Trojaner-Board - "Win32.Trojan.Tdss" in system32-Ordner von WinXP SP3

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - "Win32.Trojan.Tdss" in system32-Ordner von WinXP SP3 (https://www.trojaner-board.de/76675-win32-trojan-tdss-system32-ordner-winxp-sp3.html)

"Win32.Trojan.Tdss" in system32-Ordner von WinXP SP3

Seid gegrüßt,

ich habe seit ein paar Tagen wahrscheinlich ein Problem mit einem Trojaner, den ich mir in mein System (WinXP SP3) eingefangen hab. Aufmerksam bin ich drauf geworden, da AntiVir beim öffnen einer Webseite ein paar mal hintereinander Malware gefunden hat und beim nächsten Neustart AntiVir nicht mehr automatisch gestartet wurde und sich Spybot nicht mehr öffnen lies. Ad-Aware meldet mir einen Trojaner "Win32.Trojan.Tdss" in der Datei "UACoewprqtkai.dll" im system32-Ordner, der jedoch nach Bereinigung beim Neustart wieder vorhanden ist. So wie es scheint ist der Schädling nicht so leicht zu entfernen. Bevor ich aber auf eigene Faust Programme benutze, wollte ich hier nachfragen, zumal ich das Neuaufsetzen des Systems vermeiden wollte :/.
Es wäre toll, wenn mir jemand helfen könnte!

Anbei mein Hijack This Protokoll:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:35:48, on 23.08.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Java\jre6\bin\jqs.exe

D:\Programme\NetLimiter 2 Pro\nlsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\WINDOWS\system32\RunDLL32.exe

D:\Programme\NetLimiter 2 Pro\NLClient.exe

D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Programme\OpenVPN\bin\openvpn-gui.exe

D:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Logitech\Gaming Software\LWEMon.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Windows Desktop Search\WindowsSearch.exe

D:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

D:\totalcmd\TOTALCMD.EXE

D:\Programme\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe

O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [VirtualDiskAutomount] rundll32 "D:\totalcmd\Plugins\VirtualDisk\VirtualDisk.wfx",MountAfterReboot

O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1103472 -"Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11" -"h**p://www.chemgapedia.de/vsengine/vlu/vsc/de/ch/13/vlu/thermodyn/phasen/phasen_einf.vlu/Page/vsc/de/ch/13/pc/thermodyn/phasen/virtuelle_messung.vscml.html"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?

O4 - Global Startup: LaunchU3.exe.lnk = ?

O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - D:\Programme\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201223585171

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1232470639109

O17 - HKLM\System\CCS\Services\Tcpip\..\{C2ED0A20-0B3E-4084-9AA5-D5C61083FB23}: NameServer = 192.168.0.1

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\Programme\NetLimiter 2 Pro\nlsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 

--

End of file - 9284 bytes

Erstmal Hallo und :hallo:

Bitte klicke auf den Link in meiner Signatur, lies alles aufmerksam durch, arbeite es ab und poste die Logs hier. Liebe Grüße Moritz009

Hallo,

also das ist ganz schön verzweifelnd. CCleaner hab ich beim ersten Mal durchlaufen nicht gewusst, dass ich die logs händlisch speichern kann. Nach einem Neustart waren die logs folgende:

Code:

ANALYSE komplett - (0.251 Sek)

------------------------------------------------------------------------------------------

1,87MB zu entfernen. (Ungefähre Größe)

------------------------------------------------------------------------------------------
 

Details der zu löschenden Dateien (Hinweis: Es wurden noch keine Dateien gelöscht)

------------------------------------------------------------------------------------------

Internet Explorer - Lösche Index.dat-Dateien        0KB        3 Dateien

System - Windows-Logdateien        52KB        10 Dateien

Firefox/Mozilla - Cookies        0KB        6 Dateien

Firefox/Mozilla - Download-Verlauf        2KB        1 Dateien

Firefox/Mozilla - Internet-Cache        1.862KB        28 Dateien

Werkzeuge - AntiVir Desktop        0KB        1 Dateien

------------------------------------------------------------------------------------------

