Falsche Links mit Suche in Google und InternetExplorer auf XP mit SP2

#1 Hallo.

Habe seit ein paar Wochen das gleiche Problem wie viele andere auch - Google-Link im IE leitet auf eine Werbe-Seite.

Kann überhaupt nicht nachvollziehen, wie so ein Mist auf den Rechner kommt.
Scanne mein System eigentlich regelmässig mit Ad-Aware und SpyBot. Beide immer auf dem aktuellsten Stand.
AntiVir Personel-Edition Classic läuft immer im Hintergrund und wird täglich aktualisiert.


Habe die Vorarbeit nach dieser Anweisung durchgeführt:
http://board.protecus.de/t23187.htm

Hoffe, ihr könnt mir weiterhelfen.

1. Temporäre Dateien mit ATF-Cleaner entfernt.
----------------------------------------------

2. Combofix-Report
------------------
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
ComboFix 07-08-17.2 - "Nobser" 2007-08-22 15:44:28.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.719 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((( Files Created from 2007-07-22 to 2007-08-22 )))))))))))))))))))))))))))))))


2007-08-22 15:43 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-20 20:10 <DIR> d-------- C:\Programme\Windows Live Safety Center
2007-08-19 14:56 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\AntiVir PersonalEdition Classic
2007-08-16 22:57 <DIR> d-------- C:\DOKUME~1\NOBSER~1.NOR\ANWEND~1\Google
2007-08-15 21:33 2,323,072 --a------ C:\WINDOWS\system32\TUKernel.exe
2007-08-15 16:28 16,384 --a----t- C:\TEMP\Perflib_Perfdata_1d0.dat
2007-08-15 13:02 94,208 --a------ C:\WINDOWS\system32\evntwin.exe
2007-08-15 13:02 8,704 --a------ C:\WINDOWS\system32\snmptrap.exe
2007-08-15 13:02 6,144 --a------ C:\WINDOWS\system32\snmpmib.dll
2007-08-15 13:02 39,936 --a------ C:\WINDOWS\system32\hostmib.dll
2007-08-15 13:02 33,792 --a------ C:\WINDOWS\system32\lmmib2.dll
2007-08-15 13:02 32,768 --a------ C:\WINDOWS\system32\snmp.exe
2007-08-15 13:02 26,112 --a------ C:\WINDOWS\system32\evntcmd.exe
2007-08-15 13:02 108,032 --a------ C:\WINDOWS\system32\evntagnt.dll
2007-08-15 12:47 19,456 --a------ C:\WINDOWS\system32\simptcp.dll
2007-08-15 10:16 4,718,592 --a------ C:\DOKUME~1\NOBSER~1.NOR\ntuser.dat
2007-08-14 23:30 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-14 07:30 16,384 --a----t- C:\TEMP\Perflib_Perfdata_1f4.dat
2007-08-13 18:43 6,550 --a------ C:\WINDOWS\jautoexp.dat
2007-08-13 18:43 46,352 --a------ C:\WINDOWS\setdebug.exe
2007-08-13 18:43 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2007-08-13 18:43 113 --a------ C:\WINDOWS\system32\zonedon.reg
2007-08-13 18:43 113 --a------ C:\WINDOWS\system32\zonedoff.reg
2007-08-13 14:50 331,184 --------- C:\WINDOWS\system32\difxapi.dll
2007-08-13 14:41 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS
2007-08-13 09:07 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\PC Drivers Headquarters
2007-08-13 09:01 <DIR> d-------- C:\Programme\VIA
2007-08-12 13:04 773,120 --------- C:\WINDOWS\system32\ir41_32.dll
2007-08-12 13:04 56,832 --------- C:\WINDOWS\system32\iyvu9_32.dll
2007-08-11 13:08 <DIR> d-------- C:\DOKUME~1\NOBSER~1.NOR\ANWEND~1\Logitech
2007-08-11 13:07 13,440 --a------ C:\WINDOWS\system32\drivers\L8042Kbd.SYS
2007-08-11 13:06 90,112 --a------ C:\WINDOWS\system32\KemUtil.dll
2007-08-11 13:06 86,016 --a------ C:\WINDOWS\system32\KemWnd.dll
2007-08-11 13:06 69,376 --a------ C:\WINDOWS\system32\drivers\LMouKE.Sys
2007-08-11 13:06 65,536 --a------ C:\WINDOWS\system32\KemXML.dll
2007-08-11 13:06 55,552 --a------ C:\WINDOWS\system32\drivers\L8042mou.Sys
2007-08-11 13:06 28,160 --a------ C:\WINDOWS\KHALMNPR.Exe
