Internet extrem langsam/ Verweis auf dubiose Seiten

#1 Hallo,

seit gestern ist mein Internet sowohl bei der Verwendung von firefox als auch dem IE extrem gebremst.

Parallel dazu werde ich , wenn ich bei google etwas suche und dann auf die link-Ergebnisse klicke, zu dubiosen anderen Suchmaschinen geleitet und nicht auf die eigentlich zu besuchende Seite.

Hier ein Log von Hijack-This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13:57, on 21.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - x:\Save Flash\SaveFlash.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Save Flash - res://C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - x:\Flash Decompiler Trillix\saveflash\iebt.dll
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - x:\Flash Decompiler Trillix\saveflash\iebt.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: spkrmon - Unknown owner - C:\Programme\Analog Devices\SoundMAX\spkrmon.exe

--
End of file - 6400 bytes

Hoffe jemand kann mir helfen.

Vielen Dank im voraus.

Gruß, Northstar

#2 Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
http://board.protecus.de/t35114.htm
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Scanner”> "Quickscan durchfuehren".
“Update “> klicke “Suche nache Aktualisierungen“
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
Scan laufen lassen

Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen
__________
MfG Argus

#3 Erst einmal vielen Dank für die schnelle Antwort.
Habe mit Mbam gescannt...(er hatte auch infizierte Dateien gefunden und dann gelöscht)

...jedoch nach wie vor das gleiche Problem :-(

Hier der log von Mbam:

Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1276
Windows 5.1.2600 Service Pack 2

21.10.2008 18:33:53
mbam-log-2008-10-21 (18-33-53).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 0
Laufzeit: 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

#4 Ich hatte eigentlich das Log erwartet wo die Infizierungen gezeigt werden

Aber du hast MBAM nicht ge-updated
Datenbank Version: 1276
meins
Datenbank Version: 1303

FixWareout
Download: Fixwareout zum Desktop
Klicke dann auf "Next" > "Install" > achte darauf dass ein Häkchen sitzt bei "Run fixit"
klicke dann auf "Finish".

Der Fix wird nun starten, folge den Hinweisen. Du wirst gefragt, den Rechner neu zu stärten (reboot), mach das bitte. Dein System wird länger dazu brauchen als sonst, das ist normal. Wenn dein Rechner wieder neu gestartet ist, folge den Hinweisen. Dann wird HijackThis starten.
Ein logfile wird sich öffnen(report.txt)
Kopiere den Inhalt des Berichts report.txt in diesen Thread
Note*
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verbindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden).

-> Start->Ausführen->schreib/kopiere rein: ipconfig /flushdns (beachte das Leerzeichen hinter 'ipconfig'!)

ich konnte mich nach der Säuberung von fixwareout nicht mehr ins Internet einwählen. auch der befehl ipconfig /flushdns funktionierte nicht. fixwareout hatte mich angewiesen bei einwahlproblem die datei dsnbak.reg im fixwareout-Verzeichnis auszuführen, welches ich auch tat. jetzt klappt die Einwahl ins Internet wieder.

ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!
Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#5 der combofix-link geht nicht.

wo kann ich das Programm sonst noch herbekommen?

#6 Versuch es von hier(Anhang)


__________
MfG Argus

#7 Nach combofix scheint jetzt wieder alles in Ordnung zu sein.

VIELEN DANK!!!

Hier noch der log:

ComboFix 08-10-19.04 - x 2008-10-22 11:06:52.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.702 [GMT 2:00]

