Ehemaliges Viren-/Trojaner-/Rootkitproblem??

#1 Hallo zusammen!
Erstmal ein Riesenkompliment für die Arbeit, die ihr hier leistet. Nur durch Eure Hilfe bin ich überhaupt so weit gekommen. Nun zu meinen Problemen:

Vor ein paar Tagen startete mein Firefox nicht mehr, es wurde gemeldet, dass der Vorgang
"written" nicht ausgeführt werden könne. Plötzlich öffneten immer wieder fremde Adressen
englischsprachiger Herkunft, wenn ich im mir verbliebenen Internet-Explorer auf "Seite im
nächsten Tab öffnen" ging. Mitunter brauchte ich vier Versuche, bis die richtige Seite
aufging. Nachdem ich nach einiger erfolgloser Herumprobiererei mein System auf einen
älteren Punkt wiederherstellte, war zwar das Firefox-Problem gelöst, aber auch dort poppten
diese fremden Seiten ohne Inhalt auf. Ich deinstallierte den alten Scanner (Sophos) und
installierte Abira und stellte ihn in puncto Heuristik scharf. Es wurden insgesamt 42
Infizierungen gefunden. Mir war es zudem nicht möglich, eine automatische Logfile-
Auswertung mit Hijackthis auszuführen. Die Verbindung wurde immer wieder zurückgesetzt.
Ich konnte das Logfile auch hier nicht posten und sogar auch nicht mailen!


Ich ließ Malewarebytes einen Komplettscan machen und siehe da, es wurden wieder 6
Infizierungen gefunden. Doch das Problem mit den Logfiles und der aufpoppenden Seiten
blieb.


Dank Argus kam ich zu Combofix, dass nun wieder Infizierungen, diesmal mit Rootkits
feststellte. Nun kann ich wieder Logfiles auswerten und die "Fensterproblematik" ist auch
verschwunden. Erstmal dafür: DANKE, DANKE, DANKE!!!!!


Aber ich frage mich nun natürlich, war es das wirklich? Darum poste ich das Combofile-Log
anschliessend und bitte um Eure Stellungnahme. Vielen Dank vorab:

Code

ComboFix 10-08-03.02 - ali 05.08.2010  22:25:27.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1022.701 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\ali\Eigene Dateien\Downloads\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {85DA272C-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {857F1C74-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85AC5434-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85BB635C-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85BBF86C-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85C59C1C-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85C7489C-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85D88A34-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85E1076C-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85E7F35C-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {85E806DC-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8659D054-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {865AD054-FFA4-00EF-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\gfbaksm.dat
c:\windows\system32\gfbaksm.dll
c:\windows\system32\gfkernel.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-05 bis 2010-08-05  ))))))))))))))))))))))))))))))
.