2007-08-11 13:06 143,360 --a------ C:\WINDOWS\system32\kemutb.dll
2007-08-11 06:51 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\nView_Profiles
2007-08-07 10:49 173,496 --a--c--- C:\WINDOWS\snui.exe
2007-08-07 10:44 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\NMC
2007-08-07 10:43 <DIR> d-------- C:\Programme\NMC
2007-08-05 19:17 31,206 --a------ C:\WINDOWS\system32\vdmdbg32.dll
2007-08-05 19:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\GBelectronics Shared
2007-08-05 19:16 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\GBelectronics
2007-08-05 11:49 <DIR> d-------- C:\DOKUME~1\NOBSER~1.NOR\ANWEND~1\dvdcss
2007-08-03 20:00 <DIR> d-------- C:\WINDOWS\system32\vso_loc
2007-08-03 20:00 <DIR> d-------- C:\WINDOWS\system32\iosubsys
2007-08-03 19:59 64,000 --a--c--- C:\WINDOWS\system32\drivers\PcAtip.sys
2007-08-02 22:42 94,208 --a--c--- C:\WINDOWS\system32\drivers\ezplay.sys
2007-08-02 22:42 94,208 --a--c--- C:\DOKUME~1\NOBSER~1.NOR\ANWEND~1\ezplay.sys
2007-08-02 22:42 87,608 --a--c--- C:\DOKUME~1\NOBSER~1.NOR\ANWEND~1\inst.exe
2007-08-02 22:42 47,360 --a--c--- C:\DOKUME~1\NOBSER~1.NOR\ANWEND~1\pcouffin.sys
2007-08-02 22:42 32,416 --a--c--- C:\WINDOWS\system32\drivers\Pcouffin.sys
2007-08-02 22:42 <DIR> d-------- C:\DOKUME~1\NOBSER~1.NOR\ANWEND~1\Vso
2007-07-31 18:40 1,986 --a--c--- C:\WINDOWS\Deltemp.vbs
2007-07-31 17:33 356,352 --a--c--- C:\WINDOWS\system32\nvudisp.exe
2007-07-31 17:33 <DIR> d-------- C:\WINDOWS\nview
2007-07-31 17:28 356,352 --a--c--- C:\WINDOWS\system32\NVUNINST.EXE
2007-07-31 16:22 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\NVIDIA
2007-07-31 09:54 <DIR> d--hs---- C:\WINDOWS\CSC
2007-07-31 08:37 4,596 --a--c--- C:\WINDOWS\mozver.dat
2007-07-30 22:57 102,400 --a--c--- C:\WINDOWS\system32\tsccvid.dll
2007-07-30 06:15 2,945,024 --a--c--- C:\WINDOWS\system32\MediaInfo.dll
2007-07-30 06:15 102,400 --a--c--- C:\WINDOWS\system32\unzip32.dll
2007-07-30 06:14 125,712 --a--c--- C:\WINDOWS\system32\VB6DE.dll
2007-07-27 12:55 208,896 --a--c--- C:\WINDOWS\system32\lame_enc.dll
2007-07-27 10:38 73,216 --a--c--- C:\WINDOWS\ST6UNST.EXE
2007-07-27 10:38 249,856 -----c--- C:\WINDOWS\Setup1.exe
2007-07-27 10:22 76 --a--c--- C:\WINDOWS\system32\wmp32trm.dll
2007-07-27 10:20 53,248 --a--c--- C:\WINDOWS\SIUnInst.exe
2007-07-27 09:20 110 --a--c--- C:\WINDOWS\system32\lp3codec32win.dll
2007-07-26 22:24 <DIR> d-------- C:\DOKUME~1\NOBSER~1.NOR\ANWEND~1\Steinberg
2007-07-26 22:21 91,648 --a--c--- C:\WINDOWS\system32\Mros416.dll
2007-07-26 22:21 87,040 --a--c--- C:\WINDOWS\system32\Ra32sipr.dll
2007-07-26 22:21 85,504 --a--c--- C:\WINDOWS\system32\Encdnet.dll
2007-07-26 22:21 81,920 --a--c--- C:\WINDOWS\system32\Ra3214_4.dll
2007-07-26 22:21 72,704 --a--c--- C:\WINDOWS\system32\Ra3228_8.dll
2007-07-26 22:21 61,952 --a--c--- C:\WINDOWS\system32\Decdnet.dll
2007-07-26 22:21 430,080 --a--c--- C:\WINDOWS\system32\Synsopos.exe
2007-07-26 22:21 36,864 --a--c--- C:\WINDOWS\system32\Mros432.dll
2007-07-26 22:21 36,864 --a--c--- C:\WINDOWS\system32\AudioEncoderEnum.dll
2007-07-26 22:21 286,720 --a--c--- C:\WINDOWS\system32\Mp3com.dll
2007-07-26 22:21 266,240 --a--c--- C:\WINDOWS\system32\Synsoacc.dll
2007-07-26 22:21 21,504 --a--c--- C:\WINDOWS\system32\Ra32dnet.dll
2007-07-26 22:21 180,224 --a--c--- C:\WINDOWS\system32\Rewire.dll
2007-07-26 22:21 17,784 --a--c--- C:\WINDOWS\system32\drivers\NSynas32.sys
2007-07-26 22:21 131,072 --a--c--- C:\WINDOWS\system32\Pneng50.dll
2007-07-26 22:21 130,560 --a--c--- C:\WINDOWS\system32\Pnc3250.dll
2007-07-26 22:21 122,880 --a--c--- C:\WINDOWS\system32\Synso32.dll


