Google leitet auf falsche Seiten um, Antivirus-Tools lassen sich nicht updaten

#1 Hallo,

ich habe mir anscheinend irgendwas eingefangen. Die eindeutigen Symptome dafür sind, wie im Titel erwähnt, dass Google-Suchergebnisse auf falsche Seiten (vorzugsweise Pornoseiten, andere Suchmaschinen oder Ebay) weiterleiten, Antivirenprogramme sich nicht mehr updaten lassen und dass ich bestimmte Seiten nicht mehr öffnen kann. Hiervon sind alle URLs betroffen, die Worte wie "Antivirus", "Hijackthis" usw. beinhalten, was das bekämpfen natürlich nicht gerade einfacher macht.

Die Probleme treten sowohl bei Firefox, als auch beim Internetexplorer auf. Ich habe diverse Antivirus- und Antispyprogramme durchlaufen lassen, die nichts fanden. Das Update-Problem trat bei allen auf. Die automatische von Hijackthis.de zeigte keine "bösen" Einträge an.

Wie man vielleicht schon gemerkt hat, habe ich ziemlich wenig Ahnung. Deswegen halte ich mich immer sehr zurück irgendwas ohne explizite Anweisung zu machen, deswegen darf bei Antworten auch gerne auf auf als bekannt geltende Basics hingewiesen werden. Ich bin für jede Hilfe dankbar.

Edit:

Den Hijackthis Logfile habe ich doch glatt vergessen:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:54:14, on 14.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\kxmixer.exe
D:\Programme\RAM Idle LE\RAM_XP.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\TrojanHunter 5.0\THGuard.exe
D:\Programme\WhatPulse\WhatPulse.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Miranda IM\miranda32.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\PROGRA~1\FREEDO~1\fdm.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programme\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [kX Mixer] C:\WINDOWS\system32\kxmixer.exe --startup
O4 - HKLM\..\Run: [RAM Idle Professional] D:\Programme\RAM Idle LE\RAM_XP.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [THGuard] "D:\Programme\TrojanHunter 5.0\THGuard.exe"
O4 - HKCU\..\Run: [WhatPulse] D:\Programme\WhatPulse\WhatPulse.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3387 bytes
__________
http://jensweinreich.de/?p=1659
Zwanziger vs. freie Presse

#2 Es ist kein Scanner zu sehen

Zitat

Antivirenprogramme sich nicht mehr updaten lassen

Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Scanner”> "Quickscan durchfuehren".
“Update “> klicke “Suche nache Aktualisierungen“
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
Scan laufen lassen

Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen
__________
MfG Argus

#3 Erstmal vielen Dank für die Hilfe! Auch die Downloadseite konnte ich natürlich aufgrund der beschriebenen Problematik nicht öffnen, mein Mitbewohner hat mir das ganze aber zukommen lassen. Unterdessen wird mein Firefox immer langsamer...

Aber jetzt wird's richtig interessant, ich kann nämlich die Setupdatei nicht öffnen. Nach dem Doppelklick erscheint für eine Sekunde die Sanduhr, weiter passiert nichts.

Langsam finde ich mich auch schon mit dem Gedanken ans Formatieren ab, sobald ich das nächste Mal nach Hause zu meiner Windows CD komme (bin gerade frisch umgezogen).
__________
http://jensweinreich.de/?p=1659
Zwanziger vs. freie Presse

#4 entferne MBAM und download diesen tool (Anhang)

Wenn das auch nicht geht

Scrolle auf http://www.zonavirus.com/datos/descargas/78/EliStarA.asp ganz nach unten
zu " EliStartPage v17.41" und klicke

Download ELISTARA.xxxxxxxx.EXE zum Desktop (wobei xxxxx variable ist)
Doppelklick EliStartPage v17.41 um das Program zu starten
Es kommen jetzt verschiedene Fenster vorbei
Quiere limpiar el fichero HOSTS? Klicke "Ja" oder "Yes".
Quiere Eliminar el Contenido de las Carpetas Temporales de Windows? Klicke "Ja" oder "Yes".
Quiere Eliminar las Paginas de Inicio y Busqueda del Internet Explorer? Klicke "Nein" oder "No" .
Quiere Eliminar los Ficheros Temporales de Internet Explorer? Klicke "Ja" oder "Yes".
Im Hauptfenster angekommen:
Neben Unidad muss stehen C:\ wenn nicht,ändere es nach C:\
“Eliminar Ficheros Automaticamente” muss angehaackt sein

