scanner.powerantivirus-2009.com

Ok. Dann versuchen wir mal was:

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - http://download.bleepingcomputer.com/sUBs/ (ComboFix.exe) bitte den link nicht klicken, sondern abkopieren, inkl. dem teil in klammern
und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme,
  die Firewall und evtl. vorhandenes Skript-Blocking deaktivieren.
• Liste der zu deaktivierenden Programme. Bei Unklarheiten bitte vorher fragen.
• Bitte die Wiederherstellungskonsole nach dieser ausführlichen Anleitung installieren.
  .
  
  
  
  .
• Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder erneuern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

Anwendung

• Schließe alle Anwendungen, wenn Du Combofix laufen lässt.
• Mache einen Doppelklick auf die ComboFix.exe und folge den Anweisungen.
• Wird eine Infektion gefunden, startet Combofix den Rechner automatisch neu, um die Entfernung zu vervollständigen.
• Schließe das Fenster von Combofix nicht, sonst wirst Du einen leeren Desktop zurück behalten.
• Wenn der Scan beendet ist, wird ein Logfile erstellt, zu finden unter C:\ComboFix.txt
• Nicht vergessen, die deaktivierten Programme wieder zu aktivieren!
• Poste den Inhalt des Combofix-Logfiles hier in den Thread.

Hinweis für Mitleser

Bitte Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Hallo Schrauber

Ich habe genau das durchgeführt was du geschrieben hast.
Hier ist das Log von Combofix.exe:

ComboFix 08-08-30.03 - Klaus 2008-08-31 19:31:31.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1031.18.426 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Klaus\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\rhc5gnj0e12n
C:\Dokumente und Einstellungen\Klaus\Cookies\klaus@webmasterplan[1].txt
C:\Programme\MyWay
C:\Programme\Need2Find
C:\Programme\Need2Find\bar\History\search
C:\Programme\Need2Find\bar\Settings\settings.dat
C:\Programme\Need2Find\bar\Settings\settings.htm
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\system32\__c00A5CCB.dat
C:\WINDOWS\system32\__c00FEF62.dat
C:\WINDOWS\system32\lsp.dll
C:\WINDOWS\system32\rpc32vm.dll
C:\WINDOWS\system32\userini.exe
C:\xcrashdump.dat
C:\WINDOWS\system32\__c003BD0B.dat . . . . Nicht in der Lage zu löschen

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-28 bis 2008-08-31 ))))))))))))))))))))))))))))))
.

2008-08-29 10:47 . 2008-08-30 22:14 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-08-29 10:47 . 2008-08-30 21:37 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-29 10:47 . 2008-08-30 21:36 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-29 10:27 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\002642_.tmp
2008-08-29 10:24 . 2004-05-17 20:47 609,792 --a------ C:\WINDOWS\system32\xpsp2res.dll
2008-08-29 10:24 . 2002-08-29 14:00 200,192 --a------ C:\WINDOWS\system32\xpsp1res.dll
2008-08-29 10:22 . 2002-08-29 14:00 2,028,032 --a------ C:\WINDOWS\system32\dllcache\cdosys.dll
2008-08-29 10:20 . 2003-04-24 19:15 1,951,616 --a------ C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-29 08:41 . 2008-08-29 13:26 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-08-23 16:06 . 2008-08-23 16:06 <DIR> d-------- C:\Programme\Alwil Software
2008-08-23 08:11 . 2008-08-23 08:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-08-23 03:02 . 2008-08-23 03:02 <DIR> d-------- C:\Programme\MSXML 4.0
2008-08-22 20:28 . 2004-06-07 14:19 596,480 --a------ C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-22 20:28 . 2002-08-29 14:00 307,200 --a------ C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-22 20:28 . 2008-05-08 14:28 202,752 --a------ C:\WINDOWS\system32\dllcache\rmcast.sys
2008-08-22 19:45 . 2003-09-17 02:25 4,706,304 --------- C:\WINDOWS\system32\dllcache\wmp.dll
2008-08-22 19:44 . 2002-08-29 14:00 2,028,032 --a------ C:\WINDOWS\system32\cdosys.dll
2008-08-22 19:43 . 2004-03-16 20:44 1,507,356 --a------ C:\WINDOWS\system32\msjet40.dll
2008-08-22 19:42 . 2008-08-29 10:19 <DIR> d-------- C:\WINDOWS\EHome
2008-08-22 19:22 . 2008-08-30 22:16 2,206 --a------ C:\WINDOWS\system32\wpa.dbl
2008-08-16 09:37 . 2008-08-16 09:37 103 --a------ C:\WINDOWS\wininit.ini
2008-08-15 21:35 . 2008-08-15 21:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-15 21:30 . 2008-08-15 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-15 20:59 . 2008-08-15 20:59 <DIR> d-------- C:\Programme\Trend Micro
2008-08-15 07:16 . 2008-08-15 10:08 <DIR> d-------- C:\Programme\Enigma Software Group
2008-08-15 05:52 . 2008-08-31 19:46 74,240 --------- C:\WINDOWS\system32\__c003BD0B.dat
2008-08-12 21:15 . 2008-08-12 21:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
2008-07-16 19:54 . 2008-07-16 19:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
2008-07-07 22:26 . 2004-03-06 04:16 226,816 --a------ C:\WINDOWS\system32\dllcache\es.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-31 05:25 --------- d-----w C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\saveTV
2008-08-29 12:29 --------- d-----w C:\Programme\GMX
2008-08-23 13:56 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-08-23 13:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-10 06:10 --------- d-----w C:\Programme\TomTom HOME
2008-08-04 18:21 168,306 ----a-w C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\mdb.bin
2008-07-16 17:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-14 15:35 --------- d-----w C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\dvdcss
2008-07-13 14:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-07-13 14:43 --------- d-----w C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\AdobeUM
2007-04-11 18:18 27,768 ----a-w C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2001-11-30 09:09 49,152 ----a-r C:\Programme\Gemeinsame Dateien\HDvAvi.dll
2005-05-13 15:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 09:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-10-13 19:27 422,400 --sha-r C:\WINDOWS\x2.64.exe
2005-10-07 17:14 308,224 --sha-r C:\WINDOWS\system32\avisynth.dll
2005-07-14 10:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 13:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2006-04-27 08:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll
2005-02-28 11:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

