Unter WINXP kein Online-Zugang mehr möglich!!

#1 Hallo,
ich verwende hier 3 Rechner mit WIN XP / Ubuntu.
Seit gestern komme ich mit zweien der Rechner nicht mehr über winXP (SP3) mehr ins Internet. Wenn ich mit UBUNTU arbeite, habe ich keinerlei Probleme. Der 3. Rechner ist ein Notebook, welches über eine Tunnelverbindung über meinen Arbeitgeber auf den Proxy-Server zugreift. Dieser Rechner arbeitet völlig fehlerfrei mit Lotus Notes, IE-Explorer und meiner online-Anwendung auf dem Server des AG. Ich kann an diesem Rechner fast nichts machen, da als User keinerlei Admin-Rechte habe.
Die anderen beiden Rechner haben keinerlei Zugriff auf das Internet (Zugang über Kabelmodem 25 MBit). Weder Banksoftware, IE-Explorer, Thunderbird, Firefox können Daten senden / abrufen.

Ich habe die ToDo-Liste abgearbeitet.
Hier die Resultate:

Malwarebytes:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 930
Windows 5.1.2600 Service Pack 3, v.3311

11:42:47 12.07.2008
mbam-log-7-12-2008 (11-42-36).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|T:\|W:\|)
Objekte gescannt: 236494
Scan Dauer: 55 minute(s), 3 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinSys2 (Trojan.Agent) -> No action taken.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\TomAdmin\Lokale Einstellungen\Temp\SQZ3F1.tmp\keygen.exe (Spyware.OnlineGames) -> No action taken.
E:\Acrobat 8.0\Setup Files\{AC76BA86-1033-F400-7760-000000000003}\keygen.exe (Backdoor.Bot) -> No action taken.
J:\Adobe 8 Pro\keygen.exe (Backdoor.Bot) -> No action taken.
J:\KiMusiGesch\sdvdc_full_95\CORE10k.EXE (Trojan.Agent) -> No action taken.
J:\Motorola\Addons\MPT_TEST_Info.exe (Trojan.Agent) -> No action taken.
T:\System Volume Information\_restore{9F2958E0-493A-4EB3-8672-BE2F190439F4}\RP25\A0017209.EXE (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WinSys2.exe (Trojan.Agent) -> No action taken.

ComboFix:
ComboFix 08-07-11.1 - Tom 2008-07-12 13:46:23.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1561 [GMT 2:00]
ausgeführt von:: L:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\vista.dll
C:\WINDOWS\system32\winsys.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-12 bis 2008-07-12 ))))))))))))))))))))))))))))))
.

