Hijacker Logfile

#1 Hallo,

seit heute spielt mein PC verrückt. Taskmanager ist plötzlich deaktiviert, im Internet lande ich ständig auf den falschen Seiten ...
Nun bin ich durch meine Recherche auf das Programm Hijacker gestossen, habe es laut Anleitung runtergeladen und nun den folgenden Logfile erhalten:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:58:47, on 23.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\System Control Manager\MSIService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PSIService.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\HomeCinema\PowerDVD\PDVDServ.exe
C:\Programme\System Control Manager\MGSysCtrl.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Boingo\GoBoingo\GoBoingo.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\windows\ld08.exe
C:\windows\pp10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\BullGuard Software\BullGuard\BullGuard.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\SYSDLL.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\SYSDLL.exe
C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\msupdt.exe,
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [BullGuard] "C:\Programme\BullGuard Software\BullGuard\bullguard.exe" -boot
O4 - HKLM\..\Run: [UCam_Menu] "C:\Programme\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Programme\HomeCinema\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\HomeCinema\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\HomeCinema\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GoBoingo] C:\Programme\Boingo\GoBoingo\GoBoingo.lnk
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [sysldtray] C:\windows\ld08.exe
O4 - HKLM\..\Run: [pp] C:\windows\pp10.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BullGuard] "C:\Programme\BullGuard Software\BullGuard\BullGuard.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SYSDLL] SYSDLL
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier Fast Start.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.meinvz.net/photouploader/ImageUploader5.cab?nocache=1221327828
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211625236765
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.meinvz.net/photouploader/ImageUploader5.cab?nocache=1216740305
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O20 - Winlogon Notify: pptpr - C:\WINDOWS\SYSTEM32\pptpr.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard Software - C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe
O23 - Service: BGRaSvc - BullGuard - C:\Programme\BullGuard Software\BullGuard\support\bgrasvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Micro Star SCM - Unknown owner - C:\Programme\System Control Manager\MSIService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe

--
End of file - 8396 bytes


Ich selber verstehe leider nur Bahnhof und hoffe daher sehr das mir hier jemand weiterhelfen kann.

#2 Hi, arbeite bitte das hier ab ! http://board.protecus.de/t23188.htm

Du hast Bullguard ? Was sagt den Bullguard? Irgendwelche Meldungen ?
__________
Mein Leben verläuft streng nach Murphys Gesetz

#3 Hi,
bin gerade bei Punkt 3
Scan mit Malwarebytes
das scheint aber noch ne Weile zu dauern.
Bislang wurden 13 infizierte Objekte gefunden.
bullguard sagt "alles ok" ;-)



ERGÄNZUNG !!!

nachdem ich die von Malwarbytes gefunden infizierten Objekte (50) gelöscht habe wurde der PC neu gestartet
nun habe ich leider gar keinen Internetzugang mehr
ich schreibe gerade vom PC eines Freundes

nun weiß ich echt nicht mehr weiter

#4 Kannst du irgenwdie das Log von Malwarebytes posten ?

Malwarebytes ansich trennt eigentlich keine Internetverbindung !!!

Versuch bitte noch combofix anzuwenden ! Das Log möglichst auch posten !
__________
Mein Leben verläuft streng nach Murphys Gesetz

#5 Vermutlich hattest du nen DNS Changer drauf. Mach mal folgendes:

>>
Start->Ausführen - schreib rein:
ipconfig /flushdns
(beachte das Leerzeichen hinter ipconfig)

Geht es nun?

>>
Benutzt du WLAN? Oder gehst du über Ethernet ins Netz?

Gruss Swiss

#6 hallo swisstreasure,

habe es versucht, aber leider ohne Erfolg
Ich gehe über wlAN ins Internet


Hallo Chrischahn

das Log von Malewarebytes wollte ich eigentlich posten, bevor mein Rechner die Internetverbindung gekappt hat. Auf diesem Rechner habe ich das Log leider nicht.
Combofix downzuloaden ist leider nicht möglich wegen fehlernder Internetverbindung.