Zum Löschen markiert: C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        0KB

Zum Löschen markiert: C:\Dokumente und Einstellungen\...\Cookies\index.dat        0KB

Zum Löschen markiert: C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Verlauf\History.IE5\index.dat        0KB

C:\WINDOWS\system32\wbem\Logs\FrameWork.log        0KB

C:\WINDOWS\system32\wbem\Logs\mofcomp.log        2KB

C:\WINDOWS\system32\wbem\Logs\wbemcore.log        3KB

C:\WINDOWS\system32\wbem\Logs\wbemess.log        12KB

C:\WINDOWS\system32\wbem\Logs\wmiadap.log        0KB

C:\WINDOWS\system32\wbem\Logs\wmiprov.log        0KB

C:\WINDOWS\0.log        0KB

C:\WINDOWS\spupdsvc.log        2KB

C:\WINDOWS\updspapi.log        4KB

C:\WINDOWS\Debug\UserMode\userenv.log        29KB

Entfernte Cookies: google.de        0KB

Entfernte Cookies: google.com        0KB

Entfernte Cookies: adlink.net        0KB

Entfernte Cookies: trojaner-board.de        0KB

Entfernte Cookies: www.trojaner-board.de        0KB

Entfernte Cookies: doubleclick.net        0KB

C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\downloads.sqlite        2KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\0D939237d01        19KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\14721405d01        111KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\15D4A24Bd01        131KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\1D4704BEd01        28KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\2F8D9C0Dd01        20KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\471720B0d01        39KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\5653F17Fd01        25KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\5F0F9D8Fd01        17KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\716DAEF2d01        43KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\72506224d01        44KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\7910A560d01        135KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\7ADD83CAd01        112KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\7BD6A121d01        22KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\80F0EA4Ed01        54KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\840DEB41d01        68KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\87C8F746d01        36KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\9B2774F0d01        21KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\BBCE81CBd01        92KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\C11C3B29d01        34KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\C1F1CC16d01        41KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\D851F85Ed01        30KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\DEA5ACF7d01        26KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\E7FF8389d01        54KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\EC654529d01        43KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\_CACHE_001_        153KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\_CACHE_002_        114KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\_CACHE_003_        344KB

C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\_CACHE_MAP_        8KB

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\sched.log        0KB

Code:

ehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.EnterpriseServices.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorlib.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscoree.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Drawing.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.Windows.Forms.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.EnterpriseServices.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Windows.Forms.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.JScript.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.Vsa.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.Drawing.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.JScript.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscorlib.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscoree.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.Vb.CodeDOMProcessor.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Fehlende gemeinsamgenutzte DLLs        C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.Vsa.Vb.CodeDOMProcessor.tlb        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Ungültige oder leere Datei Klasse        Connection Manager Profile        HKCR\Connection Manager Profile

ActiveX/COM Fehler        Microsoft.ActiveXPlugin - {06DD38D3-D187-11CF-A80D-00C04FD74AD8}        HKCR\Microsoft.ActiveXPlugin

ActiveX/COM Fehler        Microsoft.ActiveXPlugin.1 - {06DD38D3-D187-11CF-A80D-00C04FD74AD8}        HKCR\Microsoft.ActiveXPlugin.1

Ungültige oder leere Datei Klasse        ppifile        HKCR\ppifile

Uninstaller-Verweis Fehler        ie7        HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ie7

Uninstaller-Verweis Fehler        Microsoft .NET Framework 3.5        HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Microsoft .NET Framework 3.5

Uninstaller-Verweis Fehler        {2BA00471-0328-3743-93BD-FA813353A783}        HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{2BA00471-0328-3743-93BD-FA813353A783}

Uninstaller-Verweis Fehler        {B508B3F1-A24A-32C0-B310-85786919EF28}        HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{B508B3F1-A24A-32C0-B310-85786919EF28}

Malwarebytes-Anti-Malware lässt sich ohne Umbenennung der Installationsdatei nicht mal installieren. Selbst wenn ich die Install-Datei umbenenne, bleibt die Installation am Ende hängen und ich kann sie nur über den Taskmanager schließen. Es sieht so aus, als wäre alles installiert worden aber wenn ich das Programm starten will, erscheint nichts, obwohl die exe unter den Prozessen steht :(

RSIT startet zwar aber nach dem "Disclaimer of warrenty" Fenster kommt es beim Punkt Performing Registry Dump zu einem Fehlerfenster:
Autolt Error
"Line -1:"
"Error: Subscript used with non-Array variable."