De-aktiviere dein Virenscanner

Klicke " Explorar "
Klicke nachher "Salir" um das Program zu schliessen
Starte dein Rechner neu
Am Ende stet auf C:\ infoStat.txt
Kopiere den Inhalt des Berichts ”infoStat.txt” in diesen Thread


__________
MfG Argus

#5 So, hat geklappt, besten Dank!

Beim ersten Scan wurden 8 Infekte gefunden, die auch behoben wurden. Danach wurden aber noch immer Sachen gefunden, die sich zwar beheben lassen, beim nächsten Scan aber wieder auftauchen. Die Symptome sind aber allesamt verschwunden.

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2

15.11.2008 12:07:57
mbam-log-2008-11-15 (12-07-55).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 50846
Laufzeit: 2 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> No action taken.
__________
http://jensweinreich.de/?p=1659
Zwanziger vs. freie Presse

#6 Update doch mal MBAM die Datenbank stet jetzt auf 1400
“Update “> klicke “Suche nache Aktualisierungen“
Und scanne nochmal
__________
MfG Argus

#7 Symptome wieder da, Update daher nicht möglich. 19 infizierte Objekte:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1399
Windows 5.1.2600 Service Pack 2

15.11.2008 20:24:05
mbam-log-2008-11-15 (20-24-02).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 52708
Laufzeit: 3 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\tdsslog.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\tdssserf.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSS2acd.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSS3cc.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSS582.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSS8616.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\ (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSerrors.log (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.TDSS) -> No action taken.
__________
http://jensweinreich.de/?p=1659
Zwanziger vs. freie Presse

#8 SDFix für Windows 2000 und Windows XP
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread

ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!

Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#9 Weiterhin vielen Dank für die Hilfe!

Nach einem weiteren MBAM-Scan + Fix konnte ich nun updaten. Ein weiterer Scan führte dazu, dass die Infekte im Windows-Ordner nach Neustart behoben werden konnten. Weitere Scans mit MBAM 1401 zeigten weitere Infekte, die anscheinend behoben werden konnten (der Log entstand vor der Behebung). Neune Scans zeigen nun nichts mehr an, deswegen frage ich vor weiteren Schritten lieber nochmals nach.

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1401
Windows 5.1.2600 Service Pack 2

15.11.2008 22:58:38
mbam-log-2008-11-15 (22-58-36).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 33585
Laufzeit: 3 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 26

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Temp\tdss4b41.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\tdss4d07.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\tdss4d55.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\tdss4f05.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\tdss500e.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\tdss506c.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\tdss7024.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\tdss7592.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\tdss7eb5.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\tdss1a06.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tdss800d.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tdss80b9.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tdss861d.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\TDSS8635.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tdss9f41.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tdssb3ee.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tdssc3a4.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tdssc4ea.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tdssc845.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tdsscc02.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tdsscd79.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\TDSSced4.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tdsscf1f.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tdsscf68.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tdssd44a.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\tdssd67c.tmp (Trojan.FakeAlert) -> No action taken.
__________
http://jensweinreich.de/?p=1659
Zwanziger vs. freie Presse

#10 SDFix entfernt die Reste von diesen Rootkit und um sicher zu gehen poste das log von ComboFix
__________
MfG Argus