------- Sigcheck -------

2005-03-02 20:21 562688 def116925e1ea04691ec6362f197451e C:\WINDOWS\SoftwareDistribution\Download\06d1a7cd3761c3322e423f74548dcfe2\sp1qfe\user32.dll
2005-03-02 20:09 578560 3751d7cf0e0a113d84414992146bce6a C:\WINDOWS\SoftwareDistribution\Download\06d1a7cd3761c3322e423f74548dcfe2\sp2gdr\user32.dll
2005-03-02 20:19 578560 4c90159a69a5fd3eb39c71411f28fcff C:\WINDOWS\SoftwareDistribution\Download\06d1a7cd3761c3322e423f74548dcfe2\sp2qfe\user32.dll
2004-06-17 19:55 561664 34280ab3c7bec4ba2e423567f6045369 C:\WINDOWS\SoftwareDistribution\Download\256adcee6446c05a52e0f442d0ccb199\sp1qfe\user32.dll
2005-03-02 20:21 562688 def116925e1ea04691ec6362f197451e C:\WINDOWS\SoftwareDistribution\Download\bf0d1dc87f812d268fa6140147738eb9\sp1qfe\user32.dll
2004-08-04 09:57 578560 56785fd5236d7b22cf471a6da9db46d8 C:\WINDOWS\SoftwareDistribution\Download\d4b94057b0f6a5149bc37a114786e825\user32.dll
2004-08-04 09:57 578560 56785fd5236d7b22cf471a6da9db46d8 C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\user32.dll
2003-09-25 18:52 561664 8d928268afbf31f8a34ce610da175352 C:\WINDOWS\system32\user32.dll
2003-09-25 18:52 561664 8d928268afbf31f8a34ce610da175352 C:\WINDOWS\system32\dllcache\user32.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ctfmon.exe=C:\WINDOWS\System32\ctfmon.exe [2002-08-29 14:00 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NeroCheck=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 11:50 155648]
iTunesHelper=C:\Programme\iTunes\iTunesHelper.exe [2005-09-16 08:43 274432]
TomTomHOME.exe=C:\Programme\TomTom HOME\TomTomHOME.exe [2007-03-14 16:52 3770024]
SoundMan=SOUNDMAN.EXE [2003-05-14 07:20 55296 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE [2002-08-29 14:00 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\2c10ed01382]
2008-08-31 19:46 74240 C:\WINDOWS\system32\__c003BD0B.dat

