Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht starten (https://www.trojaner-board.de/76517-google-leitet-falsch-anti-malware-programme-lassen-starten.html)

ilmtown 18.08.2009 11:03
Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht starten
 
Hallo Leute,

ich weiß, dass dieses Thema schon mehrfach hier behandelt wurde, aber die dortigen Anleitungen zum Entfernen sind ja stets individuell und für mich nicht geeignet. Ich erhoffe mir hier Hilfe, da ich wirklich nicht mehr weiter komme...

In den letzten Wochen wurde mein PC von verschiedenen Personen genutzt und es kam wie es kommen musste - er hat sich mit irgendeiner Malware oder so infiziert. Das äußert sich darin, dass Google falsch weiterleitet (z. B. zu ebay oder auf inhaltslose Seiten) und das System sehr sehr langsam läuft. Gängige Tools wie Spybot Search & Destroy, Malwarebytes Antimalware und auch Hijackthis kann ich zwar installieren aber nicht starten. Spyware Terminator, Ad Aware und Antivir scannen zwar, finden aber nichts. Bei Spybot und Kaspersky ist ein Donwload der aktuellen Virendefinitionen nicht möglich, da die Internetverbindung jeweils gesperrt wird.

Was kann ich also noch tun...? :-(

raman 18.08.2009 11:17
Kannst du Antivir aktualisieren, falls noetig auch manuell?
Manual Update of AntiVir - AntiVir Personal für Windows - Avira Support Forum

Mache bitte einmal einen Scan mit gmer und rsit poste die entsprechenden Reporte, oder haenge sie hier an...

Nachtrag. Bennene bitte C:\Programme\Malwarebytes' Anti-Malware\mbam.exe in z.B. C:\Programme\Malwarebytes' Anti-Malware\test.exe

Versuche die Datei dann zu starten und zu aktualisieren..

ilmtown 18.08.2009 12:52
Hallo Ralf,

AntiVir war bereits installiert und führt auch regelmäßig Updates durch. Habs nochmal manuell durchgeführt und gescannt - ohne Funde.

Der Tip mit der Umbenennung von mbam.exe in test.exe hat funktioniert. Das Programm lief danach, allerdings konnte ich nicht updaten. Habe dann trotzdem mit der Version von März 09 einen Quick-Scan durchgeführt, der auch 12 Objekte zu Tage förderte, u. a. einen Trojaner DNS Changer. Der war woohl für das Umleiten von Google verantwortlich, das ist jetzt beseitigt.

Nach dem Scan konnte ich Malwarebytes auch updaten, allerdings lief danach das Programm gar nicht mehr (auch nicht nach Neustart und erneuter Umbenennung in test.exe). Die anderen Programme laufen auch noch nicht.

Die Scans von GMER hier:

Code:
GMER 1.0.15.15077 [8b0vsc4h.exe] - http://www.gmer.net
Rootkit scan 2009-08-18 13:27:22
Windows 5.1.2600


---- System - GMER 1.0.15 ----

SSDT            FA0ACA96                                                                                                                                ZwCreateKey
SSDT            FA0ACA8C                                                                                                                                ZwCreateThread
SSDT            FA0ACA9B                                                                                                                                ZwDeleteKey
SSDT            FA0ACAA5                                                                                                                                ZwDeleteValueKey
SSDT            FA0ACAAA                                                                                                                                ZwLoadKey
SSDT            FA0ACA78                                                                                                                                ZwOpenProcess
SSDT            FA0ACA7D                                                                                                                                ZwOpenThread
SSDT            FA0ACAB4                                                                                                                                ZwReplaceKey
SSDT            FA0ACAAF                                                                                                                                ZwRestoreKey
SSDT            FA0ACAA0                                                                                                                                ZwSetValueKey
SSDT            FA0ACA87                                                                                                                                ZwTerminateProcess

