Pestprogramm eingeschlichen? Google spinnt!

#0
16.11.2008, 22:09
Member

Beiträge: 58
#1 Meine Frau hat seit ein paar Tagen auf ihrem Rechner Probleme mit Google. Wenn Sie eine Suche gestartet hat, dann ein Ergebnis auswählt, geht Google nicht auf das ziel sondern irgendwohin. Mal erscheint bediddles.com oder irgendeine andere Suchmaschine oder es geht in einen Chat hinein.
Von ihrem Rechner aus kann ich weder per IE noch per Firefox in dieses Forum kommen, daher muss ich es von meinem Rechner aus erledigen.
Beide Rechner (meiner mit Vista, ihrer mit XP) laufen per kabel-DSL über einen Router T-Sinus 154 Comfort.
Vom Rechner meiner Frau habe ich schon mal einen HighJäck Log erstellt. Diesen Tipp gab Google auf einer seiner internen Seiten.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:02:59, on 16.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Wireless Desktop\LgWDskTp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\sony\giga pocket\shwserv.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sony\vaio media music server\SSSvr.exe
C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
C:\Programme\Sony\giga pocket\GPVSvr.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
C:\Programme\Sony\giga pocket\RM_SV.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wdr.de/themen/homepages/homepage.jhtml
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LgWDskTp] C:\Programme\Wireless Desktop\LgWDskTp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - https://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://87.106.18.150/database/mgaxctrl.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Giga Pocket Hardware Detector - Sony Corporation - C:\Programme\sony\giga pocket\shwserv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony TV Tuner Controller - Sony Corporation - C:\Programme\Sony\giga pocket\halsv.exe
O23 - Service: Sony TV Tuner Manager - Sony Corporation - C:\Programme\Sony\giga pocket\RM_SV.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Sony Corporation - C:\Programme\Sony\vaio media music server\SSSvr.exe
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Video Server (VAIOMediaPlatform-VideoServer-AppServer) - Sony Corporation - C:\Programme\Sony\giga pocket\GPVSvr.exe
O23 - Service: VAIO Media Video Server (HTTP) (VAIOMediaPlatform-VideoServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Video Server (UPnP) (VAIOMediaPlatform-VideoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
O24 - Desktop Component 1: PC-Aquarium Deluxe - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 8986 bytes

Ich habe zwar schon einige Kommentare hier gelesen, fühle mich aber noch nicht so versiert, dass ich Euer Fachchinesisch mal eben so beherrsche.
Daher bitte ich um einfache und verständliche Arbeitsanweisungen, was ich nun als nächstes auf dem Rechner (Desktop PC Sony Vaio PCV-V1 mit Pentium 2,8 Ghz, 533 Mhz Frontside Bus, 160 GB HDD, 512 MB Arbeitsspeicher, Funktastatur/-maus, 15"-XGA Onyx Black monitor) meiner Frau tun sollte.

Sie hat sich vor kurzem mal tuneup gekauft, schon drüber laufen lassen.
Ich habe vergeblich versucht, den CCleaner zu installieren.
Avira hat schon ein paar Trojaner in die Quaratäne geschickt.
Doch was nun, damit Google wieder einwandfrei läuft.
Danke für Eure gute Hilfe, die ich vor längerem in einem anderen Thread schon mal erleben durfte, als mein damaliges Laptop streikte.

Zusätzlich habe ich gerade mal auf meinem Vista-Rechner den MBAM laufen lassen. Hier das log-File:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1402
Windows 6.0.6000

16.11.2008 22:33:14
mbam-log-2008-11-16 (22-33-14).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 44239
Laufzeit: 3 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Was sagt mir das nun? Ich bitte auch hier um hilfreiche Ratschläge. Danke dafür.
Dieser Beitrag wurde am 16.11.2008 um 22:36 Uhr von Railroader editiert.
Seitenanfang Seitenende
16.11.2008, 23:19
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Und kein scan auf den Rechner deiner Frau?

Zitat

Zusätzlich habe ich gerade mal auf meinem Vista-Rechner den MBAM laufen lassen
ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!

Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus
Seitenanfang Seitenende
17.11.2008, 00:12
Member

Themenstarter

Beiträge: 58
#3 Hallo Arnold,
für den Combofix brauche ich ne andere Lösung, denn der Download funktioniert auf dem Vaio-Rechner nicht einwandfrei. Daher muss ich den Combofix auf meinen Vista-Rechner ziehen, dann per USB-Stick auf den Vaio-PC bringen.

Wie mache ich das?

Nun habe ich zwischenzeitlich mal Malwarebytes auf diesem USB-Stick-Übertragungsweg auf den Vaio-Rechner gebracht und durchlaufen lassen.
Hier nun das Logfile in zwei Stufen dazu:
>>>>>
1.
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 3

16.11.2008 23:15:09
mbam-log-2008-11-16 (23-14-54).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 52487
Laufzeit: 3 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
<<<<<

>>>>
2.
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 3

16.11.2008 23:15:38
mbam-log-2008-11-16 (23-15-38).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 52487
Laufzeit: 3 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
<<<<<<


>>>>>>>

Nun noch ein Logfile vom HighJäcksis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:24:32, on 16.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Wireless Desktop\LgWDskTp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\sony\giga pocket\shwserv.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sony\vaio media music server\SSSvr.exe
C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
C:\Programme\Sony\giga pocket\GPVSvr.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
C:\Programme\Sony\giga pocket\RM_SV.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.com/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wdr.de/themen/homepages/homepage.jhtml
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LgWDskTp] C:\Programme\Wireless Desktop\LgWDskTp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - https://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://87.106.18.150/database/mgaxctrl.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Giga Pocket Hardware Detector - Sony Corporation - C:\Programme\sony\giga pocket\shwserv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony TV Tuner Controller - Sony Corporation - C:\Programme\Sony\giga pocket\halsv.exe
O23 - Service: Sony TV Tuner Manager - Sony Corporation - C:\Programme\Sony\giga pocket\RM_SV.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Sony Corporation - C:\Programme\Sony\vaio media music server\SSSvr.exe
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Video Server (VAIOMediaPlatform-VideoServer-AppServer) - Sony Corporation - C:\Programme\Sony\giga pocket\GPVSvr.exe
O23 - Service: VAIO Media Video Server (HTTP) (VAIOMediaPlatform-VideoServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Video Server (UPnP) (VAIOMediaPlatform-VideoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe

--
End of file - 8781 bytes
<<<<<<<<<<<<<<<<<

Meine nächste Antwrot wird erst Montag Spätabends kommen, da ich noch ein wenig arbeiten gehen muss und meine Frau, obwohl technisch sehr begabt (Bautechnikerin), traut sich nicht an diese Schritte heran.

Danke und Gruß
Rolf
Seitenanfang Seitenende
17.11.2008, 00:20
Member

Themenstarter

Beiträge: 58
#4 Während ich deinem Rat folgte und Combo.fix heruntergeladen habe, meckerte mein Kasperky und meldete einen Virus:
"gefunden: Virus Heur.Invader (Modifikation) URL: http://download.bleepingcomputer.com/sUBs/ComboFix.exe//PE_Patch.UPX//32788R22FWJFW/catchme.cfexe"

Da läuft doch was schief, oder?

Nachdenklich grüße ich
Rolf
Seitenanfang Seitenende
17.11.2008, 00:22
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#5 Ich werde Morgem/Heute hier Combofix Uploaden
Du brauchst auch noch SDFix
SDFix für Windows 2000 und Windows XP
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread

Es dreht sich hier vermutlich um den Trojan.Virantix.C

Ob ich Heute/Morgen dabei bin ist noch nicht sicher,denn mein Rechner wird jetzt infiziert mit Antivirus Pro 2009 um zu sehen welche Tools am besten benutzt werden koennen ;)
__________
MfG Argus
Seitenanfang Seitenende
17.11.2008, 00:24
Member

Themenstarter

Beiträge: 58
#6 Begonnen hatte es beim Rechner meiner Frau mit dem Pestprogramm "anti-virus 2009". Man beachte die Schreibweise mit dem Bindestrich.
Danke und bis bald
Seitenanfang Seitenende
17.11.2008, 00:28
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 Solltest vorher MBAM immer updaten,wenns geht
__________
MfG Argus
Seitenanfang Seitenende
26.12.2008, 17:43
Member

Themenstarter

Beiträge: 58
#8 Im Posting vom 17.11.2008, 00:22 steckt ein Virus, der sich auch heute am 26.12.2008 noch wieder bermerkbar macht.
Jedenfalls meckert mein Kaspersly ganz wild und zeigt mir fast die rote karte!!

