Trojaner-Board - Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung.. (https://www.trojaner-board.de/79483-internet-explorer-oeffnet-automatisch-werbung-trojaner-meldung.html)

Internet Explorer öffnet automatisch mit Werbung! Trojaner Meldung..

Hallo,

ich hoffe mir kann jemand helfen. Mein Internet Explorer öffnet sich immer automatisch mit irgendwelcher Werbung seit paar tagen.

Noch dazu, hatte ich vor paar Minuten einige Trojaner Meldungen, welche ich mit AntiVir gelöscht habe... kann mir jemand helfen???

Hier ist mein logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:08:33, on 17.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\lxdjcoms.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Softex\OmniPass\Omniserv.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE
C:\Programme\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\msc.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\SweetIM\Messenger\SweetIM.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\DOKUME~1\Martini\LOKALE~1\Temp\b.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MailBlocker] C:\DOKUME~1\Martini\LOKALE~1\Temp\b.exe
O4 - HKCU\..\Run: [Minisoft] C:\DOKUME~1\Martini\LOKALE~1\Temp\h.exe
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {DC6FEBC5-0A2D-458A-A01B-5DB15EEC4305} (IlosoftImageUploadCtl Class) - http://webc.dj-martini.de/controls/IlosoftImageUpload.dll
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MSI\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: lxdjCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdjserv.exe
O23 - Service: lxdj_device - - C:\WINDOWS\system32\lxdjcoms.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Programme\Softex\OmniPass\Omniserv.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Martini/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg

--
End of file - 7832 bytes

Danke schonmal im vorraus!!!

Hallo,

poste bitte das Logfile vom Virenscanner.

Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo Cosinus,

ich danke dir erstmal vielmas für die schnelle Antwort. Ich glaube hab jetzt alles durchgelesen und richtig befolgt...
Hier der Downloadlink: http://www.file-upload.net/download-2018407/Log_Martini.rar.html

Danke dir schonmal vielmals, für deine Zeit und Mühe!

Kannst Du noch das Log von Avira nachreichen? Der hatte ja zuvor auch noch was gefunden.

Ja ich lasse ihn nochmal komplett... durchlaufen habe ja nur bis jetzt immer die Warnungen bekommen...wo gefragt wird was ich machen soll.

Gruß
Martin

Wie versprochen hier der Report von AntiVir! Danke schonmal für deine Hilfe!

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 17. November 2009 21:33

Es wird nach 1910968 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ACER16

Versionsinformationen:
BUILD.DAT : 9.0.0.410 18074 Bytes 25.09.2009 11:51:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 05.08.2009 10:25:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:12
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:46
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:42:00
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:30:38
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 13:02:02
ANTIVIR2.VDF : 7.1.6.222 5998592 Bytes 11.11.2009 21:22:22
ANTIVIR3.VDF : 7.1.6.241 224256 Bytes 16.11.2009 21:45:44
Engineversion : 8.2.1.65
AEVDF.DLL : 8.1.1.2 106867 Bytes 19.09.2009 10:54:24
AESCRIPT.DLL : 8.1.2.44 586107 Bytes 07.11.2009 13:29:28
AESCN.DLL : 8.1.2.5 127346 Bytes 06.09.2009 13:21:42
AERDL.DLL : 8.1.3.2 479604 Bytes 03.10.2009 13:28:28
AEPACK.DLL : 8.2.0.3 422261 Bytes 05.11.2009 23:01:54
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 29.06.2009 13:02:08
AEHEUR.DLL : 8.1.0.180 2093432 Bytes 07.11.2009 13:29:18
AEHELP.DLL : 8.1.7.0 237940 Bytes 06.09.2009 13:21:40
AEGEN.DLL : 8.1.1.74 364917 Bytes 11.11.2009 21:22:44
AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 13:27:52
AECORE.DLL : 8.1.8.2 184694 Bytes 05.11.2009 23:00:52
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:58
AVPREF.DLL : 9.0.3.0 44289 Bytes 12.09.2009 12:11:52
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 14:34:30
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:06
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:38
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:06
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:30
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:22
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:18
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 10:13:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, G:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 17. November 2009 21:33

