pc etwas langsam

#16 nochmal ein screenshot bzw teil 2^^

#17 sind das vllt Fehlalarme?

#18 Ich kenne CA nicht gut. Aber wir wollen sicher gehen. Obwohl in den anderen Logs eigentlich nichts darauf hin deutet.

Schritt 1

Lade das SmitfraudFix von S!Ri runter: SmitfraudFix

Suche:
• Doppelklick auf die SmitfraudFix.exe
• Wähle die 1 und drücke auf Enter um einen Bericht der infizierten Dateien zu bekommen. Dieser Bericht soll gespeichert werden, als C:\rapport-1.txt

Schritt 2

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware
**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.

• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte füge das C:\ComboFix.txt Log hier ein.

Schritt 3

Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

#19

Zitat

Schritt 2

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

Quelle: http://board.protecus.de/t38700-2.htm#ixzz0d04zQoSC

also soll ich bevor ich die combofix.exe speichere es erst mal umbennen in irgend nen anderen Name?

#20

Code

SmitFraudFix v2.424

Scan done at 22:08:24,34, 18.01.2010
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Trillian\trillian.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 217.0.43.145
DNS Server Search Order: 217.0.43.129

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A1A2423A-55F1-4177-8CD4-21AD81A80B52}: NameServer=217.0.43.145 217.0.43.129
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A1A2423A-55F1-4177-8CD4-21AD81A80B52}: NameServer=217.0.43.145 217.0.43.129


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

#21 Rest folgt etwas später

#22 nachdem ich combofix umbennant habe kam die Meldung " some installation files are corupt. please download a fresh copy and retry the installation

#23 Benenne es einmal in Winter.com um und versuche es nochmals.

Edit: Oder versuche es einmal so:
http://virus-protect.org/artikel/tools/combofix3.html

#24 bringt nix....geht trotzdem ned

#25 hier mal der Rootkitreport ->

Code

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:        2010/01/19 09:47
Program Version:        Version 1.3.5.0
Windows Version:        Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xA8502000    Size: 98304    File Visible: No    Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF79BB000    Size: 8192    File Visible: No    Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xA645A000    Size: 49152    File Visible: No    Signed: -
Status: -

SSDT
-------------------
#: 017    Function Name: NtAllocateVirtualMemory
Status: Hooked by "C:\WINDOWS\system32\drivers\wpsdrvnt.sys" at address 0xf7538b30

#: 041    Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xbac287a6

#: 053    Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xbac2879c

#: 063    Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xbac287ab

#: 065    Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xbac287b5

#: 098    Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xbac287ba

#: 108    Function Name: NtMapViewOfSection
Status: Hooked by "C:\WINDOWS\system32\drivers\wpsdrvnt.sys" at address 0xf7538470

#: 122    Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xbac28788

#: 128    Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xbac2878d

#: 137    Function Name: NtProtectVirtualMemory
Status: Hooked by "C:\WINDOWS\system32\drivers\wpsdrvnt.sys" at address 0xf7538c50

#: 193    Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xbac287c4

#: 204    Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xbac287bf

#: 247    Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xbac287b0

#: 249    Function Name: NtShutdownSystem
Status: Hooked by "C:\WINDOWS\system32\drivers\wpsdrvnt.sys" at address 0xf7538990

#: 257    Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xbac28797

#: 277    Function Name: NtWriteVirtualMemory
Status: Hooked by "C:\WINDOWS\system32\drivers\wpsdrvnt.sys" at address 0xf7538d60

==EOF==

#26 Schritt 1

Tool-Bereinigung mit OTM

Wir werden nun die CleanUp!-Funktion von OTM nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
• Bitte lade Dir (falls noch nicht vorhanden) OTM von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTM.exe um das Programm auszuführen.
Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
• Klicke auf den Button "CleanUp!"
• OTM fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTM und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Schritt 2

Nun versuche Combofix nochmals anzuwenden.

#27

Code

ComboFix 10-01-21.01 - Administrator 22.01.2010   2:05.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1669 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cf.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Sygate Personal Firewall *disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
.

(((((((((((((((((((((((   Dateien erstellt von 2009-12-22 bis 2010-01-22  ))))))))))))))))))))))))))))))
.