Sind die Programme noch irgendwie zu starten? Das ist alles ziemlich unbefriedigend :/.
Danke für weitere Unterstützung...

Hallo und :hallo:

Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr viel Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du trotzdem die Bereinigung vorziehen, dann beginne mit ComboFix. Vorher solltest du jedoch deine Daten auf externe Medien oder andere Partitionen sichern.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Hallo,

ich denke, dass ich es in jedem Fall gerne versuchen würde, das Neuinstalliere von Windows zu umgehen, aber wenn es schlussendlich nichts weiter übrig bleibt, dann kann man da wohl nichts weiter machen.

Ich habe zunächst cofi durchlaufen lassen. Vorher habe ich AntiVir deinstalliert, da es sich nicht so hat schließen lassen, dass ComboFix nicht mehr ne Fehlermeldung anzeigt.

Hier nun meine Log-Datei, in der ich Links und den persönlichen Ordner umbenannt hab. Wenn zur weiteren Hilfe die "unbearbeitete Log-Datei" gebraucht wird, hab ich die natürlich auch noch!

Code:

ComboFix 09-08-22.06 - ... 23.08.2009 17:41.1.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1279.936 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\...\Desktop\cofi.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\$recycle.bin\S-1-5-21-3987648321-2015837354-4215852612-1000

c:\dokumente und einstellungen\...\Anwendungsdaten\wiaserva.log

c:\windows\system32\drivers\UACggwylfhxob.sys

c:\windows\system32\UACejbiqjnpto.db

c:\windows\system32\uacinit.dll

c:\windows\system32\UACiqyakxkdfv.dll

c:\windows\system32\UACmllxcqvkba.dll

c:\windows\system32\UACoewprqtkai.dll

c:\windows\system32\UACrdoexycutm.dll

c:\windows\system32\UACyouevjlqps.dat
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Service_UACd.sys

-------\Legacy_UACd.sys
 
 

(((((((((((((((((((((((   Dateien erstellt von 2009-07-23 bis 2009-08-23  ))))))))))))))))))))))))))))))

.
 

2009-08-23 14:32 . 2009-08-23 14:32        76642661        ----a-w-        C:\pack.zip

2009-08-23 14:04 . 2009-08-23 14:04        --------        d-----w-        C:\rsit

2009-08-23 13:57 . 2009-08-03 11:36        38160        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-08-23 13:57 . 2009-08-23 13:57        --------        d-----w-        c:\dokume~1\ALLUSE~1\ANWEND~1\Malwarebytes

2009-08-23 13:57 . 2009-08-03 11:36        19096        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-08-23 13:37 . 2009-08-23 13:37        --------        d-----w-        c:\dokumente und einstellungen\...\Lokale Einstellungen\Anwendungsdaten\PCHealth

2009-08-23 13:24 . 2009-08-23 13:32        --------        d-----w-        c:\windows\SxsCaPendDel

2009-08-21 13:03 . 2009-08-22 11:21        --------        dc----w-        c:\windows\system32\DRVSTORE

2009-08-21 13:01 . 2009-08-22 11:21        --------        d-----w-        c:\dokume~1\ALLUSE~1\ANWEND~1\Lavasoft

2009-08-19 18:17 . 2009-08-21 13:06        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT

2009-08-19 18:17 . 2009-08-19 18:17        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT

2009-08-14 19:09 . 2009-08-14 19:09        --------        d-----w-        c:\programme\MSXML 4.0