Hier nun also doch (konnte es per Mail rüberschicken)

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2169
Windows 5.1.2600 Service Pack 3

23.05.2009 14:46:44
mbam-log-2009-05-23 (14-46-44).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 189486
Laufzeit: 1 hour(s), 54 minute(s), 47 second(s)

Infizierte Speicherprozesse: 4
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 1
Infizierte Dateien: 29

Infizierte Speicherprozesse:
C:\WINDOWS\system32\SYSDLL.exe (Worm.Koobface) -> Unloaded process successfully.
C:\WINDOWS\system32\SYSDLL.exe (Worm.Koobface) -> Unloaded process successfully.
C:\WINDOWS\ld08.exe (Worm.Koobface) -> Unloaded process successfully.
C:\WINDOWS\pp10.exe (Worm.KoobFace) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\WINDOWS\system32\msfgw32.dll (Trojan.Banker) -> Delete on reboot.
C:\WINDOWS\system32\pptpr.dll (Trojan.Goldun) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{1925c7e1-5540-4675-8198-8a2779d4072a} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1925c7e1-5540-4675-8198-8a2779d4072a} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{901a929e-1477-4b67-94fa-7a8ee43ed159} (Worm.AutoRun) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptpr (Trojan.Goldun) -> Delete on reboot.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysfbtray (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysmstray (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pp (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Worm.Koobface) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysdll (Worm.Autorun) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Backdoor) -> Data: c:\windows\system32\msupdt.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (c:\windows\system32\userinit.exe,C:\WINDOWS\system32\msupdt.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\SYSDLL.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msfgw32.dll (Trojan.Banker) -> Delete on reboot.
C:\Dokumente und Einstellungen\Sonja Stock\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\2GJMF2OC\6244[1].exe (Worm.Koobface) -> Delete on reboot.
C:\Dokumente und Einstellungen\Sonja Stock\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\E0OZNLL7\6244[1].exe (Worm.Koobface) -> Delete on reboot.
C:\Dokumente und Einstellungen\Sonja Stock\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\OXCX18D5\6244[1].exe (Worm.Koobface) -> Delete on reboot.
C:\Dokumente und Einstellungen\Sonja Stock\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\PFYER0X7\nfr[1].exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Sonja Stock\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4ZRR7BDS\socksbot[1].exe (Trojan.Backdoor) -> Delete on reboot.
C:\System Volume Information\_restore{EF710D4B-86A7-4635-8138-E81D2FBEE8C6}\RP116\A0057703.exe (Trojan.Backdoor) -> Delete on reboot.
C:\WINDOWS\st_1243018715.exe (Worm.Koobface) -> Delete on reboot.
C:\WINDOWS\st_1243025886.exe (Worm.Koobface) -> Delete on reboot.
C:\WINDOWS\st_1243067907.exe (Worm.Koobface) -> Delete on reboot.
C:\WINDOWS\system32\msupdt.exe (Trojan.Backdoor) -> Delete on reboot.
C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\freddy43.exe (Worm.KoobFace) -> Delete on reboot.
C:\WINDOWS\msmark2.dat (Worm.KoobFace) -> Quarantined and deleted successfully.
c:\WINDOWS\mstre19.exe (Worm.KoobFace) -> Delete on reboot.
C:\WINDOWS\pp10.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\ld08.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\wpv031239372093.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\Temp\wpv241240648712.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\Temp\wpv421242665216.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\wpv661240211733.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\Temp\wpv811240732591.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twext.exe (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\system32\pptpr.dll (Trojan.Goldun) -> Delete on reboot.
C:\WINDOWS\system32\pptpr.sys (Trojan.Goldun) -> Delete on reboot.
C:\WINDOWS\9g2234wesdf3dfgjf23 (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\WINDOWS\f23567.dat (Worm.KoobFace) -> Quarantined and deleted successfully


ich fasse es nicht nach der Anwendung von Combofix (über USB-Stick rübergeholt) kann ich nun wieder ins Internet und poste also gerade vom eingenen PC

ist damit nun alles wieder ok oder muss ich mir weiter sorgen machen ?
hab hier mal das Log von Combofix

ComboFix 09-05-22.08 - Sonja Stock 23.05.2009 20:07.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1013.483 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Sonja Stock\Desktop\ComboFix.exe
AV: BullGuard Antivirus *On-access scanning disabled* (Outdated) {7A9BB333-8EDF-4FDC-A2A5-1A30FA021913}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\LocalService\Anwendungsdaten\twain_32
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\twain_32\user.ds
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\twain_32
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\twain_32\user.ds
c:\dokumente und einstellungen\Sonja Stock\Anwendungsdaten\wiaserva.log
c:\windows\system32\dz1.txt
c:\windows\system32\inform.dat
c:\windows\system32\p1.txt
c:\windows\system32\r24.txt
c:\windows\system32\wbem\grpconv.exe
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-04-23 bis 2009-05-23 ))))))))))))))))))))))))))))))
.