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '84726' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Havana Club Weltempfänger.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SweetIM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OPXPApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SQLAGENT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageTryStartService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OmniServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SQLSERVR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LXDJCOMS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHEDUL2.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSDTC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTWDINS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Martini\Lokale Einstellungen\Temp\g.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.aaft
C:\Dokumente und Einstellungen\Martini\Lokale Einstellungen\Temp\i.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP479\A0102469.DLL
[FUND] Ist das Trojanische Pferd TR/BHOLamp.hej
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP479\A0102476.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102484.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102485.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102487.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102488.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
Beginne mit der Suche in 'D:\' <ACERDATA>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Martini\Lokale Einstellungen\Temp\g.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.aaft
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6820dc.qua' verschoben!
C:\Dokumente und Einstellungen\Martini\Lokale Einstellungen\Temp\i.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ff7cdfd.qua' verschoben!
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP479\A0102469.DLL
[FUND] Ist das Trojanische Pferd TR/BHOLamp.hej
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3420de.qua' verschoben!
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP479\A0102476.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fafeedf.qua' verschoben!
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102484.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f94d437.qua' verschoben!
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102485.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4df3cd2f.qua' verschoben!
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102487.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f95dc6f.qua' verschoben!
C:\System Volume Information\_restore{33A424B2-957E-4D87-986F-CECEADBB2E83}\RP480\A0102488.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.KH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f902c9f.qua' verschoben!

Ende des Suchlaufs: Dienstag, 17. November 2009 23:16
Benötigte Zeit: 1:41:12 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

12177 Verzeichnisse wurden überprüft
445863 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
8 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
445852 Dateien ohne Befall
10301 Archive wurden durchsucht
3 Warnungen
10 Hinweise
84726 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Okay, mach mal nun bitte einen Durchlauf mit Combofix, evtl. Reste löschen wir danach dann gezielt(er) ;)

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo, so hier nun der Log von Combo-Fix, hoffe ich habe alles richtig gemacht...

Code:

ComboFix 09-11-18.06 - Martini 18.11.2009 14:36.5.2 - FAT32x86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.2046.1465 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Martini\Desktop\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FW: Avira Firewall *disabled* {55185680-1D7E-44D7-3094-596BB89B90C9}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\system32\ic32.dll

c:\windows\system32\vimc.exe

c:\windows\system32\wk32.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-10-18 bis 2009-11-18  ))))))))))))))))))))))))))))))

.
 

2009-11-18 13:36 . 2004-08-04 04:00        95360        ----a-w-        c:\windows\system32\drivers\atapi.sys

2009-11-18 13:36 . 2004-08-04 04:00        95360        ----a-w-        c:\windows\system32\dllcache\atapi.sys

2009-11-17 17:33 . 2009-11-17 17:33        --------        d-----w-        C:\rsit

2009-11-17 17:32 . 2009-09-10 13:54        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-11-17 17:32 . 2009-11-17 17:32        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-11-17 17:32 . 2009-09-10 13:53        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-11-17 17:32 . 2009-11-17 17:32        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-11-15 20:41 . 2009-11-15 20:41        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files

2009-11-15 01:53 . 2009-11-15 01:53        --------        d-----w-        c:\programme\Stereoscopic Player

2009-11-11 21:43 . 2009-11-11 21:43        --------        d-sh--w-        c:\dokumente und einstellungen\Internet\IETldCache

2009-11-05 12:39 . 2009-11-05 12:39        --------        d-sh--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-19 13:30 . 2009-10-19 13:30        --------        d-----w-        c:\programme\ADAC Special Gebrauchtwagen 2009

2009-10-18 13:19 . 2006-05-23 11:31        93948        ----a-w-        c:\windows\system32\perfc007.dat

2009-10-18 13:19 . 2006-05-23 11:31        481892        ----a-w-        c:\windows\system32\perfh007.dat

2009-10-17 17:44 . 2009-10-17 17:44        --------        d-----w-        c:\programme\Havana Club Weltempfänger

2009-10-07 20:23 . 2009-10-07 20:23        --------        d-----w-        c:\programme\Lx_cats

2009-10-07 20:15 . 2009-10-07 20:15        --------        d-----w-        c:\programme\Lexmark 1400 Series