Code            813DD880                                                                                                                                ZwEnumerateKey
Code            813DD848                                                                                                                                ZwFlushInstructionCache
Code            816A4E86                                                                                                                                IofCallDriver
Code            813FA91E                                                                                                                                IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text          ntoskrnl.exe!KeInitializeInterrupt + B79                                                                                                804D4F8E 1 Byte  [06]
.text          ntoskrnl.exe!IofCallDriver                                                                                                              804EC022 5 Bytes  JMP 816A4E8B
.text          ntoskrnl.exe!IofCompleteRequest                                                                                                          804EC051 5 Bytes  JMP 813FA923
.text          ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1B0                                                                                        804FC6C8 4 Bytes  [96, CA, 0A, FA] {XCHG ESI, EAX; RETF 0xfa0a}
.text          ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1E0                                                                                        804FC6F8 4 Bytes  [8C, CA, 0A, FA] {MOV EDX, CS; OR BH, DL}
.text          ntoskrnl.exe!KeI386Call16BitCStyleFunction + 208                                                                                        804FC720 4 Bytes  [9B, CA, 0A, FA] {WAIT ; RETF 0xfa0a}
.text          ntoskrnl.exe!KeI386Call16BitCStyleFunction + 210                                                                                        804FC728 4 Bytes  [A5, CA, 0A, FA] {MOVSD ; RETF 0xfa0a}
.text          ntoskrnl.exe!KeI386Call16BitCStyleFunction + 294                                                                                        804FC7AC 4 Bytes  [AA, CA, 0A, FA] {STOSB ; RETF 0xfa0a}
.text          ...                                                                                                                                     
PAGE            ntoskrnl.exe!ZwEnumerateKey                                                                                                              8056A5DC 5 Bytes  JMP 813DD884
PAGE            ntoskrnl.exe!ZwFlushInstructionCache                                                                                                    8057C60F 5 Bytes  JMP 813DD84C

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            \SystemRoot\System32\DRIVERS\bridge.sys[NDIS.SYS!NdisRegisterProtocol]                                                                  [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\bridge.sys[NDIS.SYS!NdisOpenAdapter]                                                                        [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\bridge.sys[NDIS.SYS!NdisCloseAdapter]                                                                      [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\bridge.sys[NDIS.SYS!NdisDeregisterProtocol]                                                                [F9E4752C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\bridge.sys[NDIS.SYS!NdisRequest]                                                                            [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRequest]                                                                          [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                                                                      [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                                                                      [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                                                                [F9E4752C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                                                                  [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                                                    [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRequest]                                                                          [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                                                      [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                                                [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                                              [F9E4752C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRequest]                                                                            [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                                                [F9E4752C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                                                  [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                                                      [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                                                        [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                                                  [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                                                      [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRequest]                                                                          [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                                                      [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                                                [F9E4752C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                                                        [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                                                    [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                                                        [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest]                                                                            [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                                                [F9E4752C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                                                  [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                                        [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                                      [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRequest]                                                                            [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                                                  [F9E474FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                                                [F9E4752C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRequest]                                                                          [F9E4754E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                                                      [F9E4720E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT            \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                                                      [F9E47256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                                  avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
---- Processes - GMER 1.0.15 ----

Library        \\?\globalroot\systemroot\system32\gxvxcpbnaaqpednoorvwqoedbwutekixdkrlo.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1208]  0x10000000                                                                           

---- Services - GMER 1.0.15 ----

Service        C:\WINDOWS\system32\drivers\gxvxcyqxyprirsbpfucsslksixnyvkdmrjcrf.sys (*** hidden *** )                                                  [SYSTEM] gxvxcserv.sys                                                                <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys                                                                                   
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@start                                                                              1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@type                                                                                1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@imagepath                                                                          \systemroot\system32\drivers\gxvxcyqxyprirsbpfucsslksixnyvkdmrjcrf.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@group                                                                              file system
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules                                                                           
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcserv                                                                  \\?\globalroot\systemroot\system32\drivers\gxvxcyqxyprirsbpfucsslksixnyvkdmrjcrf.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcl                                                                      \\?\globalroot\systemroot\system32\gxvxcpbnaaqpednoorvwqoedbwutekixdkrlo.dll
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcclk                                                                    \\?\globalroot\systemroot\system32\gxvxcvdlhmjxwawppjpesbmcfqjaycbgibigk.dll
Reg            HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys (not active ControlSet)                                                               
Reg            HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@start                                                                                  1
Reg            HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@type                                                                                    1
Reg            HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@imagepath                                                                              \systemroot\system32\drivers\gxvxcyqxyprirsbpfucsslksixnyvkdmrjcrf.sys
Reg            HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@group                                                                                  file system
Reg            HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules (not active ControlSet)                                                       
Reg            HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcserv                                                                      \\?\globalroot\systemroot\system32\drivers\gxvxcyqxyprirsbpfucsslksixnyvkdmrjcrf.sys
Reg            HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcl                                                                          \\?\globalroot\systemroot\system32\gxvxcpbnaaqpednoorvwqoedbwutekixdkrlo.dll
Reg            HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcclk                                                                        \\?\globalroot\systemroot\system32\gxvxcvdlhmjxwawppjpesbmcfqjaycbgibigk.dll

---- EOF - GMER 1.0.15 ----

ilmtown 18.08.2009 12:54
Und RSIT:

Code:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Mr. X at 2009-08-18 13:31:38
Microsoft Windows XP Professional
System drive C: has 18 GB (48%) free of 38 GB
Total RAM: 255 MB (41% free)

HijackThis download failed

======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}]
C:\Programme\Crawler\Toolbar\ctbr.dll [2009-08-10 1218560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ADECBED6-0366-4377-A739-E69DFBA04663}]
Catcher Class - C:\Programme\Moyea\FLV Downloader\MoyeaCth.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-05 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53}]
Google Gears Helper - C:\Programme\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll [2009-07-17 2097152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-07-05 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{8E718888-423F-11D2-876E-00A0C9082467} - &Radio - C:\WINDOWS\System32\msdxm.ocx [2001-08-18 849436]
{4B3803EA-5230-4DC3-A7FC-33638F3D3542} - &Crawler Toolbar - C:\Programme\Crawler\Toolbar\ctbr.dll [2009-08-10 1218560]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-07-05 148888]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2005-04-26 180269]
"NvCplDaemon"=C:\WINDOWS\System32\NvCpl.dll [2005-06-15 6803456]
"NvMediaCenter"=NvMCTray.dll,NvTaskbarInit []
"PRISMSVR.EXE"=C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE [2004-04-26 295001]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-08-03 419088]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent DNA"=C:\Programme\DNA\btdna.exe [2008-12-19 342848]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe [2004-09-02 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMC_AutoUpdate]
 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gupdate1c9d009f64f6141"=2
"getPlus(R) Helper"=3

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
Gigaset WLAN Adapter Monitor.lnk - C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=91000000

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Programme\BitTorrent\bittorrent.exe"="C:\Programme\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 3 months======

2009-08-18 13:27:52 ----D---- C:\rsit
2009-08-18 13:18:31 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-08-18 12:33:19 ----D---- C:\Dokumente und Einstellungen\Mr. X\Anwendungsdaten\Malwarebytes
2009-08-18 11:39:25 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-08-18 11:39:22 ----D---- C:\WINDOWS\System32\Kaspersky Lab
2009-08-16 16:23:57 ----D---- C:\WINDOWS\ERUNT
2009-08-16 16:20:04 ----A---- C:\WINDOWS\ntbtlog.txt
2009-08-16 16:15:41 ----D---- C:\SDFix
2009-08-16 16:02:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autorun Eater
2009-08-16 15:59:20 ----D---- C:\WINDOWS\pss
2009-08-16 15:52:32 ----D---- C:\Programme\WinSpeedUp
2009-08-16 15:49:25 ----D---- C:\Programme\Autorun Eater
2009-08-16 15:42:00 ----D---- C:\Programme\CCleaner
2009-08-16 14:14:36 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-16 14:09:38 ----D---- C:\Programme\Spybot - Search & Destroy
2009-08-14 20:58:02 ----D---- C:\Programme\Crawler
2009-08-14 20:57:51 ----D---- C:\Dokumente und Einstellungen\Mr. X\Anwendungsdaten\Spyware Terminator
2009-08-14 20:57:34 ----D---- C:\Programme\Spyware Terminator
2009-08-14 20:57:34 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2009-08-14 20:38:26 ----D---- C:\Programme\Trend Micro
2009-08-09 15:01:41 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-08-09 14:36:32 ----A---- C:\WINDOWS\System32\fltlib.dll
2009-08-09 14:25:30 ----DC---- C:\WINDOWS\System32\DRVSTORE
2009-07-05 23:10:50 ----A---- C:\WINDOWS\System32\javaws.exe
2009-07-05 23:10:50 ----A---- C:\WINDOWS\System32\javaw.exe
2009-07-05 23:10:50 ----A---- C:\WINDOWS\System32\java.exe
2009-07-05 23:10:50 ----A---- C:\WINDOWS\System32\deploytk.dll
2009-06-12 22:04:00 ----D---- C:\Programme\Gemeinsame Dateien\DivX Shared
2009-05-24 17:41:29 ----D---- C:\Programme\Avira
2009-05-24 17:41:29 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-05-24 17:34:37 ----D---- C:\Programme\NOS
2009-05-24 17:34:37 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2009-05-24 02:56:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-05-24 02:46:44 ----HDC---- C:\WINDOWS\$MSI31Uninstall_KB893803v2$
2009-05-23 23:25:42 ----D---- C:\Programme\eMule

======List of files/folders modified in the last 3 months======

2009-08-18 13:26:58 ----D---- C:\Dokumente und Einstellungen\Mr. X\Anwendungsdaten\DNA
2009-08-18 13:22:09 ----D---- C:\WINDOWS\System32\CatRoot2
2009-08-18 13:19:40 ----D---- C:\Programme\Mozilla Firefox
2009-08-18 13:18:34 ----D---- C:\WINDOWS\System32\drivers
2009-08-18 13:18:31 ----RD---- C:\Programme
2009-08-18 13:16:57 ----D---- C:\Programme\DNA
2009-08-18 13:16:11 ----D---- C:\WINDOWS\Temp
2009-08-18 13:15:36 ----D---- C:\WINDOWS\Debug
2009-08-18 13:14:14 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-08-18 12:53:35 ----D---- C:\WINDOWS
2009-08-18 12:51:47 ----D---- C:\WINDOWS\system32
2009-08-18 12:38:57 ----D---- C:\WINDOWS\Prefetch
2009-08-18 11:39:25 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-08-18 11:39:22 ----HD---- C:\WINDOWS\inf
2009-08-17 21:33:34 ----D---- C:\Dokumente und Einstellungen\Mr. X\Anwendungsdaten\Adobe
2009-08-17 13:47:51 ----SHD---- C:\System Volume Information
2009-08-16 16:01:54 ----SH---- C:\boot.ini
2009-08-16 16:01:54 ----A---- C:\WINDOWS\win.ini
2009-08-16 16:01:54 ----A---- C:\WINDOWS\system.ini
2009-08-16 15:43:04 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-16 15:42:42 ----D---- C:\WINDOWS\Minidump
2009-08-14 21:08:00 ----SHD---- C:\WINDOWS\Installer
2009-08-14 21:08:00 ----SHD---- C:\Config.Msi
2009-08-14 21:07:41 ----D---- C:\Programme\Lavasoft
2009-08-09 17:07:40 ----SHD---- C:\RECYCLER
2009-08-09 15:13:34 ----SD---- C:\WINDOWS\Tasks
2009-08-09 14:33:05 ----D---- C:\Dokumente und Einstellungen\Mr. X\Anwendungsdaten\Lavasoft
2009-08-09 14:33:04 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-08-06 22:10:05 ----A---- C:\WINDOWS\winamp.ini
2009-08-01 21:27:58 ----D---- C:\Programme\Gemeinsame Dateien
2009-07-19 20:57:35 ----D---- C:\Programme\Google
2009-07-05 23:09:10 ----D---- C:\Programme\Java
2009-06-19 21:27:08 ----D---- C:\Programme\PokerStars.NET
2009-06-12 22:06:37 ----D---- C:\Programme\DivX
2009-06-12 22:01:38 ----D---- C:\Dokumente und Einstellungen\Mr. X\Anwendungsdaten\DivX
2009-05-24 17:40:33 ----D---- C:\WINDOWS\WinSxS
2009-05-24 02:51:57 ----D---- C:\Programme\Adobe
2009-05-24 02:48:02 ----RSHDC---- C:\WINDOWS\System32\dllcache
2009-05-23 23:49:28 ----D---- C:\My Downloads
2009-05-23 23:23:17 ----D---- C:\Programme\BearShare
2009-05-23 22:59:32 ----D---- C:\Programme\K-Lite

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgntdd;avgntdd; C:\WINDOWS\SYSTEM32\DRIVERS\avgntdd.sys [2009-02-13 45416]
R1 avipbb;avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 Cdr4_XP;Cdr4_XP; C:\WINDOWS\System32\drivers\Cdr4_XP.sys [2008-11-21 9336]
R1 Cdralw2k;Cdralw2k; C:\WINDOWS\System32\drivers\Cdralw2k.sys [2008-11-21 9464]
R1 NETDSL;AVM PPP over Ethernet; C:\WINDOWS\System32\DRIVERS\netdsl.sys [2004-04-28 11264]
R1 sp_rsdrv2;Spyware Terminator Driver 2; \??\C:\WINDOWS\System32\drivers\sp_rsdrv2.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R1 StarOpen;StarOpen; C:\WINDOWS\System32\drivers\StarOpen.sys [2009-02-08 5632]
R2 aadev;AVM ADSL Adapter Device; C:\WINDOWS\System32\DRIVERS\aadev.sys [2004-04-28 27648]
R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2005-04-21 10624]
R2 MDC8021X;AEGIS Protocol (IEEE 802.1x) v2.3.1.9; C:\WINDOWS\System32\DRIVERS\mdc8021x.sys [2008-09-28 15781]
R3 BridgeMP;MAC-Brückenminiport; C:\WINDOWS\System32\DRIVERS\bridge.sys [2001-08-18 53376]
R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2004-08-31 26240]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 NETFWDSL;AVM FRITZ!web DSL PPP; C:\WINDOWS\System32\DRIVERS\NETFWDSL.SYS [2004-04-28 374272]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2005-06-15 3200256]
R3 PDDSLADP;ProDyne DSL Adapter; C:\WINDOWS\System32\DRIVERS\PDDSLADP.SYS [2005-10-09 15571]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2001-08-18 50688]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2001-08-18 18944]
R3 VIAudio;VIA AC'97 Enhanced Audio Controller (WDM); C:\WINDOWS\system32\drivers\viaudio.sys [2001-01-17 44852]
S3 aujasnkj;aujasnkj; \??\C:\DOKUME~1\Mr.~1\LOKALE~1\Temp\aujasnkj.sys []
S3 BRIDGE;MAC-Brücke; C:\WINDOWS\System32\DRIVERS\bridge.sys [2001-08-18 53376]
S3 catchme;catchme; \??\C:\DOKUME~1\Mr.~1\LOKALE~1\Temp\catchme.sys []
S3 GMSIPCI;GMSIPCI; \??\D:\INSTALL\GMSIPCI.SYS []
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\System32\DRIVERS\NMnt.sys [2001-08-18 37760]
S3 NPF;NetGroup Packet Filter Driver; C:\WINDOWS\system32\drivers\npf.sys [2004-05-14 32896]
S3 nv4;nv4; C:\WINDOWS\System32\DRIVERS\nv4.sys [2001-08-17 731648]
S3 Pcouffin;Low level access layer for CD devices; C:\WINDOWS\System32\Drivers\Pcouffin.sys []
S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernetadapter; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2001-08-17 23070]
S3 SE4501D;Gigaset USB Adapter 54 Driver; C:\WINDOWS\System32\DRIVERS\SE4501D.sys [2004-06-02 379232]
S3 sscdbus;SAMSUNG USB Composite Device driver (WDM); C:\WINDOWS\System32\DRIVERS\sscdbus.sys [2005-12-22 80272]
S3 sscdmdfl;SAMSUNG CDMA Modem Filter; C:\WINDOWS\System32\DRIVERS\sscdmdfl.sys [2005-12-22 10864]
S3 sscdmdm;SAMSUNG CDMA Modem Drivers; C:\WINDOWS\System32\DRIVERS\sscdmdm.sys [2005-12-22 137884]
S3 tbhsd;Tunebite High-Speed Dubbing; C:\WINDOWS\system32\drivers\tbhsd.sys [2006-09-18 16640]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2001-08-17 21760]
S4 IntelIde;IntelIde; C:\WINDOWS\System32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-05 152984]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\System32\nvsvc32.exe [2005-06-15 127043]
R2 sp_rssrv;Spyware Terminator Realtime Shield Service; C:\Programme\Spyware Terminator\sp_rsser.exe [2009-08-14 487424]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\System32\wdfmgr.exe [2004-08-10 38912]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2005-04-15 68096]
S3 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [2004-04-28 196666]
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:\Programme\WinPcap\rpcapd.exe -d -f C:\Programme\WinPcap\rpcapd.ini []
S4 getPlus(R) Helper;getPlus(R) Helper; C:\Programme\NOS\bin\getPlus_HelperSvc.exe [2009-03-03 33176]
S4 gupdate1c9d009f64f6141;Google Update Service (gupdate1c9d009f64f6141); C:\Programme\Google\Update\GoogleUpdate.exe [2009-05-08 133104]

-----------------EOF-----------------

ilmtown 18.08.2009 12:59
Und Malwarebytes:

Code:
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600

18.08.2009 12:49:38
mbam-log-2009-08-18 (12-49-27).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 63037
Laufzeit: 9 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 9
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02dca195-602b-4b1f-83ff-381b7e804bdb} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{02dca195-602b-4b1f-83ff-381b7e804bdb} (Trojan.BHO.H) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{93d8df86-e6ba-4e56-8abb-5932afb7fdfe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ac24c0e3-5533-46e7-8fd7-ab2e2fa3d470}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{93d8df86-e6ba-4e56-8abb-5932afb7fdfe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{ac24c0e3-5533-46e7-8fd7-ab2e2fa3d470}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{93d8df86-e6ba-4e56-8abb-5932afb7fdfe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{ac24c0e3-5533-46e7-8fd7-ab2e2fa3d470}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.153,85.255.112.92 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\HDBHO.dll (Trojan.BHO.H) -> No action taken.

raman 18.08.2009 13:14
Also, alleine der DNS Changer und dein absolut ungepatchtes Windows wuerde reichen, den Rechner neu aufsetzen zu lassen. Solltest du dies nicht wollen, mache Backups deiner wichtigsten Daten und nutze Combofix:

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

ilmtown 18.08.2009 20:05
Arrrrghhh... :headbang:

Ich glaube, ich werde das System neu aufsetzen. Da die Kiste ja auch schon so alt ist, wird der Rechner dann vllt. auch wieder ein bisschen schneller laufen.

Vielen Dank für die Unterstützung!

Gruß,

Daniel

raman 18.08.2009 20:20
Das ist eine gute Entscheidung.

Verabschiede dich dann auch gleich von Software wie Bittorrent und anderer Software aus unsicherer Quelle!

Ueberlege 2 mal, ob du die Software wirklich brauchst, bevor du sie installierst!

ilmtown 19.08.2009 10:41
Ja, aus Erfahrung lernt man. Bei diesen Tools kommt häufig auch nichts gutes mit... Nochmal Danke!


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131