2009-05-23 10:38 . 2009-05-23 10:38 2 ---h--w c:\windows\sonce123148.dat
2009-05-23 10:38 . 2009-05-23 10:38 2 ---h--w c:\windows\sonce122739.dat
2009-05-23 10:38 . 2009-05-23 10:38 2 ---h--w c:\windows\sonce122712.dat
2009-05-23 10:27 . 2009-05-23 10:27 -------- d-----w c:\dokumente und einstellungen\Sonja Stock\Anwendungsdaten\Malwarebytes
2009-05-23 10:27 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-23 10:27 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-23 10:27 . 2009-05-23 10:27 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-23 10:27 . 2009-05-23 10:27 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-23 09:55 . 2009-05-23 09:55 -------- d-----w c:\programme\Trend Micro
2009-05-22 18:58 . 2009-05-22 18:58 2 ---h--w c:\windows\sonce122730.dat
2009-05-19 14:04 . 2008-04-13 22:15 60032 -c--a-w c:\windows\system32\dllcache\usbaudio.sys
2009-05-19 14:04 . 2008-04-13 22:15 60032 ----a-w c:\windows\system32\drivers\USBAUDIO.sys
2009-05-19 14:00 . 2009-05-19 14:00 27638 ----a-w c:\windows\system32\wdh.bin
2009-05-14 16:10 . 2009-05-14 16:10 390664 ----a-w c:\dokumente und einstellungen\Sonja Stock\Anwendungsdaten\Real\RealPlayer\Update\RealPlayer11.exe
2009-04-27 17:28 . 2009-04-27 17:28 -------- d-----w c:\dokumente und einstellungen\Sonja Stock\Anwendungsdaten\GMX
2009-04-27 17:27 . 2008-08-04 13:10 90112 ----a-w c:\windows\system32\UIGMXMON.DLL
2009-04-27 17:27 . 2009-04-27 17:27 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\GMX
2009-04-27 17:27 . 2009-04-27 17:27 -------- d-----w c:\programme\GMX
2009-04-25 08:59 . 2009-04-25 09:00 -------- d-----w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-04-25 08:59 . 2009-04-25 08:59 -------- d-----r c:\dokumente und einstellungen\LocalService\Favoriten

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-23 18:15 . 2009-04-20 16:33 -------- d-----w c:\dokumente und einstellungen\Sonja Stock\Anwendungsdaten\Skype
2009-05-23 17:32 . 2008-05-26 01:37 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\BullGuard
2009-05-14 16:19 . 2008-07-07 16:16 952 --sha-w c:\windows\system32\KGyGaAvL.sys
2009-04-20 16:38 . 2009-04-20 16:38 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2009-04-20 16:33 . 2008-06-10 10:11 -------- d-----w c:\programme\Google
2009-04-20 16:33 . 2009-04-20 16:33 -------- d-----r c:\programme\Skype
2009-04-20 16:33 . 2009-04-20 16:32 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-04-17 20:55 . 2008-04-14 12:00 76256 ----a-w c:\windows\system32\perfc007.dat
2009-04-17 20:55 . 2008-04-14 12:00 417210 ----a-w c:\windows\system32\perfh007.dat
2009-03-06 14:19 . 2008-04-14 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2008-04-14 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-24 21:59 . 2008-07-05 17:07 55056 ----a-w c:\dokumente und einstellungen\Sonja Stock\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-02-24 08:54 . 2009-02-24 08:54 79144 -c--a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 8.0.2.20\SetupAdmin.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"BullGuard"="c:\programme\BullGuard Software\BullGuard\BullGuard.exe" [2008-07-06 308552]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-03-27 24103720]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-20 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"QuickFinder Scheduler"="c:\programme\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2007-01-02 83568]
"BullGuard"="c:\programme\BullGuard Software\BullGuard\bullguard.exe" [2008-07-06 308552]
"UCam_Menu"="c:\programme\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"RemoteControl"="c:\programme\HomeCinema\PowerDVD\PDVDServ.exe" [2007-01-08 68640]
"LanguageShortcut"="c:\programme\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"MGSysCtrl"="c:\programme\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-07-11 185896]
"GoBoingo"="c:\programme\Boingo\GoBoingo\GoBoingo.lnk" [2009-05-23 2147]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-01-06 290088]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-05-07 16862208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
HP Photosmart Premier Fast Start.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2006-2-10 73728]
Kodak EasyShare Software.lnk - c:\programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2008-5-10 282624]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"EnableProfileQuota"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\pptpr.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 BdFileSpy;BullGuard File Monitor Driver;c:\windows\system32\drivers\BdFileSpy.sys [26.05.2008 03:37 50896]
R2 BsFileScan;BullGuard File Scan Service;c:\windows\System32\svchost.exe -k BullGuard [14.04.2008 14:00 14336]
R2 BsMailProxy;BullGuard Email Monitoring Service;c:\windows\System32\svchost.exe -k BullGuard [14.04.2008 14:00 14336]
R2 Micro Star SCM;Micro Star SCM;c:\programme\System Control Manager\MSIService.exe [10.06.2008 11:23 159744]
R3 Reconn;BullGuard Email Monitor;c:\programme\BullGuard Software\BullGuard\Reconn.sys [28.06.2007 10:44 16984]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [10.06.2008 11:51 156160]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [24.05.2008 12:19 572416]
S1 pptpr;HUB-128 Driver;c:\windows\system32\pptpr.sys --> c:\windows\system32\pptpr.sys [?]
S3 BGRaSvc;BGRaSvc;c:\programme\BullGuard Software\BullGuard\support\bgrasvc.exe [06.07.2008 11:12 79176]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [24.05.2008 18:38 1527900]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
BullGuard REG_MULTI_SZ BgMainSvc BsFileScan BsMailProxy
.
Inhalt des "geplante Tasks" Ordners