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-18 18:42 --------- d-------- C:\DOKUME~1\NOBSER~1.NOR\ANWEND~1\Azureus
2007-08-14 06:24 --------- d-------- C:\Programme\DelTemp
2007-08-11 13:06 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-08-11 13:06 --------- d-------- C:\Programme\Gemeinsame Dateien\Logitech
2007-08-11 06:22 359040 --a--c--- C:\WINDOWS\system32\drivers\tcpip.sys
2007-07-31 18:56 --------- d-------- C:\DOKUME~1\NOBSER~1.NOR\ANWEND~1\Newsbin
2007-07-15 13:22 --------- d-------- C:\Programme\AGEIA Technologies
2007-07-15 13:21 --------- d-------- C:\DOKUME~1\NOBSER~1.NOR\ANWEND~1\Switchball
2007-06-29 00:43 1018772 --a--c--- C:\WINDOWS\system32\nvucode.bin
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B8D02254-A48E-4B94-B465-F7BBBA41BBD5}]
2007-08-05 19:17 31206 --a------ C:\WINDOWS\system32\vdmdbg32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22]
"DelTempFiles"="WScript.exe" [2007-03-19 17:03 C:\WINDOWS\system32\wscript.exe]
"avgnt"="E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RamBooster"="E:\Programme\RamBooster\Rambooster.exe" [1999-10-07 14:43]
"WallPaper"="E:\Misc\Wallpaper Changer\Wallpaper.exe" [2001-06-10 18:28]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ShowDriveLettersFirst"=4 (0x4)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ShowDriveLettersFirst"=4 (0x4)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{3CF9ECE0-1A9F-11D2-8C73-00C06C2005DE}"= E:\Programme\GPSoftware\Directory Opus\dopuslib.dll [2006-01-30 16:32 483328]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"nTuneService"=2 (0x2)

