Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?
 

Hallo liebe Helfer und dankbare Geholfene!

Zu Letzterem gehöre leider auch ich. Hab mir vor Tagen zlob eingefangen und möglicherweise noch weitere Malware.
Habe die Anleitung-zur-Entfernung-von-Zlob hier befolgt, doch ist Kapersky beim Online-Scan trotzdem noch fündig geworden.
Am liebsten würde ich neu aufsetzen, doch bin ich z.Z. auf Dienstreise und hab die WindowsXP-Installationsdisk nicht hier. Neu aufsetzen könnte ich erst wieder in einem Monat.
Wie in der erwähnten Anleitung gefordert, poste ich hier den HT-Log, den Smitfraudfix-Rapport, die vier Logfiles der Datfind.bat sowie das Protokoll des Kapersky OnlineScans (in der Reihenfolge).

Kapersky hat zuletzt noch 3 Viren und 9 infizierte Dateien erkannt. Doch wollte ich erst Euren Rat einholen (habe schon vor meiner Registrieren hier viel gelesen und gefunden), bevor ich weitere Schritte unternehme.

Vielen Dank schon mal im Voraus! Yule

HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:59:51, on 17.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111413144246
O17 - HKLM\System\CCS\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer = 195.182.110.132 62.134.11.4
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 6239 bytes


SmitFraudFix v2.314

Scan done at 21:01:26,95, 17.04.2008
Run from C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\o2\Surf Box mini\o2 Surf Box mini.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\BESITZER\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 195.182.110.132
DNS Server Search Order: 62.134.11.4

HKLM\SYSTEM\CCS\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer=195.182.110.132 62.134.11.4
HKLM\SYSTEM\CS1\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer=195.182.110.132 62.134.11.4


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



Datfind.bat
17.04.2008 21:02 3.827 rapport.txt
17.04.2008 20:52 0 dirdat.txt
17.04.2008 18:14 519.622.656 hiberfil.sys
17.04.2008 18:14 779.329.536 pagefile.sys


Kapersky
Untersuchte Objekte insgesamt 61630
Viren gefunden 3
Infizierte Objekte gefunden 9
Verdächtige Objekte gefunden 0
Untersuchungszeit 01:36:51

Name des infizierten Objekts Virusname Letzte Aktion
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT026fa.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT00a4a.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\ACER-5J0JDWIJ8Z.ldb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\ModemLog_HUAWEI Mobile Connect - 3G Modem.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\SmitfraudFix.exe/data.rar/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\SmitfraudFix.exe/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\SmitfraudFix.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\JET2E1C.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\fla3113.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\Cache\2DEC17E8d01 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\9swr7bwj.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\o2\Surf Box mini\vWTP.mdb Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP7\A0004801.exe/data.rar/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP7\A0004801.exe/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP7\A0004801.exe RarSFX: infiziert - 2 übersprungen
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP7\change.log Das Objekt ist gesperrt übersprungen
C:\FOUND.000\FILE0003.CHK Infizierte Objekte: not-a-virus:Downloader.Win32.WinFixer.dz übersprungen
C:\!KillBox\NetProject\sbun.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.kry übersprungen
C:\!KillBox\sbun.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.kry übersprungen
Die Untersuchung wurde abgeschlossen.

Hallo Yule

bist du bei einem englischen Provider angemeldet ?
Domain Name: IGNITE.NET
Registrar: NETWORK SOLUTIONS, LLC.
BRITISH TELECOMMUNICATIONS PLC

---------

wende bitte Combofix an + poste hier den Report
combofix

Hallo Sabina!

bist du bei einem englischen Provider angemeldet ?
Domain Name: IGNITE.NET
Registrar: NETWORK SOLUTIONS, LLC.
BRITISH TELECOMMUNICATIONS PLC

Nicht, dass ich wüsste. Was hat das zu bedeuten?? Da ich wie geschrieben z.Z. unterwegs bin, gehe ich via Wlan meines Netzanbieters online.
Hab inzwischen auch noch Malwarebytes scannen lassen, der ebenfalls fündig wurde.