2010-08-03 23:54 . 2010-08-04 00:01    --------    d-----w-    C:\FixWareOut
2010-08-03 23:04 . 2010-08-03 23:04    --------    d-----w-    c:\programme\Sophos
2010-08-02 00:14 . 2010-08-02 00:14    --------    d-----w-    c:\windows\system32\wbem\Repository
2010-08-01 21:25 . 2010-08-02 00:12    --------    d-----w-    c:\dokumente und einstellungen\ali\Anwendungsdaten\Mozilla(2)
2010-08-01 21:25 . 2010-08-02 00:12    --------    d-----w-    c:\programme\Mozilla Firefox(2)
2010-08-01 21:20 . 2010-08-02 00:22    --------    d-----w-    c:\programme\MozBackup
2010-07-17 01:24 . 2010-07-18 20:55    --------    d-----w-    c:\dokumente und einstellungen\ali\Anwendungsdaten\vlc
2010-07-15 21:03 . 2010-06-14 14:31    744448    -c----w-    c:\windows\system32\dllcache\helpsvc.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-05 20:16 . 2006-06-23 23:05    --------    d-----w-    c:\programme\Lx_cats
2010-08-05 20:15 . 2007-09-16 18:35    --------    d-----w-    c:\dokumente und einstellungen\ali\Anwendungsdaten\OpenOffice.org2
2010-08-03 21:19 . 2006-12-06 20:54    664    ----a-w-    c:\windows\system32\d3d9caps.dat
2010-08-02 00:14 . 2006-06-23 23:43    --------    d-----w-    c:\programme\Shareaza
2010-08-02 00:13 . 2010-03-07 23:41    --------    d-----w-    c:\dokumente und einstellungen\ali\Anwendungsdaten\dvdcss
2010-08-01 23:46 . 2010-08-03 21:19    229566    ----a-w-    c:\windows\pchealth\helpctr\Config\Cache\Personal_32_1031.dat
2010-07-23 22:12 . 2008-09-19 23:23    --------    d-----w-    c:\programme\Trend Micro
2010-07-18 18:39 . 2008-11-14 00:09    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-06-23 01:03 . 2005-10-09 05:46    80980    ----a-w-    c:\windows\system32\perfc007.dat
2010-06-23 01:03 . 2005-10-09 05:46    450312    ----a-w-    c:\windows\system32\perfh007.dat
2010-06-16 22:26 . 2010-06-16 22:25    --------    d-----w-    c:\programme\ICQ7.2
2010-06-16 22:26 . 2007-08-12 20:37    --------    d-----w-    c:\dokumente und einstellungen\ali\Anwendungsdaten\ICQ
2010-06-16 22:25 . 2005-10-09 09:27    --------    d--h--w-    c:\programme\InstallShield Installation Information
2010-06-14 14:31 . 2005-10-08 20:56    744448    ----a-w-    c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-05-31 14:34 . 2010-06-03 18:55    702120    ----a-w-    c:\dokumente und einstellungen\ali\Anwendungsdaten\Mozilla\Firefox\Profiles\havtimyj.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
2010-05-31 14:34 . 2010-06-03 18:55    868456    ----a-w-    c:\dokumente und einstellungen\ali\Anwendungsdaten\Mozilla\Firefox\Profiles\havtimyj.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2010-05-28 23:50 . 2010-05-28 23:50    249856    ------w-    c:\windows\Setup1.exe
2010-05-28 23:50 . 2010-05-28 23:50    73216    ----a-w-    c:\windows\ST6UNST.EXE
2010-05-22 01:44 . 2010-05-22 01:44    503808    ----a-w-    c:\dokumente und einstellungen\ali\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-3008a6cd-n\msvcp71.dll
2010-05-22 01:44 . 2010-05-22 01:44    499712    ----a-w-    c:\dokumente und einstellungen\ali\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-3008a6cd-n\jmc.dll
2010-05-22 01:44 . 2010-05-22 01:44    348160    ----a-w-    c:\dokumente und einstellungen\ali\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-3008a6cd-n\msvcr71.dll
2010-05-22 01:44 . 2010-05-22 01:44    61440    ----a-w-    c:\dokumente und einstellungen\ali\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-71d66042-n\decora-sse.dll
2010-05-22 01:44 . 2010-05-22 01:44    12800    ----a-w-    c:\dokumente und einstellungen\ali\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-71d66042-n\decora-d3d.dll
2009-01-23 23:39 . 2006-07-03 00:42    56    --sh--r-    c:\windows\system32\17102E92FA.sys
2005-10-09 10:25 . 2005-10-09 10:25    8    --sh--r-    c:\windows\system32\A3DA537E26.sys
2009-01-23 23:39 . 2005-10-09 10:25    12210    --sha-w-    c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-16 68856]
"Eraser"="c:\programme\Eraser\eraser.exe" [2007-12-22 916240]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-09-22 7282688]
"nwiz"="nwiz.exe" [2005-09-22 1519616]
"NvMediaCenter"="NvMCTray.dll" [2005-09-22 86016]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"CmUCRRun"="c:\windows\system32\CmUCReye.exe" [2005-08-04 237568]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-18 14820864]
"Keyboard Status"="c:\programme\Medion\KeyStat\KeyStat.exe" [2005-01-25 411648]
"MedionVFD"="c:\programme\Medion Info Display\MdionLCM.exe" [2005-10-06 122880]
"lxcemon.exe"="c:\programme\Lexmark 4300 Series\lxcemon.exe" [2005-08-02 192512]
"EzPrint"="c:\programme\Lexmark 4300 Series\ezprint.exe" [2005-07-26 94208]
"FaxCenterServer"="c:\programme\Lexmark Fax Solutions\fm3032.exe" [2005-07-12 299008]
"Gene USB Monitor"="c:\windows\system32\UMonit2K.exe" [2002-12-17 40960]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2006-05-06 6656]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-01-11 246504]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-07-27 155648]
"LXCECATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 73728]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Default User\Startmen�\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-10-19 1085440]