R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys
R0 timounter;Acronis TrueImage Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys
R0 xmasbus;xmasbus;C:\WINDOWS\system32\DRIVERS\xmasbus.sys
R0 xmasscsi;xmasscsi;C:\WINDOWS\system32\Drivers\xmasscsi.sys
R1 avgio;avgio;\??\E:\Programme\AntiVir PersonalEdition Classic\avgio.sys
R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys
R1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
R2 Nsynas32;Nsynas32;C:\WINDOWS\system32\drivers\Nsynas32.sys
R2 procguard;procguard;\??\C:\WINDOWS\system32\drivers\procguard.sys
R2 tifsfilter;Acronis TrueImage FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 avgntflt;avgntflt;\??\E:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
R3 L8042mou;Logitech SetPoint PS/2 Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\L8042mou.Sys
R3 Pcatip;Pcatip;C:\WINDOWS\system32\DRIVERS\PcAtip.sys
S2 Kosoh;DirectX Service;C:\WINDOWS\system32\directx.exe
S3 BioNT_BS;BioNT_BS;\??\E:\Programme\Paragon Software\Partition Manager\BlueScrn\BioNT_bs.sys
S3 NVR0Dev;NVR0Dev;\??\C:\WINDOWS\nvoclock.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-22 15:45:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-22 15:46:21

--- E O F ---
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


3. HiJackThis-Log
-----------------
>>>>>>>>>>>>>>>>
Logfile of HijackThis v1.99.1
Scan saved at 15:48:23, on 22.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
e:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\svchost.exe
E:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\Minidump\explorer.exe
C:\WINDOWS\system32\devldr32.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\RamBooster\Rambooster.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Nobser.NORBERT\Desktop\Sys-Tools\HiJackthis\HJT.exe
C:\WINDOWS\system32\directx.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Anti-Spy\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - e:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {B8D02254-A48E-4B94-B465-F7BBBA41BBD5} - C:\WINDOWS\system32\vdmdbg32.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - e:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DelTempFiles] WScript.exe C:\WINDOWS\Deltemp.vbs
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [RamBooster] E:\Programme\RamBooster\Rambooster.exe
O4 - HKCU\..\Run: [WallPaper] E:\Misc\Wallpaper Changer\Wallpaper.exe /h
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://e:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://e:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://e:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://e:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Seite mit Google übersetzen - C:\Dokumente und Einstellungen\Nobser.NORBERT\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gtranslate.htm
O8 - Extra context menu item: Zoom &In - C:\Dokumente und Einstellungen\Nobser.NORBERT\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuzoomin.htm
O8 - Extra context menu item: Zoom &Out - C:\Dokumente und Einstellungen\Nobser.NORBERT\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuzoomout.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - e:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: DirectX Service (Kosoh) - Unknown owner - C:\WINDOWS\system32\directx.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

4. datfind.bat
--------------
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C6E-171B