Hier aber der Combofix-Report:

ComboFix 08-04-17.1 - Besitzer 2008-04-18 15:44:52.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.189 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\pthreadVC.dll
D:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-03-18 bis 2008-04-18 ))))))))))))))))))))))))))))))
.

2008-04-18 09:35 . 2008-04-18 09:35 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-18 09:35 . 2008-04-18 09:35 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-04-18 09:35 . 2008-04-18 09:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-18 06:47 . 2008-04-18 07:03 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-04-18 06:47 . 2008-04-18 07:03 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-04-18 06:43 . 2008-04-18 06:43 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-04-18 06:43 . 2008-04-18 15:50 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-18 06:43 . 2008-04-18 15:50 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-18 06:43 . 2008-04-18 15:50 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-18 06:43 . 2008-04-18 15:50 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-16 22:27 . 2008-04-16 22:27 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-16 22:27 . 2008-04-16 22:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-16 21:31 . 2008-04-16 21:31 <DIR> d-------- C:\Programme\CleanUp!
2008-04-16 20:47 . 2008-04-16 20:47 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sony Ericsson
2008-04-16 20:35 . 2008-04-16 20:35 5,632 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-04-16 18:47 . 2008-04-16 18:47 <DIR> d--hs---- C:\FOUND.001
2008-04-02 08:15 . 2008-04-02 08:16 <DIR> d-------- C:\kav
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-01 19:32 . 2003-06-23 18:49 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-01 19:32 . 2003-06-23 18:49 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-01 19:32 . 2003-06-23 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterTrust
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-01 19:32 . 2008-04-01 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-01 19:32 . 2008-04-18 15:44 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-03-30 20:37 . 2008-03-30 20:37 <DIR> d-------- C:\!KillBox
2008-03-30 19:56 . 2008-04-17 21:01 3,292 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-30 19:55 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-03-30 19:55 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-03-30 19:55 . 2008-03-28 23:19 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-30 19:55 . 2008-03-26 08:50 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-03-30 19:55 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-03-30 19:55 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-03-30 19:55 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-30 16:52 . 2008-03-30 16:52 <DIR> d--hs---- C:\FOUND.000
2008-03-30 13:32 . 2008-03-30 13:32 <DIR> d-------- C:\Programme\Trend Micro
2008-03-30 11:09 . 2008-03-30 11:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-19 12:18 . 2008-03-19 12:24 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb
2008-03-19 12:18 . 2008-03-19 12:24 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb
3 Datei(en) . 787,646 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ------w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-15 09:07 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe
2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
1999-03-11 17:22 99,840 ----a-w C:\Programme\Gemeinsame Dateien\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w C:\Programme\Gemeinsame Dateien\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w C:\Programme\Gemeinsame Dateien\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w C:\Programme\Gemeinsame Dateien\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w C:\Programme\Gemeinsame Dateien\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w C:\Programme\Gemeinsame Dateien\IRASRIAL.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"SoundMan"="SOUNDMAN.EXE" [2003-06-20 19:55 55296 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-23 10:35 88267 C:\WINDOWS\AGRSMMSG.exe]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2002-07-25 04:49 151552]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Omnipage"="C:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 11:38 49152]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-02-07 08:39 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-02-07 08:36 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-02-07 08:40 118784]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-07-03 01:07 802816]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-07-02 21:50 700416]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 08:16 528384]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 18:36 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^StarOffice 7.lnk]
path=C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\StarOffice 7.lnk
backup=C:\WINDOWS\pss\StarOffice 7.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--------- 2003-06-30 16:49 1130546 C:\Programme\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zone Labs Client]
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\System32\\DPLAYSVR.EXE"=
"C:\\Programme\\NewSoft\\Presto! PageManager 6\\NetGroup.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ca2c700-8f7e-11dc-91d6-00023f13eb3d}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ca2c701-8f7e-11dc-91d6-00023f13eb3d}]
\Shell\AutoRun\command - F:\AutoRun.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-04-18 11:34:56 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-18 15:53:29
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAMME\INTEL\WIRELESS\BIN\EVTENG.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\S24EVMON.EXE
C:\WINDOWS\SYSTEM32\BMWEBCFG.EXE
C:\PROGRAMME\AHEAD\INCD\INCDSRV.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\REGSRVC.EXE
C:\PROGRAMME\ADOBE\ACROBAT 6.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMME\APOINT2K\APNTEX.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-18 15:59:12 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-18 13:58:32