2010-01-19 22:52 . 2010-01-19 22:52    5115824    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-01-18 22:08 . 2010-01-18 22:09    --------    d-----w-    C:\MGtools
2010-01-18 21:57 . 2009-03-30 08:33    96104    ----a-w-    c:\windows\system32\drivers\avipbb.sys
2010-01-18 21:57 . 2009-02-13 10:29    22360    ----a-w-    c:\windows\system32\drivers\avgntmgr.sys
2010-01-18 21:57 . 2009-02-13 10:17    45416    ----a-w-    c:\windows\system32\drivers\avgntdd.sys
2010-01-18 21:57 . 2010-01-18 21:57    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-01-18 12:59 . 2010-01-18 12:59    7680    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Trillian\languages\de\talk.dll
2010-01-18 12:59 . 2010-01-18 12:59    7168    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Trillian\languages\de\events.dll
2010-01-18 12:59 . 2010-01-18 12:59    2048    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Trillian\languages\de\toolkit.dll
2010-01-18 12:59 . 2010-01-18 12:59    10240    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Trillian\languages\de\buddy.dll
2010-01-17 13:48 . 2010-01-17 13:48    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\CA
2010-01-15 13:34 . 2010-01-15 13:34    56    ---ha-w-    c:\windows\system32\ezsidmv.dat
2010-01-15 13:34 . 2010-01-21 21:12    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM
2010-01-15 13:30 . 2010-01-21 21:14    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2010-01-15 13:29 . 2010-01-15 13:29    --------    d-----w-    c:\programme\Gemeinsame Dateien\Skype
2010-01-15 13:29 . 2010-01-15 13:29    --------    d-----r-    c:\programme\Skype
2010-01-15 13:29 . 2010-01-15 13:29    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-01-09 23:47 . 2004-10-15 17:32    14568    ----a-w-    c:\windows\system32\drivers\wg6n.sys
2010-01-09 23:47 . 2004-10-15 17:32    14568    ----a-w-    c:\windows\system32\drivers\wg5n.sys
2010-01-09 23:47 . 2004-10-15 17:32    14568    ----a-w-    c:\windows\system32\drivers\wg4n.sys
2010-01-09 23:47 . 2004-10-15 17:32    14568    ----a-w-    c:\windows\system32\drivers\wg3n.sys
2010-01-09 23:47 . 2004-10-15 17:18    21075    ----a-w-    c:\windows\system32\drivers\wpsdrvnt.sys
2010-01-09 23:47 . 2004-10-15 17:17    60496    ----a-w-    c:\windows\system32\drivers\Teefer.sys
2010-01-09 23:47 . 2004-10-15 17:32    83096    ----a-w-    c:\windows\system32\SSSensor.dll
2010-01-09 23:47 . 2010-01-09 23:47    --------    d-----w-    c:\programme\Sygate
2010-01-09 23:47 . 2010-01-09 23:47    --------    d-----w-    c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-01-07 21:39 . 2010-01-07 21:39    --------    d-----w-    c:\programme\Java
2010-01-07 21:39 . 2010-01-07 21:39    152576    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-07 21:38 . 2010-01-07 21:38    79488    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-01-07 14:01 . 2010-01-16 23:51    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-01-07 14:01 . 2010-01-14 20:58    --------    d-----w-    c:\programme\Spybot - Search & Destroy
2010-01-06 17:13 . 2010-01-06 17:14    --------    d-----w-    c:\programme\dreamcast-emu2
2010-01-06 13:48 . 2010-01-06 13:48    8854    ----a-r-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\Uninstall_Project64__9559F7CA5E344237A2D9D856464AD727.exe
2010-01-06 13:48 . 2010-01-06 13:48    40960    ----a-r-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\NewShortcut1_9559F7CA5E344237A2D9D856464AD727.exe
2010-01-06 13:48 . 2010-01-06 13:48    40960    ----a-r-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\ARPPRODUCTICON.exe
2010-01-06 13:45 . 2010-01-06 13:45    --------    d-----w-    c:\programme\Gemeinsame Dateien\DirectX
2010-01-06 13:18 . 2010-01-06 13:18    --------    d--h--w-    c:\windows\PIF
2010-01-06 11:26 . 2010-01-06 11:26    --------    d-----w-    c:\programme\Avira
2010-01-06 00:55 . 2010-01-07 15:07    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-06 00:55 . 2010-01-19 22:52    --------    d-----w-    c:\programme\Anti-Malware
2010-01-06 00:55 . 2010-01-07 15:07    19160    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-01-05 19:44 . 2010-01-05 19:54    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Trillian
2010-01-05 19:00 . 2010-01-21 22:02    --------    d-----w-    c:\programme\Trillian
2010-01-03 19:26 . 2010-01-03 19:26    --------    d-----w-    c:\programme\Samsung
2010-01-03 12:59 . 2010-01-03 12:59    --------    d-----w-    c:\dokumente und einstellungen\Administrator\DoctorWeb
2009-12-29 20:30 . 2010-01-21 11:22    --------    d-----w-    c:\programme\JDownloader