Verzeichnis von C:\WINDOWS\system32

22.08.2007 04:58 93.341 nvapps.xml
21.08.2007 23:11 1.024 default_user_class.dat.LOG
20.08.2007 20:08 2.206 wpa.dbl
20.08.2007 17:14 1.488.688 LegitCheckControl.dll
20.08.2007 17:14 26.112 evntcmd.exe
15.08.2007 22:05 2.323.072 TUKernel.exe
15.08.2007 15:52 512.098 perfh009.dat
15.08.2007 15:52 92.768 perfc009.dat
15.08.2007 15:52 548.358 perfh007.dat
15.08.2007 15:52 111.488 perfc007.dat
15.08.2007 15:52 1.280.792 PerfStringBackup.INI
12.08.2007 13:07 360.936 FNTCACHE.DAT
10.08.2007 22:04 5.215 jupdate-1.6.0_02-b06.log
10.08.2007 21:46 23.210 FFASTLOG.TXT
05.08.2007 19:17 31.206 vdmdbg32.dll
05.08.2007 18:29 14.848 BASSMOD.dll
01.08.2007 09:21 1.904 lvcoinst.log
31.07.2007 07:38 121.080 MSForms.TWD
30.07.2007 20:05 101.546 TZLog.log
27.07.2007 10:23 76 wmp32trm.dll
27.07.2007 09:23 110 lp3codec32win.dll
22.07.2007 18:39 279.552 swreg.exe
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
06.07.2007 21:08 262.144 default_user_class.dat
29.06.2007 00:43 1.018.772 nvucode.bin
29.06.2007 00:43 356.352 nvudisp.exe
26.06.2007 16:09 664.576 wininet.dll
14.06.2007 20:09 3.079.680 mshtml.dll
14.06.2007 20:09 39.424 pngfilt.dll
14.06.2007 20:09 1.494.528 shdocvw.dll
14.06.2007 20:09 474.624 shlwapi.dll
14.06.2007 20:09 617.472 urlmon.dll
14.06.2007 20:09 532.480 mstime.dll
14.06.2007 20:09 146.432 msrating.dll
14.06.2007 20:09 449.024 mshtmled.dll
14.06.2007 20:09 152.064 cdfview.dll
14.06.2007 20:09 1.023.488 browseui.dll
14.06.2007 20:09 1.056.256 danim.dll
14.06.2007 20:09 357.888 dxtmsft.dll
14.06.2007 20:09 205.312 dxtrans.dll
14.06.2007 20:09 55.808 extmgr.dll
14.06.2007 20:09 251.392 iepeers.dll
14.06.2007 20:09 96.768 inseng.dll
14.06.2007 20:09 16.384 jsproxy.dll
14.06.2007 16:24 123.904 xpsp3res.dll
20.05.2007 22:20 108.544 pxcpyi64.exe
20.05.2007 22:20 56.832 pxcpya64.exe
20.05.2007 22:20 103.936 pxinsi64.exe
20.05.2007 22:20 53.248 pxinsa64.exe
20.05.2007 22:20 10.752 pxwma.dll
20.05.2007 22:20 57.344 pxhpinst.exe
20.05.2007 22:20 28.672 vxblock.dll
20.05.2007 22:20 380.928 pxdrv.dll
20.05.2007 22:20 339.968 pxwave.dll
20.05.2007 22:20 159.744 pxmas.dll
20.05.2007 22:20 356.352 px.dll
16.05.2007 17:11 683.520 inetcomm.dll
04.05.2007 14:37 4.254 jupdate-1.6.0_01-b06.log

2270 Datei(en) 476.720.881 Bytes
0 Verzeichnis(se), 3.460.700.160 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C6E-171B

Verzeichnis von C:\DOKUME~1\NOBSER~1.NOR\LOKALE~1\Temp

22.08.2007 16:10 111.163 datfind.txt
1 Datei(en) 111.163 Bytes
0 Verzeichnis(se), 3.460.718.592 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C6E-171B