c:\dokumente und einstellungen\Default User\Startmen�\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-10-19 1085440]

c:\dokumente und einstellungen\ali\Startmen�\Programme\Autostart\
OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]

c:\dokumente und einstellungen\Default User\Startmen�\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-10-19 1085440]

c:\dokumente und einstellungen\Default User\Startmen�\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2008-10-19 1085440]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
"c:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"c:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Media Player\\wmplayer.exe"=
"c:\\Tools\\rshare\\RShare.exe"=
"c:\\Tools\\mldonkey\\mlnet.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"c:\\Programme\\Midway Games\\Rise and Fall\\RiseAndFall.exe"=
"c:\\Programme\\Shareaza\\Shareaza.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Kommute\\kommute.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [05.07.2006 14:46 63352]
R0 Vax347s;Vax347s;c:\windows\system32\drivers\Vax347s.sys [28.10.2007 21:11 5248]
R0 WDMCAPI;ISDN PCI CAPI;c:\windows\system32\drivers\WDMCAPI.sys [09.10.2005 12:04 730880]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [10.03.2009 20:29 222456]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [05.10.2005 17:38 825984]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;c:\windows\system32\drivers\cmiucr.SYS [08.10.2005 15:40 69248]
R3 TSMPacket;DSL-Manager Service;c:\windows\system32\drivers\tsmpkt.sys [19.10.2008 22:18 13824]
R3 WDMWANMP;NDIS WAN miniport;c:\windows\system32\drivers\wdmwanmp.sys [09.10.2005 12:04 26112]
S0 rseb;rseb; [x]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [30.03.2010 22:48 135664]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [19.10.2008 22:18 26816]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\D.tmp --> c:\windows\system32\D.tmp [?]
S3 TDslMgrService;DSL-Manager;c:\programme\DSL-Manager\DslMgrSvc.exe [19.10.2008 22:18 294912]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.12.2006 01:52 639224]
S4 Vax347b;Vax347b;c:\windows\system32\drivers\Vax347b.sys [28.10.2007 21:11 159616]
.
Inhalt des "geplante Tasks" Ordners

2010-08-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-30 20:48]

2010-08-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-30 20:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.freenet.de/freenet/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: AltaVista Search - file://c:\programme\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Translate - file://c:\programme\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm
Trusted Zone: imageshack.us\toolbar
FF - ProfilePath - c:\dokumente und einstellungen\ali\Anwendungsdaten\Mozilla\Firefox\Profiles\havtimyj.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.freenet.de/freenet/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\programme\OpenOffice.org 2.2\program\npsoplugin.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - c:\programme\AskBarDis\bar\bin\askBar.dll
HKCU-Run-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKCU-Run-ICQ - c:\programme\ICQ6.5\ICQ.exe
HKLM-Run-NWEReboot - (no file)
AddRemove-ComandoMPDDeinstKey - c:\programme\Eidos Interactive\Pyro\Commandos
AddRemove-GenericUstor2k - c:\windows\temp\ustordrv\remove.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-05 22:31
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  LXCECATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86FCCB18]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7514f28
\Driver\ACPI -> ACPI.sys @ 0xf73a6cb8
\Driver\atapi -> 0x86fccb18
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC -> SendCompleteHandler -> NDIS.sys @ 0xf722dbd4
 PacketIndicateHandler -> NDIS.sys @ 0xf7239a21
 SendHandler -> NDIS.sys @ 0xf722dd44
Warning: possible MBR rootkit infection !
user & kernel MBR OK 