Es ist immer noch der "Virus Heur.Invader" !!

Kannste mir mal ne sichere Version vom SDFIX nennen und wio/wie ich sie downloden kann, denn der Sony-Vaio-PC weigert sich noch immer, normale Befehle zu befolgen, sondern hat ein seltsam unbeschreibliches Eigenleben.
Diese Dynamik ist zwar interessant, aber höchst uneffektiv.

Danke für die Hilfe im Voraus.

Den ComboFix und HaiJäck werde ich schon mal auf dem Sony Vaio-PC PCV1 ausprobieren und dann das Logfile hier bekanntgeben.

Wünsche noch frohe Festtage.
Rolf
Seitenanfang Seitenende
26.12.2008, 17:55
Member

Beiträge: 3716
#9 hallo combofix und sdfix sind in ordnung. das sind fehlalarme!
du solltest auch auf beiden rechnern noch mal malwarebytes updaten und scannen lassen funde löschen
Seitenanfang Seitenende
26.12.2008, 18:30
Member

Themenstarter

Beiträge: 58
#10 Okidoki,
gibbet nur das Problem, dass sich momentan der Vaio-PC noch immer weigert, allen vernünftigen Befehlen zu folgen, wenn sie mit dem Iunternet zu tun haben.
Ich muss also immer den Umweg über meinen Vista-Rechner nehmen, dann per Download, USB-Stick speichern, zum Vaio-PC gehen, Stick einstecken und Versuche zum Abarbeiten starten,.....
Dann alle Log wieder auf dem Stick speichern, zum Vista-Rechner rüber, ins Net und dann posten.... Alles ziemlich nervig und zeitraubend, der sich mit den Tiefen eines Rechners kaum auskennt, dazu mit sowas eher zu vorsichtig und ungeschickt ist.

"Es ist fast wie beim Autofahren, reinsetzen, starten, zügig losfahren, tanken, tom-tom, zügig ankommen, zügig zurückfahren.
Öl, Wasser, Luft prüfen/nachfüllen - ok. Tanken - ok. Wagen waschen, Scheiben säubern, Staubsaugen - ok. Blinker und Rückleuchten ersetzen - ok, Scheinwerferbirnen für Nah/Fern/Stand erstzen - nicht ok.
Weitere Schäden Reparieren müssen andere, wenn was kaputt geht. "

Danke für die Hilfen.

Werde bald mal die Ergebnisse posten, wenn ich das wieder schaffe.
Mir schwant übles, weil schon wieder viel vergessen, wie das geht. Probiere aber mal, wir werden ja sehen, was.......
Seitenanfang Seitenende
26.12.2008, 19:12
Member

Beiträge: 3716
#11 wenn probleme, frag uns ;-)
Seitenanfang Seitenende
26.12.2008, 20:15
Member

Themenstarter

Beiträge: 58
#12 Bin jetzt endlich vom Sony Vaio direkt auf diese Seite gelangt. Wow!
Mußte erst den Firefox deinstallieren, weil dem Firefox immer der Zugang verwehr wurde, Dann habe ich den Firefox neu installiert und habe per Google eure Seite gesucht, gefunden.
Als ich dann auf Protecus gehen wollte, versuchte der Rechner mich wieder auf irgendeine andere Suchseite zu lotsen, meldete irgendwas von Popupblocker und Virengefahr. Habe ich abgebrochen.
Dann habe ich eure Seite manuell in die Menuzeile eingegeben und bin dann endlich zum Ziel gekommen, konnte mich einloggen.
Werde spätermal versuchen die Arbeitsliste sdfix, combofix, haijäck etc anzugehen, doch erst mal im TV die Herren der Ringe anschauen.
Also bis später mal

Im Antivir-Durchaluf meldete mir der Rechner gestern drei Warnungen; hiberfil und pagefile.sys auf zwei FP. Muss ich mir Gedanken zu machen?