2009-08-14 19:09 . 2005-05-26 13:34        2297552        ----a-w-        c:\windows\system32\d3dx9_26.dll

2009-08-14 17:32 . 2006-01-13 12:00        15872        ----a-w-        c:\windows\system32\drivers\vd_filedisk.sys

2009-08-14 16:52 . 2009-08-14 16:52        --------        d-----w-        c:\programme\Logitech

2009-08-14 08:32 . 2008-02-17 15:16        90112        ----a-w-        c:\dokumente und einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll

2009-08-14 08:32 . 2007-12-28 09:15        172032        ----a-w-        c:\dokumente und einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\puttygen.exe

2009-08-14 08:32 . 2007-10-07 23:57        307200        ----a-w-        c:\dokumente und einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\psftp.exe

2009-08-12 20:15 . 2008-04-14 02:22        221184        ----a-w-        c:\windows\system32\wmpns.dll

2009-08-12 07:51 . 2009-07-10 13:26        1315328        -c----w-        c:\windows\system32\dllcache\msoe.dll

2009-08-09 21:21 . 2009-08-09 21:21        --------        d-----w-        c:\dokumente und einstellungen\...\Anwendungsdaten\Windows Search

2009-08-07 08:17 . 2009-08-07 08:17        152576        ----a-w-        c:\dokumente und einstellungen\...\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll

2009-08-05 08:59 . 2009-08-05 08:59        206336        -c----w-        c:\windows\system32\dllcache\mswebdvd.dll

2009-08-04 19:09 . 2009-08-04 19:09        768        ----a-w-        c:\windows\system32\d3d8caps.dat

2009-08-04 08:02 . 2009-08-04 08:02        --------        d-----w-        c:\dokumente und einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities

2009-08-04 08:02 . 2009-08-04 08:02        --------        d-----w-        c:\dokumente und einstellungen\...\Anwendungsdaten\Windows Desktop Search

2009-08-04 08:02 . 2009-08-05 21:30        --------        d-----w-        c:\programme\Windows Desktop Search

2009-08-04 08:02 . 2009-08-04 08:02        --------        d-----w-        c:\windows\system32\GroupPolicy

2009-08-04 08:01 . 2008-03-07 17:02        98304        -c----w-        c:\windows\system32\dllcache\nlhtml.dll

2009-08-04 08:01 . 2008-03-07 17:02        29696        -c----w-        c:\windows\system32\dllcache\mimefilt.dll

2009-08-04 08:01 . 2008-03-07 17:02        192000        -c----w-        c:\windows\system32\dllcache\offfilt.dll

2009-07-28 14:48 . 2009-07-28 14:53        --------        d-----w-        c:\dokumente und einstellungen\...\Anwendungsdaten\Notepad++
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-23 13:33 . 2008-12-25 21:30        75416        ----a-w-        c:\dokumente und einstellungen\...\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-08-23 13:24 . 2004-08-04 12:00        90920        ----a-w-        c:\windows\system32\perfc007.dat

2009-08-23 13:24 . 2004-08-04 12:00        476804        ----a-w-        c:\windows\system32\perfh007.dat

2009-08-23 13:16 . 2009-02-16 19:26        --------        d-----w-        c:\dokume~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy

2009-08-22 14:12 . 2009-07-09 20:04        --------        d-----w-        c:\dokumente und einstellungen\...\Anwendungsdaten\vlc

2009-08-21 11:51 . 2008-12-25 15:08        --------        d-----w-        c:\dokumente und einstellungen\...\Anwendungsdaten\Skype

2009-08-21 11:00 . 2009-08-21 11:00        784796        ----a-w-        c:\windows\system32\xa.tmp

2009-08-21 10:36 . 2008-12-25 15:09        --------        d-----w-        c:\dokumente und einstellungen\...\Anwendungsdaten\skypePM

2009-08-21 09:20 . 2002-01-01 00:44        90112        ----a-w-        c:\windows\DUMP37c9.tmp

2009-08-21 07:09 . 2002-01-01 00:44        90112        ----a-w-        c:\windows\DUMP3364.tmp

2009-08-20 17:18 . 2009-02-07 21:04        --------        d-----w-        c:\dokumente und einstellungen\...\Anwendungsdaten\dvdcss

2009-08-14 19:26 . 2008-01-25 00:53        --------        d--h--w-        c:\programme\InstallShield Installation Information

2009-08-14 18:29 . 2008-01-25 00:52        --------        d-----w-        c:\programme\Gemeinsame Dateien\InstallShield

2009-08-14 16:52 . 2009-01-17 10:47        --------        d-----w-        c:\programme\Gemeinsame Dateien\Logitech

2009-08-14 13:26 . 2009-03-02 17:31        --------        d-----w-        c:\dokumente und einstellungen\...\Anwendungsdaten\U3

2009-08-14 13:23 . 2009-04-15 15:15        --------        d-----w-        c:\dokume~1\ALLUSE~1\ANWEND~1\VMware

2009-08-13 21:55 . 2008-12-29 10:15        664        ----a-w-        c:\windows\system32\d3d9caps.dat

2009-08-13 20:33 . 2009-04-15 16:57        --------        d-----w-        c:\dokumente und einstellungen\...\Anwendungsdaten\VMware

2009-08-12 20:16 . 2008-12-25 15:45        --------        d-----w-        c:\dokume~1\ALLUSE~1\ANWEND~1\Microsoft Help

2009-08-07 08:18 . 2009-02-27 22:45        --------        d-----w-        c:\programme\Java

2009-08-05 09:17 . 2009-03-19 18:54        55656        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2009-08-05 08:59 . 2004-08-04 12:00        206336        ----a-w-        c:\windows\system32\mswebdvd.dll

2009-07-31 20:18 . 2008-12-29 23:33        1        ----a-w-        c:\dokumente und einstellungen\...\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2009-07-26 23:47 . 2009-06-19 15:42        --------        d-----w-        c:\dokumente und einstellungen\...\Anwendungsdaten\Audacity

2009-07-25 03:23 . 2009-02-27 22:45        411368        ----a-w-        c:\windows\system32\deploytk.dll

2009-07-22 14:13 . 2009-07-22 14:11        --------        d-----w-        c:\programme\Virtual Earth 3D

2009-07-19 15:45 . 2009-07-19 15:45        --------        d-----w-        c:\programme\ElcomSoft

2009-07-17 19:01 . 2004-08-04 12:00        58880        ----a-w-        c:\windows\system32\atl.dll

2009-07-16 07:40 . 2009-07-16 07:40        9216        ----a-w-        c:\dokumente und einstellungen\...\Anwendungsdaten\Trillian\languages\DE\Events.dll

2009-07-16 07:40 . 2009-07-16 07:40        7680        ----a-w-        c:\dokumente und einstellungen\...\Anwendungsdaten\Trillian\languages\DE\Talk.dll

2009-07-16 07:40 . 2009-07-16 07:40        7168        ----a-w-        c:\dokumente und einstellungen\...\Anwendungsdaten\Trillian\languages\DE\Trillian.dll

2009-07-16 07:40 . 2009-07-16 07:40        2048        ----a-w-        c:\dokumente und einstellungen\...\Anwendungsdaten\Trillian\languages\DE\Toolkit.dll

2009-07-16 07:40 . 2009-07-16 07:40        10240        ----a-w-        c:\dokumente und einstellungen\...\Anwendungsdaten\Trillian\languages\DE\Buddy.dll

2009-07-12 19:18 . 2009-07-12 19:18        --------        d-----w-        c:\programme\MSECache

2009-07-12 17:36 . 2009-07-12 17:36        --------        d-----w-        c:\programme\Mplayer

2009-07-12 13:27 . 2009-07-12 13:21        --------        d-----w-        c:\dokumente und einstellungen\...\Anwendungsdaten\sim

2009-07-12 10:21 . 2004-08-04 12:00        233472        ----a-w-        c:\windows\system32\wmpdxm.dll

2009-07-03 16:55 . 2004-08-04 12:00        915456        ----a-w-        c:\windows\system32\wininet.dll

2009-07-01 19:47 . 2009-07-01 19:47        831081        ----a-w-        C:\Umweltrecht.zip

2009-06-30 19:52 . 2009-02-06 19:17        --------        d-----w-        c:\dokumente und einstellungen\...\Anwendungsdaten\Miranda

2009-06-25 08:25 . 2004-08-04 12:00        737792        ----a-w-        c:\windows\system32\lsasrv.dll

2009-06-25 08:25 . 2004-08-04 12:00        56832        ----a-w-        c:\windows\system32\secur32.dll

2009-06-25 08:25 . 2004-08-04 12:00        54272        ----a-w-        c:\windows\system32\wdigest.dll

2009-06-25 08:25 . 2004-08-04 12:00        301568        ----a-w-        c:\windows\system32\kerberos.dll

2009-06-25 08:25 . 2004-08-04 12:00        147456        ----a-w-        c:\windows\system32\schannel.dll

2009-06-25 08:25 . 2004-08-04 12:00        136192        ----a-w-        c:\windows\system32\msv1_0.dll

2009-06-24 11:18 . 2004-08-04 12:00        92928        ----a-w-        c:\windows\system32\drivers\ksecdd.sys

2009-06-16 14:36 . 2004-08-04 12:00        81920        ----a-w-        c:\windows\system32\fontsub.dll

2009-06-16 14:36 . 2004-08-04 12:00        119808        ----a-w-        c:\windows\system32\t2embed.dll

2009-06-15 10:43 . 2004-08-04 12:00        78848        ----a-w-        c:\windows\system32\telnet.exe

2009-06-15 10:43 . 2004-08-04 12:00        82944        ----a-w-        c:\windows\system32\tlntsess.exe

2009-06-10 14:13 . 2004-08-04 12:00        85504        ----a-w-        c:\windows\system32\avifil32.dll

2009-06-10 07:19 . 2008-01-24 23:59        2066432        ----a-w-        c:\windows\system32\mstscax.dll

2009-06-10 06:14 . 2004-08-04 12:00        132096        ----a-w-        c:\windows\system32\wkssvc.dll

2009-06-03 19:09 . 2004-08-04 12:00        1296896        ----a-w-        c:\windows\system32\quartz.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"VirtualDiskAutomount"="d:\totalcmd\Plugins\VirtualDisk\VirtualDisk.wfx" [2006-05-28 139264]

"SpybotSD TeaTimer"="d:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"Acrobat Assistant 7.0"="d:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]

"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

"openvpn-gui"="c:\programme\OpenVPN\bin\openvpn-gui.exe" [2005-08-18 99328]

"Start WingMan Profiler"="c:\programme\Logitech\Gaming Software\LWEMon.exe" [2008-04-04 88584]

"Ptipbmf"="ptipbmf.dll" - c:\windows\system32\ptipbmf.dll [2003-06-05 118784]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-10-22 1622016]

"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2006-10-22 86016]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokume~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\

Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-12-26 25214]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"d:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"d:\\Programme\\Trillian\\trillian.exe"=

"d:\\totalcmd\\TOTALCMD.EXE"=

"c:\\Programme\\OpenVPN\\bin\\openvpn.exe"=

"e:\\ablage\\HFS\\hfs.exe"=

"d:\\Programme\\Miranda IM\\miranda32.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=

"d:\\Programme\\SIM\\sim.exe"=

"e:\\Programme\\Quake III Arena\\quake3.exe"=

"y:\\ablage\\HFS-DataServer\\hfs.exe"=

"e:\\Programme\\Q2_nuclearW\\quake2.exe"=

"d:\\Programme\\Skype\\Phone\\Skype.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"5353:TCP"= 5353:TCP:*:Disabled:Adobe CSI CS4
 

R1 nltdi;nltdi;c:\windows\system32\drivers\nltdi.sys [23.04.2007 13:03 82200]

R1 VD_FileDisk;VD_FileDisk;c:\windows\system32\drivers\vd_filedisk.sys [14.08.2009 19:32 15872]

R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [01.10.2006 15:37 26624]

S3 INIDVD;Initio USB DVD Filter Driver;c:\windows\system32\drivers\inidvd.sys [26.03.2009 20:47 7936]
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKCU-RunOnce-Shockwave Updater - c:\windows\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1103472 -Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11)
 
 

.

