekannte oder endeten mit "Error 404".
Ich hatte meine GMX-Adresse angegeben, konnte die aber vom betroffenen Rechner aus nicht mehr öffen. Hab dann mit meinem Rechner weitergemacht und hier im Forum mehr Beiträge in ähnlicher Art gefunden. Mangels Kenntnissen habe ich nicht rumprobieren wollen und das HJT-Log gepostet.

Was brauchst du für Informationen? Was kann ich tun? Ich will dich ja mit Files auch nicht unnötig zuschütten.

Hier der neue Log von Gmer:

Code:

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2009-02-27 21:43:53

Windows 5.1.2600 Service Pack 3
 
 

---- Kernel code sections - GMER 1.0.14 ----
 

?               fodzt.sys                                                                             Das System kann die angegebene Datei nicht finden. !
 

---- User code sections - GMER 1.0.14 ----
 

.text           C:\Programme\Internet Explorer\iexplore.exe[3772] USER32.dll!DialogBoxParamW          7E3747AB 5 Bytes  JMP 444DF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3772] USER32.dll!DialogBoxIndirectParamW  7E382072 5 Bytes  JMP 4467187F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3772] USER32.dll!MessageBoxIndirectA      7E38A082 5 Bytes  JMP 44671800 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3772] USER32.dll!DialogBoxParamA          7E38B144 5 Bytes  JMP 44671844 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3772] USER32.dll!MessageBoxExW            7E3A0838 5 Bytes  JMP 4467178C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3772] USER32.dll!MessageBoxExA            7E3A085C 5 Bytes  JMP 446717C6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3772] USER32.dll!DialogBoxIndirectParamA  7E3A6D7D 5 Bytes  JMP 446718BA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3772] USER32.dll!MessageBoxIndirectW      7E3B64D5 5 Bytes  JMP 445016F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
 

---- Devices - GMER 1.0.14 ----
 

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
 

---- EOF - GMER 1.0.14 ----

Hier noch das Ende des Avira-Berichts:

Code:

Beginne mit der Suche in 'C:\' <VAIO>

C:\hiberfil.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Beginne mit der Suche in 'D:\' <VAIO>
 

Ende des Suchlaufs: Donnerstag, 26. Februar 2009  21:29

Benötigte Zeit: 28:00 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

   4263 Verzeichnisse wurden überprüft

 211927 Dateien wurden geprüft

      0 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      2 Dateien konnten nicht durchsucht werden

 211925 Dateien ohne Befall

   6686 Archive wurden durchsucht

      2 Warnungen

      0 Hinweise

Danke für deine Mühe!

Ist schon eine Besserung spürbar?

Zitat:

Was brauchst du für Informationen?

Falls du die Liste (klick auf den Link) gelesen hättest, wüsstest du, dass ich auf das MbAM-Log und die HijackThis-Uninstallliste warte.

Zitat:

Ich will dich ja mit Files auch nicht unnötig zuschütten.

Da mache dir mal keine Gedanken. Ich weiß schon, was ich lesen muss und was nicht.

ciao, andreas

Erfolge!
MbAM lässt sich jetzt installieren und läuft

Code:

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1811

Windows 5.1.2600 Service Pack 3
 

27.02.2009 23:23:19

mbam-log-2009-02-27 (23-23-19).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 117562

Laufzeit: 27 minute(s), 10 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\CrucialSoft Ltd (Rogue.MSantispyware2009) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Uninstallist ist auch da:

Code:

Adobe Acrobat  7.0 Elements - Deutsch

Adobe Flash Player ActiveX

Adobe Reader 7.1.0 - Deutsch

Avira AntiVir Personal - Free Antivirus

BDElster-Telemodul

Buhl finance - tax 2005 Standard

Buhl finance - tax 2006 Standard

Canon MP Navigator 2.0

Canon MP170

Canon Utilities Easy-PhotoPrint

CCleaner (remove only)

CDex extraction audio

Click to DVD 2.0.03 Menu Data

Click to DVD 2.4.10

Easy-WebPrint

Google Toolbar for Internet Explorer

HDAUDIO SoftV92 Data Fax Modem with SmartCP

High Definition Audio Driver Package - KB835221

HijackThis 2.0.2

Hotfix für Windows Internet Explorer 7 (KB947864)

Hotfix für Windows XP (KB952287)