2008-07-12 10:44 . 2008-07-12 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\Malwarebytes
2008-07-12 10:44 . 2008-07-12 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-12 10:44 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-12 10:44 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-20 19:46 . 2008-06-20 19:46 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 19:46 . 2008-06-20 19:46 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 13:51 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 13:40 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 13:08 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-12 10:55 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-07-09 17:37 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-07-08 12:42 21,840 -c--atw C:\WINDOWS\system32\SIntfNT.dll
2008-07-08 12:42 17,212 -c--atw C:\WINDOWS\system32\SIntf32.dll
2008-07-08 12:42 12,067 -c--atw C:\WINDOWS\system32\SIntf16.dll
2008-07-08 11:32 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-02 11:48 6,577,772 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-06-22 14:21 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-06-22 14:21 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-06-22 12:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
2008-06-22 12:36 5,739,008 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-02 17:58 --------- d-----w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\Command & Conquer 3 Tiberium Wars
2008-06-02 09:22 --------- d-----w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\gtk-2.0
2008-05-26 21:54 1,071,480 ----a-w C:\WINDOWS\system32\SpoonUninstall.exe
2008-05-26 21:52 --------- d-----w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\AccurateRip
2008-05-20 23:13 --------- d-----w C:\Programme\Windows Media Connect 2
2008-05-09 10:54 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
2008-05-09 10:54 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-05-09 10:54 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
2008-05-09 10:54 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-26 11:40 862,720 ----a-w C:\WINDOWS\Internet Logs\xDB1B.tmp
2008-04-24 17:42 5,545,984 ----a-w C:\WINDOWS\Internet Logs\xDB1A.tmp
2008-04-21 06:42 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-12 17:18 787,968 ----a-w C:\WINDOWS\Internet Logs\xDB18.tmp
2008-04-12 17:18 5,341,184 ----a-w C:\WINDOWS\Internet Logs\xDB19.tmp
2008-01-13 19:22 81,920 ----a-w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\ezpinst.exe
2008-01-13 19:22 47,360 -c--a-w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\pcouffin.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATnotes.exe"="e:\ATnotes\ATnotes.exe" [2005-01-05 15:45 1015808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 10:27 262401]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 20:27 919016]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43 8466432]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43 81920]
"Acrobat Assistant 8.0"="E:\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-23 00:24 620152]
"QuickTime Task"="E:\QuickTime\qttask.exe" [2007-12-11 11:56 286720]
"nwiz"="nwiz.exe" [2007-06-29 00:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-01-29 15:47 16859648 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-02-12 15:55 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\TechniSat DVB\\bin\\Server4PC.exe"=
"E:\Microsoft ActiveSync\rapimgr.exe"= E:\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"E:\Microsoft ActiveSync\wcescomm.exe"= E:\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"E:\Microsoft ActiveSync\WCESMgr.exe"= E:\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"H:\\Anno 1701\\Anno1701.exe"=
"H:\\Anno 1701\\Anno1701AddOn.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"H:\\DIE SIEDLER - Aufstieg eines Königreichs\\base\\bin\\Settlers6.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"80:TCP"= 80:TCP:HTTP
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"2799:UDP"= 2799:UDP:Altova License Metering Port (UDP)
"2799:TCP"= 2799:TCP:Altova License Metering Port (TCP)

R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\Cinemsup.sys [2002-07-19 08:10]
R1 VBoxDrv;VirtualBox Service;C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys [2007-12-29 10:32]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;C:\WINDOWS\system32\DRIVERS\VBoxUSBMon.sys [2007-12-29 10:32]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2004-10-13 11:56]
S3 BrSerIf;Brother MFC Serial Port Interface WDM Driver;C:\WINDOWS\system32\Drivers\BrSerIf.sys [2004-06-12 07:27]
S3 BrUsbSer;Brother MFC USB Serial WDM Driver;C:\WINDOWS\system32\Drivers\BrUsbSer.sys [2004-01-10 06:28]
S3 DrvSnSht;DrvSnSht;E:\R-Drive Image\DrvSnSht.sys [2007-03-05 22:39]
S3 R-ImageDisk;R-ImageDisk;E:\R-Drive Image\R-ImageDisk.sys [2007-04-02 12:49]
S3 SCR3XX2K;SCR3xx USB SmartCardReader;C:\WINDOWS\system32\DRIVERS\SCR3XX2K.sys [2007-10-18 00:11]

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{946F6FBA-B1A0-E125-C4B7-9710BA85D6A1}]
C:\DOKUME~1\Tom\LOKALE~1\Temp\IXP000.TMP\setup.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 13:49:11
Windows 5.1.2600 Service Pack 3, v.3311 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-12 13:49:54
ComboFix-quarantined-files.txt 2008-07-12 11:49:41

