Trojaner-Board - Root kits

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Root kits - wie vorgehen (https://www.trojaner-board.de/81129-root-kits-vorgehen.html)

Root kits - wie vorgehen

Hallo,

malewarebytes hat einige Root Kits und avast ver. viren auf meinem Comp gefunden. Nachdem ich den ccleaner durchlaufen gelassen habe (fehler registry) zeigt malware allerdings nichts mehr an... Kann das sein?

Anbei sind einmal die letzten Berichte von maleware und hijack...

bitte um hilfe, vielen dank im voraus!

malware:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3438
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02.01.2010 13:07:54
mbam-log-2010-01-02 (13-07-54).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 209045
Laufzeit: 57 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:24:11, on 02.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Malwarebytes-Anti-Malware\mbam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {D7783732-69C6-4A28-BE53-618CC4609617} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1261918777812
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe

--
End of file - 7272 bytes

Hallo,

wir brauchen auch die Berichte der vorherigen Scans wo Funde drinwaren. Bitte nachreichen.

die finde ich leider nicht mehr bzw. habe vergessen sie abzuspeichern...

kann man bei den geposteten berichten nichts erkennen?

Nein, Schädlinge sind da nicht, Du musst Dich aber mal um Updates kümmern, v.a. der Adobe muss häufig aktualisiert werden. Mach aber erstmal:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

avast zeigt mir jetzt nach jedem neustart an, dass eiwohl ein virus im arbeitsspeicher ist....

so, habe combofix laufen lassen, anbei der bericht. allerdings habe ich vergessen ccleaner direkt davor auszuführen. soll ich daher nocheinmal cccleaner und danach combofix starten ?

Vielen dank für die hilfe....

ComboFix 10-01-01.05 - Lea 02.01.2010 18:27:51.3.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.502.213 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Lea\Desktop\Cofi.exe
AV: avast! antivirus 4.8.1368 [VPS 100102-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Gemeinsame Dateien\igug.bat
c:\programme\Gemeinsame Dateien\ihyqu.vbs
c:\windows\coxyf.vbs
c:\windows\esetoka.exe
c:\windows\fasodo.inf
c:\windows\system32\driVERs\mfawjcs.sys

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_mfawjcs
-------\Service_mfawjcs

((((((((((((((((((((((( Dateien erstellt von 2009-12-02 bis 2010-01-02 ))))))))))))))))))))))))))))))
.

2009-12-28 00:57 . 2009-11-24 23:48 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-12-28 00:57 . 2009-11-24 23:49 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-12-28 00:57 . 2009-11-24 23:47 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-12-28 00:57 . 2009-11-24 23:50 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-12-28 00:57 . 2009-11-24 23:50 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-12-28 00:57 . 2009-11-24 23:47 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-12-28 00:57 . 2009-11-24 23:51 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-12-28 00:57 . 2009-11-24 23:50 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-12-28 00:57 . 2009-11-24 23:54 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-12-28 00:57 . 2009-12-28 00:57 -------- d-----w- c:\programme\Alwil Software
2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\dokumente und einstellungen\Lea\Anwendungsdaten\Malwarebytes
2009-12-27 13:15 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\programme\Malwarebytes-Anti-Malware
2009-12-27 13:15 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-27 13:03 . 2009-12-27 13:03 -------- d-----w- c:\dokumente und einstellungen\Lea Ersatz-Account\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-12-27 12:57 . 2009-12-27 12:57 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IECompatCache
2009-12-27 12:56 . 2009-12-27 12:56 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\PrivacIE
2009-12-27 12:51 . 2009-12-27 12:51 -------- d-----w- c:\programme\WinDirStat
2009-12-27 12:50 . 2009-12-27 12:50 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-12-27 12:46 . 2009-12-27 12:46 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IETldCache
2009-12-26 17:20 . 2009-12-26 17:20 -------- d-sh--w- c:\dokumente und einstellungen\Lea\PrivacIE
2009-12-26 13:49 . 2009-12-26 13:49 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-12-26 12:42 . 2009-12-26 12:42 -------- d-sh--w- c:\dokumente und einstellungen\Lea\IECompatCache
2009-12-26 12:28 . 2009-12-26 12:28 -------- d-sh--w- c:\dokumente und einstellungen\Lea\IETldCache
2009-12-26 12:08 . 2009-10-29 07:40 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-12-26 12:08 . 2009-10-29 07:40 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-12-26 12:06 . 2009-12-28 01:10 -------- d-----w- c:\windows\ie8updates
2009-12-26 11:59 . 2009-10-02 04:44 92160 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-12-26 11:28 . 2009-12-26 11:58 -------- dc-h--w- c:\windows\ie8
2009-12-20 22:11 . 2009-12-20 22:11 134 ----a-w- c:\windows\system32\fjhdyfhsn.bat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-02 17:39 . 2008-01-05 17:06 -------- d-----w- c:\dokumente und einstellungen\Lea\Anwendungsdaten\Skype
2010-01-02 15:05 . 2008-01-05 17:11 -------- d-----w- c:\dokumente und einstellungen\Lea\Anwendungsdaten\skypePM
2009-12-27 20:34 . 2007-12-28 19:41 -------- d-----w- c:\programme\Avast
2009-12-20 22:11 . 2009-12-20 22:11 16 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\fvgqad.dat
2009-12-11 13:42 . 2005-09-12 09:36 462896 ----a-w- c:\windows\system32\perfh007.dat
2009-12-11 13:42 . 2005-09-12 09:36 85740 ----a-w- c:\windows\system32\perfc007.dat
2009-11-21 22:59 . 2009-11-21 22:59 -------- d-----w- c:\programme\MSECache
2009-10-29 07:40 . 2005-09-12 09:36 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2005-09-12 09:36 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2005-09-12 09:36 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 23:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:32 . 2005-09-12 09:36 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2005-09-12 09:36 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2005-09-12 09:36 150528 ----a-w- c:\windows\system32\rastls.dll
2008-10-18 16:39 . 2008-10-18 16:39 13574 -c--a-w- c:\programme\Gemeinsame Dateien\ofyg.db
2008-10-20 22:42 . 2008-10-20 13:54 8462368 -csha-w- c:\windows\system32\drivers\fidbox.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2007-12-07 21686568]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 88358]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"CeEKEY"="c:\programme\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 671744]
"TPNF"="c:\programme\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 53248]
"Zooming"="ZoomingHook.exe" [2005-06-06 24576]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 28672]
"TPSMain"="TPSMain.exe" [2005-08-12 266240]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 118784]
"Tvs"="c:\programme\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 73728]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 122941]
"PadTouch"="c:\programme\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1077328]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-01-15 37376]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Lea\Startmen\Programme\Autostart\
Microsoft Office OneNote 2003 Schnellstart.lnk - c:\programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2004-6-17 59080]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [28.12.2009 01:57 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28.12.2009 01:57 20560]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = www.google.com
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Lea\Anwendungsdaten\Mozilla\Firefox\Profiles\vesv165o.default\
FF - prefs.js: browser.startup.homepage - google.de
FF - plugin: c:\dokumente und einstellungen\Lea\Anwendungsdaten\Mozilla\Firefox\Profiles\vesv165o.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-TDSSpaxt.sys