Image Converter 2

Intel(R) Graphics Media Accelerator Driver for Mobile

Intel(R) PRO Network Connections Drivers

Intel(R) PROSet/Wireless Software

InterVideo WinDVD for VAIO

InterVideo WinDVDX

J2SE Runtime Environment 5.0 Update 3

Java(TM) 6 Update 7

LAN-Express AS IEEE 802.11 Wireless LAN

Lounge'n' LOOK Cliqcam

Malwarebytes' Anti-Malware

mCore

mDriver

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

Microsoft Office 2000 SR-1 Professional

Microsoft SQL Server Desktop Engine (VAIO_VEDB)

mMHouse

Mozilla Firefox (2.0.0.1)

mPfMgr

mProSafe

MSXML 4.0 SP2 (KB927978)

MSXML 4.0 SP2 (KB936181)

MSXML 4.0 SP2 (KB954430)

mWlsSafe

mXML

NVIDIA Drivers

OmniPage SE 2.0

OpenMG Secure Module 4.2.00

QuickTime

Realtek High Definition Audio Driver

Roxio DigitalMedia Audio

Roxio DigitalMedia Copy

Roxio DigitalMedia Data

SAMSUNG Mobile Composite Device Software

SAMSUNG Mobile USB Modem 1.0 Software

SAMSUNG Mobile USB Modem Software

Samsung PC Studio 3 USB Driver Installer

Setting Utility Series

Sicherheitsupdate für Step by Step Interactive Training (KB898458)

Sicherheitsupdate für Step by Step Interactive Training (KB923723)

Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)

Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)

Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)

Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)

Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)

Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)

Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)

Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)

Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)

Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)

Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)

Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)

Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)

Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)

Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)

Sicherheitsupdate für Windows Media Player (KB952069)

Sicherheitsupdate für Windows Media Player 10 (KB911565)

Sicherheitsupdate für Windows Media Player 10 (KB917734)

Sicherheitsupdate für Windows Media Player 10 (KB936782)

Sicherheitsupdate für Windows XP (KB938464)

Sicherheitsupdate für Windows XP (KB941569)

Sicherheitsupdate für Windows XP (KB946648)

Sicherheitsupdate für Windows XP (KB950760)

Sicherheitsupdate für Windows XP (KB950762)

Sicherheitsupdate für Windows XP (KB950974)

Sicherheitsupdate für Windows XP (KB951066)

Sicherheitsupdate für Windows XP (KB951376)

Sicherheitsupdate für Windows XP (KB951376-v2)

Sicherheitsupdate für Windows XP (KB951698)

Sicherheitsupdate für Windows XP (KB951748)

Sicherheitsupdate für Windows XP (KB952954)

Sicherheitsupdate für Windows XP (KB953839)

Sicherheitsupdate für Windows XP (KB954211)

Sicherheitsupdate für Windows XP (KB954459)

Sicherheitsupdate für Windows XP (KB954600)

Sicherheitsupdate für Windows XP (KB955069)

Sicherheitsupdate für Windows XP (KB956391)

Sicherheitsupdate für Windows XP (KB956802)

Sicherheitsupdate für Windows XP (KB956803)

Sicherheitsupdate für Windows XP (KB956841)

Sicherheitsupdate für Windows XP (KB957095)

Sicherheitsupdate für Windows XP (KB957097)

Sicherheitsupdate für Windows XP (KB958644)

Sicherheitsupdate für Windows XP (KB958687)

Sicherheitsupdate für Windows XP (KB960715)

Skype™ 3.6

Sony MP4 Shared Library

Sony USB Mouse

Sony Utilities DLL

Sony Video Shared Library

Steuer-Spar-Erklärung 2007

Steuer-Spar-Erklärung 2008

SUPERAntiSpyware Professional

Update für Windows XP (KB951072-v2)

Update für Windows XP (KB951978)

Update für Windows XP (KB955839)

Update für Windows XP (KB967715)