26 Verzeichnis(se), 5,140,742,144 Bytes frei
32 Verzeichnis(se), 5,014,568,960 Bytes frei
.
2008-04-11 11:07:13 --- E O F ---

Hallo Yule,

O17 - HKLM\System\CCS\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer = 195.182.110.132 62.134.11.4

diese verbindung geht ins Vereinigte Königreich :Boogie:
BRITISH TELECOMMUNICATIONS PLC

Bist du zufällig dort (siehe wlan) ?

Hallo Sabina!

Nein! Bin gerade in Norddeutschland. Wie kommt das? Ist mir Laien noch nicht aufgefallen.

Dank' Dir!

Hallo,

wende fixwareout an + poste den report
FixWareout

+
ein neues log vom HijackThis

Hallo Sabina!

Ist geschehen (muss ich mir wegen dem engl. Provider sorgen machen?):




Username "Besitzer" - 18.04.2008 16:22:30 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"LaunchApp"="Alaunch"
"SoundMan"="SOUNDMAN.EXE"
"AGRSMMSG"="AGRSMMSG.exe"
"Apoint"="C:\\Programme\\Apoint2K\\Apoint.exe"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Omnipage"="C:\\Programme\\ScanSoft\\OmniPageSE\\opware32.exe"
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"IntelZeroConfig"="\"C:\\Programme\\Intel\\Wireless\\bin\\ZCfgSvc.exe\""
"IntelWireless"="\"C:\\Programme\\Intel\\Wireless\\Bin\\ifrmewrk.exe\" /tf Intel PROSet/Wireless"
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\avp.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

poste bitte ein neues log vom HijackThis

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Hallo,

mich interessiert im Grunde nur dieser Teil: der 017-Eintrag..ist es immer noch dieser ?

Ja ist es :(

«
danke Alexander :)

«
Yule :)

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.
««
Arbeitsplatz - Systemsteuerung - Netzwerk
Eigenschaften von TCP/IP, Register Allgemein, Option: IP-Adresse automatisch + DNS-Server-Adresse automatisch beziehen - anhaken

««
wende noch mal fixwareout an , der Rechner wird neustarten

««
dann poste vom Hijakthis (nach Neustart) , den 017-Eintrag

Hallo!

Pardon, dass ich das Editieren vergessen habe!

Habe gemacht, wie Du mir empfohlen hast, Sabina. Hier ist der O17-Eintrag:

O17 - HKLM\System\CCS\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer = 195.182.110.132 62.134.11.4

Offensichtlich hat sich aber nichts geändert. Was bedeutet das?

Viele Grüße Yule

Hallo,

ein Virus/Trojaner - hat nicht nur in der registry rumgestellt, sondern auch deine TCP-Verbindung "gekapert" - somit wird deine Internetverbindung umgeleitet und du surfst auf Seiten, die "vom Ersteller der Malware vorbestimmt" sind. Kommen popups ? Komische Seiten ? Manche Seiten, die du aufrufst, werden nicht angezeigt ???

jetztiger Provider:
wer ist dein Internetanbieter ?

---------------------------------------------------
««
RegSearch

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

------------

««
wende winpfind an - alles anhaken, wie beschrieben + poste den report (am besten als txt-Datei erstellen + hier als Anhang hochladen)
WinPFind3



«

Hallo Sabina!

Danke für die interessante Info! Klingt sehr beunruhigend!! Mein Anbieter ist o2. An sich konnte ich beim Internet-Surfen keine ungewöhnlichen Ereignisse feststellen. Einmal allerdings konnte ich bei Gmx keine Emails abrufen, weil es hieß, dass jemand dreimal das Passwort falsch eingegeben hätte. Was ich nicht getan habe. Aber das war einmalig und kam nicht wieder vor.
WinPfind konnte ich eigenartigerweise nicht öffnen (404 - Not found). Wie krieg ich hin, dass es doch gelingt? Hier der Report von Regsearch. Nach dem Durchlauf hat sich einfach ein txt.Fenster geöffnet, mit vielen Zahlenkolonnen, die ich aber aus Platzgründen weggelassen habe (auch als Anhang zu groß). Ich hoffe, ich habe Deine Anweisung richtig befolgt:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 20.04.2008 08:39:09 for strings:
; '{49fcecd7-6121-4ccd-8fc9-ae7a4eecd97a}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp\Parameters]
; Contents of value:
;  'â
Hù 'â
H
'â
H+ 'â
H, 'â
H 'â
H
"{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}"=hex:0f,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,27,e2,0a,48,f9,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
27,e2,0a,48,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,27,e2,0a,48,2b,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,27,e2,0a,48,2c,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,27,e2,0a,48,06,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,27,e2,0a,48

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Linkage]
; Contents of value:
; \Device\NetbiosSmb
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

; Contents of value:
; \Device\LanmanServer_NetbiosSmb
; \Device\LanmanServer_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\LanmanServer_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\LanmanServer_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\LanmanServer_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\LanmanServer_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\LanmanServer_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\LanmanServer_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\LanmanServer_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanworkstation\Linkage]
; Contents of value:
; \Device\NetbiosSmb
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

; Contents of value:
; \Device\LanmanWorkstation_NetbiosSmb
; \Device\LanmanWorkstation_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\LanmanWorkstation_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\LanmanWorkstation_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\LanmanWorkstation_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\LanmanWorkstation_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\LanmanWorkstation_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\LanmanWorkstation_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\LanmanWorkstation_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBIOS\Linkage]
; Contents of value:
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
Contents of value:
; \Device\NetBIOS_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBIOS_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBIOS_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBIOS_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBIOS_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBIOS_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBIOS_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBIOS_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Linkage]
; Contents of value:
; \Device\Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;

; Contents of value:
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Linkage]
; Contents of value:
; \Device\Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Adapters\NdisWanIp]
; Contents of value:
; Tcpip\Parameters\Interfaces\{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; Tcpip\Parameters\Interfaces\{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; Tcpip\Parameters\Interfaces\{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; Tcpip\Parameters\Interfaces\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Dhcp\Parameters]
; Contents of value:
;  gd
Hù gd
H
gd
H+ gd
H, gd
H gd
H
"{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}"=hex:0f,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,67,64,0a,48,f9,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
67,64,0a,48,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,67,64,0a,48,2b,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,67,64,0a,48,2c,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,67,64,0a,48,06,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,67,64,0a,48

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lanmanserver\Linkage]
; Contents of value:
; \Device\NetbiosSmb
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;

; Contents of value:
; \Device\LanmanServer_NetbiosSmb
; \Device\LanmanServer_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\LanmanServer_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\LanmanServer_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\LanmanServer_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\LanmanServer_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\LanmanServer_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\LanmanServer_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\LanmanServer_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lanmanworkstation\Linkage]
; Contents of value:
; \Device\NetbiosSmb
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;

; Contents of value:
; \Device\LanmanWorkstation_NetbiosSmb
; \Device\LanmanWorkstation_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\LanmanWorkstation_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\LanmanWorkstation_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\LanmanWorkstation_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\LanmanWorkstation_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\LanmanWorkstation_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\LanmanWorkstation_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\LanmanWorkstation_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetBIOS\Linkage]
; Contents of value:
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;
\Device\NetBIOS_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBIOS_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBIOS_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBIOS_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBIOS_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBIOS_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBIOS_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBIOS_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetBT\Linkage]
; Contents of value:
; \Device\Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;

; Contents of value:
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetBT\Parameters\Interfaces\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Linkage]
; Contents of value:
; \Device\Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Adapters\NdisWanIp]
; Contents of value:
; Tcpip\Parameters\Interfaces\{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; Tcpip\Parameters\Interfaces\{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; Tcpip\Parameters\Interfaces\{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; Tcpip\Parameters\Interfaces\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
;

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters]
; Contents of value:
;  'â
Hù 'â
H
'â
H+ 'â
H, 'â
H 'â
H
"{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}"=hex:0f,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,27,e2,0a,48,f9,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
27,e2,0a,48,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,27,e2,0a,48,2b,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,27,e2,0a,48,2c,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,27,e2,0a,48,06,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,27,e2,0a,48

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Linkage]
; Contents of value:
; \Device\NetbiosSmb
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

; Contents of value:
; \Device\LanmanServer_NetbiosSmb
; \Device\LanmanServer_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\LanmanServer_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\LanmanServer_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\LanmanServer_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\LanmanServer_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\LanmanServer_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\LanmanServer_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\LanmanServer_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\Linkage]
; Contents of value:
; \Device\NetbiosSmb
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

; Contents of value:
; \Device\LanmanWorkstation_NetbiosSmb
; \Device\LanmanWorkstation_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\LanmanWorkstation_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\LanmanWorkstation_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\LanmanWorkstation_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\LanmanWorkstation_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\LanmanWorkstation_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\LanmanWorkstation_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\LanmanWorkstation_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBIOS\Linkage]
; Contents of value:
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

Contents of value:
; \Device\NetBIOS_NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBIOS_NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBIOS_NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBIOS_NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBIOS_NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBIOS_NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBIOS_NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBIOS_NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Linkage]
; Contents of value:
; \Device\Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

; Contents of value:
; \Device\NetBT_Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\NetBT_Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\NetBT_Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\NetBT_Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\NetBT_Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\NetBT_Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\NetBT_Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\NetBT_Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Linkage]
; Contents of value:
; \Device\Tcpip_{426D4202-27CF-40A5-82EE-756B3E0CA124}
; \Device\Tcpip_{D57E53A1-51AF-4FA6-B772-9AB8E2F6E7FE}
; \Device\Tcpip_{ED0EB902-D216-4075-8006-97B397B44D27}
; \Device\Tcpip_{B3543EAF-FB35-4763-97E5-E86AA3D1C14A}
; \Device\Tcpip_{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; \Device\Tcpip_{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; \Device\Tcpip_{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; \Device\Tcpip_{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters\NdisWanIp]
; Contents of value:
; Tcpip\Parameters\Interfaces\{F68E85F0-BABE-48EE-97C5-DDDEBF306DD2}
; Tcpip\Parameters\Interfaces\{B49C0CBD-6685-4AB1-A650-593EC8121BCA}
; Tcpip\Parameters\Interfaces\{3E303906-0FC4-44CF-91A1-1C0370C3009C}
; Tcpip\Parameters\Interfaces\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}]

; End Of The Log...

Hallo,

ich denke nicht, dass die DNS Gefahrenpotenzial haben, das sind Einträge von Call by Call Anbietern die einen BT Backbone verwenden, siehe z.B. hier.

Ansonsten kann man bei meiner Anleitung auch den Kaspersky Scan herausnehmen, das war damals sinnvoll, wie es jetzt ist weiß ich nicht, da ich mich mit dem Thema nicht mehr beschäftige.

Falls übrigens jemand die Anleitung verbesern/erweitern/aktualisieren will so hat er jederzeit meinen Segen dazu.


Grüße Wildone

hallo Yule,
ich bin weiterhin der Ansicht, dass es nicht normal ist, dass deine Verbindung über einen Server in London geleitet wird. (kann auch falsch liegen, siehe was Wildone geschrieben hat....)
Zumal dein Rechner verseucht war/ist (siehe was Combofix rausgeholt hat)
-----------
habe ich bei google-Suche nur einmal gefunden ...und auch dort war der Rechner verseucht....
{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}

1.
scanne mit windowsdefender + berichte
Windows Defender

2.
bitte fixe noch mal den 017-Eintrag mit HijackThis

3.
wende bitte smitfraudfix an , Option 2 (im abgesicherten Modus) + poste den report
SmitfraudFix

4.
poste, was nun im hijackThis unter 017-erscheint

Hallo Sabina!

