Trojaner blockiert Port 80???

#1 Hallo!

Brauche dringend Hilfe!

Seit geraumer Zeit funktioniert mein Internet nicht mehr richtig. Wenn ich ins Netz gehe, dann kann ich zwar erst mal ganz normal surfen, aber nach ca. 10 min geht nix mehr, weder irgendeine Seite, noch Downloads etc. Es kommt dann nur noch das Fenster, dass kein Server gefunden wurde. Bestimmte Programme die einen Extra-Client benutzen gehen weiterhin normal, aber nur wenn diese innerhalb dieser 10 min bereits geöffnet waren.
Ich benutze normalerweise den IE (neueste Version), hab es aber auch schon mit Firefox probiert, wo dann dasselbe Problem auftauchte. Ich habe Windows XP und Kabelinternet von Kabel Deutschland.

Ich habe bereits nen Bekannten gefragt und er meinte es könnte ein Port-Trojaner sein, der nach gewisser Zeit den Port 80 blockiert.
Wäre das möglich? Wenn ja, was kann ich tun um ihn zu beseitigen ohne Windows neu installieren zu müssen? Habe bereits 2 verschiedene Virenprogramme, Spybot und ein Trojanerprogramm (TrojanHunter) durchlaufen lassen, ohne Erfolg.
Was vielleicht noch zur Diagnose wichtig wäre: wenn ich nach diesen 10 min. meine Netzwerkkarte deaktiviere und dann wieder aktiviere, dann geht es wieder für weitere 10 min., aber viel langsamer als normal und diverse Bilder auf den Webseiten werden dann gar nicht mehr angezeigt.
Ebenso habe ich schon probiert in der CMD diverse Webseiten manuell anzupingen.. das funktioniert schon, auch in der Zeit, in der das Internet schon nicht mehr geht.

Hier mein HiJackThis-Log zu ner Zeit, in der mein Internet noch geht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:58:01, on 29.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\BitDefender\BitDefender 2009\bdagent.exe
C:\Programme\TrojanHunter 5.0\THGuard.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Philips\SA28XX Device Manager\main.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\BitDefender\BitDefender 2009\seccenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [webrebates] "C:\Programme\WebRebates4\webrebates.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ALDI Foto Service] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 5.0\THGuard.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Philips Geräte-Manager.lnk = C:\Programme\Philips\SA28XX Device Manager\main.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates. - file://C:\Programme\WebRebates4\websrebates\webtrebates\toprC0.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20050325-D35A-4233-926E-2E801AE25949} (NMJPStarter17 Class) - http://game.netmarble.jp/_common/cab/NMStarterJP7.cab
O16 - DPF: {6FC19219-C47E-4880-9A79-D218A1C374F9} (NMJTransX Control) - http://www.netmarble.jp/_common/cab/NMJTransX.cab
O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} - http://hoylegames.sierra.com/cab/WONWebLauncherControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Programme\BitDefender\BitDefender 2009\vsserv.exe

--
End of file - 8221 bytes


Und hier nochmal ein Log, wo das Internet schon nicht mehr geht (falls man da jetzt Unterschiede erkennen kann):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:02:35, on 29.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\BitDefender\BitDefender 2009\bdagent.exe
C:\Programme\TrojanHunter 5.0\THGuard.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Philips\SA28XX Device Manager\main.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\BitDefender\BitDefender 2009\seccenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [webrebates] "C:\Programme\WebRebates4\webrebates.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ALDI Foto Service] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 5.0\THGuard.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Philips Geräte-Manager.lnk = C:\Programme\Philips\SA28XX Device Manager\main.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates. - file://C:\Programme\WebRebates4\websrebates\webtrebates\toprC0.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20050325-D35A-4233-926E-2E801AE25949} (NMJPStarter17 Class) - http://game.netmarble.jp/_common/cab/NMStarterJP7.cab
O16 - DPF: {6FC19219-C47E-4880-9A79-D218A1C374F9} (NMJTransX Control) - http://www.netmarble.jp/_common/cab/NMJTransX.cab
O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} - http://hoylegames.sierra.com/cab/WONWebLauncherControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Programme\BitDefender\BitDefender 2009\vsserv.exe

--
End of file - 8221 bytes

#2 Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)


Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista

Download link 1 MalwareBytes' Anti-Malware
Download link 2 MalwareBytes' Anti-Malware
Download link 3 MalwareBytes' Anti-Malware
Download link 4 MalwareBytes' Anti-Malware
Download link 5 MalwareBytes' Anti-Malware
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Scanner”> "Quickscan durchfuehren".
“Update “> klicke “Suche nache Aktualisierungen“
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
Scan laufen lassen

Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen
__________
MfG Argus

#3 Hallo!

Danke erstmal für die Antwort!!!