11 Verzeichnis(se), 5,518,368,768 Bytes frei
14 Verzeichnis(se), 5,505,204,224 Bytes frei

136 --- E O F --- 2008-10-09 13:57:22



Windowsscan:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

12.07.2008 WindowsUpdate.log 10 20:1.351.901
12.07.2008 wiadebug.log 10 19:159
12.07.2008 wiaservc.log 10 19:50
12.07.2008 bootstat.dat 10 17:2.048
12.07.2008 SchedLgU.Txt 10 16:32.564
09.07.2008 NeroDigital.ini 19 27:116
08.07.2008 winamp.ini 13 36:95
21.05.2008 win.ini 01 13:571
21.05.2008 WMSysPr9.prx 01 12:316.640
09.04.2008 system.ini 01 26:227
07.03.2008 ga_cd.ini 11 42:116
03.03.2008 APDFPRP.INI 23 36:1.717
03.03.2008 WINGIS32.INI 13 25:210
03.03.2008 GISBAUIN.INI 13 23:52
12.02.2008 winhlp32.exe 15 55:288.768
12.02.2008 slrundll.exe 15 55:32.866
12.02.2008 regedit.exe 15 55:153.600
12.02.2008 notepad.exe 15 55:70.144
12.02.2008 hh.exe 15 55:10.752
12.02.2008 explorer.exe 15 55:1.036.800
12.02.2008 twain_32.dll 15 55:50.688
10.02.2008 hbcikrnl.ini 12 12:223
08.02.2008 ODBC.INI 14 32:508
08.02.2008 avisplitter.INI 11 02:38
07.02.2008 mozver.dat 12 33:5.157
02.02.2008 patchw32.dll 18 04:215.144
02.02.2008 pw32a.dll 18 04:215.144


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

12.07.2008 perfh009.dat 10 25:392.296
12.07.2008 perfh007.dat 10 25:405.118
12.07.2008 perfc007.dat 10 25:70.580
12.07.2008 perfc009.dat 10 25:58.596
12.07.2008 PerfStringBackup.INI 10 25:938.224
12.07.2008 vsconfig.xml 10 19:357.648
12.07.2008 wpa.dbl 10 03:2.206
09.07.2008 zllictbl.dat 19 23:4.212
08.07.2008 SIntfNT.dll 14 42:21.840
08.07.2008 SIntf32.dll 14 42:17.212
08.07.2008 SIntf16.dll 14 42:12.067
25.06.2008 MRT.exe 18 15:17.972.344
22.06.2008 PnkBstrB.exe 16 21:103.736
20.06.2008 mswsock.dll 19 46:247.296
20.06.2008 dnsapi.dll 19 46:147.968
02.06.2008 eUpdate.xml 11 25:260
m4a 26.05.2008 SpoonUninstall-dBpoweramp 23 54:3.562
m4a 26.05.2008 SpoonUninstall-dBpoweramp 23 54:33.846
26.05.2008 SpoonUninstall.exe 23 54:1.071.480
21.05.2008 amcompat.tlb 01 13:16.832
21.05.2008 nscompat.tlb 01 13:23.392
10.05.2008 wshom.ocx 01 24:135.168
09.05.2008 wshext.dll 12 54:90.112
09.05.2008 vbscript.dll 12 54:430.080
09.05.2008 scrrun.dll 12 54:172.032
09.05.2008 scrobj.dll 12 54:180.224
09.05.2008 jscript.dll 12 54:512.000
08.05.2008 wscript.exe 13 24:155.648
07.05.2008 cscript.exe 11 07:135.168
07.05.2008 quartz.dll 07 10:1.293.824
21.04.2008 mshtml.dll 08 42:3.087.872
21.04.2008 wininet.dll 08 42:671.744
11.04.2008 CmdLineExt.dll 01 22:107.888
10.04.2008 FNTCACHE.DAT 10 55:240.736
08.04.2008 nvapps.xml 22 26:127.254
08.04.2008 d3d9caps.dat 20 06:664
08.04.2008 spupdwxp.log 11 16:245
30.03.2008 jupdate-1.6.0_05-b13.log 09 58:6.641
16.03.2008 PnkBstrA.exe 15 48:66.872
14.03.2008 wrap_oal.dll 14 11:262.144
14.03.2008 OpenAL32.dll 14 11:86.016
29.02.2008 CmdLineExt03.dll 19 00:43.520
22.02.2008 javaws.exe 02 33:139.264
22.02.2008 javacpl.cpl 02 33:69.632
22.02.2008 javaw.exe 01 23:135.168
22.02.2008 java.exe 01 23:135.168
12.02.2008 dcache.bin 16 18:1.788