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 25. Dezember 2008 19:08

Es wird nach 1119750 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: SNOOPY

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24.12.2008 18:03:05
ANTIVIR2.VDF : 7.1.1.34 2048 Bytes 24.12.2008 18:03:05
ANTIVIR3.VDF : 7.1.1.37 39424 Bytes 25.12.2008 18:03:06
Engineversion : 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 10:05:56
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 25.12.2008 18:03:15
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 09:41:39
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 25.12.2008 18:03:14
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 25.12.2008 18:03:13
AEHELP.DLL : 8.1.2.0 119159 Bytes 25.12.2008 18:03:09
AEGEN.DLL : 8.1.1.8 323956 Bytes 25.12.2008 18:03:09
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 25.12.2008 18:03:07
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 25. Dezember 2008 19:08

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cidaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqimzone.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VAServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LgWDskTp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Logi_MwX.Exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RM_SV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UPnPFramework.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sv_httpd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UPnPFramework.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UPnPFramework.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sv_httpd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sv_httpd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GPVSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoAppSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'shwserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '43' Prozesse mit '43' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '57' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <VAIO>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <VAIO>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Donnerstag, 25. Dezember 2008 19:39
Benötigte Zeit: 30:53 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8650 Verzeichnisse wurden überprüft
265303 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
265300 Dateien ohne Befall
6600 Archive wurden durchsucht
4 Warnungen
0 Hinweise
Ende Bericht AV<<<<<
Seitenanfang Seitenende
26.12.2008, 20:19
Member

Beiträge: 3716
#13 nein. bitte führe erst combofix aus, dann versuch malwarebytes zu updaten und führe auch das aus, dann sdfix. alle logs posten
Seitenanfang Seitenende
26.12.2008, 23:59
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 Gebe unter Start/Ausfuehren devmgmt.msc ein und druecke enter, dann ueber "Ansicht", "Ausgeblendete Geraete anzeigen" waehlen, "nicht-PNP-Treiber" anzeigen lassen und dort den Treiber "TDSSserv.sys" oder "ATI3JQXX" oder aehnlich deaktivieren und neu starten.
Nichts anderes!!!!!!

SDFix für Windows 2000 und Windows XP
Download link 1 SDFix zum Desktop
Download link 2 SDFix
Download link 3 SDFix
Download link 4 SDFix zip
Download link 5 SDFix zip
Download link 6 SDFix zip

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte

Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread

Und wenn das alles nicht geht (Anhang)

Anhang: SDFix.exe

__________
MfG Argus
Seitenanfang Seitenende
27.12.2008, 11:20
Member

Themenstarter

Beiträge: 58
#15 Moin,
komem mal wieder nicht über den Vaio-Rechner ins Net, muss also wieder den Um-Weg über meinen Vista-Rechner nehmen, aber nun der Reihe nach:
Erst habe ich von meinem sauberen, auf dem Vista-Rechner bestückten Stick, die Dateien combofix, sdfix, HighJäck und MBAM auf D: vom Vaio kopiert, danach eine Verknüpfung zur FP erstellt.
Da ließ sich Combofix trotz mehrerer Versuche noch nicht starten.
Dann habe ich auf dem Vaio-Rechner den von dir vorgegebenen Befehl devmgmt ausgeführt, dann startete auch combofix, machte ein Update und legte los.
(Dabei habe ich vielleicht ein paar unbeabsichtigte Fehler gemacht.)
Allerdings vergas ich den AV auszuschalten, also kamen beim Durchlauf des Combofix mehrere Warnungen und Virenwarnungen, die ich dann mit Ok in "Quarantäne verschoben" quittierte.
Combofix lief weiter, dann erfolgte der Neustart, den ich dann direkt mit F8 "abgesichert" bewerkstelligte.
Der Logfile wurde dann auf C: gespeichert, den ich dann hier im Thread posten wollte.
Aber weder über den neu installierten 3.0er Firefox noch über IE konnte ich vom Vaio aus das Internet erreichen. Ist daran veilleicht der abgesicherte Modus schuld?
Habe dann den Logfile auf den Stick kopiert, den Vaio runter gefahren und mich hier an den Vista-Rechenr begeben, von dem ich nun vom Stuick aus den Combofix-Logfile hier einstelle:

Ich bitte um Nachsicht für meine Fehler, lerne noch. Und meine Frau wartet schon gespannt auf das Ergebnis, dass sie wieder problemlos googlen kann, ihr Online-Banking wieder aufnehmen kann. Außerdem wartet seit Weihnachten eine Web-Cam für Skypen darauf, dass sie mit dem Ding mit ihrem Patenkind in der Nähe von Indianapolis/USA sehend/hörend kommunizieren kann.

Nun hier der Logfile.txt:

ComboFix 08-12-26.03 - Ulla 2008-12-27 10:15:54.1 - NTFSx86
ausgeführt von:: d:\helfer\Helferprogramme-U\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\TDSSosvd.dat
c:\windows\system32\TDSStkdv.log
c:\windows\system32\winsrc.dll.tmp

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Legacy_TDSSSERV.SYS
-------\Service_Iprip
-------\Service_TDSSserv.sys


((((((((((((((((((((((( Dateien erstellt von 2008-11-27 bis 2008-12-27 ))))))))))))))))))))))))))))))
.

2008-12-25 19:01 . 2008-12-25 19:01 <DIR> d-------- c:\programme\Avira
2008-12-11 21:17 . 2008-12-11 21:17 355,584 --a------ c:\windows\system32\TuneUpDefragService.exe
2008-12-11 21:17 . 2008-05-17 14:56 28,416 --a------ c:\windows\system32\uxtuneup.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-27 09:09 --------- d-----w c:\dokumente und einstellungen\Ulla\Anwendungsdaten\AdobeUM
2008-12-26 18:05 --------- d-----w c:\programme\Mralwarebytes' Anti-Malware
2008-12-25 18:01 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-11 20:17 --------- d-----w c:\programme\TuneUp Utilities 2008
2008-11-18 20:49 --------- d-----w c:\programme\Microsoft CAPICOM 2.1.0.2
2008-11-16 22:10 --------- d-----w c:\dokumente und einstellungen\Ulla\Anwendungsdaten\Malwarebytes
2008-11-16 22:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-16 19:02 --------- d-----w c:\programme\Trend Micro
2008-11-16 07:59 --------- d-----w c:\programme\Microsoft Silverlight
2008-11-15 07:44 --------- d-----w c:\programme\Windows Media Connect 2
2008-11-15 07:44 --------- d-----w c:\programme\Sony
2008-11-05 21:27 --------- d-----w c:\programme\Yahoo!
2008-11-02 13:44 --------- d-----w c:\programme\iTunes
2008-08-10 09:23 63,530,280 ----a-w c:\programme\iTunesSetup.exe
2008-08-01 17:01 22,322,568 ----a-w c:\programme\antivir_workstation_winu_de_h.exe
2008-04-21 19:10 671,968 ----a-w c:\programme\ccsetup205_slim.exe
2007-09-14 05:54 21,787,376 ----a-w c:\programme\Nokia_PC_Suite_6_84_10_3_ger_web.exe
2007-03-20 20:30 8 ----a-w c:\dokumente und einstellungen\Ulla\bmm_marker_mars.bin
2007-03-20 20:30 8 ----a-w c:\dokumente und einstellungen\Ulla\bmm_marker_earthmoon.bin
2007-03-20 20:30 8 ----a-w c:\dokumente und einstellungen\Ulla\bmm_marker_earth.bin
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LgWDskTp"="c:\programme\Wireless Desktop\LgWDskTp.exe" [2003-10-29 65536]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb12.exe" [2005-03-08 176128]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Logitech Utility"="Logi_MwX.Exe" [2003-07-22 c:\windows\Logi_MwX.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]
HP Image Zone Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-11 73728]
VAIO Action Setup (Server).lnk - c:\programme\Sony\VAIO Action Setup\VAServ.exe [2003-11-06 53248]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)
"NoSimpleStartMenu"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= c:\progra~1\GEMEIN~1\SONYSH~1\videolib\sonydv.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Reminder"=c:\programme\Microsoft Money\System\reminder.exe
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB0_0_0
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"PCSuiteTrayApplication"=c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
"TomTomHOME.exe"="c:\programme\TomTom HOME\TomTomHOME.exe" -s
"ezShieldProtector for Px"=c:\windows\System32\ezSP_Px.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"HKSERV.EXE"=c:\programme\Sony\HotKey Utility\HKserv.exe
"Drag'n Drop CD+DVD"=c:\programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Sony\\giga pocket\\gps.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
"3587:TCP"= 3587:TCP:Windows Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDP:peer Name Resolution-Protokoll (PNRP)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R3 LCcfltr;Logitech USB Filter Driver;c:\windows\system32\Drivers\LCcFltr.Sys [2003-11-06 15126]
R3 SMSCMS;SMSC LPC Memory Stick Host Controller;c:\windows\system32\DRIVERS\SMSCMS.sys [2003-11-04 58624]
S3 HSFHWSIS;HSFHWSIS;c:\windows\system32\DRIVERS\HSFHWSIS.sys [2003-11-04 175744]
S3 TDSLAdapter;T-DSL-Adapter (T-Online);c:\windows\system32\DRIVERS\TDSLAdap.sys [2005-01-17 47616]
S3 TDSLProtocol;T-DSL-Protocol (T-Online);c:\windows\system32\DRIVERS\TDSLProt.sys [2005-01-17 6688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{61d24662-8cff-11db-b8a4-544f4c000031}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe
.
Inhalt des "geplante Tasks" Ordners

