Trojaner-Board - Google-Ergebnisse falsch weitergeleitet

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Google-Ergebnisse falsch weitergeleitet (https://www.trojaner-board.de/80167-google-ergebnisse-falsch-weitergeleitet.html)

Google-Ergebnisse falsch weitergeleitet

Hallo zusammen,
das ist mein erster Post hier und ich hoffe, dass ich euch alle nötigen Infos gebe damit.
Mein Problem ist, dass die Suchergebnisse von Google in Firefox seit ein paar Tagen manchmal falsch weitergeleitet (z.B. auf primosearch etc.) werden. Ich habe auch schon die anderen Threads zu diesem Thema hier gelesen, aber leider ist der Fehler immer noch da.
Hier mal der Log von HijackThis:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:03:22, on 08.12.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe
C:\Program Files\Brother\Brmfcmon\BrMfimon.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceHelper.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\distnoted.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Pidgin\pidgin.exe
C:\Users\****\Desktop\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.7.2.11\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.7.2.11\IPSBHO.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.7.2.11\coIEPlg.dll
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3BAA732-EA67-46D9-B9D5-C72E7C0CAA08}: NameServer = 131.188.3.2,208.67.220.220
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program Files\Norton Internet Security\Engine\16.7.2.11\coIEPlg.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Program Files\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: XoftSpyService - ParetoLogic Inc. - C:\Program Files\Common Files\XoftSpySE\6\xoftspyservice.exe

--
End of file - 6104 bytes

Falls zusätzlich noch was benötigt wird, bitte schreiben!
Ich hoffe mal, dass mir hier weitergeholfen werden kann.

Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

So...hoffe jetzt alle wichtigen logs zu haben: File-Upload.net - logs.zip
Falls noch was benötigt wird, bitte melden!
Danke

Das sieht alles ziemlich unauffällig aus. Passieren die Weiterleitungen nur im Firefox?

Kann ich nicht genau sagen, da ich nur Firefox benutze. Außerdem werden nicht alle Ergebnisse immer flasch weitergeleitet, sondern nur manchmal.
Was mir noch aufgefallen ist, ist die Tatsache, dass sich einige Programme, die ich installiert habe (sowohl vor dem auftreten des Fehlers als auch danach instllierte) wie z.B. Paint.NET nicht mehr straten.

Seit heute meldet mein Virenscanner den Fund von Packed.Generic.272 in c:\windows\temp\cred.tmp\svchost.exe. Kann das was damit zu tun haben?

Lade dir Lop S&D herunter.

Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus.

Windows Vista und 7: Rechtsklick auf Lop S&D.exe => Ausführen als Admin!!

Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Hier der Log: File-Upload.net - lopR.txt
Ich hoffe, das hilft weiter.
Danke für die Hilfe!

Code:

2009-12-05 19:32:12 ----A---- C:\ComboFix.txt

Du hast ja Combofix schonmal ausgeführt! Sollte eigentlich nur auf Anweisung hin ersfolgen oder hat Dir jmd so eine gegeben? Bitte das Log posten!

Habe Combofix schonmal ohne direktes Anraten von hier ausgeführt, da ich die Anweisung dazu einem Thread mit dam gleichen Thema entnommen habe. Wusste leider nicht, dass man das nicht machen soll :o
Hier der Log: File-Upload.net - ComboFix.txt

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Wie siehts eigentlich nun bzgl der Weiterleitung aus? Immer noch da?
Bzgl des letzten Fundes seh ich so keine Hinweise in den Logs, bitte daher mal GMER ausführen.

Also die Google-Ergebnisse werden immer noch falsch weitergeleitet und einige Programme wie Paint.NET oder DiskAid lassen sich immer noch nicht ausführen. Werde jetzt mal GMER ausführen.

Ja, deswegen ja auch GMER. Ich befürchte Du hast da ein Rootkit im System drin. Wenn wird das weder leicht aufzuspüren noch leicht zu entfernen sein. Deswegen hier nochmal der Hinweis, dass Du mit einer Neuinstallation auf jeden Fall auf der sicheren Seite bist.

Hier der GMER-Log: File-Upload.net - gmer.txt
Über eine Neuinstallation habe ich natürlich auch schon nachgedacht. Falls dieser Log jetzt auch wieder keinen Aufschluss über das Rootkit/Virus/Trojaner bieten sollte, werde ich mein System wohl neu aufsetzen.

Zitat:

File C:\Windows\system32\drivers\atapi.sys suspicious modification

Da scheint der Schädling die essentielle Datei atapi.sys manipuliert zu haben. Hast Du eine stinknormale Windows-XP-Setup da?