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****


Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 16 K
System 4 Console 0 240 K
smss.exe 912 Console 0 392 K
csrss.exe 984 Console 0 4.148 K
winlogon.exe 1008 Console 0 3.356 K
services.exe 1052 Console 0 3.284 K
lsass.exe 1064 Console 0 1.304 K
svchost.exe 1248 Console 0 4.700 K
svchost.exe 1312 Console 0 4.364 K
svchost.exe 1604 Console 0 23.744 K
svchost.exe 1640 Console 0 3.220 K
svchost.exe 1784 Console 0 2.868 K
svchost.exe 1908 Console 0 3.984 K
vsmon.exe 1924 Console 0 23.404 K
spoolsv.exe 652 Console 0 6.648 K
scardsvr.exe 696 Console 0 2.512 K
avguard.exe 712 Console 0 10.176 K
sched.exe 1920 Console 0 572 K
MDM.EXE 220 Console 0 2.992 K
nvsvc32.exe 500 Console 0 3.688 K
PnkBstrA.exe 832 Console 0 2.352 K
svchost.exe 1596 Console 0 4.108 K
uphclean.exe 688 Console 0 1.452 K
alg.exe 1824 Console 0 3.444 K
wscntfy.exe 3768 Console 0 1.888 K
explorer.exe 3852 Console 0 23.148 K
fpassist.exe 3904 Console 0 3.288 K
avgnt.exe 3912 Console 0 984 K
zlclient.exe 3936 Console 0 5.188 K
rundll32.exe 4024 Console 0 3.216 K
RTHDCPL.exe 4064 Console 0 21.984 K
acrotray.exe 4076 Console 0 8.304 K
ATnotes.exe 972 Console 0 2.816 K
FNPLicensingService.exe 1868 Console 0 2.352 K
SpeedCommander.exe 3952 Console 0 25.968 K
mbam.exe 2104 Console 0 30.820 K
cmd.exe 2808 Console 0 1.804 K
tasklist.exe 2140 Console 0 4.220 K
wmiprvse.exe 3844 Console 0 5.572 K



Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 12.07.2008 um 11:46:34,70 ***


Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:40:39, on 12.07.2008
Platform: Windows XP SP3, v.3311 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3311)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
E:\UPHClean\uphclean.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
E:\Acrobat 8.0\Acrobat\Acrotray.exe
E:\ATnotes\ATnotes.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
D:\SpeedCommander 12\SpeedCommander.exe
e:\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\notepad.exe
e:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "E:\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ATnotes.exe] e:\ATnotes\ATnotes.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://E:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\MICROS~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {AEF9B8DB-0DEF-4c0b-8209-661C9E82B8C3} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189029147625
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEARSecurity - GEAR Software Inc. - (no file)
O23 - Service: NBService - Nero AG - E:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7319 bytes


Datfile:

.
Datentr„ger in Laufwerk C: ist DRIVE_C
Volumeseriennummer: C490-09AF

Verzeichnis von C:\WINDOWS\system32

12.07.2008 12:48 392.296 perfh009.dat
12.07.2008 12:48 58.596 perfc009.dat
12.07.2008 12:48 405.118 perfh007.dat
12.07.2008 12:48 70.580 perfc007.dat
12.07.2008 12:48 938.224 PerfStringBackup.INI
12.07.2008 12:44 357.648 vsconfig.xml
12.07.2008 10:03 2.206 wpa.dbl
09.07.2008 19:23 4.212 zllictbl.dat
08.07.2008 14:42 21.840 SIntfNT.dll
08.07.2008 14:42 17.212 SIntf32.dll
08.07.2008 14:42 12.067 SIntf16.dll
25.06.2008 18:15 17.972.344 MRT.exe
22.06.2008 16:21 103.736 PnkBstrB.exe
20.06.2008 19:46 247.296 mswsock.dll
20.06.2008 19:46 147.968 dnsapi.dll
02.06.2008 11:25 260 eUpdate.xml
26.05.2008 23:54 3.562 SpoonUninstall-dBpoweramp m4a Codec.dat
26.05.2008 23:54 33.846 SpoonUninstall-dBpoweramp m4a Codec.bmp
26.05.2008 23:54 1.071.480 SpoonUninstall.exe
21.05.2008 01:13 16.832 amcompat.tlb
21.05.2008 01:13 23.392 nscompat.tlb
10.05.2008 01:24 135.168 wshom.ocx
09.05.2008 12:54 90.112 wshext.dll
09.05.2008 12:54 180.224 scrobj.dll
09.05.2008 12:54 172.032 scrrun.dll
09.05.2008 12:54 430.080 vbscript.dll
09.05.2008 12:54 512.000 jscript.dll
08.05.2008 13:24 155.648 wscript.exe
07.05.2008 11:07 135.168 cscript.exe
07.05.2008 07:10 1.293.824 quartz.dll
21.04.2008 08:42 3.087.872 mshtml.dll
21.04.2008 08:42 671.744 wininet.dll
11.04.2008 01:22 107.888 CmdLineExt.dll
10.04.2008 10:55 240.736 FNTCACHE.DAT
120 Datei(en) 46.425.732 Bytes
0 Verzeichnis(se), 5.520.265.216 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist DRIVE_C
Volumeseriennummer: C490-09AF