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-02 18:36
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3820)
c:\windows\system32\webcheck.dll
c:\windows\system32\TPwrCfg.DLL
c:\windows\system32\TPwrReg.dll
c:\windows\system32\TPSTrace.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\TOSHIBA\ConfigFree\CFSvcs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Alwil Software\Avast4\ashMaiSv.exe
c:\programme\Alwil Software\Avast4\ashWebSv.exe
c:\windows\AGRSMMSG.exe
c:\windows\system32\ZoomingHook.exe
c:\windows\system32\TCtrlIOHook.exe
c:\windows\system32\TPSMain.exe
c:\windows\system32\TPSBattM.exe
c:\programme\Toshiba\TOSHIBA Controls\TFncKy.exe
c:\programme\Apoint2K\Apntex.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-02 18:42:30 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-02 17:42
ComboFix2.txt 2008-10-20 21:22

Vor Suchlauf: 13 Verzeichnis(se), 22.850.109.440 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 22.755.233.792 Bytes frei

- - End Of File - - 8F9878AA9FA2F6088003C234075B88F8

Mehr zeigt avast nicht? Bitte immer vollständige Angaben posten sonst kann man Dir nicht helfen!!!

sorry, versuch immer alles zu posten, aber avast zeigte nur medlung an dass ein virus im arbeitsspeicher ist ( und dass wohl emails fälschlicherweise vershcickt werden..)und dann wurde eine boot prüfung oder so von avast durchgeführt...

jetzt nach combo fix kommt allerdings keine virusmeldung mehr.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

File::

c:\windows\system32\config\systemprofile\Anwendungsdaten\fvgqad.dat

c:\windows\system32\fjhdyfhsn.bat

c:\programme\Gemeinsame Dateien\ofyg.db

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

hi,

hier der bericht:

ComboFix 10-01-01.05 - Lea 02.01.2010 20:04:04.4.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.502.214 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Lea\Desktop\Cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Lea\Desktop\cfscript.txt
AV: avast! antivirus 4.8.1368 [VPS 100102-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FILE ::
"c:\programme\Gemeinsame Dateien\ofyg.db"
"c:\windows\system32\config\systemprofile\Anwendungsdaten\fvgqad.dat"
"c:\windows\system32\fjhdyfhsn.bat"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Gemeinsame Dateien\ofyg.db
c:\windows\system32\config\systemprofile\Anwendungsdaten\fvgqad.dat
c:\windows\system32\fjhdyfhsn.bat

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-02 bis 2010-01-02 ))))))))))))))))))))))))))))))
.