Ich habe noch eine XP-Home-CD da, aber mein aktuelles Betriebssystem ist Vista :dummguck:

Ich habe die entsprechende Datei mal bei VirusTotal hochgeladen. Ergebnis:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.43 2009.12.16 -
AhnLab-V3 5.0.0.2 2009.12.16 -
AntiVir 7.9.1.108 2009.12.16 -
Antiy-AVL 2.0.3.7 2009.12.16 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.16 -
AVG 8.5.0.427 2009.12.16 -
BitDefender 7.2 2009.12.16 -
CAT-QuickHeal 10.00 2009.12.16 -
ClamAV 0.94.1 2009.12.16 -
Comodo 3264 2009.12.16 -
DrWeb 5.0.0.12182 2009.12.16 -
eSafe 7.0.17.0 2009.12.16 -
eTrust-Vet 35.1.7178 2009.12.16 -
F-Prot 4.5.1.85 2009.12.15 -
F-Secure 9.0.15370.0 2009.12.16 -
Fortinet 4.0.14.0 2009.12.16 -
GData 19 2009.12.16 -
Ikarus T3.1.1.78.0 2009.12.16 -
K7AntiVirus 7.10.922 2009.12.16 -
Kaspersky 7.0.0.125 2009.12.16 -
McAfee 5833 2009.12.15 -
McAfee+Artemis 5833 2009.12.15 -
McAfee-GW-Edition 6.8.5 2009.12.16 Heuristic.BehavesLike.Win32.Rootkit.H
Microsoft 1.5302 2009.12.16 -
NOD32 4693 2009.12.16 -
Norman 6.04.03 2009.12.15 -
nProtect 2009.1.8.0 2009.12.16 -
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.16 -
Prevx 3.0 2009.12.16 -
Rising 22.26.02.04 2009.12.16 -
Sophos 4.48.0 2009.12.16 -
Sunbelt 3.2.1858.2 2009.12.16 -
Symantec 1.4.4.12 2009.12.16 -
TheHacker 6.5.0.2.094 2009.12.15 -
TrendMicro 9.100.0.1001 2009.12.16 -
VBA32 3.12.12.0 2009.12.16 -
ViRobot 2009.12.16.2092 2009.12.16 -
VirusBuster 5.0.21.0 2009.12.16 -

McAfee-GW-Edition scheint also tatsächlich was in dieser Datei gefunden zu haben.

Achja, stimmt Du hast ein Vista :D
Na dann machen wirs mit der Vista-DVD. Der Fund in der atapi.sys dürfte ein Fehlalarm sein. Ich vermute aber, dass ein Rootkit doch die Datei verändert und und jeden Zugriff auf die atapi.sys auf die "echt" umlenkt. Boote daher mal von der Vista-DVD, geh in die Wiederherstellungskonsole / Eingabeaufforderung. Dort diesen Befehl ausführen:

Code:

copy c:\windows\system32\drivers\atapi.sys c:\

Rechner wieder normal booten und die atapi.sys direkt auf C: nochmal auswerten lassen.

Gleiches Ergebnis bei Virustotal.
Jetzt schlägt sogar noch Norton Internet Security Alarm, dass es "Backdoor.Tidserv.I!inf" in c:\atapi.sys gefunden hat.
Was ich noch festgestellt habe: Das Änderungsdatum der Datei stimmt mit dem ersten Auftrittsdatum der falschen Weiterleitung überein.

So, genau die atapi.sys wollte ich haben. Bitte c:\atapi.sys bei Virustotal auswerten lassen.
Keine Angst, die Datei kannst Du so ohne weiteres nicht ausführen, also Zugriffe immer erlauben!

Die Auswertung bei virustotal ist die gleiche, wie bei der anderen Datei:

Zitat:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.43 2009.12.17 -
AhnLab-V3 5.0.0.2 2009.12.17 -
AntiVir 7.9.1.114 2009.12.17 -
Antiy-AVL 2.0.3.7 2009.12.17 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.17 -
AVG 8.5.0.427 2009.12.17 -
BitDefender 7.2 2009.12.17 -
CAT-QuickHeal 10.00 2009.12.17 -
ClamAV 0.94.1 2009.12.17 -
Comodo 3269 2009.12.17 -
DrWeb 5.0.0.12182 2009.12.17 -
eSafe 7.0.17.0 2009.12.16 -
eTrust-Vet 35.1.7180 2009.12.17 -
F-Prot 4.5.1.85 2009.12.16 -
F-Secure 9.0.15370.0 2009.12.17 -
Fortinet 4.0.14.0 2009.12.17 -
GData 19 2009.12.17 -
Ikarus T3.1.1.79.0 2009.12.17 -
K7AntiVirus 7.10.923 2009.12.17 -
Kaspersky 7.0.0.125 2009.12.17 -
McAfee 5834 2009.12.16 -
McAfee+Artemis 5834 2009.12.16 -
McAfee-GW-Edition 6.8.5 2009.12.17 Heuristic.BehavesLike.Win32.Rootkit.H
Microsoft 1.5302 2009.12.17 -
NOD32 4696 2009.12.17 -
Norman 6.04.03 2009.12.17 -
nProtect 2009.1.8.0 2009.12.17 -
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.17 -
Prevx 3.0 2009.12.17 -
Rising 22.26.03.04 2009.12.17 -
Sophos 4.49.0 2009.12.17 -
Sunbelt 3.2.1858.2 2009.12.17 -
Symantec 1.4.4.12 2009.12.17 -
TheHacker 6.5.0.2.095 2009.12.17 -
TrendMicro 9.100.0.1001 2009.12.17 -
VBA32 3.12.12.0 2009.12.16 -
ViRobot 2009.12.17.2094 2009.12.17 -
VirusBuster 5.0.21.0 2009.12.17 -
weitere Informationen
File size: 19944 bytes
MD5...: 7ff9122c2e164711666ec37398122939
SHA1..: 3b8dac16cfc559be8d935cf8a4a1a0578aeb4da5
SHA256: 18c9e41c3ce1897c41d04a2786591bad85ada0fab1fa8963f6821833115f32c2
ssdeep: 384:1zY0Vgd1RrKzBfSn8G6FuT+quHpBjbOjBMwzt8:1z/Vgd1gzFSuBxkMwzt8
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5005
timedatestamp.....: 0x49e01eed (Sat Apr 11 04:39:09 2009)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x19b0 0x1a00 6.30 4ac8c9f82cf23d85316bd85d3d8e4efb
.rdata 0x3000 0xae 0x200 1.49 3d541e69f96e97a837841ad289adeac7
.data 0x4000 0xc 0x200 0.18 7c80b151582aa6280e754b477343e54e
INIT 0x5000 0x364 0x400 4.51 f238fffd3a9917d72f4888f4276b3b06
.rsrc 0x6000 0x3f8 0x400 0.45 4051fb4e7540dc6d39763f35fec5ebd3
.reloc 0x7000 0x8a 0x200 1.37 064d7db7c16955d4dc6d3f7afb703e06

( 2 imports )
> ataport.SYS: AtaPortNotification, AtaPortWritePortUchar, AtaPortWritePortUlong, AtaPortGetPhysicalAddress, AtaPortConvertPhysicalAddressToUlong, AtaPortGetScatterGatherList, AtaPortReadPortUchar, AtaPortStallExecution, AtaPortGetParentBusType, AtaPortRequestCallback, AtaPortWritePortBufferUshort, AtaPortGetUnCachedExtension, AtaPortCompleteRequest, AtaPortMoveMemory, AtaPortCompleteAllActiveRequests, AtaPortReleaseRequestSenseIrb, AtaPortBuildRequestSenseIrb, AtaPortReadPortUshort, AtaPortReadPortBufferUshort, AtaPortInitialize, AtaPortGetDeviceBase, AtaPortDeviceStateChange
> NTOSKRNL.exe: KeTickCount

( 0 exports )
RDS...: NSRL Reference Data Set
-
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Allerdins sagt Norton bereits, dass der Fehler in der Datei behoben wurde.

Hm ja, hätte ich erwähnen sollen, dass Norton nichts mit der Datei machen darf :(

Geh nochmal in die Wiederherstellungskonsole und führ diese 2 Befehle aus

Code:

copy c:\windows\system32\drivers\atapi.sys c:\atapi.bad

Code:

copy X:\i386\atapi.sys C:\windows\system32\drivers\atapi.sys

Wobei X: für den Buchstaben des Laufwerks mit der Vista-DVD steht. Bei Abfrage die atapi.sys überschreiben mit Ja bestätigen!
Wenn der 2. Befehl erfolgreich war, neu starten (normal Vista von Platte), achte darauf, dass Norton die Datei c:\atapi.bad in Ruhe lässt!!
Diese dann bitte erneut bei Virustotal auswerten lassen.

Den 2ten befehl konnte ich leider nicht ausführen, da ich den Laufwerksbuchstaben nicht weiß. Ich werde es danach erneut probieren.
Hier das Ergebnis von virustotal:

Zitat:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.43 2009.12.17 Rootkit.Win32.TDSS!IK
AhnLab-V3 5.0.0.2 2009.12.17 -
AntiVir 7.9.1.114 2009.12.17 TR/Patched.Gen
Antiy-AVL 2.0.3.7 2009.12.17 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.17 Win32:Alureon-EU
AVG 8.5.0.427 2009.12.17 -
BitDefender 7.2 2009.12.17 -
CAT-QuickHeal 10.00 2009.12.17 Rootkit.TDSS.y
ClamAV 0.94.1 2009.12.17 -
Comodo 3269 2009.12.17 -
DrWeb 5.0.0.12182 2009.12.17 BackDoor.Tdss.1365
eSafe 7.0.17.0 2009.12.16 -
eTrust-Vet 35.1.7180 2009.12.17 Win32/Alureon.AQH
F-Prot 4.5.1.85 2009.12.16 -
F-Secure 9.0.15370.0 2009.12.17 Rootkit:W32/TDSS.gen!D
Fortinet 4.0.14.0 2009.12.17 -
GData 19 2009.12.17 Win32:Alureon-EU
Ikarus T3.1.1.79.0 2009.12.17 Rootkit.Win32.TDSS
Jiangmin 13.0.900 2009.12.17 Rootkit.TDSS.cwp
K7AntiVirus 7.10.923 2009.12.17 -
Kaspersky 7.0.0.125 2009.12.17 Rootkit.Win32.TDSS.y
McAfee 5834 2009.12.16 -
McAfee+Artemis 5834 2009.12.16 -
McAfee-GW-Edition 6.8.5 2009.12.17 Heuristic.BehavesLike.Win32.Rootkit.H
Microsoft 1.5302 2009.12.17 Virus:Win32/Alureon.F
NOD32 4696 2009.12.17 Win32/Olmarik.RF
Norman 6.04.03 2009.12.17 W32/tdss.drv.gen6
nProtect 2009.1.8.0 2009.12.17 Trojan/W32.Rootkit.19944.B
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.17 Backdoor.Tidserv
Prevx 3.0 2009.12.17 Medium Risk Malware
Rising 22.26.03.04 2009.12.17 -
Sophos 4.49.0 2009.12.17 -
Sunbelt 3.2.1858.2 2009.12.17 Rootkit.Win32.TDSS.y (v)
Symantec 1.4.4.12 2009.12.17 Backdoor.Tidserv.I!inf
TheHacker 6.5.0.2.095 2009.12.17 -
TrendMicro 9.100.0.1001 2009.12.17 -
VBA32 3.12.12.0 2009.12.16 Rootkit.Win32.TDSL
ViRobot 2009.12.17.2094 2009.12.17 -
VirusBuster 5.0.21.0 2009.12.17 -
weitere Informationen
File size: 19944 bytes
MD5...: 470385eee00340233f68b88211833ad0
SHA1..: dc58d6284be3f44c4c3dd7b104025ddcc15f49f2
SHA256: 29371c2e6c07d82041778465e73b9ef4730af1b62b471fd26a6deab27c8f7156
ssdeep: 384:RzY0Vgd1RrKzB7lvSn8G6FuT+quHpBjbOjBMwzt8:Rz/Vgd1gzDSuBxkMwzt
8
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6024
timedatestamp.....: 0x49e01eed (Sat Apr 11 04:39:09 2009)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x19b0 0x1a00 6.30 4ac8c9f82cf23d85316bd85d3d8e4efb
.rdata 0x3000 0xae 0x200 1.49 3d541e69f96e97a837841ad289adeac7
.data 0x4000 0xc 0x200 0.18 7c80b151582aa6280e754b477343e54e
INIT 0x5000 0x364 0x400 4.51 f238fffd3a9917d72f4888f4276b3b06
.rsrc 0x6000 0x3f8 0x400 6.19 4edd22b220a30696784a233e62fdf611
.reloc 0x7000 0x8a 0x200 1.37 064d7db7c16955d4dc6d3f7afb703e06

( 2 imports )
> ataport.SYS: AtaPortNotification, AtaPortWritePortUchar, AtaPortWritePortUlong, AtaPortGetPhysicalAddress, AtaPortConvertPhysicalAddressToUlong, AtaPortGetScatterGatherList, AtaPortReadPortUchar, AtaPortStallExecution, AtaPortGetParentBusType, AtaPortRequestCallback, AtaPortWritePortBufferUshort, AtaPortGetUnCachedExtension, AtaPortCompleteRequest, AtaPortMoveMemory, AtaPortCompleteAllActiveRequests, AtaPortReleaseRequestSenseIrb, AtaPortBuildRequestSenseIrb, AtaPortReadPortUshort, AtaPortReadPortBufferUshort, AtaPortInitialize, AtaPortGetDeviceBase, AtaPortDeviceStateChange
> NTOSKRNL.exe: KeTickCount

( 0 exports )
RDS...: NSRL Reference Data Set
-
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Den Ordner i386 gibt es auf der Vista-DVD gar nicht!

Ok. Die c:\atapi.sys und atapi.bad kannst Du löschen. Lade Dir dann diese atapi.sys herunter direkt auf c:\ und geh wieder mit der Vista-DVD in die Wiederherstellungskonsole. Diesen Befehl ausführen:

Code:

copy c:\atapi.sys c:\windows\system32\drivers

Die Überschreibwarnung mit J bestätigen. Boote Dein Vista danach wieder normal und mach einen neuen Durchlauf mit GMER.

Vieleb Dank!
Werde jetzt noch mal GMER durchlaufen lassen. Die Programme, die vorher nicht mehr liefen, gehen jetzt aber schon mal wieder.