VAIO Control Center

VAIO Edit Components

VAIO Entertainment Platform

VAIO Event Service

VAIO Launcher

VAIO Light Flo Wallpaper

VAIO Long Battery Life Wallpaper

VAIO Media 4.0

VAIO Media AC3 Decoder 1.0

VAIO Media Integrated Server 4.2

VAIO Media Redistribution 4.0

VAIO Media Registration Tool 4.0

VAIO Original Screen Saver

VAIO Original Screen Saver VAIO Motion HD Normal Contents

VAIO Original Screen Saver VAIO Motion HD Wide Contents

VAIO Original Screen Saver VAIO Motion SD Normal Contents

VAIO Original Screen Saver VAIO Motion SD Wide Contents

VAIO Original Screen Saver VAIO Scene HD Normal Contents

VAIO Original Screen Saver VAIO Scene HD Wide Contents

VAIO Original Screen Saver VAIO Scene SD Normal Contents

VAIO Original Screen Saver VAIO Scene SD Wide Contents

VAIO Power Management

VAIO Product Survey

VAIO Update 3

VAIO Zone

VAIO-Online-Registrierung (Deutsch)

Windows Media Format Runtime

Windows Media Player 10

Windows XP Service Pack 3

Wireless LAN Starter

Eine bislang unbekannte Erscheinung: beim Öffnen von C: über das Icon im Arbeitsplatz meldet Windos Script Host, dass "C:\PC11.vbs" nicht gefunden wurde. Über die Ordneransicht komme ich aber überall hin.

Leider bin ich bei der Erstellung dieser Antwort aus dem Board geflogen und musste mich neu anmelden, was wieder nicht ordentlich gelinkt hat.

Nochwas Gutes: In GMX komm ich auch wieder rein. Toll!

Macht ein Neustart Sinn? Brauchst du einen frischen HJT-Log?

Zitat:

Brauchst du die Sicherungen (.reg) aus CCleaner?

Nein.

Zitat:

Macht ein Neustart Sinn?

Nein.

Zitat:

Brauchst du einen frischen HJT-Log?

Noch nicht.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Ich krieg den Antivir nicht richtig aus.
Habe den Guard deaktiviert, der Schirm im Symbol ist zugeklappt. Weitere Möglichkeiten zur Deaktivierung sind mir nicht bekannt / hab ich nicht gefunden.

Combofix hat ein Fenster auf und setzt nicht fort bevor ich deaktiviert habe und den OK-Button klicke. Kann ich das wagen?

Wenn der Schrim zugeklappt ist, ist der Guad von Avira deaktiviert und man soll Combofix bei deaktiviertem Guard laufen lassen ;)

drück du die daumen, ich drück auf den knopp!

danke für die ermutigung

du sollst alle Programme schließen und am besten die Maus nicht bewegen....

Es lebt!
Der Guard ist wieder an, ich arbeite vom Problemrechner aus.
USB-Stick wird erkannt, Audio-CD startet nicht automatisch spielt aber zumindest (könnte so eingestellt gewesen sein).

Code:

ComboFix 09-02-27.02 - ****** 2009-02-28  0:31:20.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.502.235 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\******\Desktop\ComboFix.exe

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated)

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated)

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

 * Neuer Wiederherstellungspunkt wurde erstellt
 

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\autorun.inf

D:\Autorun.inf
 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-01-27 bis 2009-02-27  ))))))))))))))))))))))))))))))

.
 

2009-02-27 22:40 . 2009-02-27 22:40        <DIR>        d--------        c:\dokumente und einstellungen\******\Anwendungsdaten\Malwarebytes

2009-02-27 22:40 . 2009-02-11 10:19        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-27 22:40 . 2009-02-11 10:19        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2009-02-26 20:55 . 2009-02-26 20:55        <DIR>        d--------        c:\programme\SUPERAntiSpyware

2009-02-26 20:55 . 2009-02-26 20:55        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2009-02-26 20:55 . 2009-02-26 20:55        <DIR>        d--------        c:\dokumente und einstellungen\******\Anwendungsdaten\SUPERAntiSpyware.com

2009-02-26 19:39 . 2009-02-27 22:40        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2009-02-26 19:39 . 2009-02-26 19:39        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-02-26 19:24 . 2009-02-26 19:24        <DIR>        d--------        c:\programme\CCleaner

2009-02-26 18:19 . 2009-02-26 18:19        <DIR>        d--------        c:\programme\Trend Micro

2009-02-26 16:48 . 2009-02-26 17:27        <DIR>        d--------        c:\programme\Spybot - Search & Destroy

2009-02-26 16:48 . 2009-02-26 17:27        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-27 12:08        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2008-12-20 22:31        826,368        ----a-w        c:\windows\system32\wininet.dll