Habe das alles gemacht, aber leider hat sich an meinem problem noch nix geändert...
Hier erstmal der MBAM-Log:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1577
Windows 5.1.2600 Service Pack 2

30.12.2008 15:37:08
mbam-log-2008-12-30 (15-37-08).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48029
Laufzeit: 4 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 5
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\MyWay (Adware.MyWay) -> Quarantined and deleted successfully.
C:\Programme\MyWay\myBar (Adware.MyWay) -> Quarantined and deleted successfully.
C:\Programme\MyWay\myBar\1.bin (Adware.MyWay) -> Quarantined and deleted successfully.
C:\Programme\MyWay\SrchAstt (Adware.MyWay) -> Quarantined and deleted successfully.
C:\Programme\MyWay\SrchAstt\1.bin (Adware.MyWay) -> Quarantined and deleted successfully.

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

#4 >>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O4 - HKLM\..\Run: [webrebates] "C:\Programme\WebRebates4\webrebates.exe"

O8 - Extra context menu item: Web Rebates. - file://C:\Programme\WebRebates4\websrebates\webtrebates\toprC0.htm

und wähle fix checked.

Starte den Rechner neu.

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

#5 Habe nun die 2 o.g. einträge gelöscht und combofix durchlaufen lassen, was leider nix geändert hat.

Hier das Log dazu:

ComboFix 08-12-30.01 - Admin 2008-12-31 3:05:23.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1023.611 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Eigene Dateien\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\INSTALL.LOG
c:\windows\IE4 Error Log.txt

.
((((((((((((((((((((((( Dateien erstellt von 2008-11-28 bis 2008-12-31 ))))))))))))))))))))))))))))))
.

2008-12-30 15:29 . 2008-12-30 15:29 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-30 15:29 . 2008-12-30 15:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-30 15:29 . 2008-12-30 15:29 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-12-30 15:29 . 2008-12-03 19:59 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-30 15:29 . 2008-12-03 19:59 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-28 16:14 . 2008-12-28 16:14 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\TrojanHunter
2008-12-28 15:19 . 2008-12-28 15:19 <DIR> d-------- c:\programme\TrojanHunter 5.0
2008-12-05 19:10 . 2008-12-07 00:12 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-12-05 17:47 . 2008-12-05 17:54 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2008-12-05 17:47 . 2008-12-05 17:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-29 19:19 . 2008-11-29 19:20 <DIR> d-------- c:\windows\system32\de-de
2008-11-29 19:11 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2008-11-29 19:11 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2008-11-29 19:11 . 2008-08-26 08:57 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2008-11-29 19:11 . 2008-08-26 08:57 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2008-11-29 19:11 . 2008-08-26 08:57 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2008-11-29 19:11 . 2008-08-26 08:57 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2008-11-29 19:11 . 2008-08-26 08:57 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2008-11-29 19:11 . 2008-08-25 09:38 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2008-11-29 19:10 . 2008-10-03 17:58 6,066,176 -----c--- c:\windows\system32\dllcache\ieframe.dll
2008-11-29 17:33 . 2008-11-29 17:33 0 --a------ c:\windows\nsreg.dat
2008-11-23 23:38 . 2008-11-23 23:38 850 --a------ c:\windows\system32\ProductTweaks.xml
2008-11-23 23:38 . 2008-11-23 23:38 385 --a------ c:\windows\system32\user_gensett.xml
2008-11-23 16:32 . 2008-11-23 16:32 <DIR> d-------- c:\programme\BitDefender
2008-11-23 16:32 . 2008-11-23 16:32 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\BitDefender
2008-11-23 16:30 . 2008-11-23 16:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\BitDefender