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-22 00:59 . 2009-06-19 19:43    17864    ----a-w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-21 00:59 . 2009-07-11 22:42    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2010-01-17 21:21 . 2009-07-30 23:06    1    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-16 23:49 . 2009-09-06 14:06    --------    d-----w-    c:\programme\a-squared Free
2010-01-10 17:35 . 2009-11-29 19:11    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\QuickScan
2010-01-08 21:40 . 2009-10-31 21:35    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2010-01-07 21:39 . 2009-07-30 23:04    411368    ----a-w-    c:\windows\system32\deploytk.dll
2010-01-06 13:48 . 2009-08-17 13:28    --------    d-----w-    c:\programme\Project64 1.6
2010-01-04 23:35 . 2009-08-26 19:38    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-01-04 23:12 . 2009-07-05 15:25    --------    d---a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-01-04 23:10 . 2009-07-10 20:41    --------    d-----w-    c:\programme\Messenger Plus! Live
2010-01-04 23:07 . 2009-09-18 20:52    --------    d-----w-    c:\programme\DivX
2010-01-04 23:07 . 2009-09-07 17:15    --------    d-----w-    c:\programme\AskBarDis
2010-01-03 19:25 . 2009-09-02 17:37    --------    d-----w-    c:\programme\Samsung PC Studio
2010-01-02 22:37 . 2009-08-19 15:35    --------    d-----w-    c:\programme\Panda Security
2010-01-02 22:37 . 2009-12-14 22:49    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2009-12-29 16:19 . 2009-12-15 16:10    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Move Networks
2009-12-20 22:10 . 2009-12-20 22:03    --------    d-----w-    c:\programme\Kalo24
2009-12-10 23:14 . 2001-08-18 10:00    82040    ----a-w-    c:\windows\system32\perfc007.dat
2009-12-10 23:14 . 2001-08-18 10:00    452368    ----a-w-    c:\windows\system32\perfh007.dat
2009-12-08 16:46 . 2009-12-08 16:45    --------    d-----w-    c:\programme\iTunes
2009-12-08 16:45 . 2009-12-08 16:45    --------    d-----w-    c:\programme\iPod
2009-12-08 16:45 . 2009-07-22 18:50    --------    d-----w-    c:\programme\Gemeinsame Dateien\Apple
2009-12-03 16:30 . 2009-09-06 14:32    --------    d-----w-    c:\programme\a-squared Anti-Malware
2009-12-03 14:39 . 2009-12-03 14:38    --------    d-----w-    c:\programme\QuickTime
2009-12-03 12:49 . 2009-11-04 09:59    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-12-01 22:38 . 2009-12-01 22:38    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Panda Security
2009-12-01 21:43 . 2009-11-29 18:36    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Rising
2009-12-01 21:42 . 2009-11-01 13:51    --------    d-----w-    c:\programme\Opera
2009-12-01 21:41 . 2009-10-27 11:21    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\BitDefender
2009-12-01 21:41 . 2009-10-27 11:21    --------    d-----w-    c:\programme\Gemeinsame Dateien\BitDefender
2009-12-01 21:39 . 2009-10-27 15:19    132    ----a-w-    c:\windows\system32\rezumatenoi.dat
2009-11-30 22:03 . 2009-09-17 18:44    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2009-11-30 10:21 . 2009-11-30 10:21    0    ----a-w-    C:\pcwords2.dat
2009-11-30 10:21 . 2009-11-30 10:21    0    ----a-w-    C:\pcwords.dat
2009-11-25 10:19 . 2009-08-26 11:26    56816    ----a-w-    c:\windows\system32\drivers\avgntflt.sys
2009-11-23 17:34 . 2009-09-02 14:35    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\HpUpdate
2009-11-21 15:54 . 2004-08-03 22:57    471552    ----a-w-    c:\windows\AppPatch\aclayers.dll
2009-11-12 16:07 . 2009-11-12 16:07    79144    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
2009-11-06 09:12 . 2009-11-06 09:12    117483    ----a-w-    c:\windows\Internet Logs\vsmon_2nd_2009_11_05_16_11_07_small.dmp.zip
2009-11-01 20:27 . 2009-09-06 09:27    4212    ---ha-w-    c:\windows\system32\zllictbl.dat
2009-10-29 07:40 . 2004-08-03 22:57    916480    ------w-    c:\windows\system32\wininet.dll
2009-10-28 12:21 . 2009-10-28 12:21    0    ----a-w-    c:\windows\system32\wsbl.dat
2009-10-28 12:21 . 2009-10-28 12:21    0    ----a-w-    c:\windows\system32\ph_white.dat
2009-10-28 12:21 . 2009-10-28 12:21    0    ----a-w-    c:\windows\system32\ph_summ.dat
2009-10-28 12:21 . 2009-10-28 12:21    0    ----a-w-    c:\windows\system32\ph_black.dat
2009-10-28 12:21 . 2009-10-28 12:21    0    ----a-w-    c:\windows\system32\pcwords2.dat
2009-10-28 12:21 . 2009-10-28 12:21    0    ----a-w-    c:\windows\system32\pcwords.dat
2009-10-27 11:45 . 2009-10-27 11:45    4    ----a-w-    c:\windows\system32\aspdict-en.dat
2009-10-27 11:45 . 2009-10-27 11:45    16    ----a-w-    c:\windows\system32\asdict.dat
2009-10-26 21:00 . 2009-10-26 20:58    49133    ----a-w-    C:\BdUninstallTool2009.10.26-09.58.50.reg
2009-10-19 17:59 . 2009-10-27 11:30    47104    ----a-w-    c:\programme\mozilla firefox\components\FFComm.dll
2009-07-14 00:16 . 2009-07-14 00:16    1044480    ----a-w-    c:\programme\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16    200704    ----a-w-    c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"RTHDCPL"="RTHDCPL.EXE" [2009-09-11 18717696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-07 149280]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-10-15 2577632]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute    REG_MULTI_SZ       \0