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOKUME~1\x\ANWEND~1\EHMD5.dll
C:\DOKUME~1\x\ANWEND~1\rbap450.dll
C:\DOKUME~1\x\ANWEND~1\rbqt450.DLL
C:\DOKUME~1\x\ANWEND~1\RBShell400.dll
C:\Dokumente und Einstellungen\x\Anwendungsdaten\EHMD5.dll
C:\Dokumente und Einstellungen\x\Anwendungsdaten\rbap450.dll
C:\Dokumente und Einstellungen\x\Anwendungsdaten\rbqt450.DLL
C:\Dokumente und Einstellungen\x\Anwendungsdaten\RBShell400.dll
C:\kmd.exe
C:\Programme\INSTALL.LOG
C:\WINDOWS\system32\bsrgfwht.ini
C:\WINDOWS\system32\Drivers\TDSSmhxt.sys
C:\WINDOWS\system32\fhuweinm.ini
C:\WINDOWS\system32\hgbcpoff.ini
C:\WINDOWS\system32\ijjlm.ini
C:\WINDOWS\system32\karna.dat
C:\WINDOWS\system32\ljqhahbm.ini
C:\WINDOWS\system32\mjpsonla.ini
C:\WINDOWS\system32\mpybrwdc.ini
C:\WINDOWS\system32\pxpqstut.ini
C:\WINDOWS\system32\qmgtuild.ini
C:\WINDOWS\system32\qoyhjuam.ini
C:\WINDOWS\system32\qrotqydu.ini
C:\WINDOWS\system32\TDSScfum.dll
C:\WINDOWS\system32\TDSSnrsr.dll
C:\WINDOWS\system32\TDSSofxh.dll
C:\WINDOWS\system32\TDSSosvd.dat
C:\WINDOWS\system32\TDSSrhym.dll
C:\WINDOWS\system32\TDSSriqp.dll
C:\WINDOWS\system32\trwcvhwi.ini
C:\WINDOWS\system32\ukrehwia.ini
C:\WINDOWS\system32\unpqhgck.ini
C:\WINDOWS\system32\vkdvornh.ini
C:\WINDOWS\system32\xcdurngq.ini
X:\winxp.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-09-22 bis 2008-10-22 ))))))))))))))))))))))))))))))
.

2008-10-21 19:53 . 2008-10-22 10:56 <DIR> d-------- C:\fixwareout
2008-10-20 14:50 . 2008-10-20 14:50 335 --a------ C:\WINDOWS\mozregistry.dat
2008-10-19 11:33 . 2008-10-19 11:33 61,440 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ktrag.sys
2008-10-18 23:01 . 2008-10-21 18:32 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-18 23:01 . 2008-10-18 23:01 <DIR> d-------- C:\Dokumente und Einstellungen\x\Anwendungsdaten\Malwarebytes
2008-10-18 23:01 . 2008-10-18 23:01 <DIR> d-------- C:\DOKUME~1\x\ANWEND~1\Malwarebytes
2008-10-18 23:01 . 2008-10-18 23:01 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Malwarebytes
2008-10-18 23:01 . 2008-10-16 20:25 38,496 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\mbamswissarmy.sys
2008-10-18 23:01 . 2008-10-16 20:25 15,504 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\mbam.sys
2008-10-18 12:37 . 2008-10-22 10:28 3,896 --a------ C:\WINDOWS\SYSTEM32\TDSSfxwp.dll
2008-10-03 16:17 . 2008-10-03 16:17 <DIR> d-------- C:\Programme\ProtectDisc Driver Installer

