Hallo,
ich hab da vor kurzem eine sehr merkwürdige Datei in meinen Windows 7 Startprogrammen gefunden. Auffällig war es wegen seinen Namen 'UpdateChecker.exe' also hab ichs bei Virustotal hochgeladen und es stellte sich raus das der Virus sauber ist. Netzwerkaktivitäten der Datei konnte ich bisher nicht feststellen allerdings das sobald ich den Eintrag für den Autostart entferne er sich sofort neu generiert und die Datei an nem anderen Ort z.B. '%AppData%/ICQ/UpdateChecker.exe' wobei ich nichtmal ICQ habe und nie hatte oder mit anderen namen wie '%AppData%/google/UpdateChecker.exe' oder was auch immer aber immer im %AppData% Ordner kopiert. Außerdem wenn ich die Eigenschaften der Datei sehe da steht:
Produktname: Panda Retail
Copyright: Panda 2009
:-D?

Ich würde Windows nur ungern neu installieren oder eine Systemwiederherstellung durchführen also frage ich hier nach einen Rat.
Ich bitte alle Leser dieses Themas darum das werben für Linux zu unterlassen.

Also falls jemand einen Rat oder ein Tool z.B. was mir anzeigt welches Programm wann und wie auf die Registry/den Ordner zugreift für mich hat würde ich mich sehr freuen :-).

PS: Heute 2 Tage nach dem ersten Scannen sagt novirusthanks.org, dass Comodo die Datei als TrojWare.Win32.Trojan.Agent.Gen erkennt!

Zitat:

Ich bitte alle Leser dieses Themas darum das werben für Linux zu unterlassen.

Was soll bitte die Aussage? Zusammenhang?

Zitat:

dass Comodo die Datei als TrojWare.Win32.Trojan.Agent.Gen erkennt!

Man benötigt die Logs und keine halben Angaben

Logs? Meinst du von Hijack This? Ich hab eigentlich gedacht das ihr so viele davon habt das es euch langweilt aber klar danke für die Info :-)

Die Sache mit Linux ist die, ständig wenn ich jemanden etwas über Windows frage wird mir empfohlen Linux zu installieren dabei hab ich das ja bereits installiert nur verwenden tue ich es selten für spezielle Fälle. Wollte also nur drauf hinweisen das ich das bereits kenne und nicht umsteigen möchte!

Hier die Logs!

Code: Alles auswählenAufklappen

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:29:25, on 22.04.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Hotspot Shield\bin\openvpntray.exe
C:\Program Files (x86)\Internet Explorer\IELowutil.exe
E:\Programme\Steam\steam.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Tarzan\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.hotspotshield.com/g/?c=h
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=4.0007002"
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AMD SteadyVideo BHO - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - C:\Program Files (x86)\amd\SteadyVideo\SteadyVideo.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE.dll #####DAS IST OKEY SO!
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Steam] "E:\Programme\Steam\steam.exe" -silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Upgrade] C:\Users\Tarzan\AppData\Roaming\ICQ\{3BF321AC-ECD9-400F-B469-EFB2ECB14A89}\Upgrade.exe #####DAS IST DER KAK VIRUS >.<!!!
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')   #####DAS WILL ICH NED WIE MACH ICH WEG?!
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')   #####EBENFALLS WEG!
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: No-IP DUC.lnk = C:\Program Files (x86)\No-IP\DUC30.exe
O4 - Startup: SystemExplorerDisabled
O4 - Global Startup: AML Device Install.lnk = C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe
O4 - Global Startup: SystemExplorerDisabled
O17 - HKLM\System\CCS\Services\Tcpip\..\{65B34A4F-C24A-4A88-A5E6-E9E58398A5FC}: NameServer = 10.36.96.1           #####BITTE IGNORIEREN FALLS MICH DAS HACKBAR MACHT!!!
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter: video/mp4 - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\amd\SteadyVideo\VideoMIMEFilter.dll
O18 - Filter: video/x-flv - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\amd\SteadyVideo\VideoMIMEFilter.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Futuremark SystemInfo Service - Futuremark Corporation - C:\Program Files (x86)\Futuremark\Futuremark SystemInfo\FMSISvc.exe
O23 - Service: Hotspot Shield Service (hshld) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe   #####DAS IST OKEY SO!
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files (x86)\WinPcap\rpcapd.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) #####FILE MISSING o0???
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) #####DAS SOLL AUCH WEG WENN ES ÜBERHAUPT DA IST!!!