Verzeichnis von C:\WINDOWS

22.08.2007 15:42 1.269.779 WindowsUpdate.log
22.08.2007 15:42 6.657 iis6.log
22.08.2007 15:42 2.614 comsetup.log
22.08.2007 15:42 1.796 ntdtcsetup.log
22.08.2007 15:42 4.591 tsoc.log
22.08.2007 15:42 425 ocmsn.log
22.08.2007 15:42 311 tabletoc.log
22.08.2007 15:42 1.917 imsins.log
22.08.2007 15:42 1.785 netfxocm.log
22.08.2007 15:42 5.255 ocgen.log
22.08.2007 15:42 719 MedCtrOC.log
22.08.2007 15:42 424 msgsocm.log
22.08.2007 15:42 6.790 FaxSetup.log
22.08.2007 15:41 1.892 msmqinst.log
22.08.2007 15:40 0 setuperr.log
22.08.2007 15:40 60 setupact.log
22.08.2007 04:58 0 0.log
22.08.2007 04:57 159 wiadebug.log
22.08.2007 04:57 50 wiaservc.log
22.08.2007 04:57 2.048 bootstat.dat
21.08.2007 19:14 227 system.ini
21.08.2007 19:14 1.509 win.ini
20.08.2007 20:29 16 popcinfo.dat
16.08.2007 22:32 49 NeroDigital.ini
16.08.2007 12:50 2.590 goldwave.ini
15.08.2007 17:27 4.596 mozver.dat
12.08.2007 09:31 14.136 cdplayer.ini
10.08.2007 12:37 38 Nobser.acl
27.07.2007 10:38 249.856 Setup1.exe
27.07.2007 10:38 73.216 ST6UNST.EXE
27.07.2007 10:37 303 ST6UNST.000
27.07.2007 10:20 53.248 SIUnInst.exe
20.07.2007 00:47 109.056 catchme.exe
25.06.2007 09:31 173.496 snui.exe
17.06.2007 00:11 51.200 nircmd.exe
13.06.2007 15:21 1.036.288 explorer.exe

101 Datei(en) 11.588.598 Bytes
0 Verzeichnis(se), 3.460.712.448 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C6E-171B

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C6E-171B

Verzeichnis von C:\WINDOWS\Downloaded Program Files

16.08.2007 08:59 23.600 tvichw32.sys
08.08.2007 17:47 399 gp.inf
31.07.2007 14:04 449.024 driveragent.ocx
11.06.2007 12:21 5.021 swflash.inf
7 Datei(en) 480.642 Bytes
0 Verzeichnis(se), 3.460.712.448 Bytes frei
.
.
.
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

Hoffe, ich habe alles mit drin.

--
Gruss,
Norbert

#2 Hi,

Onlinprüfung von:
C:\WINDOWS\system32\directx.exe
C:\WINDOWS\system32\vdmdbg32.dll

Chris

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\system32\directx.exe
C:\WINDOWS\system32\vdmdbg32.dll

poste die Reportes.

#3 Danke, für die rasche Antwort.

Hier das Ergebnis für "directx.exe":

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.22.0 2007.08.23 -
AntiVir 7.4.1.63 2007.08.23 -
Authentium 4.93.8 2007.08.23 -
Avast 4.7.1029.0 2007.08.23 -
AVG 7.5.0.484 2007.08.23 -
BitDefender 7.2 2007.08.23 BehavesLike:Win32.AV-Killer
CAT-QuickHeal 9.00 2007.08.23 -
ClamAV 0.91 2007.08.23 -
DrWeb 4.33 2007.08.23 -
eSafe 7.0.15.0 2007.08.23 suspicious Trojan/Worm
eTrust-Vet 31.1.5082 2007.08.23 -
Ewido 4.0 2007.08.23 -
FileAdvisor 1 2007.08.23 -
Fortinet 2.91.0.0 2007.08.23 -
F-Prot 4.3.2.48 2007.08.23 -
F-Secure 6.70.13030.0 2007.08.23 -
Ikarus T3.1.1.12 2007.08.23 Backdoor.Win32.Rukap
Kaspersky 4.0.2.24 2007.08.23 -
McAfee 5104 2007.08.23 -
Microsoft 1.2803 2007.08.23 VirTool:Win32/Obfuscator.L
NOD32v2 2479 2007.08.23 -
Norman 5.80.02 2007.08.23 -
Panda 9.0.0.4 2007.08.23 Bck/DService.gen
Prevx1 V2 2007.08.23 -
Rising 19.37.32.00 2007.08.23 -
Sophos 4.20.0 2007.08.23 Mal/Agent-A
Sunbelt 2.2.907.0 2007.08.23 -
Symantec 10 2007.08.23 Trojan.Monicker
TheHacker 6.1.8.171 2007.08.23 -
VBA32 3.12.2.3 2007.08.23 -
VirusBuster 4.3.26:9 2007.08.23 -
Webwasher-Gateway 6.0.1 2007.08.23 -
weitere Informationen
File size: 63488 bytes
MD5: 82bc7355fd4635c2e73b5b35f6fa3e28
SHA1: ca83b054b1469c5ab64cf5b6f63051212f0ed338
packers: UPX
packers: UPX
packers: UPX