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-22 09:19 56,937,248 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-22 09:18 1,114,912 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-10-22 09:16 766,664 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-22 09:16 107,660 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-22 09:05 --------- d-----w C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Kaspersky Lab
2008-10-21 11:37 --------- d-----w C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Google Updater
2008-10-19 17:01 --------- d-----w C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Spybot - Search & Destroy
2008-10-12 12:13 --------- d-----w C:\Dokumente und Einstellungen\x\Anwendungsdaten\Canon
2008-10-12 12:13 --------- d-----w C:\DOKUME~1\x\ANWEND~1\Canon
2008-10-01 12:27 --------- d-----w C:\Programme\FrostWire
2008-09-14 10:05 --------- d-----w C:\Programme\Trillian
2008-09-09 11:52 --------- d-----w C:\Programme\Trust
2008-09-09 11:52 --------- d-----w C:\Programme\Gemeinsame Dateien\PAC207
2008-08-31 21:40 96,976 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-04-03 12:01 28,160 ---ha-w C:\Dokumente und Einstellungen\x\Anwendungsdaten\MBSMacOSXPlugin.dll
2008-04-03 12:01 28,160 ---ha-w C:\DOKUME~1\x\ANWEND~1\MBSMacOSXPlugin.dll
2007-01-21 12:59 162,304 ----a-w C:\Programme\UNWISE.EXE
1996-12-02 15:44 582,144 ----a-w C:\Programme\Gemeinsame Dateien\dao350.dll
1999-04-23 20:22 266,293 ----a-w C:\Programme\internet explorer\plugins\MSVCRT.DLL
2007-03-04 19:32 61 --sh--w C:\WINDOWS\cnerolf.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-08-09 286720]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2006-12-20 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 14:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSVideo"= CSvidcap.dll
"vidc.xvid"= xvid.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSmhxt.sys]
@="driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^ControlCenter.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\ControlCenter.lnk
backup=C:\WINDOWS\pss\ControlCenter.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Kaspersky Anti-Hacker.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Kaspersky Anti-Hacker.lnk
backup=C:\WINDOWS\pss\Kaspersky Anti-Hacker.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Privoxy.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Privoxy.lnk
backup=C:\WINDOWS\pss\Privoxy.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
--a------ 2007-12-22 09:20 222080 C:\Programme\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a--c--- 2007-06-01 14:14 1379016 x:\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-10-09 11:28 139264 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
--a------ 2007-06-20 05:28 43008 C:\Programme\BitTorrent\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
--a------ 2007-06-22 14:45 133576 C:\Programme\DAEMON Tools Pro\DTProAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Domino]
--a------ 2007-01-09 13:33 49152 C:\WINDOWS\Domino.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FTD RSS Reader]
--a------ 2006-09-21 16:07 724992 C:\Programme\FTD RSS Reader\FTD_RSS_Reader.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mega Sound Recorder]
--a--c--- 2007-03-07 16:07 270336 x:\MegaSoundRecorder\Mega Sound Recorder.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Monitor]
--a------ 2006-11-03 11:01 319488 C:\WINDOWS\PixArt\PAC207\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-08-04 00:58 1667584 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSN Webcam Recorder]
--a------ 2006-01-31 03:14 131072 C:\MSN Webcam Recorder\ml20gui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:55 5674352 C:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PATHPILOT]
--a--c--- 2007-03-07 16:07 270336 X:\MegaSoundRecorder\Mega Sound Recorder.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
--a------ 2007-04-05 10:49 214448 C:\Programme\Real\RealPlayer\realplay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
--a------ 2007-08-31 17:46 1460560 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
--a------ 2007-06-21 15:06 1318912 C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
--a------ 2006-09-07 19:19 15872 C:\Programme\Unlocker\UnlockerAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VMSnap3]
--a------ 2007-01-09 13:34 49152 C:\WINDOWS\vmsnap3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2006-08-29 20:54 4621816 C:\Programme\Yahoo!\Messenger\YahooMessenger.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"aawservice"=2 (0x2)
"StarWindServiceAE"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Wyzo\\wyzo.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"X:\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=
"C:\\Programme\\BitComet\\BitComet.exe"=
"C:\\Programme\\FlashGet\\flashget.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Kaspersky Lab\\Kaspersky Security Suite V\\avp.exe"=
"C:\\Programme\\FrostWire\\FrostWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16288:TCP"= 16288:TCP:BitComet 16288 TCP
"16288:UDP"= 16288:UDP:BitComet 16288 UDP
"9420:TCP"= 9420:TCP:Red Swoosh
"5000:UDP"= 5000:UDP:Red Swoosh

R0 pe3ah4nc;DiRT Environment Driver (pe3ah4nc);C:\WINDOWS\system32\drivers\pe3ah4nc.sys [2007-05-18 64880]
R0 ps6ah4nc;DiRT Synchronization Driver (ps6ah4nc);C:\WINDOWS\system32\drivers\ps6ah4nc.sys [2007-05-18 55160]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 63352]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 330144]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 251680]
R2 drhard;drhard;C:\WINDOWS\system32\drivers\drhard.sys [2005-12-01 23600]
R2 sw848b;sw848b;C:\WINDOWS\system32\drivers\sw848b.sys [1999-12-30 29760]
R2 sw878b;sw878b;C:\WINDOWS\system32\drivers\sw878b.sys [2000-09-29 10148]
S2 pr2ah4nc;DiRT Drivers Auto Removal (pr2ah4nc);C:\WINDOWS\system32\pr2ah4nc.exe svc [ ]
S3 cg300;cg300VidCap;C:\WINDOWS\system32\DRIVERS\cg300vc.sys [2002-03-21 13468]
S3 cg300Au;cg300 Audio Capture;C:\WINDOWS\system32\DRIVERS\cg300au.sys [2002-03-21 17167]
S3 fwrnusb;fwrnusb;C:\WINDOWS\system32\DRIVERS\fwrnusb.sys [2006-01-30 23552]
S3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2007-05-14 508288]
S3 V90drv;v90drv;C:\WINDOWS\system32\DRIVERS\v90drv.sys [2001-11-29 1432836]
S3 vmfilter303;vmfilter303;C:\WINDOWS\system32\drivers\vmfilter303.sys [2006-04-25 428160]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\Autorun.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A50FE7E6-0CCF-C0B0-88D1-9646EBAC896E}]
C:\Programme\AcrobatReader\Acrobat.exe s
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-brastk - C:\WINDOWS\system32\brastk.exe
MSConfigStartUp-BigDog303 - C:\WINDOWS\VM303_STI.EXE
MSConfigStartUp-GPLv3 - C:\WINDOWS\system32\lctqwuym.dll
MSConfigStartUp-hid_start - C:\WINDOWS\system32\gzmrotate.dll
MSConfigStartUp-ICQ Lite - X:\Neuer Ordner (4)\ICQLite\ICQLite.exe
MSConfigStartUp-spa_start - C:\WINDOWS\system32\spads.dll
MSConfigStartUp-WhenUSave - C:\Programme\Save\Save.exe
MSConfigStartUp-brastk - brastk.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\DOKUME~1\x\ANWEND~1\Mozilla\Firefox\Profiles\ifqydjnt.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/firefox?client=firefox-a&rls=org.mozilla:de:official
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-22 11:18:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\SYSTEM32\ati2evxx.exe
C:\WINDOWS\SYSTEM32\ati2evxx.exe
C:\WINDOWS\SYSTEM32\BRSS01A.EXE
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\SYSTEM32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-22 11:31:03 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-22 09:30:52
ComboFix2.txt 2008-02-13 11:43:14