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\D.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-4072913-3028523733-2035975658-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{45CB015F-5821-CED7-BE76-E2296A739BD2}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oambppolobghoeeecldclkibepnkla"=hex:64,61,6a,65,62,66,64,61,00,e0
"oaibpgldchdeajamibbfecohgeegke"=hex:6a,61,6d,64,6e,62,6c,6c,62,61,63,61,6b,68,
   6b,70,61,62,66,66,00,fd
"naobbjiekbndmmjdggbocagafffh"=hex:6a,61,6d,64,6e,62,6c,6c,62,61,63,61,6b,68,
   6b,70,61,62,66,66,00,fd
"eaacpfcoab"=hex:61,61,00,00
"calcbo"=hex:61,61,00,00
.
Zeit der Fertigstellung: 2010-08-05  22:33:26
ComboFix-quarantined-files.txt  2010-08-05 20:33

Vor Suchlauf: 11 Verzeichnis(se), 35.235.721.216 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 35.294.818.304 Bytes frei

- - End Of File - - B4EF32A6940F4ED337CD78988894DFA8

#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:
Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Datei-Überprüfung

Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Senden der Datei" nach VirusTotal hochladen und prüfen lassen. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Analysiere die Datei" erneut prüfen.

Wenn das Ergebnis vorliegt, den kleinen Button "Filter" links oberhalb der Ergebnisse drücken, dann das Ergebnis (egal wie es aussieht und dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren) hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.

Zitat

c:\windows\system32\17102E92FA.sys
c:\windows\system32\A3DA537E26.sys

Schritt 2

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Minimal-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.



• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 3

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

#3

Code

Datei 17102E92FA.sys empfangen 2010.08.05 22:06:40 (UTC)
Antivirus    Version    letzte aktualisierung    Ergebnis
AhnLab-V3    2010.08.06.00    2010.08.05    -
AntiVir    8.2.4.32    2010.08.05    -
Antiy-AVL    2.0.3.7    2010.08.03    -
Authentium    5.2.0.5    2010.08.05    -
Avast    4.8.1351.0    2010.08.05    -
Avast5    5.0.332.0    2010.08.05    -
AVG    9.0.0.851    2010.08.05    -
BitDefender    7.2    2010.08.05    -
CAT-QuickHeal    11.00    2010.08.05    -
ClamAV    0.96.0.3-git    2010.08.05    -
Comodo    5659    2010.08.05    -
DrWeb    5.0.2.03300    2010.08.05    -
Emsisoft    5.0.0.36    2010.08.05    -
eSafe    7.0.17.0    2010.08.05    -
eTrust-Vet    36.1.7768    2010.08.05    -
F-Prot    4.6.1.107    2010.08.05    -
F-Secure    9.0.15370.0    2010.08.05    -
Fortinet    4.1.143.0    2010.08.05    -
GData    21    2010.08.05    -
Ikarus    T3.1.1.84.0    2010.08.05    -
Jiangmin    13.0.900    2010.08.03    -
Kaspersky    7.0.0.125    2010.08.05    -
McAfee    5.400.0.1158    2010.08.05    -
McAfee-GW-Edition    2010.1    2010.08.05    -
Microsoft    1.6004    2010.08.05    -
NOD32    5344    2010.08.05    -
Norman    6.05.11    2010.08.05    -
nProtect    2010-08-05.01    2010.08.05    -
Panda    10.0.2.7    2010.08.05    -
PCTools    7.0.3.5    2010.08.04    -
Prevx    3.0    2010.08.06    -
Rising    22.59.03.04    2010.08.05    -
Sophos    4.56.0    2010.08.05    -
Sunbelt    6691    2010.08.05    -
SUPERAntiSpyware    4.40.0.1006    2010.08.05    -
Symantec    20101.1.1.7    2010.08.05    -
TheHacker    6.5.2.1.334    2010.08.05    -
TrendMicro    9.120.0.1004    2010.08.05    -
TrendMicro-HouseCall    9.120.0.1004    2010.08.05    -
VBA32    3.12.12.8    2010.08.04    -
ViRobot    2010.8.4.3971    2010.08.05    -
VirusBuster    5.0.27.0    2010.08.05    -
weitere Informationen
File size: 56 bytes
MD5...: 1bd65839ee6d20b140ca08e3ae4ccd00
SHA1..: d73e533e1baf3c7edcae4c6c34b3a59bb728409e
SHA256: 193c197dc901e7151fbcdace91ffea30cb3edd87d2b524840db2510ef35d559a
ssdeep: 3:/lGPilEpgQ:c<br>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
trid..: MS Flight Simulator Aircraft Performance Info (100.0%)