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-31 01:51 17,408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2008-12-28 14:16 --------- d-----w c:\programme\PokerStars.NET
2008-12-28 14:15 --------- d-----w c:\programme\BSW
2008-12-17 21:54 192,512 ----a-w c:\windows\system32\txmlutil.dll
2008-12-17 21:54 104,328 ----a-w c:\windows\system32\drivers\bdfndisf.sys
2008-12-06 15:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2008-12-05 17:52 --------- d-----w c:\programme\Web_Rebates
2008-11-29 16:55 230,920 ----a-w c:\windows\system32\drivers\bdfsfltr.sys
2008-11-29 16:55 111,112 ----a-w c:\windows\system32\drivers\bdfm.sys
2008-11-23 16:36 --------- d-----w c:\programme\Blubster
2008-11-23 15:35 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\BitDefender
2008-11-23 15:04 81,984 ----a-w c:\windows\system32\bdod.bin
2008-10-17 14:01 77,644 ----a-w c:\dokumente und einstellungen\Admin\Anwendungsdaten\mdbu.bin
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-11-29 16:55 39,424 ----a-w c:\programme\mozilla firefox\components\FFComm.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-08 94208]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-14 68856]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-07-01 4112384]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-07-01 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"cFosDNT"="c:\programme\1&1 Programme\cFos\cFosDNT.exe" [2001-08-31 262195]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-08-27 90112]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-02-16 282624]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2007-03-14 257088]
"ALDI Foto Service"="c:\programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360]
"BDAgent"="c:\programme\BitDefender\BitDefender 2009\bdagent.exe" [2008-11-29 741376]
"BitDefender Antiphishing Helper"="c:\programme\BitDefender\BitDefender 2009\IEShow.exe" [2008-11-29 69632]
"ALDI_SUED_FotoSuite_Download"="c:\programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360]
"THGuard"="c:\programme\TrojanHunter 5.0\THGuard.exe" [2008-03-25 1047712]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2004-07-01 c:\windows\system32\nwiz.exe]
"Dit"="Dit.exe" [2004-08-05 c:\windows\Dit.exe]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Philips Ger„te-Manager.lnk - c:\programme\Philips\SA28XX Device Manager\main.exe [2008-08-10 7694856]
WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2008-11-10 525664]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Shareaza\\Shareaza.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7755:TCP"= 7755:TCP:WWW

R2 BDVEDISK;BDVEDISK;\??\c:\programme\BitDefender\BitDefender 2009\BDVEDISK.sys [2008-07-02 82440]
R2 cFosNT;cFosNT;c:\windows\system32\Drivers\cFosNT.sys [2005-12-23 229937]
R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [2008-08-12 111112]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\DRIVERS\bdfndisf.sys [2008-07-01 104328]
R3 V0090VID;Creative WebCam Vista Plus;c:\windows\system32\DRIVERS\V0090Vid.sys [2006-04-23 138112]
S2 xzqydmduc;xzqydmduc;c:\windows\system32\svchost.exe -k netsvcs [2001-08-18 14336]
S3 Arrakis3;BitDefender Arrakis Server;"c:\programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe" [2008-07-17 118784]
S3 CardReaderFilter;Card Reader Filter;\??\c:\windows\system32\Drivers\USBCRFT.SYS [2006-03-11 17408]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\F:\NTGLM7X.sys []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
xzqydmduc

*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-MsnMsgr - c:\programme\MSN Messenger\MsnMsgr.Exe
HKLM-Run-NWEReboot - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe

c:\windows\NMUninstJ.exe - c:\windows\NMWizardJP5.exe
c:\windows\Downloaded Program Files\NMStarterJP5.dll
c:\windows\NMUninstJP7.exe
c:\windows\NMWizardJP7.exe
c:\windows\Downloaded Program Files\NMStarterJP7.dll
O16 -: {20050325-D35A-4233-926E-2E801AE25949}
hxxp://game.netmarble.jp/_common/cab/NMStarterJP7.cab
c:\windows\Downloaded Program Files\NmstarterJP7.inf

c:\windows\system32\NMJ_Util.exe - c:\windows\Downloaded Program Files\NMJTransX.ocx
c:\windows\NMWizardJP7.exe
c:\windows\NMUninstJP7.exe
c:\windows\system32\CPGameLauncher.exe
O16 -: {6FC19219-C47E-4880-9A79-D218A1C374F9}
hxxp://www.netmarble.jp/_common/cab/NMJTransX.cab
c:\windows\Downloaded Program Files\NMJTransX.inf
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-31 03:07:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-12-31 3:10:48
ComboFix-quarantined-files.txt 2008-12-31 02:09:29

Vor Suchlauf: 154.095.616 Bytes frei
Nach Suchlauf: 310,190,080 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

169 --- E O F --- 2008-11-24 20:35:53

#6 >>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Deinstalliere:
C:\Programme\MyWay\myBar
C:\Programme\MyWay\SrchAstt

>>
Lass folgende datei bei www.virustotal.com/de prüfen. Ergebnis posten.
c:\windows\system32\txmlutil.dll

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>>
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

>>
Lade Dir Registry Search by Bobbi Flekman
und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

xzqydmduc

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

Gruss Swiss und HAPPY NEW YEAR

#7 Hallo!

Habe nun alles o.g. durchgeführt.
C:\Programme\MyWay war bereits gelöscht.