2008-01-09 17:52        32        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat

2006-10-09 18:21        42        ----a-w        c:\dokumente und einstellungen\******\Anwendungsdaten\wklnhst.dat

2008-09-06 06:36        32,768        --sha-w        c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008090620080907\index.dat

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-03 68856]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="c:\programme\Apoint\Apoint.exe" [2003-11-07 114688]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-06-09 6746112]

"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-04-29 45056]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-29 94208]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-29 77824]

"Persistence"="c:\windows\system32\igfxpers.exe" [2005-06-29 114688]

"SonyPowerCfg"="c:\programme\Sony\VAIO Power Management\SPMgr.exe" [2005-05-15 184320]

"ISBMgr.exe"="c:\programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]

"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-03-03 483328]

"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-08-06 155648]

"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]

"PrepareYourVAIO"="c:\programme\Sony\Prepare your VAIO\PYVAlert.exe" [2005-01-21 118784]

"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 266497]

"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-05-19 282624]

"VAIO Update 3"="c:\programme\Sony\VAIO Update 3\VAIOUpdt.exe" [2007-01-25 546936]

"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]

"RTHDCPL"="RTHDCPL.EXE" [2005-06-29 c:\windows\RTHDCPL.EXE]

"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 c:\windows\system32\ico.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]

2005-05-20 16:42 73728 c:\windows\system32\VESWinlogon.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.dvsd"= c:\progra~1\GEMEIN~1\SONYSH~1\VideoLib\sonydv.dll
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-08 22336]

R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2006-02-08 45376]

R2 AAV UpdateService;AAV UpdateService;c:\programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880]

R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB [?]

S3 PAC207;Lounge'n'LOOK Cliqcam;c:\windows\system32\drivers\PFC027.SYS [2007-04-12 507264]

S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB [?]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33c1fed6-e766-11db-bc0d-0014a415ccbf}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe ARBEITSTIER.vbs
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{68a1e972-9125-11dc-bd29-0014a415ccbf}]

\Shell\AutoRun\command - H:\LaunchU3.exe -a
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c18875a-e181-11dc-bda1-0014a415ccbf}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f0ce540-38a6-11da-b926-806d6172696f}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe PC11.vbs
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f0ce541-38a6-11da-b926-806d6172696f}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe PC11.vbs
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d64778fa-e420-11db-bc00-0014a415ccbf}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe NAME-2QD9HIY8JE.vbs

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://w*w.web.de/

uSearchMigratedDefaultURL = hxxp://w*w.google.com/search?q={searchTerms}

uSearchURL,(Default) = hxxp://w*w.google.com/search?q=%s

IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

IE: Übertragen mit Image Converter 2 - c:\programme\Sony\Image Converter 2\menu.htm

Trusted Zone: sony-europe.com

Trusted Zone: sonystyle-europe.com

Trusted Zone: vaio-link.com

FF - ProfilePath - c:\dokumente und einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\gyfrjy2h.default\

FF - prefs.js: browser.startup.homepage - w*w.web.de

FF - component: d:\browser\Mozilla Firefox\components\xpinstal.dll

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net

Rootkit scan 2009-02-28 00:32:43

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(764)

c:\programme\SUPERAntiSpyware\SASWINLO.dll

c:\windows\system32\VESWinlogon.dll

.

Zeit der Fertigstellung: 2009-02-28  0:34:22

ComboFix-quarantined-files.txt  2009-02-27 23:34:05
 

Vor Suchlauf: 13 Verzeichnis(se), 20.604.289.024 Bytes frei

Nach Suchlauf: 13 Verzeichnis(se), 20,592,230,400 Bytes frei
 

141        --- E O F ---        2009-02-25 09:44:55

Sieht gut aus, kein Problem erkennbar!

Wie räume ich jetzt auf? (Combofix z.B. soll ich ja bestimmt nicht auf dem Desktop stehen lassen)
Und was ist außer "brain.exe" benutzen zur Prävention noch zu empfehlen?

Dank an JigSaw für die Begleitung!

Warum hat Jig Saw sich eingemischt? :confused: Sieht so aus, als müsste ich meine FL wieder aufräumen.

