AntiVir findet ständig Trojaner Dldr.DNSChanger.Gen / Dldr.Zlob.btq.94

#1 Hallo allerseits!

Ich habe das Forum (und auch andere) bereits nach dem Problem durchsucht und bin auch fündig geworden, doch anscheinend bedarf es immer einer individuellen Lösung.
Ich bin hier am PC meines Schwiegervaters, daher bitte nicht fragen, woher der Trojaner kommt (ich weiss es einfach nicht).

Ich fange mal mit Schritt 5 an: Problembeschreibung:

AntiVir meldet bei ihm die Trojaner "TR/Dldr.DNSChanger.Gen" und "TR/Dldr.Zlob.btq.94" und zwar abwechselnd!? D.h. wenn ich den einen Trojaner in Quarantäne verschiebe, lösche, umbenenne oder ignoriere, meldet er den anderen usw.
Die angeblich "befallenen" Dateien befinden sich im C:\WINDOWS\Temp\ Verzeichnis und haben immer die gleiche Form: tmp###.tmp.
Auch ein löschen der Dateien im abgesicherten Modus hat nix gebracht.

Ich habe gerade die Schritte 1 bis 4 durchgemacht und stelle jetzt mal die Ergebnisse hier rein...

Schritt 1: Temporäre Dateien beseitigen: gemacht *g*

Schritt 2: ComboFix-Log erstellen:

ComboFix 07-10-12.4 - Georg 2007-10-14 12:13:01.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.879 [GMT 2:00]
ausgeführt von:: D:\Trojaner\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
ADS - svchost.exe: deleted 68 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Georg\err.log
C:\Dokumente und Einstellungen\Georg\ResErrors.log
C:\Programme\Gemeinsame Dateien\drivecleaner free
C:\Programme\SC
C:\Programme\video activex access
C:\Programme\video activex access\ot.ico
C:\Programme\video activex access\ts.ico

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-14 bis 2007-10-14 ))))))))))))))))))))))))))))))
.

2007-10-14 12:12 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-13 15:42 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-14 10:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2007-10-03 14:37 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-10-03 14:37 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-08-26 17:29 --------- d-----w C:\Programme\Norton SystemWorks
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-15 18:01 --------- d-----w C:\Programme\MSXML 4.0
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-01-07 18:06 26,496 ----a-w C:\Dokumente und Einstellungen\Georg\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3DD30C13-086F-42D9-AD9D-61C249DBA862}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe" [2005-03-08 11:12]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 16:09]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-09 11:32]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-29 15:53]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Arcor Online]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Programme\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDTray]
"C:\Programme\Spyware Doctor\SDTrayApp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spyware Vanisher]
C:\spywarevanisher-free\FreeScanner.exe -FastScan

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WA6PU_Check]
"C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Updater Servc]
C:\WINDOWS\system32\xpuupdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"a2AntiMalware"=2 (0x2)
"BBDemon"=2 (0x2)
"SNDSrvc"=3 (0x3)
"sdCoreService"=2 (0x2)
"sdAuxService"=2 (0x2)
"NProtectService"=2 (0x2)
"navapsvc"=2 (0x2)
"ccSetMgr"=2 (0x2)
"ccPwdSvc"=3 (0x3)
"ccEvtMgr"=2 (0x2)

R0 BsStor;InCD Storage Helper Driver;C:\WINDOWS\system32\DRIVERS\bsstor.sys
R1 LUMDriver;LUMDriver;\??\C:\WINDOWS\system32\drivers\LUMDriver.sys
R1 SSHDRV85;SSHDRV85;\??\C:\WINDOWS\system32\drivers\SSHDRV85.sys
R2 ACEDRV06;ACEDRV06;\??\C:\WINDOWS\system32\drivers\ACEDRV06.sys
R2 BsUDF;InCD UDF Driver;C:\WINDOWS\system32\drivers\BsUDF.sys
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys
R3 fxusbase;FRITZ!X USB;C:\WINDOWS\system32\DRIVERS\fxusbase.sys
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys
S3 NPDriver;Norton Unerase Protection Driver;\??\C:\WINDOWS\system32\Drivers\NPDRIVER.SYS
S3 SDdriver;SDdriver;\??\C:\WINDOWS\system32\Drivers\sddriver.sys
S4 BBDemon;Backbone Service;C:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe -service