Hier der neue GMER-Log: File-Upload.net - gmer.txt

Hm sieht gut aus :) Die Atapi.sys wurde ersetzt. Mach nochmal bitte einen neuen Durchlauf mit Malwarebytes

Hab gestern vor lauter Freude darüber, dass mein PC wieder ordentlich funktioniert ganz vergessen, den Log von Malwarebytes hochzuladen. Hier ist er:

Zitat:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3380
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865

17.12.2009 19:17:53
mbam-log-2009-12-17 (19-17-53).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 244703
Laufzeit: 47 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\GoogleUpdateBeta (Backdoor.IRCBot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Combofix ist wieder online! Mach damit bitte einen Durchlauf:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hier das Log:
Combofix Logfile:

Code:

ComboFix 09-12-20.08 - xxxx 21.12.2009 15:48:42.2.3 - x86

Microsoft® Windows Vista™ Ultimate 6.0.6002.2.1252.49.1033.18.3326.2470 [GMT 1:00]

ausgeführt von:: c:\users\xxxx\Desktop\cofi.exe

AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}

FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

SP: Norton Internet Security *enabled* (Updated) {CBB7EE13-8244-4DAB-8B55-D5C7AA91E59A}

SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}

SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.

 

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\programdata\Microsoft\Network\Downloader\qmgr0.dat

c:\programdata\Microsoft\Network\Downloader\qmgr1.dat

c:\windows\system32\DEBUG.log

 

----- BITS: Eventuell infizierte Webseiten -----

 

hxxp://armmf.adobe.com

.

((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_BHDRVX86

-------\Service_BHDrvx86

 

 

((((((((((((((((((((((( Dateien erstellt von 2009-11-21 bis 2009-12-21 ))))))))))))))))))))))))))))))

.

 

2009-12-21 14:52 . 2009-12-21 14:53    --------    d-----w-    c:\users\xxxx\AppData\Local\temp

2009-12-21 14:52 . 2009-12-21 14:52    --------    d-----w-    c:\users\Public\AppData\Local\temp

2009-12-21 14:52 . 2009-12-21 14:52    --------    d-----w-    c:\users\Default\AppData\Local\temp

2009-12-21 14:42 . 2009-12-21 14:47    --------    d-----w-    C:\32788R22FWJFW

2009-12-20 15:42 . 2009-12-20 15:42    --------    d-----w-    c:\program files\Insofta Cover Commander

2009-12-18 15:13 . 2009-12-20 17:21    --------    d-----w-    c:\users\xxxx\AppData\Roaming\vlc

2009-12-17 16:47 . 2009-12-19 15:59    --------    d-----w-    c:\users\xxxx\AppData\Roaming\DiskAid

2009-12-17 16:36 . 2009-12-17 16:36    19944    ----a-w-    C:\atapi.sys

2009-12-17 13:49 . 2009-12-17 13:49    --------    d-----w-    c:\users\xxxx\AppData\Local\.stunnixws

2009-12-15 17:07 . 2009-12-15 17:07    --------    d-----w-    c:\program files\DigiDNA

2009-12-13 12:29 . 2009-12-13 12:30    --------    d--h--w-    c:\programdata\ActiveSMART

2009-12-13 12:29 . 2009-12-13 12:30    --------    d-----w-    c:\program files\Active SMART USB

2009-12-13 12:21 . 2009-12-13 12:21    --------    d-----w-    c:\program files\MozBackup

2009-12-12 14:50 . 2009-12-12 14:51    --------    d-----w-    c:\users\xxxx\AppData\Roaming\QuickScan

2009-12-12 13:37 . 2009-12-12 13:40    --------    d-----w-    C:\Lop SD

2009-12-12 13:25 . 2009-12-12 13:25    --------    d-----w-    c:\program files\Youtube Downloader HD

2009-12-10 11:17 . 2009-11-09 12:31    24064    ----a-w-    c:\windows\system32\nshhttp.dll

2009-12-10 11:17 . 2009-11-09 12:30    30720    ----a-w-    c:\windows\system32\httpapi.dll

2009-12-10 11:17 . 2009-11-09 10:36    411648    ----a-w-    c:\windows\system32\drivers\http.sys

2009-12-10 11:00 . 2009-12-10 11:00    --------    d-sh--w-    c:\windows\system32\%APPDATA%

2009-12-10 10:57 . 2009-10-07 11:36    243712    ----a-w-    c:\windows\system32\rastls.dll

2009-12-09 15:49 . 2009-12-09 15:50    --------    d-----w-    C:\rsit

2009-12-05 14:15 . 2009-12-05 14:15    --------    d-----w-    c:\programdata\SUPERAntiSpyware.com

2009-12-05 14:14 . 2009-12-05 14:14    --------    d-----w-    c:\users\xxxx\AppData\Roaming\SUPERAntiSpyware.com