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
VIDC.I420= i420vfw.dll
vidc.DIV3= DivXc32.dll
vidc.DIV4= DivXc32f.dll
vidc.DIVF= DivX412.dll
VIDC.HFYU= huffyuv.dll
msacm.divxa32= DivXa32.acm
VIDC.JPEG= jpegCode.dll
VIDC.MJPG= mcmjpg32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli scecli scecli

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@=

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Device Detection]
--a------ 2006-10-26 18:01 102400 C:\Programme\T-Online\T-Online_Software_6\Fotoservice\dd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
--a------ 2003-04-07 00:07 114688 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
--a------ 2003-04-07 00:19 155648 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
-ra------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CHotkey]
--a------ 2002-07-23 12:09 477184 C:\WINDOWS\mHotkey.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
AntiVirusOverride=dword:00000001

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-07-19 16:35]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-05-09 13:15]
R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 16:29]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2005-11-15 14:02]
R2 NMSAccessU;NMSAccessU;C:\CDBurnerXP\NMSAccessU.exe [2007-10-12 09:34]
R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2004-01-25 23:29]
R3 TDSLAdapter;T-DSL-Adapter (T-Online);C:\WINDOWS\System32\DRIVERS\TDSLAdap.sys [2001-02-12 20:02]
S1 wceusbsh;Serieller Hosttreiber für Windows CE USB;C:\WINDOWS\System32\DRIVERS\wceusbsh.sys [2001-08-18 04:23]
S2 CoachWdm;Mustek MDC 3000;C:\WINDOWS\System32\Drivers\CoachWdm.sys []
S2 MKEMUSB;Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkemusb.sys [2001-08-08 18:52]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 16:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 16:41]
S3 DCamUSBMke;USB Video Camera for Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkeusbi.sys [2002-09-02 11:10]
S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;C:\WINDOWS\System32\svchost.exe [2002-08-29 14:00]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2005-11-24 13:36]
S3 TDSLProtocol;T-DSL-Protocol (T-Online);C:\WINDOWS\System32\DRIVERS\TDSLProt.sys [2001-02-12 20:02]
.
Inhalt des geplante Tasks Ordners

2008-08-31 C:\WINDOWS\Tasks\EasyShare Registration RunOnce Task.job
- C:\WINDOWS\System32\rundll32.exe [2002-08-29 14:00]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-Performance Center - C:\Programme\Ascentive\Performance Center\APCMain.exe
HKCU-Run-TomTomHOME.exe - C:\Programme\TomTom HOME 2\HOMERunner.exe
HKLM-Run-ActiveSpeed - C:\Programme\Ascentive\ActiveSpeed\AS.exe
HKLM-Run-SpyHunter Security Suite - C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
Notify-__c00FEF62 - C:\WINDOWS\System32\__c00FEF62.dat
Notify-dimsntfy - (no file)
MSConfigStartUp-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\Mozilla\Firefox\Profiles\9rc6anok.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.ebay.de/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-31 19:47:29
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Gruß Blacky

Du hast meine Anleitung nicht befolgt, die Wiederherstellungskonsole wurde nciht installiert!

======

Vorbereitung

Lösche die vorhandene Version von Combofix und lade das Programm neu herunter und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

• Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
  Danach wieder anstellen nicht vergessen!
• Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
   
   Code:

   File::
   C:\WINDOWS\002642_.tmp
   C:\WINDOWS\system32\__c003BD0B.dat
   Registry::
   [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\2c10ed01382]
   Driver::
   CoachWdm

   • Speichere dies als CFScript.txt auf Deinem Desktop
     .
     
     
     
     .
   • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
   • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
   Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
   Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
   
   Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.
   
   ============
   
   Downloade Malwarebytes Anti-Malware von einem dieser Downloadspiegel:
   Malwarebytes
   • Installiere das Programm in den vorgegebenen Pfad.
   • Lasse es online updaten (Reiter Updates).
   • Starte das Programm und aktiviere Komplett Scan durchführen => Scan.
   • Wähle alle verfügbaren Laufwerke aus und starte den Scan.
   • Wenn der Scan beendet ist, klicke auf Zeige Resultate.
   • Versichere Dich, dass alle Funde markiert sind und drücke Löschen.
   • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
   • Nachträglich kannst du den Bericht unter Scan-Berichte finden.
   • Berichte, wie der Rechner nun läuft.
   Hier findest Du eine ausführliche und bebilderte Anleitung.

Juhu!
Der Schädling ist weg!
Mein Antivirusprogramm hat ihn zunichte gemacht!

Mfg Blacky

Dein Antivirusprogramm ???