Ergebnis Virustotal:

Datei txmlutil.dll empfangen 2009.01.03 01:22:03 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/38 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.02 -
AhnLab-V3 2008.12.31.0 2009.01.02 -
AntiVir 7.9.0.45 2009.01.02 -
Authentium 5.1.0.4 2009.01.02 -
Avast 4.8.1281.0 2009.01.03 -
AVG 8.0.0.199 2009.01.02 -
BitDefender 7.2 2009.01.03 -
CAT-QuickHeal 10.00 2009.01.02 -
ClamAV 0.94.1 2009.01.02 -
Comodo 866 2009.01.02 -
DrWeb 4.44.0.09170 2009.01.03 -
eTrust-Vet 31.6.6287 2009.01.01 -
Ewido 4.0 2008.12.31 -
F-Prot 4.4.4.56 2009.01.02 -
F-Secure 8.0.14470.0 2009.01.03 -
Fortinet 3.117.0.0 2009.01.02 -
GData 19 2009.01.03 -
Ikarus T3.1.1.45.0 2009.01.02 -
K7AntiVirus 7.10.572 2009.01.02 -
Kaspersky 7.0.0.125 2009.01.03 -
McAfee 5482 2009.01.02 -
McAfee+Artemis 5482 2009.01.02 -
Microsoft 1.4205 2009.01.02 -
NOD32 3733 2009.01.02 -
Norman 5.80.02 2009.01.02 -
Panda 9.0.0.4 2009.01.02 -
PCTools 4.4.2.0 2009.01.02 -
Prevx1 V2 2009.01.03 -
Rising 21.10.22.00 2008.12.31 -
SecureWeb-Gateway 6.7.6 2009.01.03 -
Sophos 4.37.0 2009.01.03 -
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2009.01.03 -
TheHacker 6.3.1.4.204 2009.01.02 -
TrendMicro 8.700.0.1004 2009.01.02 -
VBA32 3.12.8.10 2009.01.01 -
ViRobot 2008.12.30.1540 2008.12.31 -
VirusBuster 4.5.11.0 2009.01.02 -



Ergebnis SDFix:

SDFix: Version 1.240
Run by Administrator on 03.01.2009 at 17:02

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-03 17:09:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s0"=dword:0f47eb62
"s1"=dword:d52973c8
"s2"=dword:4d3e33fb
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:7b,48,39,8f,43,47,f1,22,80,f5,d0,92,a7,e0,93,64,6a,fb,18,b5,74,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:7b,48,39,8f,43,47,f1,22,80,f5,d0,92,a7,e0,93,64,6a,fb,18,b5,74,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:0000007c
"TracesSuccessful"=dword:0000006d

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Shareaza\\Shareaza.exe"="C:\\Programme\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"
"C:\\WINDOWS\\system32\\javaw.exe"="C:\\WINDOWS\\system32\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Wed 22 Oct 2008 949,072 A.SHR --- "C:\Programme\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll"
Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Programme\Spybot - Search & Destroy\Tools.dll"
Sat 13 Nov 2004 37,376 ...H. --- "C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe"

Finished!


Ergebnis Service-Filter:


The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
Jan 4, 2009 15:29:56


---> Begin Service Listing <---

Unknown Service # 1
Service Name: Arrakis3
Display Name: BitDefender Arrakis Server
Start Mode: Manual
Start Name: LocalSystem
Description: BitDefender Arrakis ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\bitdefender\bitdefender arrakis server\bin\arrakis3.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 2
Service Name: gusvc
Display Name: Google Updater Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\google\common\google updater\googleupdaterservice.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 3
Service Name: iPod Service
Display Name: iPod-Dienst
Start Mode: Manual
Start Name: LocalSystem
Description: iPod-Hardwareverwaltungsdienste...
Service Type: Own Process
Path: c:\programme\ipod\bin\ipodservice.exe
State: Running
Process ID: 1908
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 4
Service Name: LIVESRV
Display Name: BitDefender Desktop Update Service
Start Mode: Auto
Start Name: LocalSystem
Description: Herunterladen von BitDefender Updates und neue Malware Signaturen aus dem ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\bitdefender\bitdefender update service\livesrv.exe" /service
State: Running
Process ID: 1400
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #5
Service Name: MDM
Display Name: Machine Debug Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Unterstützt lokales und remotes Debuggen für Visual Studio- und Skript-Debugger. Wenn dieser ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe"
State: Running
Process ID: 1356
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #6
Service Name: ose
Display Name: Office Source Engine
Start Mode: Manual
Start Name: LocalSystem
Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 7
Service Name: scan
Display Name: BitDefender Threat Scanner
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -kbdx
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #8
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{d33795cf-c3df-4a86-84ab-1c3329313d29}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: VSSERV
Display Name: BitDefender Virus Shield
Start Mode: Auto
Start Name: LocalSystem
Description: Prüft Medien vor Viren und anderen ...
Service Type: Own Process
Path: "c:\programme\bitdefender\bitdefender 2009\vsserv.exe" /service
State: Running
Process ID: 1420
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 10
Service Name: xzqydmduc
Display Name: xzqydmduc
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k netsvcs
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1114
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 89 Win32 services on this machine.
10 were unrecognized.

Script Execution Time: 1,109375 seconds.



Ergebnis RegSearch: (kann das stimmen???)


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 04.01.2009 15:34:57 for strings:
; 'xzqydmduc
'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

#8 Mach alles was ich geschrieben habe:

Zitat

>>
Lade Dir Registry Search by Bobbi Flekman
und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

xzqydmduc

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

Gruss Swiss

#9 sorry.. jetzt stimmts:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 05.01.2009 01:41:00 for strings:
; 'xzqydmduc'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
; Contents of value:
; 6to4
; AppMgmt
; AudioSrv
; Browser
; CryptSvc
; DMServer
; DHCP
; ERSvc
; EventSystem
; FastUserSwitchingCompatibility
; HidServ
; Ias
; Iprip
; Irmon
; LanmanServer
; LanmanWorkstation
; Messenger
; Netman
; Nla
; Ntmssvc
; NWCWorkstation
; Nwsapagent
; Rasauto
; Rasman
; Remoteaccess
; Schedule
; Seclogon
; SENS
; Sharedaccess
; SRService
; Tapisrv
; Themes
; TrkWks
; W32Time
; WZCSVC
; Wmi
; WmdmPmSp
; winmgmt
; TermService
; wuauserv
; BITS
; ShellHWDetection
; helpsvc
; xmlprov
; wscsvc
; WmdmPmSN
; xzqydmduc
;
"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\
6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\
00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\
53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\
00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\
76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\
00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\
49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\
00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\
76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\
00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\
73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\
00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\
00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\
00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\
74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\
00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\
63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\
00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\
4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\
00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\
00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\
32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\
00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\
00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,54,00,65,00,72,00,6d,\
00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,\
73,00,65,00,72,00,76,00,00,00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,\
00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,\
6e,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,78,00,6d,00,6c,\
00,70,00,72,00,6f,00,76,00,00,00,77,00,73,00,63,00,73,00,76,00,63,00,00,00,\
57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,00,78,00,7a,00,71,00,79,\
00,64,00,6d,00,64,00,75,00,63,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XZQYDMDUC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XZQYDMDUC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XZQYDMDUC\0000]
"Service"="xzqydmduc"
"DeviceDesc"="xzqydmduc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XZQYDMDUC\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XZQYDMDUC\0000\Control]
"ActiveService"="xzqydmduc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xzqydmduc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xzqydmduc\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xzqydmduc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xzqydmduc\Enum]
"0"="Root\\LEGACY_XZQYDMDUC\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_XZQYDMDUC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_XZQYDMDUC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_XZQYDMDUC\0000]
"Service"="xzqydmduc"
"DeviceDesc"="xzqydmduc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\xzqydmduc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\xzqydmduc\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XZQYDMDUC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XZQYDMDUC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XZQYDMDUC\0000]
"Service"="xzqydmduc"
"DeviceDesc"="xzqydmduc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XZQYDMDUC\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XZQYDMDUC\0000\Control]
"ActiveService"="xzqydmduc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xzqydmduc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xzqydmduc\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xzqydmduc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xzqydmduc\Enum]
"0"="Root\\LEGACY_XZQYDMDUC\\0000"

; End Of The Log...

#10 >>
Start-> Einstellungen- Systemsteuerung- Verwaltung- Computerverwaltung und dann den Eintrag Dienste auswählen.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "xzqydmduc" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"xzqydmduc " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " xzqydmduc" läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

>>
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K.

sc stop xzqydmduc


Das gleiche mit:
sc delete xzqydmduc

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
xzqydmduc

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XZQYDMDUC]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xzqydmduc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_XZQYDMDUC]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\xzqydmduc]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XZQYDMDUC]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xzqydmduc]

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

>>
poste das Neue Log von Combofix

>>
Mach noch ein Log mit Windowsscan:
http://virus-protect.org/artikel/tools/windowsscan.html


Gruss Swiss

#11 habe alles so ausgeführt. allerdings war der dienst xzqydmduc zwar als typ "automatisch" angegeben, aber nicht gestartet. nun ist er aber deaktiviert.

Log Combofix:

ComboFix 09-01-05.01 - Admin 2009-01-05 16:09:16.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1023.615 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Eigene Dateien\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Admin\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active

.

((((((((((((((((((((((( Dateien erstellt von 2008-12-05 bis 2009-01-05 ))))))))))))))))))))))))))))))
.

2009-01-03 17:01 . 2009-01-03 17:01 <DIR> d-------- c:\windows\ERUNT
2009-01-03 17:00 . 2009-01-03 17:13 <DIR> d-------- C:\SDFix
2009-01-03 16:59 . 2009-01-03 16:59 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\BitDefender
2009-01-03 16:58 . 2005-12-22 02:40 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-01-03 16:58 . 2005-12-22 02:27 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-01-03 16:58 . 2005-12-22 02:27 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-01-03 16:58 . 2009-01-05 16:11 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-01-03 16:58 . 2005-12-22 02:27 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-01-03 16:58 . 2009-01-03 16:58 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-01-03 16:58 . 2005-12-22 02:27 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-01-03 16:58 . 2009-01-03 16:59 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-01-03 16:58 . 2009-01-03 16:58 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-01-03 01:13 . 2009-01-03 01:13 1,138,900 --a------ c:\windows\system32\gfyuuibm.boh
2008-12-30 15:29 . 2008-12-30 15:29 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-30 15:29 . 2008-12-30 15:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-30 15:29 . 2008-12-30 15:29 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-12-30 15:29 . 2008-12-03 19:59 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-30 15:29 . 2008-12-03 19:59 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-28 16:14 . 2008-12-28 16:14 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\TrojanHunter
2008-12-28 15:19 . 2008-12-28 15:19 <DIR> d-------- c:\programme\TrojanHunter 5.0
2008-12-05 19:10 . 2008-12-07 00:12 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-12-05 17:47 . 2008-12-05 17:54 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2008-12-05 17:47 . 2008-12-05 17:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-05 14:50 17,408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2008-12-28 14:16 --------- d-----w c:\programme\PokerStars.NET
2008-12-28 14:15 --------- d-----w c:\programme\BSW
2008-12-17 21:54 192,512 ----a-w c:\windows\system32\txmlutil.dll
2008-12-17 21:54 104,328 ----a-w c:\windows\system32\drivers\bdfndisf.sys
2008-12-06 15:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2008-12-05 17:52 --------- d-----w c:\programme\Web_Rebates
2008-11-29 16:55 230,920 ----a-w c:\windows\system32\drivers\bdfsfltr.sys
2008-11-29 16:55 111,112 ----a-w c:\windows\system32\drivers\bdfm.sys
2008-11-23 16:36 --------- d-----w c:\programme\Blubster
2008-11-23 15:35 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\BitDefender
2008-11-23 15:32 --------- d-----w c:\programme\Gemeinsame Dateien\BitDefender
2008-11-23 15:32 --------- d-----w c:\programme\BitDefender
2008-11-23 15:32 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\BitDefender
2008-11-23 15:04 81,984 ----a-w c:\windows\system32\bdod.bin
2008-10-17 14:01 77,644 ----a-w c:\dokumente und einstellungen\Admin\Anwendungsdaten\mdbu.bin
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-11-29 16:55 39,424 ----a-w c:\programme\mozilla firefox\components\FFComm.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-08 94208]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-14 68856]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-07-01 4112384]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-07-01 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"cFosDNT"="c:\programme\1&1 Programme\cFos\cFosDNT.exe" [2001-08-31 262195]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-08-27 90112]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-02-16 282624]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2007-03-14 257088]
"ALDI Foto Service"="c:\programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360]
"BDAgent"="c:\programme\BitDefender\BitDefender 2009\bdagent.exe" [2008-11-29 741376]
"BitDefender Antiphishing Helper"="c:\programme\BitDefender\BitDefender 2009\IEShow.exe" [2008-11-29 69632]
"ALDI_SUED_FotoSuite_Download"="c:\programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360]
"THGuard"="c:\programme\TrojanHunter 5.0\THGuard.exe" [2008-03-25 1047712]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2004-07-01 c:\windows\system32\nwiz.exe]
"Dit"="Dit.exe" [2004-08-05 c:\windows\Dit.exe]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Philips Ger„te-Manager.lnk - c:\programme\Philips\SA28XX Device Manager\main.exe [2008-08-10 7694856]
WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2008-11-10 525664]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Shareaza\\Shareaza.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7755:TCP"= 7755:TCP:WWW

R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [2008-08-12 111112]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [2008-07-01 104328]
R3 V0090VID;Creative WebCam Vista Plus;c:\windows\system32\drivers\V0090Vid.sys [2006-04-23 138112]
R4 BDVEDISK;BDVEDISK;c:\programme\BitDefender\BitDefender 2009\BDVEDISK.sys [2008-07-02 82440]
R4 cFosNT;cFosNT;c:\windows\system32\drivers\cFosNT.sys [2005-12-23 229937]
S3 Arrakis3;BitDefender Arrakis Server;c:\programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [2008-07-17 118784]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [2006-03-11 17408]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\f:\ntglm7x.sys --> f:\NTGLM7X.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe

c:\windows\NMUninstJ.exe - c:\windows\NMWizardJP5.exe
c:\windows\Downloaded Program Files\NMStarterJP5.dll
c:\windows\NMUninstJP7.exe
c:\windows\NMWizardJP7.exe
c:\windows\Downloaded Program Files\NMStarterJP7.dll
O16 -: {20050325-D35A-4233-926E-2E801AE25949}
hxxp://game.netmarble.jp/_common/cab/NMStarterJP7.cab
c:\windows\Downloaded Program Files\NmstarterJP7.inf

c:\windows\system32\NMJ_Util.exe - c:\windows\Downloaded Program Files\NMJTransX.ocx
c:\windows\NMWizardJP7.exe
c:\windows\NMUninstJP7.exe
c:\windows\system32\CPGameLauncher.exe
O16 -: {6FC19219-C47E-4880-9A79-D218A1C374F9}
hxxp://www.netmarble.jp/_common/cab/NMJTransX.cab
c:\windows\Downloaded Program Files\NMJTransX.inf
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-05 16:13:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
c:\programme\BitDefender\BitDefender 2009\vsserv.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\BitDefender\BitDefender 2009\seccenter.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-05 16:16:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-05 15:15:36
ComboFix2.txt 2008-12-31 02:10:50

Vor Suchlauf: 527.130.624 Bytes frei
Nach Suchlauf: 497,774,592 Bytes frei

164 --- E O F --- 2008-11-24 20:35:53



Log Windowsscan:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

05.01.2009 setupapi.log 16 19:513.279
05.01.2009 WindowsUpdate.log 16 13:1.108.214
05.01.2009 system.ini 16 13:227
05.01.2009 0.log 16 13:0
05.01.2009 wiadebug.log 16 13:159
05.01.2009 wiaservc.log 16 12:50
05.01.2009 bootstat.dat 16 12:2.048
05.01.2009 SchedLgU.Txt 16 08:32.630
03.01.2009 ntbtlog.txt 17 02:279.888
01.01.2009 NeroDigital.ini 19 15:116
20.12.2008 wmsetup.log 01 12:129.917
05.12.2008 wininit.ini 18 52:93
29.11.2008 spupdsvc.log 19 22:36.988
29.11.2008 ie7_main.log 19 20:34.952
29.11.2008 iis6.log 19 20:868.012
29.11.2008 comsetup.log 19 20:259.496
29.11.2008 ntdtcsetup.log 19 20:156.597
29.11.2008 tsoc.log 19 20:347.356
29.11.2008 imsins.log 19 20:1.393
29.11.2008 tabletoc.log 19 20:36.826
29.11.2008 ocmsn.log 19 20:41.749
29.11.2008 KB956390-IE7.log 19 20:60.306
29.11.2008 netfxocm.log 19 20:128.611
29.11.2008 medctroc.Log 19 20:52.896
29.11.2008 ocgen.log 19 20:368.363
29.11.2008 msgsocm.log 19 20:37.711
29.11.2008 FaxSetup.log 19 20:740.348


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

03.01.2009 gfyuuibm.boh 01 13:1.138.900
01.01.2009 wpa.dbl 16 16:2.206
28.12.2008 streamhlp.dll 15 19:59.392
17.12.2008 txmlutil.dll 22 54:192.512
06.12.2008 perfh009.dat 16 11:311.740
06.12.2008 perfc009.dat 16 11:40.128
06.12.2008 perfh007.dat 16 11:316.924
06.12.2008 perfc007.dat 16 11:48.354
06.12.2008 PerfStringBackup.INI 16 11:723.744
23.11.2008 ProductTweaks.xml 23 38:850
23.11.2008 user_gensett.xml 23 38:385
23.11.2008 bdod.bin 16 04:81.984
23.11.2008 bdss.log 15 59:0
03.11.2008 MRT.exe 16 10:17.318.336
16.10.2008 wuaueng.dll 14 13:1.809.944
16.10.2008 wuweb.dll 14 13:202.776
16.10.2008 wucltui.dll 14 12:323.608
16.10.2008 wuaucpl.cpl 14 12:213.528
16.10.2008 wuapi.dll 14 12:561.688
16.10.2008 cdm.dll 14 09:92.696
16.10.2008 wuauclt.exe 14 09:51.224
16.10.2008 wups2.dll 14 09:43.544
16.10.2008 wups.dll 14 08:34.328
16.10.2008 wucltui.dll.mui 14 08:31.768
16.10.2008 wuaucpl.cpl.mui 14 08:27.672
16.10.2008 wuapi.dll.mui 14 08:27.672
16.10.2008 wuaueng.dll.mui 14 07:18.968
04.10.2008 FNTCACHE.DAT 22 50:195.368
03.10.2008 ieframe.dll 17 58:6.066.176
27.08.2008 mshtml.dll 14 27:3.593.216
26.08.2008 webcheck.dll 08 57:233.472
26.08.2008 wininet.dll 08 57:826.368
26.08.2008 urlmon.dll 08 57:1.159.680
26.08.2008 mshtmled.dll 08 57:477.696
26.08.2008 pngfilt.dll 08 57:44.544
26.08.2008 url.dll 08 57:105.984
26.08.2008 occache.dll 08 57:102.912
26.08.2008 msrating.dll 08 57:193.024
26.08.2008 mstime.dll 08 57:671.232
26.08.2008 msfeeds.dll 08 57:459.264
26.08.2008 msfeedsbs.dll 08 57:52.224
26.08.2008 inetcpl.cpl 08 57:1.831.424
26.08.2008 jsproxy.dll 08 57:27.648
26.08.2008 iernonce.dll 08 57:44.544
26.08.2008 iertutil.dll 08 57:267.776
26.08.2008 ieakeng.dll 08 57:153.088
26.08.2008 dxtrans.dll 08 57:214.528


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

127.0.0.1 localhost



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****


Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 28 K
System 4 Console 0 256 K
smss.exe 576 Console 0 436 K
csrss.exe 624 Console 0 6.232 K
winlogon.exe 648 Console 0 4.484 K
services.exe 696 Console 0 4.292 K
lsass.exe 708 Console 0 1.556 K
svchost.exe 852 Console 0 4.848 K
svchost.exe 972 Console 0 4.280 K
livesrv.exe 1008 Console 0 2.900 K
vsserv.exe 1028 Console 0 14.748 K
svchost.exe 1096 Console 0 25.384 K
svchost.exe 1140 Console 0 3.496 K
svchost.exe 1180 Console 0 4.480 K
spoolsv.exe 1448 Console 0 4.904 K
MDM.EXE 1636 Console 0 2.936 K
nvsvc32.exe 1712 Console 0 3.428 K
svchost.exe 1768 Console 0 4.228 K
alg.exe 508 Console 0 3.588 K
SOUNDMAN.EXE 920 Console 0 2.908 K
rundll32.exe 1188 Console 0 3.112 K
cfosdnt.exe 1304 Console 0 3.364 K
jusched.exe 1536 Console 0 7.348 K
Dit.exe 1268 Console 0 2.872 K
Monitor.exe 1312 Console 0 3.572 K
qttask.exe 1196 Console 0 2.488 K
iTunesHelper.exe 1664 Console 0 4.092 K
bdagent.exe 1764 Console 0 1.648 K
THGuard.exe 2068 Console 0 8.588 K
msmsgs.exe 2084 Console 0 2.484 K
NMBgMonitor.exe 2108 Console 0 6.652 K
GoogleToolbarNotifier.exe 2132 Console 0 2.336 K
ctfmon.exe 2144 Console 0 3.884 K
main.exe 2188 Console 0 34.464 K
WZQKPICK.EXE 2208 Console 0 3.576 K
iPodService.exe 2296 Console 0 4.068 K
seccenter.exe 2716 Console 0 976 K
wuauclt.exe 1224 Console 0 3.964 K
explorer.exe 2044 Console 0 23.508 K
explorer.exe 3160 Console 0 21.460 K
iexplore.exe 3044 Console 0 55.160 K
WINZIP32.EXE 3416 Console 0 18.192 K
cmd.exe 620 Console 0 1.928 K
tasklist.exe 3088 Console 0 4.460 K
wmiprvse.exe 2156 Console 0 5.656 K



Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 05.01.2009 um 16:23:12,01 ***

#12 Im Combofix ist der Eintrag raus.

>>
Es gibt ein Update von Malwarebytes' Anti-Malware (MBAM)
von 1.31 nach 1.32

1.(FIXED) Issues detecting certain types of malware.
2.(FIXED) Miscellaneous problems with heuristics.
3.(ADDED) Better detection for the Vundo infection.
4.(ADDED) Support for Latvian and Croatian languages

Entferne über Software die alte Version,danach Rechner neu starten und die letzte Version 1.32 runterladen
http://www.besttechie.net/tools/mbam-setup.exe

>>
Dann enferne:
c:\programme\Web_Rebates

>>
Start Malwarebytes:
klicke: "Weitere Tools" - "Tool ausführen"

suche:
c:\windows\system32\gfyuuibm.boh
- klicke" Öffnen" - bestätige mit "yes", dass die Datei gelöscht wird


>>
OTMoveIt3.exe
bleepingcomputer.com

->OTMoveIt3.exe auf dem Desktop speichern

OTMoveIt.exe klicken

1. klicken: CleanUp! button

2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!)

3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.


>>
Hast du noch Probleme?

#13 So, habe nun festgestellt, dass mein Internet nach der letzten Aktion nun schon wieder normal läuft. Scheint wohl dieser komische xy.... dienst gewesen zu sein.

Vielen Dank für die ganzen Mühen und die Hilfe!!!
Endlich mal ein Forum gefunden, wo auch etwas kompliziertere Probleme behoben werden können...

#14 Bitte gern geschehen.

Aber scanne dennochmal mit dem geupdatetem Malwarebytes.


Gruss Swiss