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist DRIVE_C
Volumeseriennummer: C490-09AF

Verzeichnis von C:\WINDOWS\Downloaded Program Files

04.10.2007 07:52 323.584 NvidiaSmartScan.ocx
12.09.2007 08:46 259 NvidiaSmartScan.inf
05.09.2007 21:43 65 desktop.ini
30.07.2007 19:24 293 wuweb.inf
29.03.2007 11:07 206.384 sysreqlab2.dll
29.03.2007 11:06 669 SysReqLab2.osd
6 Datei(en) 531.254 Bytes
0 Verzeichnis(se), 5.520.265.216 Bytes frei
.
.
.

#2 @ Trojaner-such (einfang)
-> No action taken
...nun weiss ich nicht ob Du die kritischen Einträge nach dem Malwarebytes- Scan auch entfernt hast. Du hast eine Menge Laufwerke /Partitionen die evtl auch angestöpselte USB Sticks sein könnten. In Diesen sind verseuchte Keygen's die Du bei Bedarf doch erstmal aus dem System bringen solltest.
Über die Logs sehe ich auch mal in Ruhe....

#3 Erst einmal Danke für Dein rasches Hilfsangebot!!

Zitat

...nun weiss ich nicht ob Du die kritischen Einträge nach dem Malwarebytes- Scan auch entfernt hast. Du hast eine Menge Laufwerke /Partitionen die evtl auch angestöpselte USB Sticks sein könnten. In Diesen sind verseuchte Keygen's die Du bei Bedarf doch erstmal aus dem System bringen solltest.
Über die Logs sehe ich auch mal in Ruhe....

hab ich bereits gemacht. Mit Malwarebytes wurden die infektiösen Dateien entfernt. Es sind mehrere Partitionen, bzw. physikalische Laufwerke.

Danach System Neuboot und Malwarebytes noch einmal laufen lassen, Ergebnis dann System sauber.

Trotzdem kein Zugang ins Internet.

Danach habe ich kurz ZoneAlarmPro deaktiviert und siehe da.... der Zugang funktioniert.
Dann habe ich alle Programmeinstellungen bei ZA gelöscht und wieder mit Firefox angefangen... Kein Zugang.

Ein Bekannter meint nun, der Rechner könnte "gehijackt" sein und meinte irgendetwas von DNS umleiten???

#4 Was ich jetzt sagen kann ist nur das der Eintrag;
O9 - Extra button: (no name) - {AEF9B8DB-0DEF-4c0b-8209-661C9E82B8C3} - (no file)
mit HJT raus kann.
-Das wird aber nicht des Problems Lösung sein.
Kontrolliere bitte ob DU, das Programm/Datei ;"E:\UPHClean\uphclean.exe" kennst und selber installiert hast ggf. mal auf Virustotal hochladen (dies aber noch nicht fixen /löschen erstmal auf weitere Meinungen warten).
Dann ist noch ein Service der mir komisch vorkommt:
O23 - Service: GEARSecurity - GEAR Software Inc. - (no file)

#5 UPHClean.exe ist sauber. Ich habe es mit diesem Rechner zu Virustotal raufgeladen.

Was mich stutzig macht...