Code

Datei A3DA537E26.sys empfangen 2010.08.05 22:10:42 (UTC)
Antivirus    Version    letzte aktualisierung    Ergebnis
AhnLab-V3    2010.08.06.00    2010.08.05    -
AntiVir    8.2.4.32    2010.08.05    -
Antiy-AVL    2.0.3.7    2010.08.03    -
Authentium    5.2.0.5    2010.08.05    -
Avast    4.8.1351.0    2010.08.05    -
Avast5    5.0.332.0    2010.08.05    -
AVG    9.0.0.851    2010.08.05    -
BitDefender    7.2    2010.08.05    -
CAT-QuickHeal    11.00    2010.08.05    -
ClamAV    0.96.0.3-git    2010.08.05    -
Comodo    5659    2010.08.05    -
DrWeb    5.0.2.03300    2010.08.05    -
Emsisoft    5.0.0.36    2010.08.05    -
eSafe    7.0.17.0    2010.08.05    -
eTrust-Vet    36.1.7768    2010.08.05    -
F-Prot    4.6.1.107    2010.08.05    -
F-Secure    9.0.15370.0    2010.08.05    -
Fortinet    4.1.143.0    2010.08.05    -
GData    21    2010.08.05    -
Ikarus    T3.1.1.84.0    2010.08.05    -
Jiangmin    13.0.900    2010.08.03    -
Kaspersky    7.0.0.125    2010.08.05    -
McAfee    5.400.0.1158    2010.08.05    -
McAfee-GW-Edition    2010.1    2010.08.05    -
Microsoft    1.6004    2010.08.05    -
NOD32    5345    2010.08.05    -
Norman    6.05.11    2010.08.05    -
nProtect    2010-08-05.01    2010.08.05    -
Panda    10.0.2.7    2010.08.05    -
PCTools    7.0.3.5    2010.08.04    -
Prevx    3.0    2010.08.06    -
Rising    22.59.03.04    2010.08.05    -
Sophos    4.56.0    2010.08.05    -
Sunbelt    6691    2010.08.05    -
SUPERAntiSpyware    4.40.0.1006    2010.08.05    -
Symantec    20101.1.1.7    2010.08.05    -
TheHacker    6.5.2.1.334    2010.08.05    -
TrendMicro    9.120.0.1004    2010.08.05    -
TrendMicro-HouseCall    9.120.0.1004    2010.08.05    -
VBA32    3.12.12.8    2010.08.04    -
ViRobot    2010.8.4.3971    2010.08.05    -
VirusBuster    5.0.27.0    2010.08.05    -
weitere Informationen
File size: 8 bytes
MD5...: ba898b29f0dbf9307f494475a8393f03
SHA1..: 697fd89eba4c1d12a53190666508b9aa503bf7e9
SHA256: 6ffc24fbaa02a3dac892b71b2406b0f4756556bb38bee2b454e03814898e0083
ssdeep: 3:/ln:t<br>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<br>-
trid..: MS Flight Simulator Aircraft Performance Info (100.0%)
pdfid.: -
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

Ich habe mich an Deine Anweisungen gehalten, aber OTL stürzt beim Scannen der Internet-Explorer-Settings ab, genau so wie GMER...

#4 Dann versuche es einmal im abgesicherten Modus.

Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows

Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast.
Wähle hier:Abgesicherter Modus mit Netzwerktreibern

#5 Leider ohne Erfolg bzw. beide Anwendungen an den gleichen Stellen abgestürzt.

#6 Downloade OTS.exe und speichere es unbedingt auf Deinem Desktop.
Doppelklick auf die OTS.exe
Wenn Dein Anti-Viren-Programm bei OTS Meldung macht, erlaube es.
• Mache einen Haken bei "Scan All Users und Include MD5".
• Kopiere folgenden Text in die Box.

Code

%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\ws2help.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

• Unter der Box klicke auf den Button.
Hacke nun folgende Einträge an:

• Reg- Active Sub Paths
• App Paths
• Approved Shell Extensions
• Disabled MS Config Items
• Drivers32
• NetSvcs
• File Lop Check
• File Purity Check

Mache währenddessen nichts anderes an dem Rechner.
Wenn der Scan durchgeführt ist (Scan complete!), öffnet sich der Editor mit dem Logfile.
Auch zu finden auf dem Desktop ( OTS.txt )
• Schließe nun alle laufenden Programme sowie deinen Browser.
• Klicke auf den links oben, um die Untersuchung zu starten
Hänge diese Log bitte hier an, die ist nicht gerade kurz.

#7 Das klappt immer noch nicht. Ich habe mal einen Screenshot beigefügt.
Du schriebst:
"Mache währenddessen nichts anderes an dem Rechner.
Wenn der Scan durchgeführt ist (Scan complete!), öffnet sich der Editor mit dem Logfile."

Aber zu diesem Zeitpunkt ist doch noch kein Scan gestartet worden??? Der kommt doch später:
"• Schließe nun alle laufenden Programme sowie deinen Browser.
• Klicke auf den "Run Scan"links oben, um die Untersuchung zu starten"

#8 Wo ist der Screenshot?

#9 Also wenn RunScan drückst passiert was?

#10 Den Screenshot hatte ich an die Nachricht von 1:59 Uhr angehängt, oder guck einfach hier http://board.protecus.de/download.php?id=344035.Zwischenablage01.jpg. Genau bis zu diesem Punkt scannt es fleißig, danach stürzt das Programm ab.

#11 Schritt 1

CD-Emulatoren mit DeFogger deaktivieren

Du hast CD-Emulatoren wie Alcohol, DaemonTools oder ähnliche auf diesem Computer
installiert. Da diese Emulatoren mit Rootkit-Technik arbeiten, können sie die Fahndung nach
bösartigen Rootkits verfälschen und erschweren. Aus diesem Grund bitte entweder das
folgende Tool zum Deaktivieren laufen lassen oder die Software über Systemsteuerung =>
Software/Programme deinstallieren. Berichte mir, für welche Variante Du Dich entschieden
hast. Die Deaktivierung können wir nach der Bereinigung rückgängig machen.


Lade DeFogger herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.
• Es öffnet sich das Programm-Fenster des Tools.
• Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
• Klicke Ja, um fortzufahren.
• Wenn die Nachricht 'Finished!' erscheint,
• klicke OK.
• DeFogger wird nun einen Reboot erfragen - klicke OK
• Poste mir das defogger_disable.log hier in den Thread.

Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird.


Schritt 2

Combofix mit Skript laufen lassen

• Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
Danach wieder anstellen nicht vergessen!
• Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

• Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen
Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:

Code

File::
c:\windows\Setup1.exe
c:\windows\ST6UNST.EXE
c:\windows\system32\17102E92FA.sys
c:\windows\system32\A3DA537E26.sys
c:\windows\system32\KGyGaAvL.sys
c:\windows\system32\D.tmp

Driver::
MEMSWEEP2

• Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist.
.

.
• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

#12 Hi!

Ich fürchte, mit der Problembehebung wird es nichts mehr. Der Rechner hat wohl einen Festplattenschaden. Habe sie in einem anderen PC getestet und als zweite Platte überprüft, wo physikalische Schäden gemeldet wurden. Werde wohl eine neue kaufen müssen. Danke Dir trotzdem für Deine großartige Hilfe. Werde dem Board treu bleiben!