2009-09-30 19:16 . 2009-09-30 19:16        --------        d-----w-        c:\programme\Gemeinsame Dateien\DivX Shared

2009-09-11 15:31 . 2004-08-04 04:00        133632        ----a-w-        c:\windows\system32\msv1_0.dll

2009-09-04 21:45 . 2004-08-04 04:00        58880        ----a-w-        c:\windows\system32\msasn1.dll

2009-08-29 08:54 . 2006-01-09 19:01        916480        ----a-w-        c:\windows\system32\wininet.dll

2009-08-26 09:14 . 2004-08-04 04:00        247326        ----a-w-        c:\windows\system32\strmdll.dll

2009-05-01 22:02 . 2009-05-01 22:02        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll

2009-05-01 22:02 . 2009-05-01 22:02        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2008-10-08 173368]
 

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]

[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]

[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]

[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]

2008-10-08 11:22        1172792        ----a-w-        c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]
 

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]

[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]

[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]

[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]
 

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]

[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]

[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]

[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]

"SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2009-02-15 111928]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"=hex(2):76,69,73,74,61,75,69,2e,65,78,65,00
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]

2005-09-26 13:54        49152        ----a-w-        c:\programme\Softex\OmniPass\OPXPGina.dll
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           autocheck autochk /r \??\G:\0autocheck autochk *
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"eRecoveryService"=c:\acer\Empowering Technology\eRecovery\eRAgent.exe

"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe"

"LManager"=c:\progra~1\LAUNCH~1\LManager.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Programme\\SpacialAudio\\SAMBC\\SAMBC.EXE"=

"c:\\Programme\\Radio-Tollbox\\Radio Toolbox\\rtb.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=

"c:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\groove.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\onenote.exe"=

"c:\\totalcmd\\TOTALCMD.EXE"=

"c:\\Programme\\homepage MAKER\\Express SE\\p3AppServ\\bin\\mysql\\bin\\mysqld.exe"=

"c:\\Programme\\homepage MAKER\\Express SE\\p3AppServ\\bin\\apache\\bin\\httpd.exe"=

"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\ArKaos VJ 3.6.1 FC2\\ArKaos.exe"=

"c:\\Programme\\ICQ6.5\\ICQ.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\WINDOWS\\System32\\lxdjcoms.exe"=

"c:\\Programme\\Lexmark 1400 Series\\lxdjamon.exe"=

"c:\\Programme\\Lexmark 1400 Series\\App4R.exe"=

"c:\\WINDOWS\\System32\\lxdjcfg.exe"=

"c:\\WINDOWS\\System32\\SPOOL\\drivers\\W32X86\\3\\LXDJJSWX.EXE"=

"c:\\WINDOWS\\System32\\SPOOL\\drivers\\W32X86\\3\\LXDJtime.exe"=

"c:\\Programme\\Lexmark 1400 Series\\Wireless\\lxdjwpss.exe"=

"c:\\WINDOWS\\System32\\SPOOL\\DRIVERS\\W32X86\\3\\lxdjPSWX.EXE"=
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [29.06.2009 13:59 108289]

R2 MarxDev1;MarxDev1;c:\windows\system32\drivers\MARXDEV1.SYS [16.12.2006 10:24 8864]

R2 MarxDev2;MarxDev2;c:\windows\system32\drivers\MARXDEV2.SYS [16.12.2006 10:24 8864]

R2 MarxDev3;MarxDev3;c:\windows\system32\drivers\MARXDEV3.SYS [16.12.2006 10:24 8864]

S2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;\??\c:\windows\system32\eLock2BurnerLockDriver.sys --> c:\windows\system32\eLock2BurnerLockDriver.sys [?]

S2 eLock2FSCTLDriver;eLock2FSCTLDriver;\??\c:\windows\system32\eLock2FSCTLDriver.sys --> c:\windows\system32\eLock2FSCTLDriver.sys [?]

S2 lxdjCATSCustConnectService;lxdjCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdjserv.exe [07.10.2009 21:16 99248]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MSI\MAGIX\Common\Database\bin\fbserver.exe [06.11.2007 00:04 1527900]

S3 fspio;fspio;c:\windows\system32\drivers\fspio.sys [15.07.2007 09:29 3816]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [25.04.2007 17:51 264704]

S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [12.03.2008 20:23 83208]

S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [12.03.2008 20:23 15112]

S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [12.03.2008 20:23 108680]

S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [12.03.2008 20:23 100488]

S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [12.03.2008 20:23 98568]

S3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [13.07.2004 12:40 48384]

S4 FanSpeedNT Service;FanSpeedNT Service;"c:\dokume~1\Martini\LOKALE~1\Temp\Rar$EX00.969\fanspeedNT.exe"  --> c:\dokume~1\Martini\LOKALE~1\Temp\Rar$EX00.969\fanspeedNT.exe [?]
 

--- Andere Dienste/Treiber im Speicher ---
 

*NewlyCreated* - CLASSPNP_2

*NewlyCreated* - MBR

*NewlyCreated* - PROCEXP113

*Deregistered* - CLASSPNP_2

*Deregistered* - mbr

*Deregistered* - PROCEXP113
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{69D201E7-F949-D26C-80B6-5880F7127182}]

c:\windows\system32\win32inni\svchost.exe s

.

Inhalt des "geplante Tasks" Ordners
 

2009-11-15 c:\windows\Tasks\1-Klick-Wartung.job

- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2006-10-02 15:22]
 

2008-11-08 c:\windows\Tasks\PC abschalten.job

- c:\windows\System32\shutdown.exe [2004-08-04 04:00]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de

IE: Senden an &Bluetooth-Gerät... - c:\programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm

DPF: {DC6FEBC5-0A2D-458A-A01B-5DB15EEC4305} - hxxp://webc.dj-martini.de/controls/IlosoftImageUpload.dll

FF - ProfilePath - c:\dokumente und einstellungen\Martini\Anwendungsdaten\Mozilla\Firefox\Profiles\76rq43hg.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.de/search?q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de

FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=

FF - plugin: c:\programme\Mozilla Firefox\plugins\NPnsv_vp3_mp3.dll

FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

FF - user.js: browser.link.open_newwindow - 3

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CIDFE0BD779-44EE-4A4B-AA2E-743C63F2E5E6", "AllAccess");

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

WebBrowser-{8D85C8A8-284B-46E5-AD8F-6EB5A4FAC059} - (no file)

AddRemove-mIRC - c:\programme\RadioDrom\DromChat.exe

AddRemove-Vista Transformation Pack - c:\windows\System32\vimc.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-11-18 14:42

Windows 5.1.2600 Service Pack 2 FAT NTAPI
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

called modules: TUKERNEL.EXE catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x8A75C1F8]<< 

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf765bfc3

\Driver\ACPI -> ACPI.sys @ 0xf7495cb8

\Driver\atapi -> 0x8a75c1f8

IoDeviceObjectType -> DeleteProcedure -> TUKERNEL.EXE @ 0x8059e19a

 SecurityProcedure -> TUKERNEL.EXE @ 0x805b008a

\Device\Harddisk0\DR0 -> DeleteProcedure -> TUKERNEL.EXE @ 0x8059e19a

 SecurityProcedure -> TUKERNEL.EXE @ 0x805b008a

NDIS: Atheros AR5005G Wireless Network Adapter -> SendCompleteHandler -> NDIS.sys @ 0xbaeddbc3

 PacketIndicateHandler -> NDIS.sys @ 0xbaee9b21

 SendHandler -> NDIS.sys @ 0xbaeddd33

Warning: possible MBR rootkit infection !

user & kernel MBR OK 
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-3848056783-802410026-517143755-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B0958272-77D5-FEEA-4DDB-C96D3D4CDB49}*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

"oaliocnippfkjoghgdefefdhohdkie"=hex:6a,61,68,70,62,70,69,66,64,62,6d,61,6f,65,

   69,62,6b,69,65,68,00,1e

"nabdibcdgjllpenecoipgcbjgnmf"=hex:6a,61,68,70,6e,70,6f,70,64,69,62,69,6f,63,

   6f,6c,65,63,69,66,00,1e
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

"7040710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(908)

c:\windows\system32\Ati2evxx.dll

c:\programme\Softex\OmniPass\opxpgina.dll

c:\windows\system32\cscui.dll
 

- - - - - - - > 'lsass.exe'(964)

c:\windows\system32\relog_ap.dll

.

Zeit der Fertigstellung: 2009-11-18 14:43

ComboFix-quarantined-files.txt  2009-11-18 13:43

ComboFix2.txt  2008-01-02 09:10

ComboFix3.txt  2008-01-01 21:23
 

Vor Suchlauf: 2.896.035.840 Bytes frei

Nach Suchlauf: 3.467.739.136 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer /TUTag=3V2JMH /Kernel=TUKernel.exe

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition (TuneUp Backup)" /noexecute=optin /fastdetect /usepmtimer /TUTag=3V2JMH-BAK
 

- - End Of File - - 7A10AD2B6FE468527C885500EDE0856D

Aus der boot.ini: :eek:

Code:

(...)WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer /TUTag=3V2JMH /Kernel=TUKernel.exe

TuneUp war mir schon immer suspekt (Laien haben sich das System kaputtoptimiert :D ), aber dass es den Kernel "verändert" bzw. in der boot.ini einen anderen Kernel zur Benutzung angibt fällt mir jetzt erst auf und das halte ich für höchst bedenklich! Bitte TuneUp deinstallieren!!

Danach bitte das hier tun:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:

KILLALL::
 

Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{69D201E7-F949-D26C-80B6-5880F7127182}]
 

RegNull::

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
 

Folder::

c:\windows\system32\win32inni

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

also ich habe alles wie beschrieben nach der Deinstallation von TuneUp kommt jetzt immer bei PC starten (nach booten) folgende Fehlermeldung:

http://img6.myimg.de/Unbenanntd1d19.jpg

Während ComboFix lief gab es auch immer wieder eine Fehlermeldung unten rechts in der Taskleiste:

PEV.cFxxe bzw. auch PEV.exe beschädigt

Die Datei Verzeichnis
/Windows/ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt ist beschädigt nicht lesbar. Führes sie CHKDSK aus

Nach dem Combofix fertig war und meinen laptop neu gestartet hattte gab es nur ein Hinweis der ganz kurz auf ging im ComboFix

combofin Find 3M konnte nicht gefunden werden...(glaube das sowas dort stand/ ging einfach zu schnell) und ich sollte CHKDSK ausführen.

Mir wurde auch kein Log geöffnet oder unter C:/ fand ich auch nix... was nun???

Oje, Dateisystem hinüber?! :eek:

chkdsk der Systempartition

1. Klick auf Start, Ausführen
2. Tipp ein cmd und bestätige mit ok, die Konsole öffnet sich.
3. Tipp dort ein: chkdsk %systemdrive% /f /r /v und bestätige mit enter.
4. Die folgende Abfrage mit j bestätigen und enter drücken.
5. Windows neu starten, es sollte ein Hinweis auf eine geplante Datenträgerüberprüfung erscheinen - die Zeit verstreichen lassen, keine Taste drücken!!
6. Abwarten bis der Vorgang abgeschlossen ist. Bei großen Partitionen kann es u.U. recht lange dauern. Windows bootet automatisch neu.

Aallo Arne,
habe ich nun gerade alles gemacht! PC ist jetzt neugestartet der SQL server fehler kommt immernoch...

Überprüfung ist abgeschlossen und was nun??
Mir wurde in der Konsole angezeigt das chkdsk nicht ausgeführt werden kann...

Hier ist jetzt der neue Log von ComboFix diesesmal hat glaube alles funktioniert, habe nur noch den fehler mit SQL-Server...

Danke für die Hilfe!! Wie geht es jetzt weiter?

Code:

ComboFix 09-11-19.03 - Martini 19.11.2009 22:41.7.2 - FAT32x86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.2046.1562 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Martini\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Martini\Desktop\CFScript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FW: Avira Firewall *disabled* {55185680-1D7E-44D7-3094-596BB89B90C9}

.
 

(((((((((((((((((((((((   Dateien erstellt von 2009-10-19 bis 2009-11-19  ))))))))))))))))))))))))))))))

.
 

2009-11-19 19:46 . 2009-11-19 19:46        --------        d-----w-        C:\FOUND.001

2009-11-18 20:14 . 2009-11-18 20:14        --------        d-sh--w-        c:\dokumente und einstellungen\Martini\PrivacIE

2009-11-18 16:40 . 2004-08-04 04:00        95360        ----a-w-        c:\windows\system32\drivers\atapi.sys

2009-11-18 16:40 . 2004-08-04 04:00        95360        ----a-w-        c:\windows\system32\dllcache\atapi.sys

2009-11-17 17:33 . 2009-11-17 17:33        --------        d-----w-        C:\rsit

2009-11-17 17:32 . 2009-09-10 13:54        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-11-17 17:32 . 2009-11-17 17:32        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-11-17 17:32 . 2009-09-10 13:53        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-11-17 17:32 . 2009-11-17 17:32        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-11-15 20:41 . 2009-11-15 20:41        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files

2009-11-15 01:53 . 2009-11-15 01:53        --------        d-----w-        c:\programme\Stereoscopic Player

2009-11-11 21:43 . 2009-11-11 21:43        --------        d-sh--w-        c:\dokumente und einstellungen\Internet\IETldCache

2009-11-05 12:39 . 2009-11-05 12:39        --------        d-sh--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-19 13:30 . 2009-10-19 13:30        --------        d-----w-        c:\programme\ADAC Special Gebrauchtwagen 2009

2009-10-18 13:19 . 2006-05-23 11:31        93948        ----a-w-        c:\windows\system32\perfc007.dat

2009-10-18 13:19 . 2006-05-23 11:31        481892        ----a-w-        c:\windows\system32\perfh007.dat

2009-10-17 17:44 . 2009-10-17 17:44        --------        d-----w-        c:\programme\Havana Club Weltempfänger

2009-10-07 20:23 . 2009-10-07 20:23        --------        d-----w-        c:\programme\Lx_cats

2009-10-07 20:15 . 2009-10-07 20:15        --------        d-----w-        c:\programme\Lexmark 1400 Series

2009-09-30 19:16 . 2009-09-30 19:16        --------        d-----w-        c:\programme\Gemeinsame Dateien\DivX Shared

2009-09-11 15:31 . 2004-08-04 04:00        133632        ----a-w-        c:\windows\system32\msv1_0.dll

2009-09-04 21:45 . 2004-08-04 04:00        58880        ----a-w-        c:\windows\system32\msasn1.dll

2009-08-29 08:54 . 2006-01-09 19:01        916480        ------w-        c:\windows\system32\wininet.dll

2009-08-26 09:14 . 2004-08-04 04:00        247326        ----a-w-        c:\windows\system32\strmdll.dll

2009-05-01 22:02 . 2009-05-01 22:02        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll

2009-05-01 22:02 . 2009-05-01 22:02        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll

.
 

(((((((((((((((((((((((((((((   SnapShot@2009-11-18_13.42.09   )))))))))))))))))))))))))))))))))))))))))

.

- 2006-12-04 21:45 . 2009-11-18 13:24        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat

+ 2006-12-04 21:45 . 2009-11-19 19:49        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat

+ 2009-11-19 19:49 . 2009-11-19 19:49        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat

+ 2009-11-19 19:49 . 2009-11-19 19:49        16384              c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2006-12-04 21:45 . 2009-11-18 13:24        16384              c:\windows\system32\config\systemprofile\Cookies\index.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2008-10-08 173368]
 

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]

[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]

[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]

[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]

2008-10-08 11:22        1172792        ----a-w-        c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]
 

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]

[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]

[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]

[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]
 

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]

[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]

[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]

[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]

"SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2009-02-15 111928]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"=hex(2):76,69,73,74,61,75,69,2e,65,78,65,00
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]

2005-09-26 13:54        49152        ----a-w-        c:\programme\Softex\OmniPass\OPXPGina.dll
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           autocheck autochk /r \??\G:\0autocheck autochk *
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"eRecoveryService"=c:\acer\Empowering Technology\eRecovery\eRAgent.exe

"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe"

"LManager"=c:\progra~1\LAUNCH~1\LManager.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Programme\\SpacialAudio\\SAMBC\\SAMBC.EXE"=

"c:\\Programme\\Radio-Tollbox\\Radio Toolbox\\rtb.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=

"c:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\groove.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\onenote.exe"=

"c:\\totalcmd\\TOTALCMD.EXE"=

"c:\\Programme\\homepage MAKER\\Express SE\\p3AppServ\\bin\\mysql\\bin\\mysqld.exe"=

"c:\\Programme\\homepage MAKER\\Express SE\\p3AppServ\\bin\\apache\\bin\\httpd.exe"=

"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\ArKaos VJ 3.6.1 FC2\\ArKaos.exe"=

"c:\\Programme\\ICQ6.5\\ICQ.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\WINDOWS\\System32\\lxdjcoms.exe"=

"c:\\Programme\\Lexmark 1400 Series\\lxdjamon.exe"=

"c:\\Programme\\Lexmark 1400 Series\\App4R.exe"=

"c:\\WINDOWS\\System32\\lxdjcfg.exe"=

"c:\\WINDOWS\\System32\\SPOOL\\drivers\\W32X86\\3\\LXDJJSWX.EXE"=

"c:\\WINDOWS\\System32\\SPOOL\\drivers\\W32X86\\3\\LXDJtime.exe"=

"c:\\Programme\\Lexmark 1400 Series\\Wireless\\lxdjwpss.exe"=

"c:\\WINDOWS\\System32\\SPOOL\\DRIVERS\\W32X86\\3\\lxdjPSWX.EXE"=
 

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28.04.2007 21:44 717296]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [29.06.2009 13:59 108289]

R2 MarxDev1;MarxDev1;c:\windows\system32\drivers\MARXDEV1.SYS [16.12.2006 10:24 8864]

R2 MarxDev2;MarxDev2;c:\windows\system32\drivers\MARXDEV2.SYS [16.12.2006 10:24 8864]

R2 MarxDev3;MarxDev3;c:\windows\system32\drivers\MARXDEV3.SYS [16.12.2006 10:24 8864]

S2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;\??\c:\windows\system32\eLock2BurnerLockDriver.sys --> c:\windows\system32\eLock2BurnerLockDriver.sys [?]

S2 eLock2FSCTLDriver;eLock2FSCTLDriver;\??\c:\windows\system32\eLock2FSCTLDriver.sys --> c:\windows\system32\eLock2FSCTLDriver.sys [?]

S2 lxdjCATSCustConnectService;lxdjCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdjserv.exe [07.10.2009 21:16 99248]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MSI\MAGIX\Common\Database\bin\fbserver.exe [06.11.2007 00:04 1527900]

S3 fspio;fspio;c:\windows\system32\drivers\fspio.sys [15.07.2007 09:29 3816]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [25.04.2007 17:51 264704]

S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [12.03.2008 20:23 83208]

S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [12.03.2008 20:23 15112]

S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [12.03.2008 20:23 108680]

S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [12.03.2008 20:23 100488]

S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [12.03.2008 20:23 98568]

S3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [13.07.2004 12:40 48384]

S4 FanSpeedNT Service;FanSpeedNT Service;"c:\dokume~1\Martini\LOKALE~1\Temp\Rar$EX00.969\fanspeedNT.exe"  --> c:\dokume~1\Martini\LOKALE~1\Temp\Rar$EX00.969\fanspeedNT.exe [?]
 

--- Andere Dienste/Treiber im Speicher ---
 

*Deregistered* - CLASSPNP_2

.

Inhalt des "geplante Tasks" Ordners
 

2008-11-08 c:\windows\Tasks\PC abschalten.job

- c:\windows\System32\shutdown.exe [2004-08-04 04:00]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de

IE: Senden an &Bluetooth-Gerät... - c:\programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm

DPF: {DC6FEBC5-0A2D-458A-A01B-5DB15EEC4305} - hxxp://webc.dj-martini.de/controls/IlosoftImageUpload.dll

FF - ProfilePath - c:\dokumente und einstellungen\Martini\Anwendungsdaten\Mozilla\Firefox\Profiles\76rq43hg.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.de/search?q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de

FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=

FF - plugin: c:\programme\Mozilla Firefox\plugins\NPnsv_vp3_mp3.dll

FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

FF - user.js: browser.link.open_newwindow - 3

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CIDFE0BD779-44EE-4A4B-AA2E-743C63F2E5E6", "AllAccess");

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-11-19 22:50

Windows 5.1.2600 Service Pack 2 FAT NTAPI
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

called modules: TUKERNEL.EXE CLASSPNP.SYS disk.sys >>UNKNOWN [0x8A75C1F8]<< 

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf765bfc3

\Driver\ACPI -> ACPI.sys @ 0xf7495cb8

\Driver\atapi -> 0x8a75c1f8

IoDeviceObjectType -> DeleteProcedure -> TUKERNEL.EXE @ 0x8059e19a

 SecurityProcedure -> TUKERNEL.EXE @ 0x805b008a

\Device\Harddisk0\DR0 -> DeleteProcedure -> TUKERNEL.EXE @ 0x8059e19a

 SecurityProcedure -> TUKERNEL.EXE @ 0x805b008a

NDIS: Atheros AR5005G Wireless Network Adapter -> SendCompleteHandler -> NDIS.sys @ 0xbaeddbc3

 PacketIndicateHandler -> NDIS.sys @ 0xbaee9b21

 SendHandler -> NDIS.sys @ 0xbaeddd33

Warning: possible MBR rootkit infection !

user & kernel MBR OK 
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-3848056783-802410026-517143755-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B0958272-77D5-FEEA-4DDB-C96D3D4CDB49}*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

"oaliocnippfkjoghgdefefdhohdkie"=hex:6a,61,68,70,62,70,69,66,64,62,6d,61,6f,65,

   69,62,6b,69,65,68,00,1e

"nabdibcdgjllpenecoipgcbjgnmf"=hex:6a,61,68,70,6e,70,6f,70,64,69,62,69,6f,63,

   6f,6c,65,63,69,66,00,1e
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

"7040710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(912)

c:\windows\system32\Ati2evxx.dll

c:\programme\Softex\OmniPass\opxpgina.dll

c:\windows\system32\cscui.dll
 

- - - - - - - > 'lsass.exe'(972)

c:\windows\system32\relog_ap.dll
 

- - - - - - - > 'explorer.exe'(2652)

c:\programme\SweetIM\Messenger\mgAdaptersProxy.dll

c:\windows\system32\msls31.dll

c:\windows\system32\SETUPAPI.dll

c:\windows\system32\netshell.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\btncopy.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe

c:\windows\system32\msdtc.exe

c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

c:\windows\system32\lxdjcoms.exe

c:\programme\Softex\OmniPass\Omniserv.exe

c:\programme\CyberLink\Shared Files\RichVideo.exe

c:\programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe

c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-11-19 22:55 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2009-11-19 21:55

ComboFix2.txt  2009-11-18 13:43

ComboFix3.txt  2008-01-02 09:10

ComboFix4.txt  2008-01-01 21:23
 

Vor Suchlauf: 3.316.056.064 Bytes frei

Nach Suchlauf: 3.278.536.704 Bytes frei
 

- - End Of File - - 91679C690C3B2E3692A30ECCB0B17844

Grüße
martin

Zitat:

Zitat von Martini (Beitrag 481507)

In der Konsole kannst Du die Systempartition auch nciht checken. Das geht nur, wenn Du die Abfrage mit Ja bestätigst und neu startest, Windows kann im laufenden Betrieb keinen exklusiven Schreibzugriff auf seine Systempartition reservieren!

Wegen SQL-Server: Das ist nicht rein zufällig ein Bürorechner? :rolleyes:

Achso...naja wurde ja beim Neustart dann gemacht... muss dir ehrlich sagen habe von sowas nicht soviel Ahnung ;)

Also eigentlich ist es kein Bürorechner es ist mein privat Laptop, habe aber auch zu Hause ein Netzwerk mit mehreren PC´s wenn du das meinst.

Ist der Virus jetzt weg, bzw. die Trojaner? Die Meldung mit mit SQL-Server kommt erst seit dem ich TuneUp deinstalliert habe...

So sieht die Fehlermeldung aus:

http://www.bilder-space.de/thumb/19....Zo1Spife2Z.jpg