2009-03-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 10:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-toolbar_eula_launcher - c:\program files\GoogleEULA\EULALauncher.exe
SafeBoot-procexp90.Sys


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://www.aldi.com
uInternet Settings,ProxyOverride = *.local;<local>
uInternet Settings,ProxyServer = http=localhost:7171
IE: Öffnen mit WordPerfect - c:\programme\WordPerfect Office X3\Programs\WPLauncher.hta
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.meinvz.net/photouploader/ImageUploader5.cab?nocache=1216740305
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game09.zylom.com/activex/zylomgamesplayer.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-23 20:15
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation

Scanne versteckte Prozesse...

c:\windows\system32\.faab023890dab9ac\faab023890dab9ac.exe [1836] 0x85587D50

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\.faab023890dab9ac

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\faab023890dab9ac]
"ImagePath"="c:\windows\system32\.faab023890dab9ac\faab023890dab9ac.exe"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"AB141C35E9F4BF344B9FC010BB17F68A"=""
.
Zeit der Fertigstellung: 2009-05-23 20:18
ComboFix-quarantined-files.txt 2009-05-23 18:18

Vor Suchlauf: 14 Verzeichnis(se), 48.281.214.976 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 49.852.121.088 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

185 --- E O F --- 2009-05-13 14:26

#7 Hier hilft nur noch neu aufsetzen. Der PC ist immer noch mit einem Banker infiziert. Auch schein mir der PC nicht besonders "gepflegt" worden zu sein. Das AV Programm ist nicht aktuell, es befanden sich merh als 1 GB an temp. Dateien auf dem Rechner und zu guter letzt hab och noch nie so viel an boesartiger Malware auf einen Rechner gesehen.....

Bitte aendere alle Passworte, die auf dem Rechner genutztet wurden. Aber bitte von einem sauberen Rechner aus!

#8 Genau das ist der einzig richtige Weg ! Neu aufsetzen mit komplett neuen Passwörtern !
Falls du online-banking machst würde ich deine Bank informieren um sicherzugehen!

Hier einige tipps zu neu aufsetzten http://board.protecus.de/t13020.htm

Sorry aber bei der Menge und Schädlichkeit der Malware wird dir hier sicher keiner was anderes raten! Eine Reinigung würde weitaus länger daueren und hätte ein instabiles sytem zur folge!
__________
Mein Leben verläuft streng nach Murphys Gesetz

#9 Vielen Dank
das mit dem Online-Banking hatte ich gestern schon zur Sicherheit gemacht.

Komisch, gerade vor 2 Tagen habe ich über die entsprechenden Systemprogramme eine Datenträgerbereinigung gemacht und über Bullguard lasse ich regelmäßig das System auf Viren etc. überprüfen. Was kann ich als Laie denn noch mehr machen um das System zu "pflegen" ?

#10 Bullguard ansich ist eigentlich schon ein sehr gutes progi meiner meinung nach !

Windows immer aktuell halten !

Statt Datenträgerbereinigung kann ich dir CCleaner empfehlen !

Secunia PSI ist ein gutes Progi(FREE) um deine Programme up-to-date zu halten !

Firefox als Browser benützen dabei JAVAscript ausmachen und Adblock als addon installieren !

Ganz wichtig : Surfverhalten überdenken--> nicht alles anklicken was sich bewegt--> keine sinnlosen downloads und schon gar nicht von unbekannten zwielichtigen Seiten! ( Ich spare mir jetzt die sinnlosen Sprüche mit BRAIN.exe usw )

Hast du ne Vorstellung wo du dir sowas eingefangen haben könntest ?
__________
Mein Leben verläuft streng nach Murphys Gesetz