#11 SDFix: Version 1.240
Run by Lars on Sa 15.11.2008 at 23:47

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Name :
tdssserv

Path :
\systemroot\system32\drivers\TDSSserv.sys

tdssserv - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\drivers\TDSSserv.sys - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-15 23:51:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:9654c685
"s2"=dword:d4621a13
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="D:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:1e,71,2a,92,f7,98,56,c3,08,f1,72,b3,17,ae,fa,4d,44,90,ca,4c,4a,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:40,8f,d0,74,57,86,1a,25,eb,fa,3b,87,7f,4d,93,26,f1,da,8e,05,eb,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,05,00,24,ad,b2,ee,d6,64,0d,5f,16,fc,03,bb,6c,c1,fb,..
"khjeh"=hex:b9,3d,23,73,38,17,61,1c,d4,f6,8c,af,0f,cd,a4,d1,de,a1,87,90,7c,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ce,2f,fb,4b,05,73,bb,48,52,29,c4,2b,f2,61,83,35,62,31,c7,49,b5,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="D:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:1e,71,2a,92,f7,98,56,c3,08,f1,72,b3,17,ae,fa,4d,44,90,ca,4c,4a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:40,8f,d0,74,57,86,1a,25,eb,fa,3b,87,7f,4d,93,26,f1,da,8e,05,eb,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,05,00,24,ad,b2,ee,d6,64,0d,5f,16,fc,03,bb,6c,c1,fb,..
"khjeh"=hex:b9,3d,23,73,38,17,61,1c,d4,f6,8c,af,0f,cd,a4,d1,de,a1,87,90,7c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ce,2f,fb,4b,05,73,bb,48,52,29,c4,2b,f2,61,83,35,62,31,c7,49,b5,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"D:\\Programme\\Grisoft\\AVG7\\avginet.exe"="D:\\Programme\\Grisoft\\AVG7\\avginet.exe:*:Enabled:avginet.exe"
"D:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"="D:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"D:\\Programme\\Grisoft\\AVG7\\avgcc.exe"="D:\\Programme\\Grisoft\\AVG7\\avgcc.exe:*:Enabled:avgcc.exe"
"D:\\Programme\\Grisoft\\AVG7\\avgemc.exe"="D:\\Programme\\Grisoft\\AVG7\\avgemc.exe:*:Enabled:avgemc.exe"
"C:\\Dokumente und Einstellungen\\Lars\\Lokale Einstellungen\\Temp\\~os6.tmp\\ossproxy.exe"="C:\\Dokumente und Einstellungen\\Lars\\Lokale Einstellungen\\Temp\\~os6.tmp\\ossproxy.exe:*:Enabled:ossproxy.exe"
"D:\\Spiele\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="D:\\Spiele\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)"
"D:\\Spiele\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"="D:\\Spiele\\Firefly Studios\\Stronghold 2\\Stronghold2.exe:*:Enabled:Stronghold 2"
"D:\\Programme\\Miranda IM\\miranda32.exe"="D:\\Programme\\Miranda IM\\miranda32.exe:*:Enabled:Miranda IM"
"D:\\Spiele\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"="D:\\Spiele\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe:*:Enabledro Evolution Soccer 2009"
"D:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"="D:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe:*:Enabled:Malwarebytes' Anti-Malware"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 7 Jul 2008 2,156,368 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Wed 6 Aug 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT1.tmp"

Finished!

__________

ComboFix 08-11-13.02 - Lars 2008-11-15 23:58:48.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Lars\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-15 bis 2008-11-15 ))))))))))))))))))))))))))))))
.

2008-11-15 23:46 . 2008-11-15 23:46 <DIR> d-------- c:\windows\ERUNT
2008-11-15 23:45 . 2008-11-15 23:51 <DIR> d-------- C:\SDFix
2008-11-15 11:48 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-15 11:48 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-14 20:13 . 2008-11-14 20:13 <DIR> d-------- c:\programme\Avira
2008-11-14 20:13 . 2008-11-14 20:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-11-14 14:03 . 2008-11-14 14:03 34 --a------ c:\windows\cdplayer.ini
2008-11-14 13:24 . 2008-11-14 13:24 <DIR> d-------- c:\dokumente und einstellungen\Lars\Anwendungsdaten\TrojanHunter
2008-11-03 19:20 . 2008-11-03 19:20 38 --a------ c:\windows\AviSplitter.INI
2008-10-23 15:35 . 2008-10-23 15:35 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\KONAMI
2008-10-20 21:40 . 2008-10-20 21:40 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Firefly Studios