ZoneAlarm gibt diese Meldung aus:

Generic Host Process for WIN32 services versucht auf das Internet zuzugreifen:

svchost.exe
Ziel IP: 82.212.63.2

#6 Ziel IP: 82.212.63.2- Kabel Baden Württemberg

#7 O23 - Service: GEAR Security

hier meint HJT:
Malware that registers itself as a Service is subsequently harder to kill
(Action taken: services ist disabled and stopped. Reboot needed.)

Wäre wohl was zum Löschen?

O9 werde ich wohl mal löschen. Ich hab ja einen Systemwiederherstellungspunkt.

Zitat

Ziel IP: 82.212.63.2- Kabel Baden Württemberg

dies ist ja wohl korrekt. KabelBW ist mein Provider.

Ich bin mir nur immer recht unklar, wenn ZoneAlarm eine Meldung ausgibt mit dem Preogramm svchost.exe
Normalerweise sage ich dann erst einmal immer Zugriff verweigern. Nur wenn dann ein Programm nicht läuft lasse ich es zu.

#8 Muß jetzt mal ganz dumm fragen, ich habe (kenne es nicht weiter) kein Zonealarm ! Du meinst es kommt von Firewallseite aus, die Meldung.-Bei mir ist das jedenfalls so, ab und zu, bei meiner Firewall! Habe die Meldung von diesen Prozess auch, weiss aber nicht was er alles mit "rausschleppen" kann ?

#9 Ich kenne mich leider hiermit auch zu wenig aus, doch ich bin vorsichtig.

Im Normalfall kann diese Meldung nach meinen Erfahrungen als unbedenklich eingestuft werden.
Da ich jedoch hierbei nie weiss, welches Programm hinter diesem Aufruf tatsächlich dahintersteckt versuche ich einfach den Prozess erst einmal zu unterbinden. Wenn dann ein Programm, welches ich nutzen möchte nicht richtig läuft, lasse ich erst einmal diesen Aufruf einmalig zu. Läuft es dann korrekt, dann speichere ich das Ganze als vertrauenswürdig ab.

Im Moment lasse ich noch MRT.EXE von Microsoft laufen. Mal sehen ob das etwas bringt...

#10 ..und übrigens muß mal noch ein Moderator über das Combofix-log schauen.
Sabina hat da ein besseres Auge dafür

...hast 'nen Doppelpost gemacht, dort hat Sabina schon "ge-answer't"

#11 Hmm,
ich glaube ich habe die Lösung des Problems gefunden....




http://www.chip.de/news/Firewall-streikt-nach-Microsoft-Update_32186514.html

ich hatte im Schwesterforum den gleichen Thread laufen...
http://cgi.zdnet.de/forum/viewtopic.php?t=10459

Ich melde mich, wenn es geklappert hat.


Apropos Doppelt im Board.
Dies war ein Versehen.
Sabina kannst Du den anderen Post löschen??

#12 wieso die Doppeltposts ?
http://board.protecus.de/t34215.htm

# Klicke auf Start.
# Klicke auf die Einstellungen-Menüoption.
# Klicke auf Systemsteuerung.
# Wenn sich die Systemsteuerung öffnet, mache einen Doppelklick auf das Netzwerkverbindungen-Piktogramm. Wenn Dein Systemsteuerungsfenster auf Kategorieansicht eingestellt ist, dann klicke auf Netzwerk- und Internetverbindungen und dann auf Netzwerkverbindungen in der unteren Kategorie: oder ein Systemsteuerungssymbol.
# Du wirst nun eine Liste der zur Verfügung stehenden Netzwerkverbindungen sehen. Navigiere zu Deiner LAN- oder Wireless-Verbindung und mache einen Rechtsklick darauf.
# Du wirst nun ein Menü sehen, Klicke einfach auf Reparieren.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 ...Mensch das mit dem Update da hätte ich auch draufkommen können, bei mir im Kabelnetz war am Donnerstag alles tod, und als ich bei Kabel angerufen hatte, war schon vorab eine Ansage diesbezüglich in der Warteschleife zu hören.Bei mir war es aber nur wegen dem Kabeltotalausfall, weswegen ich Probleme hatte.Der Service meinte dazu, man solle das Windowsupdate wieder deinstallieren.