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-09-30 14:47:25 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen.job"
"2007-09-30 14:47:25 C:\WINDOWS\Tasks\Norton SystemWorks One Button Checkup.job"
"2007-08-20 22:00:00 C:\WINDOWS\Tasks\Symantec Drmc.job"
"2007-10-08 19:13:54 C:\WINDOWS\Tasks\Symantec NetDetect.job"
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-14 12:16:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-14 12:17:26
.
--- E O F ---

Schritt 3: HiJackThis-Log erstellen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:18:21, on 14.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\portable_firefox_2.0.0.5_win_de\firefox\firefox.exe
D:\Trojaner\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3DD30C13-086F-42D9-AD9D-61C249DBA862} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {DF4E7A0C-E233-4906-B4C1-A404356541FF} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{2592EEFA-EF21-4791-B80E-97D7EB387A02}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{2592EEFA-EF21-4791-B80E-97D7EB387A02}: NameServer = 195.50.140.178 195.50.140.114
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 6740 bytes

Schritt 4: datfind.-bat Log erstellen:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58E7-63B3

Verzeichnis von C:\WINDOWS\system32

12.10.2007 16:04 2.206 wpa.dbl
05.10.2007 10:07 279.552 swreg.exe
28.09.2007 07:19 18.089.592 MRT.exe
29.08.2007 22:39 249.852 TZLog.log
28.08.2007 18:13 311.604 perfh009.dat
28.08.2007 18:13 39.992 perfc009.dat
28.08.2007 18:13 316.594 perfh007.dat
28.08.2007 18:13 48.156 perfc007.dat
28.08.2007 18:13 723.744 PerfStringBackup.INI
27.08.2007 19:22 58.672 iklog.log
22.08.2007 15:13 664.576 wininet.dll
22.08.2007 15:13 474.624 shlwapi.dll
22.08.2007 15:13 617.472 urlmon.dll
22.08.2007 15:13 1.494.528 shdocvw.dll
22.08.2007 15:13 146.432 msrating.dll
22.08.2007 15:13 449.024 mshtmled.dll
22.08.2007 15:13 3.079.168 mshtml.dll
22.08.2007 15:13 532.480 mstime.dll
22.08.2007 15:13 39.424 pngfilt.dll
22.08.2007 15:13 251.392 iepeers.dll
22.08.2007 15:13 96.768 inseng.dll
22.08.2007 15:13 16.384 jsproxy.dll
22.08.2007 15:13 205.312 dxtrans.dll
22.08.2007 15:13 55.808 extmgr.dll
22.08.2007 15:13 357.888 dxtmsft.dll
22.08.2007 15:13 1.056.256 danim.dll
22.08.2007 15:13 1.022.976 browseui.dll
22.08.2007 15:13 152.064 cdfview.dll
21.08.2007 12:53 123.904 xpsp3res.dll
21.08.2007 08:16 683.520 inetcomm.dll
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
21.07.2007 14:52 56.597 QuickTime.qtp
21.07.2007 14:17 333 MRT.INI
18.07.2007 14:42 60.416 tzchange.exe
09.07.2007 15:11 584.192 rpcrt4.dll
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58E7-63B3

Verzeichnis von C:\DOKUME~1\Georg\LOKALE~1\Temp

14.10.2007 12:20 103.249 datfind.txt
14.10.2007 12:18 256 WcesView.log
14.10.2007 11:50 16.384 ~DFFC3F.tmp
13.10.2007 16:10 779.618 hpodvd09.log
4 Datei(en) 899.507 Bytes
0 Verzeichnis(se), 1.984.094.208 Bytes frei
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58E7-63B3

Verzeichnis von C:\WINDOWS

14.10.2007 11:52 1.519.176 WindowsUpdate.log
14.10.2007 11:50 159 wiadebug.log
14.10.2007 11:50 50 wiaservc.log
14.10.2007 11:49 0 0.log
14.10.2007 11:49 2.048 bootstat.dat
13.10.2007 16:16 32.458 SchedLgU.Txt
13.10.2007 16:16 304.847 comsetup.log
13.10.2007 16:16 1.022.426 iis6.log
13.10.2007 16:16 184.363 ntdtcsetup.log
13.10.2007 16:16 412.239 tsoc.log
13.10.2007 16:16 43.979 tabletoc.log
13.10.2007 16:16 1.393 imsins.log
13.10.2007 16:16 49.615 ocmsn.log
13.10.2007 16:16 10.836 KB933729.log
13.10.2007 16:16 153.520 netfxocm.log
13.10.2007 16:16 62.663 medctroc.Log
13.10.2007 16:16 435.431 ocgen.log
13.10.2007 16:16 44.818 msgsocm.log
13.10.2007 16:16 882.557 FaxSetup.log
13.10.2007 16:16 283.178 msmqinst.log
13.10.2007 16:16 64.077 updspapi.log
13.10.2007 16:16 1.393 imsins.BAK
13.10.2007 16:16 18.326 KB939653.log
13.10.2007 16:13 10.925 KB941202.log
12.10.2007 16:34 187.720 ntbtlog.txt
02.10.2007 18:44 119.294 wmsetup.log
30.09.2007 17:51 730 SpywareDoctor505Uninstall.log
28.09.2007 09:06 135.168 catchme.exe
19.09.2007 15:21 796.666 setupapi.log
29.08.2007 22:39 21.428 KB933360.log
27.08.2007 19:40 400 SpywareDoctor505Installation.log
15.08.2007 20:11 96.595 spupdsvc.log
15.08.2007 20:03 19.394 KB936021.log
15.08.2007 20:03 18.904 KB938828.log
15.08.2007 20:03 18.271 KB921503.log
15.08.2007 20:03 18.069 KB938829.log
15.08.2007 20:02 17.828 KB938127.log
15.08.2007 20:01 21.339 KB937143.log
15.08.2007 20:01 283.500 msxml4-KB936181-enu.LOG
15.08.2007 20:01 8.264 KB936782.log
15.08.2007 20:00 4.809 avmcoins.log
09.08.2007 20:01 1.409 QTFont.for
09.08.2007 20:01 54.156 QTFont.qfn
05.08.2007 23:31 956 win.ini
05.08.2007 23:31 246 system.ini
05.08.2007 17:32 2.545 OEWABLog.txt
29.07.2007 15:59 62 SpywareDoctor5Install.log
25.07.2007 16:57 1.019 mozver.dat
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 58E7-63B3

Verzeichnis von C:\WINDOWS\temp

14.10.2007 12:19 0 tmp22B.tmp

#2 Entferne auf C:\ Qoobox-->Papierkorb leeren

Es befinden sich zwei Virenscanner auf diesen Rechner einer muss entfernt werden

Download Smitfraudfix by S!Ri zum Desktop

Starte dein Recher in
abgesicherten Modus

Doppelklick Smitfraudfix.exe.
Schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt)
drücke auf Enter ,um einen Bericht der infizierten Dateien zu bekommen.
Kopiere den Inhalt des Berichts in diesen Thread (C:\ rapport.txt )
__________
MfG Argus

#3 Hallo Arnold!
Danke für die schnelle Antwort!

Habe Antivir gelöscht :-( . Symantec ist gekauft und das wollte mein Schwiegervater lieber behalten...warum auch immer, hab ihm gesagt man kanns wieder neu installieren, aber naja.

Hier ist der Bericht von Smitfraudfix:

SmitFraudFix v2.240

Scan done at 13:29:33,75, 14.10.2007
Run from D:\Trojaner\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Georg


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Georg\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Georg\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

#4 Installiere AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm

Scanne mit DrWeb http://board.protecus.de/t29350.htm
Ich brauch kein Report

Nachdem alles wieder in Onrdnung ist

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Wenn mal wieder Drivecleaner vorbei huepft gleich das rote Knöpfchen klicken
__________
MfG Argus

#5 So, hab das alles jetzt gemacht...hat ne Weile gedauert ;-)

Sieht bis jetzt gut aus, vielen vielen Dank!!!

Dr. Web hat übrigens DNSChanger.Gen in zigtausendfacher Form im Quarantäne Ordner von Symantec Anti Virus gefunden und gelöscht...