Mit der "vdmdbg32.dll" kann ich nicht mehr dienen.
Die wurde gestern Abend vom Ewido-Online-Check für bösartig befunden und entsorgt.

--
MfG,
Norbert

#4 Hi,

entsorge die directx.exe ebenfalls...
Probeweise im Taskmanager den Prozess abschiessen (wenn es geht),
im abgesicherten Modus die Exe umbenennen (directx.exe.vir),
wenn dann noch alles läuft die entsprechenden Einträge mit HJ fixen:
(Wird nur von einigen wenigen erkannt, false/positive möglich).

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
(Achtung:
Alle Anwendungen bis auf HJ müssen geschlossen sein!)

Zitat

O23 - Service: DirectX Service (Kosoh) - Unknown owner - C:\WINDOWS\system32\directx.exe

#5 Hi.

Ok, alles ausgeführt.
Scheint zu funktionieren. Rechner läuft noch und bis jetzt kein einziger falscher Link mehr.

Aber ich hätte da noch Fragen.

1. Wo fängt man sich so einen Mist ein? Worauf sollte ich in Zukunft achten?
Anscheinend reichen die Tools, die ich eigentlich täglich benutze (Ad-Aware, SpyBot S&D und Avira AntiVir) nicht aus, um das System zu schützen.

2. In der "Dienste-Liste" unter "Verwaltung" steht der Dienst "DirectX Service".
Ist das ok so, oder sollte der da nicht stehen?
Habe ihn mal Spasshalber deaktiviert, ohne daß ich eine Änderung im Verhalten des Rechners bemerke.
Wenn der da nicht reingehört, wie kann ich ihn entfernen?

3. Habe ein Heimnetzwerk(chen) (2 Rechner), die über die FritzBox werkeln.
Einer hängt am LAN-Kabel, der andere an WLAN mit WPA2(CCMP)-Verschlüsselung.
Der WLAN-Rechner scheint "sauber" zu sein. Keine Probs mit Google und auch keine Befunde über verschiedene Online-Virenscanner.
Kann es trotzdem sein, daß durch den, jetzt hoffentlich gefixten, Kram auf dem "Problem-Rechner" auch eine Gefahr über das Netzwerk für den WLAN-Rechner bestand/besteht? Also nicht durch direkten Befall, sondern indirekt über das Netzwerk? Sind ja nun mal einige Ordner hier und da freigegeben.

--
Norbert

#6 Hi,

einfangen kann man sich das über infizierte Webpages, Cracks, Messenger etc.
Wie Du gesehen hast scheint das Ding neu zu sein, es wird nur von wenigen Scannern erkannt. Ab- und an mal andere (Online-)Scanner benutzten, vom sauberen Rechner ein HJ-Log aufheben (um vergleichen zu können), ab -und an ein aktuelles HJ-Log machen und nach Änderungen schauen. Boot-CD vorbereiten, mit Virenscannern etc. (z. B. http://www.ubcd4win.com/), damit findet man auch Rootkits....

Directx-Service: Prüfe den Pfad des Dienstes, zeigt der zufällig auf die gelöschte exe? Dann Dienst anhalten und löschen (Startmenu->Ausführen->sc.exe delete DirectX Service). (Aber nur wenn Du Dir sicher bist, Spiele etc. gehen noch :o)???

Ist möglich, wenn der Trojaner über eigene Verbreitungsmechanismen verfügt, daher unbedingt den anderen Rechner auch überprüfen...

Chris