Trotz Kasperky und hijackthis weiter vorhabdeb

#1 Hallo,

mein Schwiegervater geht über den Smartsurfer von web.de ins Netz und hat seinen PC infiziert.
Folgende Fehlermeldung erscheint immer nach ca. 15 Minuten surfe:

Die Ausnahme "Unbekannter Softwarefehler" (0xc0000409) ist in Anwendung an der Stelle 0x597da3c0 aufgetreten.

Klickt man auf OK oder abbrechen, fliegt man aus dem Netz und muss den Rechner hochfahren, um wieder surfen zu können.
Ich habe per Kaspersky den Wurm Win32.Tenga.A entdeckt und gelöscht. Allerdings scheint der sich automatisch durch einen Neustart wieder zu aktivieren.

Per hijackthis wieder etwas böses angezeigt in O17:


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\SCHWER~1\LOKALE~1\Temp\Rar$EX00.922\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SmartSurfer_0.lnk = C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140711387281
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45C26F37-C874-494C-9A9A-F4ED48249C9F}: NameServer = 62.53.142.196 193.189.244.205
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe


Wenn ich O17 fixe, kommt das aber wieder mit demn booten rein.

Habe dann mit eurer Anweisung folgende Dateinen erstellt:

c.txt:


Verzeichnis von C:\

02.10.2006 13:39 0 sys.txt
02.10.2006 13:39 5.233 windows.txt
02.10.2006 13:38 5.233 system.txt
02.10.2006 13:38 337 systemtemp.txt
02.10.2006 13:38 92.060 system32.txt
02.10.2006 13:36 4.363 ComboFix.txt
02.10.2006 13:28 536.399.872 hiberfil.sys
02.10.2006 13:28 805.306.368 pagefile.sys
02.10.2006 13:27 4.576 ComboFix2.txt
23.02.2006 12:56 0 CONFIG.SYS
23.02.2006 12:56 0 MSDOS.SYS
23.02.2006 12:56 0 IO.SYS
23.02.2006 12:56 0 AUTOEXEC.BAT
23.02.2006 12:49 211 boot.ini
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
23.08.2001 14:00 4.952 bootfont.bin
17 Datei(en) 1.342.121.953 Bytes
0 Verzeichnis(se), 10.386.640.896 Bytes frei

system32.txt

Verzeichnis von C:\WINDOWS\system32

01.10.2006 14:06 2.550 Uninstall.ico
01.10.2006 14:06 1.406 Help.ico
01.10.2006 14:06 30.590 pavas.ico
29.09.2006 20:16 2.206 wpa.dbl
19.05.2006 12:28 7.006 jupdate-1.5.0_06-b05.log
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
26.03.2006 10:51 40.972 perfc009.dat
26.03.2006 10:51 314.644 perfh009.dat
26.03.2006 10:51 320.424 perfh007.dat
26.03.2006 10:51 49.372 perfc007.dat
26.03.2006 10:51 732.342 PerfStringBackup.INI
24.03.2006 19:08 28.778 klogon.dll
23.02.2006 18:31 239.944 FNTCACHE.DAT
23.02.2006 12:59 261 $winnt$.inf
23.02.2006 12:56 2.951 CONFIG.NT
23.02.2006 12:56 16.832 amcompat.tlb
23.02.2006 12:56 23.392 nscompat.tlb
23.02.2006 12:55 488 logonui.exe.manifest
23.02.2006 12:55 488 WindowsLogon.manifest
23.02.2006 12:55 749 wuaucpl.cpl.manifest
23.02.2006 12:55 749 ncpa.cpl.manifest
23.02.2006 12:55 749 sapi.cpl.manifest
23.02.2006 12:55 749 nwc.cpl.manifest
23.02.2006 12:55 749 cdplayer.exe.manifest
23.02.2006 12:53 21.740 emptyregdb.dat
23.02.2006 12:49 0 h323log.txt
16.11.2005 18:05 8.704 relog_ap.dll
16.11.2005 18:05 131.072 snapapi.dll

system.txt

Verzeichnis von C:\WINDOWS

02.10.2006 13:28 0 0.log
02.10.2006 13:28 50 wiaservc.log
02.10.2006 13:28 159 wiadebug.log
02.10.2006 13:28 658.018 WindowsUpdate.log
02.10.2006 13:28 2.048 bootstat.dat
01.10.2006 18:35 396.358 setupapi.log
17.09.2006 11:57 116 NeroDigital.ini
13.07.2006 15:58 594 win.ini
19.05.2006 11:52 3.030 mozver.dat
05.04.2006 21:37 848 CASMULTI
05.04.2006 21:37 236 cas.log
05.04.2006 21:37 10.000 TCMULTI
05.04.2006 21:37 104 TC.INI
05.04.2006 21:37 29 standard.sta
23.02.2006 22:07 50.143 FaxSetup.log
23.02.2006 21:25 0 OpPrintServer.INI
23.02.2006 20:43 184.342 setupact.log
23.02.2006 20:40 2.817 Ascd_tmp.ini
23.02.2006 20:24 29 DEBUGSM.INI
23.02.2006 20:15 8.563 EPSTPLOG.TXT
23.02.2006 20:14 12.726 EPSTPLOG.BAK
23.02.2006 18:21 2.185 tabletoc.log
23.02.2006 18:21 1.374 imsins.log
23.02.2006 18:21 2.871 ocmsn.log
23.02.2006 18:21 24.300 comsetup.log
23.02.2006 18:21 23.969 tsoc.log
23.02.2006 18:21 14.079 ntdtcsetup.log
23.02.2006 18:21 101.870 iis6.log
23.02.2006 18:21 8.661 KB898461.log

und systemtemp.txt

Verzeichnis von C:\DOKUME~1\SCHWER~1\LOKALE~1\Temp

02.10.2006 13:38 203 jusched.log
02.10.2006 13:38 240 datFind.zip
2 Datei(en) 443 Bytes
0 Verzeichnis(se), 10.386.661.376 Bytes frei

So, was nun?
Bin gespannt und danke für die Bemühungen!

Gruß, Markman