2009-12-28 00:57 . 2009-11-24 23:48 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-12-28 00:57 . 2009-11-24 23:49 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-12-28 00:57 . 2009-11-24 23:47 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-12-28 00:57 . 2009-11-24 23:50 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-12-28 00:57 . 2009-11-24 23:50 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-12-28 00:57 . 2009-11-24 23:47 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-12-28 00:57 . 2009-11-24 23:51 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-12-28 00:57 . 2009-11-24 23:50 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-12-28 00:57 . 2009-11-24 23:54 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-12-28 00:57 . 2009-12-28 00:57 -------- d-----w- c:\programme\Alwil Software
2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\dokumente und einstellungen\Lea\Anwendungsdaten\Malwarebytes
2009-12-27 13:15 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\programme\Malwarebytes-Anti-Malware
2009-12-27 13:15 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-27 13:03 . 2009-12-27 13:03 -------- d-----w- c:\dokumente und einstellungen\Lea Ersatz-Account\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-12-27 12:57 . 2009-12-27 12:57 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IECompatCache
2009-12-27 12:56 . 2009-12-27 12:56 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\PrivacIE
2009-12-27 12:45 . 2005-09-15 12:34 -------- d-----r- c:\dokumente und einstellungen\Administrator\Favoriten
2009-12-26 17:20 . 2009-12-26 17:20 -------- d-sh--w- c:\dokumente und einstellungen\Lea\PrivacIE
2009-12-26 13:49 . 2009-12-26 13:49 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-12-26 12:42 . 2009-12-26 12:42 -------- d-sh--w- c:\dokumente und einstellungen\Lea\IECompatCache
2009-12-26 12:28 . 2009-12-26 12:28 -------- d-sh--w- c:\dokumente und einstellungen\Lea\IETldCache
2009-12-26 12:08 . 2009-10-29 07:40 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-12-26 12:08 . 2009-10-29 07:40 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-12-26 12:06 . 2009-12-28 01:10 -------- d-----w- c:\windows\ie8updates
2009-12-26 11:59 . 2009-10-02 04:44 92160 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-12-26 11:28 . 2009-12-26 11:58 -------- dc-h--w- c:\windows\ie8

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-02 19:01 . 2008-01-05 17:06 -------- d-----w- c:\dokumente und einstellungen\Lea\Anwendungsdaten\Skype
2010-01-02 15:05 . 2008-01-05 17:11 -------- d-----w- c:\dokumente und einstellungen\Lea\Anwendungsdaten\skypePM
2009-12-27 20:34 . 2007-12-28 19:41 -------- d-----w- c:\programme\Avast
2009-12-27 12:51 . 2009-12-27 12:51 -------- d-----w- c:\programme\WinDirStat
2009-12-11 13:42 . 2005-09-12 09:36 462896 ----a-w- c:\windows\system32\perfh007.dat
2009-12-11 13:42 . 2005-09-12 09:36 85740 ----a-w- c:\windows\system32\perfc007.dat
2009-11-21 22:59 . 2009-11-21 22:59 -------- d-----w- c:\programme\MSECache
2009-10-29 07:40 . 2005-09-12 09:36 916480 ------w- c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2005-09-12 09:36 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2005-09-12 09:36 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 23:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:32 . 2005-09-12 09:36 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2005-09-12 09:36 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2005-09-12 09:36 150528 ----a-w- c:\windows\system32\rastls.dll
2008-10-20 22:42 . 2008-10-20 13:54 8462368 -csha-w- c:\windows\system32\drivers\fidbox.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2007-12-07 21686568]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 88358]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"CeEKEY"="c:\programme\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 671744]
"TPNF"="c:\programme\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 53248]
"Zooming"="ZoomingHook.exe" [2005-06-06 24576]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 28672]
"TPSMain"="TPSMain.exe" [2005-08-12 266240]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 118784]
"Tvs"="c:\programme\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 73728]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 122941]
"PadTouch"="c:\programme\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1077328]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-01-15 37376]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Lea\Startmen\Programme\Autostart\
Microsoft Office OneNote 2003 Schnellstart.lnk - c:\programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2004-6-17 59080]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [28.12.2009 01:57 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28.12.2009 01:57 20560]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = www.google.com
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Lea\Anwendungsdaten\Mozilla\Firefox\Profiles\vesv165o.default\
FF - prefs.js: browser.startup.homepage - google.de
FF - plugin: c:\dokumente und einstellungen\Lea\Anwendungsdaten\Mozilla\Firefox\Profiles\vesv165o.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-02 20:09
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-01-02 20:11:35
ComboFix-quarantined-files.txt 2010-01-02 19:11
ComboFix2.txt 2010-01-02 17:42
ComboFix3.txt 2008-10-20 21:22

Vor Suchlauf: 14 Verzeichnis(se), 22.753.341.440 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 22.719.107.072 Bytes frei

- - End Of File - - AC05AC62BC12730CAA471A676BB82008

ist der computer jetzt soweit sauber, oder empfihelt sich eine neuinstallation...?

Das Log müsste so okay sein. Wenn keine Probleme oder Auffälligkeiten mehr da sind bitte die Updates prüfen:

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update

Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.

Überprüf auch bitte den Adobe Flashplayer

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.