Ich finde den London-Server auch sehr seltsam. Den WindowsDefender konnte ich nicht installieren, trotz Original Windows-Xp und trotz mehrerer Versuche. Es erscheint nach jedem Anklicken immer "Ungültiges Laufwerk M:\" (ein solches hab ich gar nicht!).

Den Rest habe ich gemacht, wie Du mir empfohlen hast, mit dem Ergebnis, das sich nix verändert hat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer = 195.182.110.132 62.134.11.4

Wie kann ich sicher gehen, dass keine Gefahr von diesem Server droht? Was kann ich sonst tun, um sicher zu gehen?

Nochmal herzlichen Dank für Deine bisherige Hilfe, Sabina!! - Yule

Hallo Yule

boote nach laden von smitfraudfix in den abgesicherten modus
scanne mit option 2 + poste den report
SmitfraudFix

scanne Online mit F-secure/Onlinescan + poste den report
Online Virenscanner

Hallo Sabina!

Habe gemacht, wie Du mir empfohlen hast. Mit folgendem Ergebnis:


SmitFraudFix v2.315

Scan done at 7:56:21,21, 21.04.2008
Run from C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Antispy\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


F-Secure Online Scan
Scanning Report
Monday, April 21, 2008 08:27:11 - 11:28:51

Computer name: ACER-5J0JDWIJ8Z
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\
Result: 1 malware found
RiskTool.Win32.Reboot (spyware)

* System

Statistics
Scanned:

* Files: 47869
* System: 3586
* Not scanned: 8

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 1
* Submitted: 0

Files not scanned:

* C:\PAGEFILE.SYS
* C:\HIBERFIL.SYS
* C:\PROGRAMME\O2\SURF BOX MINI\VWTP.MDB
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM

Options
Scanning engines:

* F-Secure USS: 2.30.0
* F-Secure Blacklight: 1.0.64
* F-Secure Hydra: 2.8.8110, 2008-04-21
* F-Secure Pegasus: 1.20.0, 2008-02-28
* F-Secure AVP: 7.0.171, 2008-04-21

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics

Hallo

eigenartig, dass der Windowsdefender nicht installiert werden konnte :(
wende bitte folgendes Diagnostiktool an
Microsoft Diagnose Tool

poste mir den Report als PN, nicht hier,bitte.

---------------------------------------------------

Dann berichte auch, wie es um den 017-Eintrag bestellt ist.
Hast du ihn die anderen Male genau nach Anweisung gefixt mit HijackThis ? + den PC neugestartet ?

und:
hast du das hier ausgeführt ?

Arbeitsplatz - Systemsteuerung - Netzwerk
Eigenschaften von TCP/IP, Register Allgemein, Option: IP-Adresse automatisch + DNS-Server-Adresse automatisch beziehen - anhaken

-----------------------------------------------------

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
lade Combofix neu + poste den Report
combofix


«

Hallo Yule,

Danke für die PN ..es ist alles in Ordnung. Umso komischer, dass sich der Defender nicht installieren lässt...welche Fehlermeldung erscheint ?

dann beantworte bitte noch meine Fragen im vorigen Beitrag - deinstalliere Combofix, lade neu + poste den Report

Hallo Sabina!

Nochmal herzlichen Dank für Deine großartige Unterstützung!!

Der 017-Eintrag bleibt in der Tat der gleiche:
O17 - HKLM\System\CCS\Services\Tcpip\..\{49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A}: NameServer = 195.182.110.132 62.134.11.4

Habe ihn nochmals genau nach Deinen Anweisungen gefixt wie auch noch einmal die Internet-Einstellungen (Arbeitsplatz - Systemsteuerung - Netzwerk
Eigenschaften von TCP/IP, Register Allgemein, Option: IP-Adresse automatisch + DNS-Server-Adresse automatisch beziehen - anhaken) kontrolliert.

Ist und war alles, wie Du mir empfohlen hast!