Vor Suchlauf: 67 Verzeichnis(se), 14,632,366,080 Bytes frei
Nach Suchlauf: 67 Verzeichnis(se), 14,730,567,680 Bytes frei

257

#8 Virustotal

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\SYSTEM32\TDSSfxwp.dll
C:\WINDOWS\SYSTEM32\DRIVERS\ktrag.sys

Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste nur die URL am Ende
__________
MfG Argus

#9 Hallo,

hier die URL´s der Virustotal-Überprüfungen:

http://www.virustotal.com/de/analisis/b1ef0078d3e476df451c2fc9c0d46f82
http://www.virustotal.com/de/analisis/fcd7afbe7cb18ddc0e3e473a063e7299


Gruß,
Northstar

#10 CombiFix entfernen
Start > Ausführen> Kopiere rein ComboFix /U OK

Avenger nur für 32-bit Windows Vista, XP, und 2000
http://virus-protect.org/artikel/tools/avenger.html
Hinweis:
"The Avenger" muss mit Administrator-Privilegien ausgeführt werden.
In Windows Vista, muss ebenfalls bestätigt werden, dass Adminrechte vorhanden sind."

Download Avenger2 zum Desktop
Alle Fenster muessen geschlossen sein
Starte Avenger
Anhaken “ Input script manually
kopiere rein:

Zitat

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSmhxt.sys

Files to delete:
C:\WINDOWS\SYSTEM32\TDSSfxwp.dll
C:\WINDOWS\SYSTEM32\DRIVERS\ktrag.sys

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren – einfügen
__________
MfG Argus

#11 Hier das Avenger Script:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSmhxt.sys" deleted successfully.
File "C:\WINDOWS\SYSTEM32\TDSSfxwp.dll" deleted successfully.
File "C:\WINDOWS\SYSTEM32\DRIVERS\ktrag.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.






Gruß,
Northstar

#12 Download OTCleanIt. by OldTimer zum Desktop
Schliesse alle Fenster
Doppelklick: OTCleanIt.
Klicke: CleanUp
cleanup.txt wird vom Internet geladen , von Firewall zulassen!
Wenn gefragt wird “Do you want to reboot now?”klicke “Yes”
Dein Rechner wird neu gestartet
Vista benutzer: rechtermausklick auf OTCleanIt.exe und waehle "Run as an Administrator"

Damit werden Reste von benutzten Programme wieder entfernt
__________
MfG Argus

#13 kannst du mal malwarebytes updaten und noch mal laufen lassen bei dir sieht es aus, als hätte er gar nicht durchsucht...

#14 So, hier nochmal der log von MWB:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1337
Windows 5.1.2600 Service Pack 2

29.10.2008 17:26:04
mbam-log-2008-10-29 (17-26-04).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 69654
Laufzeit: 31 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\vx2.game (Heuristics.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\TDSSbubx.log (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\TDSSnmxh.log (Trojan.TDSS) -> Quarantined and deleted successfully.