Egal, Cobra, übernehmen sie. :daumenhoc

ciao, andreas

Ich hab mich nur eingemischt, weil du um die Uhrzeit nicht mehr on warst ;)
und es so aussah, als ob er Hilfe bräuche und bevor er sein System zerschiesst hab ich einfach geschrieben ;)
Ist das schlimm?

aber so ganz kapier ich das am frühem Morgen auch nicht, was meinst du mit FL und wer ist Cobra? :confused:
sorry bin erst aufgestanden

Moin ihr beiden?!
ich hoffe, ich hab keinen Unfrieden gestiftet, geb meinen Senf nicht dazu und berichte nur die aktuellen Beobachtungen.

1. Beim Abmelden bin ich auf einer total blanken Browserseite gelandet. der zweite Versuch lief dann. Ich konnte sowas nicht wiederholen, es ist nicht nochmal aufgetreten.
Google linkt astrein. Auch alle anderen Links, die nicht gingen sind wieder i.O.

2. Bei Autostart von CD/DVD- und USB-Laufwerken hat sich immer das Eingabefenster (was ist zu tun) gezeigt. Nach Combofix erscheint dieses Fenster nicht mehr. Sollte aber, ist aber unter "Eigenschaften" der jeweiligen Laufwerke eingestellt. Manueller Start über Arbeitsplatz/Explorer funktioniert.

3. Was ist mit der Wiederherstellungkonsole? Combofix meinte, es gäb keine und hat sie während des Durchlaufs wärmstens empfohlen. Ich hab keine installiert, weil ich alles getrennt hatte um das Programm nicht zu stören.

Mehr ist mir bislang nicht aufgefallen.

Bin dankbar für jede Hilfe auf diesem für mich ONU doch recht dunklem Pfad. Also zankt euch bitte nicht!

LG vom Hund

ComboFix hat Autoplay abgeschaltet. Vertraue einem "alten Hund". Das ist gut so. Lies hier: http://www.trojaner-board.de/68318-r...light=autoplay

1.) Start => Ausführen => combofix /u => OK
2.) Deinstalliere alle Programme, die wir eingesetzt haben.
3.) Damit dir das nicht wieder passiert, halte dich an die fundamentalen Regeln: http://www.trojaner-board.de/69792-r...tml#post412719

ciao, andreas

Hallo Andreas,
ich habe alles nach Anleitung ordentlich entfernt und gelesen.

Die Aktion hat mich zu einigen neuen An- und Einsichten geführt und wird mich noch weiter beschäftigen.

Insoweit könnte ich mir meine letzte verbleibende Frage selbst beantworten?
Es gibt in einigen Programmen (z.B. Antivir, Rechtsklick auf das Symbol in der Taskleiste, "Avira im Internet") Links, die nach der Reparatur lediglich ein blankes Browserfenster mit blitzblanker URL-Zeile öffnen. Und nix weiter.
Ich denke nun, der "alte Hund" wird sagen: das soll so!

Ich will gar nicht an meinen eigenen Rechner denken. Da sind zwar noch keine solch ernsten Symptome zu erkennen, aber Trojaner (generic.dx) hat auch mein McAffe gefunden und ein paar seltsame Kleinigkeiten gibt es...

Muss erst mal die Hausaufgaben machen, die ich hier mitnehme und melde mich später ggf. mit einem neuen Thema.

Danke für dein Hirn, deine Zeit und die Geduld!

:dankeschoen::dankeschoen::dankeschoen:

Ich ziehe den Hut und verneige mich tief - Ihr seid Helden!

Es ist hier leider nicht selbstverständlich, dass sich Leute bedanken. Deshalb ein ernstgemeintes http://www.cosgan.de/images/more/schilder/019.gif für deine Rückmeldung.

Zu dem leeren Browserfenster weiß ich keine Antwort, aber über Meldungen von Avira würde ich mir wahrhaft keine Gedanken machen. Ich weiß schon, warum ich kein Antivirenprogramm benutze. ;)

Falls dich das mit dem Autoplay belastet, dann benutze die Forensuche und suche nach: autoplay repair wizard

Lies allerdings auch das Post von dem anderen "alten Hund" KarlKarl, du wirst schon verstehen.

ciao, andreas

Neinnein, das ist alles schön so. Damit kann man (besser: Frau Anke) schon leben.

Die freut sich riesig, dass die Kiste wieder läuft. Ich soll unbedingt auch von ihr Dank und Gruß übermitteln!

Den Lesetipp greif ich gern auf.

Bis denn!