------- Zusätzlicher Suchlauf -------

.

IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: In vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000

IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

TCP: {C2ED0A20-0B3E-4084-9AA5-D5C61083FB23} = 192.168.0.1

FF - ProfilePath - c:\dokume~1\...\ANWEND~1\Mozilla\Firefox\Profiles\ttzk0tuv.default\

FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - component: c:\dokumente und einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll

FF - plugin: c:\programme\Virtual Earth 3D\npVE3D.dll

FF - plugin: d:\programme\Adobe\Acrobat 7.0\Acrobat\browser\nppdf32.dll

FF - plugin: d:\programme\Mozilla Firefox\plugins\npicaN.dll

FF - plugin: d:\programme\Real Alternative\browser\plugins\nppl3260.dll

FF - plugin: d:\programme\Real Alternative\browser\plugins\nprpjplug.dll

FF - plugin: d:\programme\VideoLAN\VLC\npvlc.dll
 

---- FIREFOX Richtlinien ----

d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");

d:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.h**p.prompt-temp-redirect", true);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);

d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);

d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");

d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "h**ps://www.google.com/loc/json");

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net

Rootkit scan 2009-08-23 17:43

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\INIDVD]

"ImagePath"=multi:"system32\DRIVERS\inidvd.sys\00"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\INIDVD]

"ImagePath"=multi:"system32\DRIVERS\inidvd.sys\00"

.

Zeit der Fertigstellung: 2009-08-23 17:44

ComboFix-quarantined-files.txt  2009-08-23 15:44
 

Vor Suchlauf: 7 Verzeichnis(se), 104.233.467.904 Bytes frei

Nach Suchlauf: 7 Verzeichnis(se), 104.231.747.584 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

268        --- E O F ---        2009-08-23 13:26

Kennst du diese Datei? C:\pack.zip

Hast du folgende Hardware? Initio USB DVD

Deinstalliere Spybot.

ciao, andreas

Hallo,

ja in pack.zip waren ein paar Dateien, die ich auf nen Filehoster "sichern" wollte. Das mit dem "Initio USB DVD" könnte hin hauen. Ich hab vor ComboFix alle USB Geräte eingesteckt, aber mir fällt auf, dass nur der USB Stecker im Laufwerk steckt, jedoch nicht das Netzteilkabel. Es könnte also der USB<->SATA Controller im USB DVD-Laufwerk sein.
Spybot hab ich deinstalliert!

Besten Dank,

Michael

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Setze ein Häckchen bei Scan All Users.
Unter Standard Registry wähle bitte All
Unter Extra Registry, wähle bitte Use SafeList
Schliesse bitte alle laufenden Programme.
Klicke nun auf Run Scan ( links oben ).
Wenn der Scan beendet wurde werden 2 Logfiles auf dem Desktop erstellt
Poste den Inhalt von OTL.txt und Extra.txt hier in den Thread.

ciao, andreas

Hallo,

soll ich bei Processes, Services und Drivers "None" auswählen oder so wie es voreingestellt ist. So wie es jetzt ist, sin die logs zu lang fürs Forum

Gruß,

Michael

Solange ich die Listings lese und das Script bastele, kannst du schonmal scannen.

1.) http://www.trojaner-board.de/51871-a...tispyware.html

2.) http://www.trojaner-board.de/51187-a...i-malware.html

ciao, andreas

Edit: Kannst du dir sparen.

Zitat:

O1 - Hosts: 127.0.0.1 activate.adobe.com

Alle, die gestohlene Software besitzen, dürfen => http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen und ich bin raus,
andreas