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-15 22:41 --------- d-----w c:\dokumente und einstellungen\Lars\Anwendungsdaten\Free Download Manager
2008-11-14 21:03 --------- d-----w c:\dokumente und einstellungen\Lars\Anwendungsdaten\gtk-2.0
2008-11-13 12:50 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-13 12:50 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-11-13 12:50 --------- d-----w c:\dokumente und einstellungen\Lars\Anwendungsdaten\SUPERAntiSpyware.com
2008-11-03 18:16 --------- d-----w c:\programme\Gemeinsame Dateien\BitDefender
2008-10-23 14:52 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-09-17 20:47 --------- d-----w c:\dokumente und einstellungen\Gast\Anwendungsdaten\gtk-2.0
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WhatPulse"="d:\programme\WhatPulse\WhatPulse.exe" [2006-08-21 665600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kX Mixer"="c:\windows\system32\kxmixer.exe" [2004-02-16 438784]
"RAM Idle Professional"="d:\programme\RAM Idle LE\RAM_XP.exe" [2006-01-17 135168]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2006-03-20 213936]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"THGuard"="d:\programme\TrojanHunter 5.0\THGuard.exe" [2008-10-24 1056928]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WG111v2 Smart Wizard Wireless Setting.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WG111v2 Smart Wizard Wireless Setting.lnk
backup=c:\windows\pss\WG111v2 Smart Wizard Wireless Setting.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 21:16 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
--a------ 2008-03-20 17:46 217544 d:\programme\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-04 13:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-04 13:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd3]
--a------ 2004-07-30 17:50 286720 c:\windows\vsnpstd3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2008-05-16 13:01 1630208 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"StarWindServiceAE"=2 (0x2)
"usnjsvc"=3 (0x3)
"PnkBstrA"=2 (0x2)
"IDriverT"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"d:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"d:\\Programme\\Grisoft\\AVG7\\avgemc.exe"=
"d:\\Spiele\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"d:\\Spiele\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"d:\\Programme\\Miranda IM\\miranda32.exe"=
"d:\\Spiele\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"d:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=

R0 videX32;videX32;c:\windows\system32\DRIVERS\videX32.sys [2007-09-28 9216]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\DRIVERS\EAPPkt.sys [2007-09-28 66048]
R3 kxwdmdrv;kX WDM Driver Service;c:\windows\system32\drivers\kx.sys [2004-02-16 571776]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\DRIVERS\wg111v2.sys [2007-09-28 112384]

*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-BDAgent - c:\programme\BitDefender\BitDefender 2009\bdagent.exe
MSConfigStartUp-SpyHunter Security Suite - c:\programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
MSConfigStartUp-SUPERAntiSpyware - d:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Lars\Anwendungsdaten\Mozilla\Firefox\Profiles\czcypnzc.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.spiegel.de/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-15 23:59:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-16 0:00:32
ComboFix-quarantined-files.txt 2008-11-15 23:00:29

Vor Suchlauf: 13 Verzeichnis(se), 12.817.432.576 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 13,216,690,176 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

120 --- E O F --- 2008-08-23 07:20:11
__________
http://jensweinreich.de/?p=1659
Zwanziger vs. freie Presse

#12 CombiFix entfernen
Start > Ausführen> Kopiere rein ComboFix /U OK

Download OTCleanIt. by OldTimer zum Desktop
Schliesse alle Fenster
Doppelklick: OTCleanIt.
Klicke: CleanUp

Wenn gefragt wird “Do you want to reboot now?”klicke “Yes”
Dein Rechner wird neu gestartet
Vista benutzer: rechtermausklick auf OTCleanIt.exe und waehle "Run as an Administrator"

Damit werden Reste von benutzten Programme wieder entfernt

Ich seh reste von 3 Virenscanner auf dein Rechner,es muss nur einer installiert werden

CleanUP (by stevengould.org)
Nicht fuer Windows Vista
Anleitung: http://www.virus-protect.org/cleanup.html
Wenn man CleanUp weiter benutzen will das haeckchen bei Delete Prefetch files entfernen!
Starte dein Rechner neu

Und noch Probleme?
__________
MfG Argus

#13 Keine Probleme mehr, vielen vielen Dank!
__________
http://jensweinreich.de/?p=1659
Zwanziger vs. freie Presse