2008-12-27 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-05-17 15:04]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-WgaLogon - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.wdr.de/themen/homepages/homepage.jhtml
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
mStart Page = hxxp://de.yahoo.com
IE: &eBay Search - c:\programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
Trusted Zone: *.sony-europe.com
Trusted Zone: *.sonystyle-europe.com
Trusted Zone: *.vaio-link.com

c:\windows\system32\msvcrt.dll - c:\windows\system32\mfc42.dll
c:\windows\system32\olepro32.dll
c:\windows\system32\msvcp60.dll
c:\windows\Downloaded Program Files\mail_upload.ocx
O16 -: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91}
hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
c:\windows\Downloaded Program Files\mail_upload.inf
FF - ProfilePath - c:\dokumente und einstellungen\Ulla\Anwendungsdaten\Mozilla\Firefox\Profiles\8us4shyq.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Java\j2re1.4.2_01\bin\NPJava11.dll
FF - plugin: c:\programme\Java\j2re1.4.2_01\bin\NPJava12.dll
FF - plugin: c:\programme\Java\j2re1.4.2_01\bin\NPJava13.dll
FF - plugin: c:\programme\Java\j2re1.4.2_01\bin\NPJava14.dll
FF - plugin: c:\programme\Java\j2re1.4.2_01\bin\NPJava32.dll
FF - plugin: c:\programme\Java\j2re1.4.2_01\bin\NPJPI142_01.dll
FF - plugin: c:\programme\Java\j2re1.4.2_01\bin\NPOJI610.dll
FF - plugin: c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.dll
FF - plugin: c:\programme\Real\RealOne Player\Netscape6\nppl3260.dll
FF - plugin: c:\programme\Real\RealOne Player\Netscape6\nprjplug.dll
FF - plugin: c:\programme\Real\RealOne Player\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Yahoo!\Common\npyaxmpb.dll

[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE [/color]
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.switch.threshold - 650000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-27 10:20:56
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-27 10:24:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-27 09:24:09

Vor Suchlauf: 15 Verzeichnis(se), 13.079.441.408 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 13,453,955,072 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

188 --- E O F --- 2008-12-17 20:36:34

<<<<Ende von Logfile.txt<<<<<

Werde nun mal die anderen Helferlein MBAM etc. probieren.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: