"google redirect go.google.com" Problem, TDSSserv.sys und andere TDSS-Dateien

#1 Hallo zusammen,

zunächst möchte ich erwähnen, dass ich zum ersten Mal überhaupt in einem Forum angemeldet bin und einen Beitrag schreibe, daher bin ich nicht sicher, ob ich alles richtig mache (ich habe die Regeln aber gelesen).

Vor ein paar Tagen fing alles mit dem Problem an, dass Suchergebnisse in google nicht mehr auf die richtige Seite leiteten, wenn man den link anklickte. Hinzu kam, dass meine Antivirensoftware (GDATA AVK 2007) keine Aktualisierungen mehr durchführte und auch deren Webseite nicht mehr erreichbar war. Ich habe dann mit etwas Mühe noch den Hinweis in einem Forum gefunden, dass man im Gerätemanager unter Nicht-pnp-Treiber den Treiber TDSSSERV.sys deaktivieren muss und den Rechner neustarten. Das hat auch erstmal funktioniert. Nach dem Neustart hat AVK auch gleich folgendes gemeldet:

"Beim Öffnen der Datei "C:\WINDOWS\system32\drivers\TDSSmhxt.sys" wurde der Virus "Backdoor.Win32.TDSS.bkw" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein."
Inzwischen ist die Datei in Quarantäne.

Ein anschließender Virencheck mit AVK hat noch folgendes ergeben.

Virenprüfung mit AntiVirenKit
Version 17.0.6268
Virensignaturen vom 08.01.2009
Startzeit: 09.01.2009 06:58
Engine(s): Engine A (AVK 19.2333), Engine B (AVB 19.177)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein

Prüfung der Systembereiche...
Prüfung aller lokalen Festplatten...
Objekt: TDSSeeec.tmp
Pfad: C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp
Status: Datei in Quarantäne verschoben
Virus: Win32:Fasec [Trj] (Engine B)
Objekt: TDSSef0b.tmp
Pfad: C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp
Status: Datei in Quarantäne verschoben
Virus: Win32atched-HJ [Trj] (Engine B)
Objekt: TDSScfum.dll
Pfad: C:\WINDOWS\system32
Status: Datei in Quarantäne verschoben
Virus: Rootkit.Win32.TDSS.dbg (Engine A)
Objekt: TDSSnrsr.dll
Pfad: C:\WINDOWS\system32
Status: Datei in Quarantäne verschoben
Virus: Backdoor.Win32.TDSS.asz (Engine A)
Objekt: TDSSofxh.dll
Pfad: C:\WINDOWS\system32
Status: Datei in Quarantäne verschoben
Virus: Backdoor.Win32.TDSS.blh (Engine A)
Objekt: TDSSriqp.dll
Pfad: C:\WINDOWS\system32
Status: Datei in Quarantäne verschoben
Virus: Backdoor.Win32.TDSS.atb (Engine A)
Analyse vollständig durchgeführt: 09.01.2009 12:48
163324 Dateien überprüft
6 infizierte Dateien gefunden
0 verdächtige Dateien gefunden

Danach war ich ein wenig beruhigt, was sicher voreilig war, denn anschließend gab es mehrfach Probleme den Rechner hochzufahren. Ich habe dann weiter im Internet nach Hilfe gesucht und bin auf euer Forum gestoßen. Gestern habe ich dann die 6 Punkte aus dem Beitrag "Neue Beiträge erstellen" von Sabina abgearbeitet (alle logs siehe unten).

Heute konnte ich dann den Rechner erstmal nicht starten (3 Versuche), auch nicht mit der "letzten als funktionierend bekannten Version (oder so ähnlich)" (ebenfalls 3 Versuche). Mit meiner 5 Jahre alten "MEDION Application & Support Disc" habe ich dann den (harmlosesten) Wiederherstellungsversuch unternommen: "Startdateien wieder herstellen". Keine Ahnung, welche Startdateien da wieder hergestellt werden, aber der Rechner fuhr wieder hoch und ich komme ins Internet (sonst könnte ich den Beitrag nicht schreiben).

Nach dem Hochfahren des Rechners wurde ein neues Gerät gemeldet (keine Ahnung welches) und ein Neustart empfohlen, den ich abgelehnt habe. Unter den Nicht-pnp-Treiber habe ich jetzt einen Eintrag mit Ausrufezeichen in gelbem Kreis: SSHDRV84. Habe ich erstmal deaktiviert.
Unter Eigenschaften steht:
Dieses Gerät ist entweder nicht vorhanden, funktioniert nicht ordnungsgemäß, oder es wurden nicht alle Treiber installiert. (Code 24)
Sie müssen den Computer neu starten, damit die am Gerät vorgenommenen Änderungen wirksam werden.

Ist SSHDRV84 etwas schädliches?

Es wäre schön, wenn mir jemand bei der weiteren Untersuchung helfen könnte, da mein Rechner offensichtlich noch nicht OK ist und ich ein ziemlicher PC-Laie bin. Vielen Dank schon mal im voraus.

Hätte ich, statt einen neuen Beitrag zu schreiben, dies irgendwo anhängen sollen?

Nun die logs:


Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1638
Windows 5.1.2600 Service Pack 3

10.01.2009 18:18:52
mbam-log-2009-01-10 (18-17-58).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 64767
Laufzeit: 8 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\TDSSfxwp.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSStkdv.log (Trojan.TDSS) -> No action taken.

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1638
Windows 5.1.2600 Service Pack 3

10.01.2009 18:21:44
mbam-log-2009-01-10 (18-21-44).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 64767
Laufzeit: 8 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\TDSSfxwp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSStkdv.log (Trojan.TDSS) -> Quarantined and deleted successfully.


COMBOFIX


ComboFix 09-01-10.01 - Thomas 2009-01-10 21:22:44.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.511.134 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Thomas\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\java2.sys c:\windows\system32\snjava.dll
c:\windows\system32\mfcans32.DLL
c:\windows\system32\mfcuia32.dll
c:\windows\system32\msrdo20.dll
c:\windows\system32\rdocurs.dll
c:\windows\system32\TDSSosvd.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys


((((((((((((((((((((((( Dateien erstellt von 2008-12-10 bis 2009-01-10 ))))))))))))))))))))))))))))))
.

2009-01-10 18:03 . 2009-01-10 18:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-10 18:03 . 2009-01-10 18:03 <DIR> d-------- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Malwarebytes
2009-01-10 18:03 . 2009-01-10 18:03 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-10 18:03 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-10 18:03 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-10 15:29 . 2003-09-20 15:48 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-01-10 15:29 . 2003-09-20 17:26 <DIR> d---s---- c:\dokumente und einstellungen\Administrator\UserData
2009-01-10 15:29 . 2003-09-20 16:45 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-01-10 15:29 . 2003-09-20 16:45 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-01-10 15:29 . 2009-01-10 21:26 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-01-10 15:29 . 2003-09-26 13:53 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-01-10 15:29 . 2003-10-01 21:28 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-01-10 15:29 . 2003-09-26 20:41 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-01-10 15:29 . 2003-09-27 11:54 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Cyberlink
2009-01-10 15:29 . 2003-09-27 00:21 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ahead
2009-01-10 15:29 . 2008-09-03 15:56 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-01-10 15:29 . 2009-01-10 15:29 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-01-06 17:57 . 2009-01-06 17:57 54,156 --ah----- c:\windows\QTFont.qfn
2009-01-06 17:57 . 2009-01-06 17:57 1,409 --a------ c:\windows\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-10 20:39 --------- d-----w c:\programme\StarOffice7
2009-01-10 14:48 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-11-23 09:07 --------- d-----w c:\programme\CSoft
2008-08-27 19:16 22,662 ----a-w c:\dokumente und einstellungen\Thomas\Anwendungsdaten\wklnhst.dat
2003-08-14 17:13 40,960 ----a-w c:\programme\Uninstall_PCM.exe
2007-02-21 22:03 66,672 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2007-02-21 22:03 54,376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2007-02-21 22:03 34,952 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2007-02-21 22:03 46,720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2007-02-21 22:03 172,144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872]
"PCMService"="c:\programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" [2004-04-15 57344]
"PinnacleDriverCheck"="c:\windows\System32\PSDrvCheck.exe" [2003-05-28 394240]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"EPSON Stylus CX6600 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE" [2004-03-01 98304]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2003-09-26 151597]
"AVKTray"="c:\programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" [2006-09-28 872448]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 50688]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2004-12-11 98304]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2007-12-20 1748992]
"Cmaudio"="cmicnfg.cpl" [2003-09-12 c:\windows\CMICNFG.CPL]
"Dit"="Dit.exe" [2002-08-28 c:\windows\Dit.exe]
"CHotkey"="mHotkey.exe" [2003-06-27 c:\windows\mHotkey.exe]
"PRISMSTA.EXE"="PRISMSTA.EXE" [2003-08-04 c:\windows\system32\PRISMSTA.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Thomas\Startmen�\Programme\Autostart\
StarOffice 7.lnk - c:\programme\StarOffice7\program\quickstart.exe [2003-06-01 122880]
wkcalrem.LNK - c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe [2003-07-23 24651]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
G DATA Firewall Tray.lnk - c:\programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe [2007-01-06 765952]
Kontrollfeld f�r die kabellose Tastatur.lnk - c:\windows\CNYHKey.exe [2003-10-01 5798912]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Bibliothek-Direktsuche.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Office-Bibliothek-Direktsuche.lnk
backup=c:\windows\pss\Office-Bibliothek-Direktsuche.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2004-12-11 22:22 98304 c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Fritz und Fertig\\Internetschach\\PlayChess.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [2007-01-06 20096]
R1 SSHDRV84;SSHDRV84;c:\windows\system32\drivers\SSHDRV84.sys [2005-11-18 76800]
R3 GDFwSvc;G DATA Personal Firewall;c:\programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe [2007-01-06 987136]
R3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [2007-01-06 34143]
R3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [2007-01-06 29730]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [2003-06-12 24704]
R4 AAV UpdateService;AAV UpdateService;c:\programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880]
R4 ACEDRV08;ACEDRV08;c:\windows\system32\drivers\ACEDRV08.sys [2007-05-05 108768]
R4 AVKProxy;AVKProxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2007-01-06 585728]
R4 AVKService;AVK Service;c:\programme\G DATA InternetSecurity\AVK\AVKService.exe [2007-01-06 397312]
R4 AVKWCtl;AVK Wächter;c:\programme\G DATA InternetSecurity\AVK\AVKWCtl.exe [2007-01-06 1200128]
R4 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [2007-01-06 28307]
R4 LogWatch;Ereignisprotokoll-Überwachung;c:\programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 53248]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2008-08-17 4352]
S3 CA_LIC_CLNT;CA-Lizenz-Client;c:\programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 77824]
S3 CA_LIC_SRVR;CA-Lizenzserver;c:\programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 77824]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2008-08-17 265088]
S3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\drivers\PRISMA00.sys [2003-09-10 362688]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-ProfiDialer - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://fritz.box/cgi-bin/webcm
uInternet Settings,ProxyOverride = fritz.box
IE: Add selected links to Link Container - c:\progra~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
IE: Show domain links - c:\progra~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\IPSUploader.ocx
O16 -: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4}
hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
c:\windows\Downloaded Program Files\IPSUploader.inf

c:\windows\Downloaded Program Files\ImageUploader_3.ocx - O16 -: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8}
hxxp://asp06.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
c:\windows\Downloaded Program Files\ImageUploader_3.inf
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-10 21:40:04
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1585627898-681493652-123805028-1008\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\avmwlanstick\WLanNetService.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\rundll32.exe
c:\windows\DitExp.exe
c:\programme\StarOffice7\program\soffice.exe
c:\windows\wanmpsvc.exe
c:\progra~1\COMMON~1\X10\Common\X10nets.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-10 21:43:31 - PC wurde neu gestartet [Thomas]
ComboFix-quarantined-files.txt 2009-01-10 20:43:27

Vor Suchlauf: 17 Verzeichnis(se), 30.601.875.456 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 30,911,258,624 Bytes frei

175 --- E O F --- 2008-12-18 21:16:22


HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:05:52, on 10.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\DitExp.exe
C:\Programme\StarOffice7\program\soffice.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\Eigene Dokumente\Thomas\Computer\Google redirect Problem tdssserv\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fritz.box/cgi-bin/webcm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp06.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8578 bytes

UNINSTALL-Liste

1&1 ProfiDialer
3D Wohnungsplaner 5.0
Adobe Download Manager 2.0 (Nur entfernen)
Adobe Flash Player 9 ActiveX
Adobe Reader 7.0.8 - Deutsch
AOL Deutschland
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
AVM FRITZ!WLAN
Blue Byte Game Channel
Carrera Streckenplaner
CD goes MP3 v4 Classic
C-Media 3D Audio
DIE SIEDLER - Das Erbe der Könige
Die Siedler IV
DiMAGE Viewer
DivX Codec
dm-DIGI-Foto
Duden Deutsch 1
EPSON CardMonitor
EPSON Copy Utility 3
EPSON PhotoQuicker3.5
EPSON PhotoStarter3.1
EPSON PRINT Image Framer Tool2.1
EPSON Scan
EPSON Smart Panel
EPSON Web-To-Page
EPSON-Drucker-Software
ESCX6600 Referenzhandbuch
ESCX6600 Softwarehandbuch
Fritz und Fertig
Fritz und Fertig 2
Fritz und Fertig 3
G DATA InternetSecurity
GEAR 32bit Driver Installer
Google Earth
Google Updater
HijackThis 2.0.2
Home Cinema XL II
Hotfix für Windows XP (KB952287)
Informationen über Ihren PC
InstantCopy
InterActual Player
Internetschach
IQ 140 - Der ultimative Intelligenztrainer
Java 2 Runtime Environment, SE v1.4.2
Lernspaß 1
Lollipop Deutsch 3
Lollipop Mathe 3
Malwarebytes' Anti-Malware
Matheland 2
Medi@Show
Medion Flash XL
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft AutoRoute v11.0
Microsoft Encarta Enzyklopädie 2004
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Picture It! Foto Premium 9
Microsoft Visual C++ 2005 Redistributable
Microsoft Windows-Journal-Viewer
Microsoft Word 2002
Microsoft Works
Microsoft Works Suite-Add-Ins für Microsoft Word
Mozilla Firefox (2.0.0.2)
MSN Messenger 6.0
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MUSICMATCH(R) Jukebox
Myst III Exile
Myst IV - Revelation
Nero OEM
Office-Bibliothek 4.1
PC-Bibliothek 3.0
PIF DESIGNER2.1
Post für Ritter Rost
PowerCinema 2.0
PowerDirector
PowerDVD
PowerProducer
QuickTime
QuickTime for Windows (32-bit)
Rad.RoutenPlaner. 2.0
RealOne Player
RedShift3
Ritter Rost - Die Eiserne Burg
ScanToWeb
Shockwave
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 9 (KB911565)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Steuer-Spar-Erklärung 2004
Steuer-Spar-Erklärung 2005
Steuer-Spar-Erklärung 2006
Steuer-Spar-Erklärung 2007
Steuer-Spar-Erklärung 2008
Tetrixx Setup
TOPOS Mathematik 1
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
USB Wireless Keyboard Driver Ver1.24M
VideoLive Mail
Viewpoint Media Player
Windows XP Service Pack 3
Windows-Sicherungsprogramm
X10 Hardware(TM)

Gruß, Euklid
__________
Mit freundlichen Grüßen, Euklid
"Il faut s'imaginer Sisyphe heureux" (Albert Camus)

#2 Hallo Euklid,

neues Problem= neues Thema, also alles richtig gemacht!

Faellt dir jetzt noch etwas ungewoehnliches auf? Laut Reporte sieht es gut aus.

Du solltest noch einen Kontrollscan mit der Avira Bootcd machen...

http://board.protecus.de/t23979.htm#298775

Falls du einen Wiederbeschreibbaren CD Rohling besitzt, nimm den...
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo Ralf,

vielen Dank für die schnelle Reaktion.

Kann ich für die Avira BootCD auch eine nicht wiederbeschreibbare CD nehmen (habe keine RW zur Hand)? Sollte doch keinen Unterschied machen (außer dass ich sie später nicht mehr sinnvoll verwenden kann), oder?

Was ist mit dem Gerätetreiber SSDRV84? Wenn der nicht angemeckert wird, kann ich ihn doch wieder aktivieren.

Mir ist gerade noch etwas seltsames aufgefallen:

Wenn ich unter Start mit dem Mauszeiger auf "Eigene Dateien" oder "Eigene Bilder" gehe, öffnet sich keine Ordnerliste mehr (nur ein kleines gelbes Fenster "Öffnet den Ordner "Eigene Dateien" ..."). Die Programmliste erscheint noch. Ist das nur eine falsche Einstellung?

Vielen Dank.

Gruß, Euklid
__________
Mit freundlichen Grüßen, Euklid
"Il faut s'imaginer Sisyphe heureux" (Albert Camus)

#4 Ja, den Treiber kannst du wieder aktivieren.
Du solltest Combofix deinstallieren, indem du
combofix /u
unter start/Ausfuehren eingibst und enter drueckst

Sollte damit dein "Ordnerliste" Problem nicht behoben sein, druecke mit der rechten Maustaste auf Start, dann Eigenschaften/Startmenue/Anpassen/Erweitert waehlen und unter Starmenueelemente/Eigene Dateien und dort "als Menue anzeigen" waehlen. Mit "Eigene Bilder" u ae. das selbe machen...

Nachtrag: Du kannst natuerlich einen normalen Rohling nehmen, nur ist er halt nach einem Tag schon veraltet und die Bootcd laesst sich leider nicht aktualisieren...
__________
MfG Ralf
SEO-Spam Hunter

#5 Hallo,

Ich habe combofix wie beschrieben deinstalliert.

Ich habe die Prüfung mit der AVIRA Boot-CD gemacht, kann aber leider das logfile nicht finden. (Ich habe auch keine Option zum Speichern gefunden)

Jedenfalls hatte AVIRA nur einen Fund und 2 Warnungen:

Der Fund war C:\ComboFix\nircmd ???

Da scheint ComboFix nicht vollständig deinstalliert worden zu sein. Kann ich den Ordner so löschen (ich hatte die Option zum Löschen in AVIRA nicht eingestellt)?

Die beiden Warnungen waren zip-komprimierte Ordner, die ich für harmlos halte.

Damit sollte das System ja erstmal sauber sein. Vielen Dank.

Gruß, Euklid
__________
Mit freundlichen Grüßen, Euklid
"Il faut s'imaginer Sisyphe heureux" (Albert Camus)

#6 Schoen und ja, du kannst den Combofix Ordner gefahrlos loeschen....
__________
MfG Ralf
SEO-Spam Hunter

#7 Wenn du CA-Etrust nicht entfernen kannst es gibt ein Un-Installer
https://remoteassist.ca.com/supportbridge/jsp/selfserve/processScriptRequestOwnWindow.jsp?divisionID=7&scriptID=195

Wenn es nicht funktioniert melde dich wieder
__________
MfG Argus

#8 Hallo Argus,

ich verstehe den Hinweis nicht.

Kann es sein, dass du ein anderes Thema meintest?

MfG Euklid
__________
Mit freundlichen Grüßen, Euklid
"Il faut s'imaginer Sisyphe heureux" (Albert Camus)

#9 Im Log von Hijack This stehen Daten von CA
__________
MfG Argus

#10 Danke für den Hinweis, dem ich entnehme, dass ich es auch entfernen sollte. Ich muss gestehen, dass ich mich nicht erinnern kann, wie das auf den (5 Jahre alten) Rechner kommt.

Es handelt sich wohl um :
R4 LogWatch;Ereignisprotokoll-Überwachung;c:\programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 53248]
S3 CA_LIC_CLNT;CA-Lizenz-Client;c:\programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 77824]
S3 CA_LIC_SRVR;CA-Lizenzserver;c:\programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 77824]
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe

In der Systemsteuerung bei "Software" und in der uninstall-Liste von hijackthis finde ich in der Tat nichts, was auf CA deutet.


Aber wenn ich den link anklicke, erhalte ich folgende Meldung (von AVK)

Es besteht ein Problem mit dem Sicherheitszertifikat der Website.

Das Sicherheitszertifikat dieser Website wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt.

Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen.
Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser Website wechseln.

Ich nehme an, dass ich das ignorieren kann.

MfG Euklid
__________
Mit freundlichen Grüßen, Euklid
"Il faut s'imaginer Sisyphe heureux" (Albert Camus)

#11 Wenn man ein Medion Rechner kauft steht standard CA E-trust Antivirus drauf
Die Seite ist vertrauenswürdig ist von CA

Es gibt noch eine möglichkeit um CA zu entfernen aber dafür braucht man wieder ComboFix
__________
MfG Argus

#12 OK, ich war auf der CA-Seite und habe vertrauensvoll kurzzeitig die Kontrolle auf meinen Rechner zugelassen. CA hat behauptet, es hätte funktioniert.

Ein neuer hijackthis-log steht unten. Sieht für mich so aus, als wäre es noch da.

ABER: In der Taskleiste rechts unten sind ein paar Symbole verschwunden. Ist da jetzt etwas inaktiv? Macht das was? Ich vermisse z.B. AVKTray.exe, das vorher dabei war (weiß aber auch nicht, was das macht).
Die Netzwerkverbindungssymbole habe ich wieder aktiviert.

Für heute ist dann Schluss für mich. Vielen Dank bis hierhin.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:01:56, on 11.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\Eigene Dokumente\Thomas\Computer\Google redirect Problem tdssserv\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fritz.box/cgi-bin/webcm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp06.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6416 bytes
__________
Mit freundlichen Grüßen, Euklid
"Il faut s'imaginer Sisyphe heureux" (Albert Camus)

#13 Lade Combofix nochmal runter un mache folgendes

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Folder::
C:\Programme\CA
Driver::
CA_LIC_CLNT
CA_LIC_SRVR
InoRPC
InoRT
InoTask
LogWatch

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen



Combofix noch mal anwenden

Du braucht das log nicht zu posten

Nachher CF wieder entfernen
Start > Ausführen> Kopiere rein ComboFix /U OK
__________
MfG Argus

#14 Guten Morgen,

ich habe das Script durch combofix ausführen lassen und combofix wieder deinstalliert. Scheint alles funktioniert zu haben.

ABER: Ich habe den Rechner heute morgen fast nicht starten können! Mehrere Versuche, auch mit der "letzten funktionierenden Konfiguration" haben nicht funktioniert. Der "laufende blaue Balken" bleibt irgendwann stehen.

Dann war ich einmal im "abgesicherten Modus mit Netzwerkverbindungen" (der ging), habe aber nichts gemacht. Anschließend ist der Rechner hoch gefahren.

Auch als combofix den Rechner neu gestartet hat, ist er wieder hoch gefahren.

D.h. offensichtlich, dass irgend etwas immer noch nicht stimmt. Ich traue mich ja kaum noch den Rechner auszuschalten.

Wenn die ganzen Virenscans (AVK, Malwarebyte, AVIRA von Rescue CD) nichts mehr ergeben, habe ich dann vielleicht ein ganz anderes Problem (z.B. Hardware) und bin wegen der Infizierung durch TDSSserv.sys nur noch auf der falschen Fährte? Dann müsste ich mich mal woanders um Support bemühen.

Habt ihr noch eine Idee? Vielen Dank im voraus.
__________
Mit freundlichen Grüßen, Euklid
"Il faut s'imaginer Sisyphe heureux" (Albert Camus)

#15 MalwareBytes' Anti-Malware

Wähle bei Reiter:
“Update “> klicke “Suche nache Aktualisierungen “
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
“Scanner”> "Vollständigen Suchlauf durchführen".
Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)

SDFix für Windows 2000 und Windows XP
Download link 1 SDFix zum Desktop
Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte

Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread
__________
MfG Argus