iebho.dll (Trojan.FakeAlert, Trojan.BHO.H) lassen sich nicht entfernen
 

Hallo zusammen,

ich habe an einem PC folgendes Problem:
Vermutlich habe ich einen Trojaner gefangen der mich Firefox nicht nutzen lässt (proxy automatisch eingetragen, 127.0.0.1:445). Nach Suche und Entfernung mit MBAM, Ad-Avare, Antivir, HijackThis und Spybot S&D komme ich jetzt nichtmehr weiter, da das Problem alle paar Tage nach "Bereinigung" mit MBAM wieder kommt.
Ich habe schon einige vorbereitende Infos aus dem anderen Post im Trojaner-Board . Allerdings benötige ich ab hier etwas Unterstützung.
Ich habe 2 AVS LogFiles angehangen.
Vielen Dank schonmal im Vorraus!

Xian

P.S. Ich habe die Anhänge manuell nochmal mit 7-Zip zusammengefasst, da die Dateien größer wurden als das erlaubte Limit.

Hallo und :hallo:

AVZ Logfiles kann z.Z. nur undoreal auswerten.
Poste bitte auch alle anderen Logfiles, v.a. das von Malwarebytes interessiert mich. Erstell auch zwei Logs mit RSIT und poste sie.

Die automatische Proxyeintragung im FF hatte ich letztens auch auf dem Rechner von meinem Vater beobachtet, AFAIR war da von MBAM aber "nur"die iebho1.dll (oder ähnlich gefunden worden).

Die ständigen ändernden Proxysettings konnte ich beheben, in dem ich im Userprofil vom Firefox (zB C:\Dokumente und Einstellungen\arne\Anwendungsdaten\Mozilla\Firefox\Profiles\1t8z1zao.default ) die Datei pref.js mit dem Editor geöffnet habe und alle Zeilen gelöscht hab, die was mit dem Proxy zu tun hatten. (user_pref("network.proxy...)

Hallo Arne,
Erstmal Danke für die Unterstützung!
Hier die Logs:

Danke schonmal!

Christian

Die Logs sehen ok aus, ist das mit dem Proxy so weit nun behoben?

Hi Cosinus,
so wie es aussieht schon. Das hatte ich aber auch schonmal, dass ca. eine Woche Ruhe war und dann das Spiel wieder von vorne losging... Ich hoffe das bleibt jetzt clean!
Trotzdem erstmal dickes DANKE!
Grüße

Christian

Dann mach nochmal ein Log mit CF, das sollte die Sache einfacher und schneller machen:


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hi cosinus,
bin jetzt leider 10 Tage nicht an dem Rechner und muss das ganze leider verschieben.
Werde aber posten, sobald ich wieder an dem guten Stück sitze.
Danke schonmal!
Christian

Ok, danke für den Hinweis. Dann schönen Urlaub, gute Arbeit gutes/erfolgreiches whatever :D

Hi Cosinus,
bin wieder im Lande, der Trojaner anscheinend auch. Firefox wollte wieder den Proxy... Ich könnte k01$3n...
Welche Logs soll ich jetzt in welcher Reihenfolge Posten?
MBAM/RSIT nochmal? oder lieber gleich combofix?

Grüße
Christian

Hast Du das beachtet:

Ansonsten bitte gleich CF ausführen. Falls Du es damals schon heruntergeladen hast: löschen und neu laden, da sich CF sehr häufig aktualisiert!

Hier das cf log-file:

ComboFix 10-03-02.02 - muehle 02.03.2010 21:40:38.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.314 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\muehle\Desktop\CoFi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
ADS - WINDOWS: deleted 48 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\muehle\Anwendungsdaten\inst.exe
c:\programme\INSTALL.LOG
c:\windows\system32\IEBHO.dll
c:\windows\system32\iebho09.dll
c:\windows\system32\iebho15.dll
c:\windows\system32\MSIMRT.DLL
c:\windows\system32\MSIMRT32.DLL
c:\windows\system32\MSIMUSIC.DLL
c:\windows\system32\Vb40032.dll
d:\daten\Eigene Dateien\ZbThumbnail.info

----- BITS: Eventuell infizierte Webseiten -----

hxxp://chronosponosos.com
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\userinit.exe wurde wiederhergestellt

.
((((((((((((((((((((((( Dateien erstellt von 2010-02-02 bis 2010-03-02 ))))))))))))))))))))))))))))))
.

2010-02-15 12:55 . 2010-02-15 13:07 -------- d-----w- C:\rsit
2010-02-13 13:32 . 2010-02-13 13:32 -------- d-----w- c:\programme\7-Zip
2010-02-13 12:40 . 2010-03-02 20:35 -------- d-----w- c:\programme\CCleaner
2010-02-13 12:35 . 2010-02-13 12:36 -------- d-----w- C:\AVZ
2010-02-04 21:07 . 2010-02-04 19:17 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-02-04 19:17 . 2009-12-02 13:19 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-02-04 19:17 . 2010-02-04 19:17 862040 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\threatwork.exe
2010-02-04 19:17 . 2010-02-04 19:17 15880 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\lsdelete.exe
2010-02-04 19:17 . 2010-02-04 19:17 206944 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\lavamessage.dll
2010-02-04 19:17 . 2010-02-04 19:17 390288 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\lavalicense.dll
2010-02-04 19:17 . 2010-02-04 19:17 537576 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\aawapi.dll
2010-02-04 19:17 . 2010-02-04 19:17 389784 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\UpdateManager.dll
2010-02-04 19:17 . 2010-02-04 19:17 163728 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\ShellExt.dll
2010-02-04 19:15 . 2010-02-04 19:15 -------- d-----w- c:\programme\Lavasoft

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-02 20:34 . 2007-07-14 12:48 -------- d-----w- c:\dokumente und einstellungen\muehle\Anwendungsdaten\SpamPal
2010-03-02 20:27 . 2007-09-01 13:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-02-18 20:51 . 2007-07-08 16:56 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-02-04 21:42 . 2007-07-08 16:56 -------- d-----w- c:\dokumente und einstellungen\muehle\Anwendungsdaten\Thunderbird
2010-02-04 19:17 . 2010-02-04 19:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-02-04 19:17 . 2010-02-04 19:17 6296864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Resources.dll
2010-02-04 19:17 . 2010-02-04 19:17 87496 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\PrivacyClean.dll
2010-02-04 19:17 . 2010-02-04 19:17 327000 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\RPAPI.dll
2010-02-04 19:17 . 2010-02-04 19:16 933120 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\CEAPI.dll
2010-02-04 19:16 . 2010-02-04 19:16 3803208 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\AutoLaunch.exe
2010-02-04 19:16 . 2010-02-04 19:16 816784 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Ad-AwareCommand.exe
2010-02-04 19:16 . 2010-02-04 19:16 823928 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Ad-AwareAdmin.exe
2010-02-04 19:16 . 2010-02-04 19:16 1643272 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Ad-Aware.exe
2010-02-04 19:16 . 2010-02-04 19:16 788880 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\AAWTray.exe
2010-02-04 19:16 . 2010-02-04 19:16 1181328 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\AAWService.exe
2010-02-04 19:16 . 2010-02-04 19:16 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}
2010-01-31 11:34 . 2010-01-31 11:34 -------- d-----w- c:\programme\ToniArts
2010-01-31 11:34 . 2007-07-01 21:39 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-01-31 11:14 . 2010-01-31 11:14 25992 ----a-w- c:\windows\system32\pgdfgsvc.exe
2010-01-30 11:13 . 2010-01-30 11:13 -------- d-----w- c:\programme\Defraggler
2010-01-24 11:18 . 2010-01-24 11:18 -------- d-----w- c:\dokumente und einstellungen\muehle\Anwendungsdaten\Malwarebytes
2010-01-24 11:18 . 2010-01-24 11:18 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-24 11:18 . 2010-01-24 11:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-07 21:05 . 2007-07-14 12:42 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-01-07 20:48 . 2007-07-14 12:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-01-07 15:07 . 2010-01-24 11:18 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2010-01-24 11:18 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-31 16:50 . 2002-12-31 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:05 . 2002-12-31 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-17 07:40 . 2007-07-01 18:33 346624 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2002-12-31 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-12 12:54 . 2002-12-31 12:00 48354 ----a-w- c:\windows\system32\perfc007.dat
2009-12-12 12:54 . 2002-12-31 12:00 316924 ----a-w- c:\windows\system32\perfh007.dat
2009-12-09 10:17 . 2009-05-26 19:17 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-09 10:06 . 2004-08-04 00:50 2068352 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 10:06 . 2002-12-31 12:00 2191488 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-07 14:10 . 2010-02-04 19:16 2953352 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}\Ad-AwareInstallation.exe
2009-12-04 18:22 . 2002-12-31 12:00 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2003-07-08 16:00 . 2003-07-08 16:00 65536 --sh--w- c:\windows\Dic32.dll
2004-05-01 20:11 . 2004-05-01 20:11 54272 --sh--w- c:\windows\old_mod_lib.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"NvMediaCenter"="c:\windows\system32\NVMCTRAY.DLL" [2003-07-28 49152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PRISMSVR.EXE"="c:\programme\SMC\SMC2802W 2.4GHz 54 Mbps Wireless PCI Adapter\PRISMSVR.EXE" [2004-04-13 290905]
"CloneCDTray"="c:\programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" [2002-12-02 73728]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2003-07-28 4841472]
"nwiz"="nwiz.exe" [2003-07-28 323584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\muehle\Startmen�\Programme\Autostart\
SpamPal.lnk - c:\programme\SpamPal\spampal.exe [2005-10-24 387616]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0\0\0lsdelete

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-15 00:04 39792 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
2002-11-02 06:33 45056 ----a-w- c:\programme\Elaborate Bytes\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
2007-01-29 19:10 46632 ----a-w- c:\programme\ScanSoft\PaperPort\IndexSearch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2008-10-01 16:57 289576 ----a-w- c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2008-05-28 06:27 570664 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
2007-01-29 19:12 30248 ----a-w- c:\programme\ScanSoft\PaperPort\pptd40nt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2006-10-25 07:03 210472 ----a-w- c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-06-10 02:27 144784 ----a-w- c:\programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=2 (0x2)
"iPod Service"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\system32\\java.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 ElbyVCD;ElbyVCD;c:\windows\system32\drivers\ElbyVCD.sys [28.11.2002 11:43 22016]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [04.02.2010 20:17 64288]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.05.2009 20:17 108289]
R2 CAPI20;Eumex 504PC SE;c:\windows\system32\drivers\Capi20.sys [17.05.2002 09:54 238408]
R2 DETEWECP;Telekom CapiPort;c:\windows\system32\drivers\DETEWECP.SYS [18.09.2001 16:46 38480]
R3 2802W;SMC2802W 2.4GHz 54 Mbps Wireless PCI Driver;c:\windows\system32\drivers\2802W.sys [01.07.2007 20:53 385920]
R3 PGR1394b;HS 3d Sensor IEEE 1394 Bus host controllers;c:\windows\system32\drivers\HS3dSensor1394.sys [21.04.2009 19:04 72704]
R3 ulisa;Telekom ISDN-Adapter (USB);c:\windows\system32\drivers\ulisa.sys [24.01.2002 13:25 114748]
R3 WsAudio_DeviceS(1);WsAudio_DeviceS(1);c:\windows\system32\drivers\WsAudio_DeviceS(1).sys [24.10.2009 10:44 25704]
R3 WsAudio_DeviceS(2);WsAudio_DeviceS(2);c:\windows\system32\drivers\WsAudio_DeviceS(2).sys [24.10.2009 10:44 25704]
R3 WsAudio_DeviceS(3);WsAudio_DeviceS(3);c:\windows\system32\drivers\WsAudio_DeviceS(3).sys [24.10.2009 10:44 25704]
R3 WsAudio_DeviceS(4);WsAudio_DeviceS(4);c:\windows\system32\drivers\WsAudio_DeviceS(4).sys [24.10.2009 10:45 25704]
R3 WsAudio_DeviceS(5);WsAudio_DeviceS(5);c:\windows\system32\drivers\WsAudio_DeviceS(5).sys [24.10.2009 10:45 25704]
S3 dtwmnic5;Telekom Eumex 504PC SE;c:\windows\system32\drivers\dtwmnic5.sys [23.04.2002 16:57 198284]
S3 hcdriver;Intel EHCI Compliance Test Tool Device Driver;c:\windows\system32\drivers\hcdriver.sys [21.04.2009 19:07 50432]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [02.12.2009 14:19 1181328]
S3 nv3;nv3;c:\windows\system32\drivers\nv3.sys [01.07.2007 20:26 198144]
.
Inhalt des "geplante Tasks" Ordners

2010-03-02 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-09-01 10:44]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
FF - ProfilePath - c:\dokumente und einstellungen\muehle\Anwendungsdaten\Mozilla\Firefox\Profiles\3kplan81.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npImgCtl.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{D032570A-5F63-4812-A094-87D007C23012} - c:\windows\system32\iebho09.dll
MSConfigStartUp-routcnf - c:\programme\Telekom\Eumex 504PC SE\routcnf.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-02 21:50
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2596)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\IoctlSvc.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\Brother\ControlCenter3\brccMCtl.exe
c:\programme\Brother\Brmfcmon\BrMfcmon.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-03-02 21:59:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-03-02 20:59

Vor Suchlauf: 16 Verzeichnis(se), 14.629.838.848 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 14.664.040.448 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 4C20C00408DC315693430AD27AD01185

Bitte diese Datei bei Virustotal auswerten lassen und von jeder den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

Hi cosinus,
Hier der Ergebnislink.
Siegt nach Pagedefrag von Sysinternals aus...

https://www.virustotal.com/de/analis...54d-1267123358

*ratlos*

Wahrscheinlich komme ich um ein neuaufsetzen nicht drumrum, oder?:headbang:

Grüße
Christian

Jo :)
Pagedefrag hatte ich auch vermutet und es ist so. Wie steht es nun um Deinen PC?

Bis jetzt bzw seit der letzten (hoffentlich) Reinigung mit combofix hat zumindest Firefox keine verdächtigen Einstellungen mehr gezeigt. Leider ist hier noch etwas Geduld gefragt, ob es das jetzt auch tatsächlich war...
Für die Mühe aber trotzdem ein dickes :dankeschoen: von mir.
Falls es wieder akut wir, poste ich wieder bzw. halte mich an die Anleitung zum Neuaufsetzen.

Bis (hoffentlich nicht) bald
Christian

Zu Früh gefreut...
Scanbericht von Spybot:
Ich lasse nochmal MBAM drüber laufen...
Ansonsten habe ich für eins der nächsten Wochenenden jetzt was vor...

:koch::headbang::killpc:

Christian

Auf Spybot würde ich nicht mehr unbedingt setzen. Ich habe den Eindruck, das Ding findet zu häufig Sachen, die garnicht "da" sind :D

Kann gut sein... MBAM hat nämlich danach nix gefunden...
<OT>
Wenn du ein einziges Tool zur Auswahl hättest, sozusagen als Indikator bevor man sich mit weiteren Tools drauf stürzt, welches wäre dann deine erste Wahl?
Dann kann ich das damit mal im Auge behalten.
</OT>
Grüße
Christian