Wenn ich den Windefender zu downloaden versuche, erscheint immer - so auch eben nochmal - die Meldung: "Ungültiges Laufwerk M:\" - Ein solches besitze ich aber nicht. Ich habe die Installation mit verschiedenen Methoden probiert, aber immer ohne Erfolg. Keine Ahnung, woran das liegt.
Mittlerweile bin ich mir selbst nicht mehr sicher, ob überhaupt noch ein Trojaner bei mir drauf ist, weil die verschiedenen, von mir zuletzt angewandten Scanner und v.a. Malware Bytes einiges gefunden und entfernt haben (auch eine exe.Datei, die mir stark nach der Zlob selbst aussah - genauen Namen habe ich mir blöderweise nicht notiert. Auf jeden Fall wird allem Anschein nach keine neue Malware nachgeladen. Die Guards finden jedenfalls keine mehr), jetzt aber offensichtlich nichts mehr finden. Oder irre ich hier?
Allerdings habe ich auch das Gefühl, dass mein Rechner seit den ganzen Scan-Prozeduren der letzten Tage langsamer geworden ist.

Was meinst Du nun zu dem Fall mit dem London-Server? Ich habe nun selbst mal gegoogelt und gesehen, dass der von Dir erwähnte andere Fall {49FCECD7-6121-4CCD-8FC9-AE7A4EECD97A} ich selbst war!
Am Tage des Trojanerangriffs habe ich mich in der ersten Aufregung an jenes Forum gewandt, die mir auch einige wertvolle Tipps gaben. Ich selbst glaubte, dass Problem damit gelöst zu haben. Da aber neue Malware nachgeladen wurde, war es mir eine Herzenangelegenheit, mich hier an dieses Forum, das ja gerade auf solche Probleme spezialisiert ist, zu wenden.

Herzliche Grüße - Yule.

Anbei der Combofix-Report:
ComboFix 08-04-20.2 - Besitzer 2008-04-21 14:59:43.2 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.126 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-21 bis 2008-04-21 ))))))))))))))))))))))))))))))
.

2008-04-21 14:33 . 2008-04-21 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-04-21 08:23 . 2008-04-21 08:23 <DIR> d-------- C:\fsaua.data
2008-04-18 16:21 . 2008-04-18 16:22 <DIR> d-------- C:\fixwareout
2008-04-18 09:35 . 2008-04-18 09:35 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-18 09:35 . 2008-04-18 09:35 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-04-18 09:35 . 2008-04-18 09:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-18 06:47 . 2008-04-18 07:03 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-04-18 06:47 . 2008-04-18 07:03 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-04-18 06:43 . 2008-04-18 06:43 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-04-18 06:43 . 2008-04-21 14:53 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-18 06:43 . 2008-04-21 14:53 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-18 06:43 . 2008-04-21 14:53 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-18 06:43 . 2008-04-21 14:53 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-16 22:27 . 2008-04-16 22:27 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-16 22:27 . 2008-04-16 22:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-16 21:31 . 2008-04-16 21:31 <DIR> d-------- C:\Programme\CleanUp!
2008-04-16 20:47 . 2008-04-16 20:47 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sony Ericsson
2008-04-16 20:35 . 2008-04-16 20:35 5,632 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-04-16 18:47 . 2008-04-16 18:47 <DIR> d--hs---- C:\FOUND.001
2008-04-02 08:15 . 2008-04-02 08:16 <DIR> d-------- C:\kav
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-01 19:32 . 2003-06-23 18:49 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-01 19:32 . 2003-06-23 18:49 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-01 19:32 . 2003-06-23 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterTrust
2008-04-01 19:32 . 2003-06-23 18:32 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-01 19:32 . 2008-04-01 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-01 19:32 . 2008-04-21 14:59 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-03-30 20:37 . 2008-03-30 20:37 <DIR> d-------- C:\!KillBox
2008-03-30 19:56 . 2008-04-21 07:56 2,648 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-30 16:52 . 2008-03-30 16:52 <DIR> d--hs---- C:\FOUND.000
2008-03-30 13:32 . 2008-03-30 13:32 <DIR> d-------- C:\Programme\Trend Micro
2008-03-30 11:09 . 2008-03-30 11:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
3 Datei(en) . 787,646 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:33 45,568 ------w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:33 148,992 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-15 09:07 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe
2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
1999-03-11 17:22 99,840 ----a-w C:\Programme\Gemeinsame Dateien\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w C:\Programme\Gemeinsame Dateien\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w C:\Programme\Gemeinsame Dateien\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w C:\Programme\Gemeinsame Dateien\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w C:\Programme\Gemeinsame Dateien\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w C:\Programme\Gemeinsame Dateien\IRASRIAL.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"SoundMan"="SOUNDMAN.EXE" [2003-06-20 19:55 55296 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-23 10:35 88267 C:\WINDOWS\AGRSMMSG.exe]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2002-07-25 04:49 151552]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Omnipage"="C:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 11:38 49152]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-02-07 08:39 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-02-07 08:36 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-02-07 08:40 118784]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-07-03 01:07 802816]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-07-02 21:50 700416]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 08:16 528384]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 18:36 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2004-07-20 12:29:55 110592]
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-10-24 05:37:56 217194]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^StarOffice 7.lnk]
path=C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\StarOffice 7.lnk
backup=C:\WINDOWS\pss\StarOffice 7.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--------- 2003-06-30 16:49 1130546 C:\Programme\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zone Labs Client]
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\System32\\DPLAYSVR.EXE"=
"C:\\Programme\\NewSoft\\Presto! PageManager 6\\NetGroup.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;C:\DOKUME~1\Besitzer\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ca2c700-8f7e-11dc-91d6-00023f13eb3d}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ca2c701-8f7e-11dc-91d6-00023f13eb3d}]
\Shell\AutoRun\command - F:\AutoRun.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-04-21 13:16:06 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-21 15:15:53
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-21 15:19:04
ComboFix2.txt 2008-04-18 13:59:20
ComboFix-quarantined-files.txt 2008-04-21 13:18:54