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"c:\\Programme\\Real Alternative\\Media Player Classic\\mplayerc.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 a2free;a-squared Free Service;c:\programme\a-squared Free\a2service.exe [07.01.2010 23:34 1858144]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.01.2010 22:57 108289]
S1 SBRE;SBRE;\??\c:\windows\system32\drivers\SBREdrv.sys --> c:\windows\system32\drivers\SBREdrv.sys [?]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [16.09.2009 21:03 1684736]
S3 econceal;MicroWorld Technologies Network Service;c:\windows\system32\DRIVERS\econceal.sys --> c:\windows\system32\DRIVERS\econceal.sys [?]
S3 NTGUARD;NTGUARD;\??\c:\programme\Ikarus\virus utilities\bin\NTGUARD.SYS --> c:\programme\Ikarus\virus utilities\bin\NTGUARD.SYS [?]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [17.06.2009 13:20 12648]
.
Inhalt des "geplante Tasks" Ordners

2010-01-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-01-22 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-11-17 21:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
DPF: {E6BB2089-163F-466B-812A-748096614DFD} - hxxp://cainternetsecurity.net/scanner/cascanner.cab
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6yfnfpkd.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\programme\Mozilla Firefox\components\FFComm.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-HijackThis - c:\dokumente und einstellungen\Administrator\Desktop\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-22 02:09
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1409082233-1482476501-839522115-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,a3,f7,51,a2,28,d0,a2,4f,98,3f,65,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,a3,f7,51,a2,28,d0,a2,4f,98,3f,65,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(496)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3368)
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2010-01-22  02:10:31
ComboFix-quarantined-files.txt  2010-01-22 01:10

Vor Suchlauf: 1.404.219.392 Bytes frei
Nach Suchlauf: 1.368.289.280 Bytes frei

- - End Of File - - A91F188D8B33834EFDD3E036575EBC27

#28 Also ich sehe nichts mehr. Hast Du denn noch Probleme?

#29 nö eigtl nicht :-) vielen Dank für die Hilfe :-)

#30 Tool-Bereinigung mit OTM

Wir werden nun die CleanUp!-Funktion von OTM nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
• Bitte lade Dir (falls noch nicht vorhanden) OTM von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTM.exe um das Programm auszuführen.
Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
• Klicke auf den Button "CleanUp!"
• OTM fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTM und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.




Nachsorge

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra .

Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich www.ccleaner.de (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe die Anleitung von Hijackthis-Forum.de. Bei Java (Sun) immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

• System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
• Port-Scan-Test.
• WLAN absichern.
• Sichere Passwörter vergeben.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.


Spenden:

Da häufig die Frage nach einer Spendenmöglichkeit auftaucht, hier ein kleiner Hinweis dazu: Wenn Dir unser Support gefallen hat und Du dazu beitragen möchtest, dass dieser kostenlose Service aufrecht erhalten wird, kannst Du das mit einer freiwilligen kleinen Spende an Protecus tun. Entscheidest Du Dich für einen Zustupf an meine Wenigkeit dann geht dies über dieses Pay-Pal Konto.