2009-12-05 14:14 . 2009-12-05 14:14    --------    d-----w-    c:\program files\SUPERAntiSpyware

2009-12-05 14:14 . 2009-12-13 15:22    --------    d-----w-    c:\program files\Common Files\Wise Installation Wizard

2009-12-04 16:37 . 2009-12-04 16:37    --------    d-----w-    c:\program files\WinPcap

2009-12-03 21:04 . 2009-12-03 21:04    --------    d-----w-    c:\users\xxxx\AppData\Local\Apple

2009-12-02 19:25 . 2009-12-10 15:03    --------    d-----w-    c:\users\xxxx\AppData\Local\Adobe

2009-12-02 19:23 . 2009-12-20 15:03    --------    d-----w-    c:\users\xxxx\AppData\Local\Apple Computer

2009-12-02 16:40 . 2009-12-02 16:40    --------    d-----r-    c:\users\xxxx\AppData\Roaming\Brother

2009-12-02 14:50 . 2009-12-02 14:50    --------    d-----w-    c:\programdata\ParetoLogic

2009-12-02 14:50 . 2009-12-02 14:50    --------    d-----w-    c:\program files\Common Files\ParetoLogic

2009-12-02 14:50 . 2009-12-02 14:50    --------    d-----w-    c:\programdata\XoftSpySE

2009-12-02 13:55 . 2009-05-18 13:17    26600    ----a-w-    c:\windows\system32\drivers\GEARAspiWDM.sys

2009-12-02 13:55 . 2008-04-17 12:12    107368    ----a-w-    c:\windows\system32\GEARAspi.dll

2009-12-02 13:55 . 2009-12-02 13:55    --------    d-----w-    c:\program files\iPod

2009-12-02 13:55 . 2009-12-02 13:55    --------    d-----w-    c:\program files\iTunes

2009-12-02 13:55 . 2009-12-02 13:55    --------    d-----w-    c:\program files\Bonjour

2009-12-02 13:54 . 2009-12-02 13:54    --------    d-----w-    c:\program files\Apple Software Update

2009-12-02 13:54 . 2009-12-07 15:50    --------    d-----w-    c:\programdata\Apple

2009-11-30 17:20 . 2009-12-19 14:25    --------    d-----w-    c:\program files\Spybot - Search & Destroy

2009-11-30 17:20 . 2009-12-06 19:01    --------    d-----w-    c:\programdata\Spybot - Search & Destroy

2009-11-30 16:45 . 2009-11-30 16:45    --------    d-----w-    c:\users\xxxx\AppData\Roaming\Malwarebytes

2009-11-30 16:45 . 2009-12-03 15:14    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys

2009-11-30 16:45 . 2009-12-05 13:31    --------    d-----w-    c:\program files\Malwarebytes' Anti-Malware

2009-11-30 16:45 . 2009-12-03 15:13    19160    ----a-w-    c:\windows\system32\drivers\mbam.sys

2009-11-30 16:45 . 2009-11-30 16:45    --------    d-----w-    c:\programdata\Malwarebytes

2009-11-29 15:19 . 2009-08-24 21:08    28160    ----a-w-    c:\windows\system32\DfSdkBt.exe

2009-11-28 18:03 . 2009-11-28 18:03    --------    d-----w-    c:\users\xxxx\AppData\Local\Apps

2009-11-28 14:45 . 2009-12-07 15:52    --------    d-----w-    c:\users\xxxx\AppData\Roaming\Apple Computer

2009-11-28 14:44 . 2009-12-02 13:55    --------    dc----w-    c:\windows\system32\DRVSTORE

2009-11-28 14:43 . 2009-11-28 14:44    --------    d-----w-    c:\programdata\{755AC846-7372-4AC8-8550-C52491DAA8BD}

2009-11-28 14:42 . 2009-12-02 13:54    --------    d-----w-    c:\program files\QuickTime

2009-11-28 14:42 . 2009-12-02 13:54    --------    d-----w-    c:\programdata\Apple Computer

2009-11-28 14:40 . 2009-12-02 13:55    --------    d-----w-    c:\program files\Common Files\Apple

2009-11-27 15:27 . 2009-10-29 09:17    2048    ----a-w-    c:\windows\system32\tzres.dll

2009-11-27 15:26 . 2009-08-11 16:44    1401856    ----a-w-    c:\windows\system32\msxml6.dll

2009-11-27 15:26 . 2009-08-11 16:44    1248768    ----a-w-    c:\windows\system32\msxml3.dll

 

.