28 Verzeichnis(se), 7,216,660,480 Bytes frei
34 Verzeichnis(se), 7,265,206,272 Bytes frei

143 --- E O F --- 2008-04-11 11:07:13

Hallo Yule,

mir ist aufgefallen, dass beim 2.Durchlauf von smitfraudfix, die Tcpip nicht mit angeführt wurde, im Gegensatz zum ersten Mal. Also wahrscheinlich ist der Eintrag (017) raus....siehe HijackThis
Aber leider schreibst du, dass er noch da ist :(

Man könnte nun natürlich sämtliche betreffende Einträge aus der Registry rausholen, die mit diesem vermaledeiten Tcpip zu tun haben, aber irgendwie ist mir nicht ganz wohl dabei, auch weil fixwareout nichts gefunden hat und die verstellten Verbindungen normalerweise nach San Franzisco gehen (im Moment)

Im anderen Forum tippte man auf Amsterdam, aber laut Whois ist es eindeutig London.
Was hälst du davon, wir machen erst mal nichts weiter ..und du schreibst O2 eine nette Mail und fragst nach, ob es normal ist, dass deine Verbindung über einen Server in London geleitet wird.
Dann berichte bitte, was die antworten.

Hallo Sabina!

Hab Dank für Deine beruhigenden Worte! Ist wahrscheinlich das beste, sich erstmal an den Anbieter zu wenden, bevor ich Dich und andere damit verrückt mache. Ich werde mich hier wieder melden, sobald die Antwort von O2 da ist.
Denn ansonsten kann ich, wie geschrieben, keine ungewöhnlichen Ereignisse mehr feststellen.

Sei ganz herzlich gedankt bis hierhin!!

Liebe Grüße - Yule

Hallo Sabina!

Soeben erreichte mich die Antwort von o2, die meine Angaben geprüft und die Richtigkeit der IP-Adressen des DNS-Servers bestätigt haben.
Wie Wildone schon meinte, hat der Trojaner hier offenbar keinen Schaden angerichtet. Zum Glück!!!

Vielen Dank an Dich, Sabina, und auch an Wildone für die gute Anleitung! Vergelt's Gott!!! - Yule