(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-21 14:52 . 2009-08-01 10:42    1857    ----a-w-    c:\windows\bthservsdp.dat

2009-12-21 14:37 . 2009-08-02 11:40    --------    d-----w-    c:\users\xxxx\AppData\Roaming\.purple

2009-12-21 14:34 . 2009-08-03 13:00    --------    d-----w-    c:\users\xxxx\AppData\Roaming\FileZilla

2009-12-21 14:24 . 2009-08-02 09:30    615936    ----a-w-    c:\windows\system32\perfh007.dat

2009-12-21 14:24 . 2009-08-02 09:30    122292    ----a-w-    c:\windows\system32\perfc007.dat

2009-12-19 15:26 . 2009-12-19 14:39    52224    ----a-w-    c:\users\xxxx\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll

2009-12-19 14:39 . 2009-12-05 14:17    117760    ----a-w-    c:\users\xxxx\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL

2009-12-19 12:19 . 2009-08-02 10:30    --------    d-----w-    c:\users\xxxx\AppData\Roaming\Free Download Manager

2009-12-18 15:03 . 2009-08-01 11:14    --------    d-----w-    c:\program files\Pidgin

2009-12-17 16:36 . 2009-08-02 08:20    19944    ----a-w-    c:\windows\system32\drivers\atapi.sys

2009-12-10 11:01 . 2009-08-10 16:55    --------    d-----w-    c:\programdata\Microsoft Help

2009-12-09 09:00 . 2009-12-21 14:30    2747440    ----a-w-    c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20091220.020\CCERASER.DLL

2009-12-08 18:28 . 2009-09-03 11:39    --------    d-----w-    c:\users\xxxx\AppData\Roaming\VSO

2009-12-08 17:39 . 2009-08-17 12:31    --------    d-----w-    c:\program files\AviSynth 2.5

2009-12-05 13:30 . 2009-12-05 13:30    4844296    ----a-w-    c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

2009-11-21 06:40 . 2009-12-10 10:58    916480    ----a-w-    c:\windows\system32\wininet.dll

2009-11-21 06:34 . 2009-12-10 10:58    71680    ----a-w-    c:\windows\system32\iesetup.dll

2009-11-21 06:34 . 2009-12-10 10:58    109056    ----a-w-    c:\windows\system32\iesysprep.dll

2009-11-21 04:59 . 2009-12-10 10:58    133632    ----a-w-    c:\windows\system32\ieUnatt.exe

2009-11-19 16:32 . 2009-08-01 17:56    --------    d-----w-    c:\users\xxxx\AppData\Roaming\dvdcss

2009-11-19 16:06 . 2009-11-19 16:06    --------    d-----w-    c:\program files\Burn4Free

2009-11-19 16:03 . 2009-11-19 14:00    --------    d-----w-    c:\program files\Feurio

2009-11-15 15:44 . 2009-11-15 15:44    0    ---ha-w-    c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf

2009-11-12 16:07 . 2009-11-12 16:07    79144    ----a-w-    c:\programdata\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe

2009-11-12 12:54 . 2009-11-12 12:53    --------    d-----w-    c:\users\xxxx\AppData\Roaming\supertuxkart

2009-11-12 12:53 . 2009-11-12 12:53    409600    ----a-w-    c:\windows\system32\wrap_oal.dll

2009-11-12 12:53 . 2009-11-12 12:53    114688    ----a-w-    c:\windows\system32\OpenAL32.dll

2009-11-12 12:53 . 2009-11-12 12:53    --------    d-----w-    c:\program files\OpenAL

2009-11-09 16:50 . 2009-08-03 11:08    --------    d-----w-    c:\users\xxxx\AppData\Roaming\gtk-2.0

2009-10-27 17:50 . 2009-08-01 10:51    1356    ----a-w-    c:\users\xxxx\AppData\Local\d3d9caps.dat

2009-10-20 18:20 . 2009-10-20 18:20    96784    ----a-w-    c:\windows\system32\Packet.dll

2009-10-20 18:19 . 2009-10-20 18:19    281104    ----a-w-    c:\windows\system32\wpcap.dll

2009-10-20 18:19 . 2009-10-20 18:19    50704    ----a-w-    c:\windows\system32\drivers\npf.sys

2009-10-20 18:19 . 2009-10-20 18:19    53299    ----a-w-    c:\windows\system32\pthreadVC.dll

2009-10-01 12:00 . 2009-08-01 10:51    100248    ----a-w-    c:\users\xxxx\AppData\Local\GDIPFONTCACHEV1.DAT

.

 

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2008-10-31 6609440]

"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2008-10-31 1833504]

"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2006-11-24 622592]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-09-03 13:21    548352    ----a-w-    c:\program files\SUPERAntiSpyware\SASWINLO.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]

@="FSFilter Activity Monitor"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Server4PC.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Server4PC.lnk

backup=c:\windows\pss\Server4PC.lnk.CommonStartup

backupExtension=.CommonStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]

2008-10-25 09:44    31072    ----a-w-    c:\program files\Microsoft Office\Office12\GrooveMonitor.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2009-11-12 15:33    141600    ----a-w-    c:\program files\iTunes\iTunesHelper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2009-11-10 22:08    417792    ----a-w-    c:\program files\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]

2009-11-23 07:43    2001648    ----a-w-    c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]

2008-01-19 07:38    1008184    ----a-w-    c:\program files\Windows Defender\MSASCui.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"VistaSp2"=hex(b):77,88,d7,fb,4d,13,ca,01

 

R0 SymEFA;Symantec Extended File Attributes;c:\windows\System32\drivers\NIS\1007020.00B\SymEFA.sys [12.09.2009 11:19 310320]

R1 ccHP;Symantec Hash Provider;c:\windows\System32\drivers\NIS\1007020.00B\cchpx86.sys [12.09.2009 11:19 482432]

R1 IDSVix86;IDSVix86;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20091217.002\IDSvix86.sys [19.12.2009 12:04 343088]

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [23.11.2009 08:43 9968]

R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [23.11.2009 08:43 74480]

R2 Norton Internet Security;Norton Internet Security;c:\program files\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe [12.09.2009 11:19 117640]

R2 NPF;NetGroup Packet Filter Driver;c:\windows\System32\drivers\npf.sys [20.10.2009 19:19 50704]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [26.08.2009 09:00 102448]

R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\System32\drivers\SkyNET.sys [02.08.2009 11:20 419344]

R3 SYMNDISV;Symantec Network Filter Driver;c:\windows\System32\drivers\NIS\1007020.00B\symndisv.sys [12.09.2009 11:19 48688]

S3 DfSdkS;Defragmentation-Service;c:\program files\Ashampoo\Ashampoo WinOptimizer 6\DfSdkS.exe [29.11.2009 16:19 406016]

S3 PLCND532;PLCND532 NDIS Protocol Driver;c:\windows\System32\drivers\PLCND532.sys [14.12.2007 15:26 26656]

S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [23.11.2009 08:43 7408]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs    REG_MULTI_SZ     BthServ

.

------- Zusätzlicher Suchlauf -------

.

uInternet Settings,ProxyOverride = *.local

IE: Alles mit FDM herunterladen - file://c:\program files\Free Download Manager\dlall.htm

IE: Auswahl mit FDM herunterladen - file://c:\program files\Free Download Manager\dlselected.htm

IE: Datei mit FDM herunterladen - file://c:\program files\Free Download Manager\dllink.htm

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Videos mit FDM herunterladen - file://c:\program files\Free Download Manager\dlfvideo.htm

TCP: {D3BAA732-EA67-46D9-B9D5-C72E7C0CAA08} = 131.188.3.2,208.67.220.220

DPF: {E6BB2089-163F-466B-812A-748096614DFD} - hxxp://cainternetsecurity.net/scanner/cascanner.cab

FF - ProfilePath - c:\users\xxxx\AppData\Roaming\Mozilla\Firefox\Profiles\bmhkwyj4.default\

FF - component: c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\IPSFFPlgn\components\IPSFFPl.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

 

MSConfigStartUp-XoftSpySE - c:\program files\XoftSpySE6\XoftSpySE.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2009-12-21 15:54

Windows 6.0.6002 Service Pack 2 NTFS

 

Scanne versteckte Prozesse... 

 

Scanne versteckte Autostarteinträge... 

 

Scanne versteckte Dateien... 

 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Norton Internet Security]

"ImagePath"="\"c:\program files\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\program files\Norton Internet Security\Engine\16.7.2.11\diMaster.dll\" /prefetch:1"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

 

- - - - - - - > 'Explorer.exe'(2916)

c:\windows\system32\ieframe.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\DllHost.exe

c:\\?\c:\windows\system32\wbem\WMIADAP.EXE

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-12-21 15:58:09 - PC wurde neu gestartet

ComboFix-quarantined-files.txt 2009-12-21 14:58

ComboFix2.txt 2009-12-05 18:32

 

Vor Suchlauf: 14 Verzeichnis(se), 53.369.913.344 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 53.094.506.496 Bytes frei

 

- - End Of File - - D70EED1219A7CBDBA59132173853916D

--- --- ---

Das Logfile dürfte so okay sein :D
Prüf bitte abschließend Updates für die kritischen Applikationen:

Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.

Überprüf auch bitte den Adobe Flashplayer

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

So....habe jetzt beim Flashplayer und beim Acrobat Reader nach Updates suchen lassen. Die Programme waren allerdings auf dem neuesten Stand.
Java habe ich auf dem PC gar nicht installiert.
Dann hoffe ich mal, dass da Problem auch in Zukunft nicht mehr auftreten wird und bedanke mich bei cosinus für die kompetente und schnelle Hilfe :dankeschoen:

P.S.: Wenn ich jetzt einen PayPal -Account hätte, würde ich gerne eine kleine Spende auf euer Konto überweisen. Vielleicht lege ich mir demnächst noch einen zu und lasse euch dann nachträglich was zukommen.