--
End of file - 7340 bytes
         

Noch paar kleine Infos!

OS Name Microsoft Windows 7 Ultimate
OS Kerneltyp Multiprocessor Free (64-bit)
OS Version 6.1.7601
OS Service Pack Service Pack 1

Ich fände es n1 wenn sich das jemand anguckt und mir hilft rauszufinden was genau hinter dem UpdateChecker.exe steckt!

Legende: n1 = nice

PS: ist die Logfile okey so? ich meine da sind verdammt viel weniger prozesse als im taskmanager! ich habs als admin gestartet!

Ehmm ich hab gerade rausgefunden, dass ihr keine Logs von HijackThis mögt weil sie zu wenig Informationen zeigen! Leider kenne ich kein anderes Tool womit ich solche oder ähnliche Logs erstellen kann und im Board hab ich auch noch nichts dazu gefunden.

Zum Problem: Selbst wenn ich Windows 7 im abgesicherten Modus boote ist der Virus aktiv :/.
Hoffe es wird dennoch möglich ihn zu entfernen ohne Neuinstallation o.ä.

Zitat:

Logs? Meinst du von Hijack This?

Nein. Guck mal was in meiner Signatur steht

Zitat:

Die Sache mit Linux ist die, ständig wenn ich jemanden etwas über Windows frage wird mir empfohlen Linux zu installieren dabei hab ich das ja bereits installiert nur verwenden tue ich es selten für spezielle Fälle. Wollte also nur drauf hinweisen das ich das bereits kenne und nicht umsteigen möchte!

Sowas ist ja nun auch Blödsinn, man kann natürlich nicht einfach pauschal Linux empfehlen, es gibt halt bestimmte Nutzungsprofile wo man mit Linux einfach nicht weiterkommt. Ich bin zwar auch ein Linux-Fan aber ich drücke es nicht jedem Windows-User bei jeder Gelegenheit aufs Auge.
Nur wenn ständig vom User auf Windows geschimpft wird, er es neu installieren muss/will sich aber vorher ein Windows kaufen müsste (was er natürlich nicht will), dann fällt auch mal ein Satz zum alternativen Betriebssystem wie zB Ubuntu, LinuxMint oder OpenSuse


Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Setze einen Haken bei "Scan archives".
• Gehe sicher, dass bei Remove Found Threads kein Haken gesetzt ist.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

 hier steht das Log
         

Malewarebytes

Code: Alles auswählenAufklappen

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.23.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Tarzan :: TARZAN-PC [Administrator]

Schutz: Aktiviert

23.04.2012 18:01:14
mbam-log-2012-04-23 (18-01-14).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 307475
Laufzeit: 9 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

ESET

Code: Alles auswählenAufklappen

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=639744f50d5a9744b19f87d2cffc9682
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-23 04:37:09
# local_time=2012-04-23 06:37:09 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 3789 86823096 0 0
# compatibility_mode=8192 67108863 100 0 161 161 0 0
# scanned=161647
# found=9
# cleaned=0
# scan_time=5783
C:\Users\Tarzan\AppData\Local\Temp\jar_cache3697651584228352064.tmp	Java/Exploit.CVE-2012-0507.R trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\Local\Temp\~!#D1F0.tmp	a variant of Win32/Kryptik.ADRP trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\Local\Temp\~!#E062.tmp	Win32/PSW.Delf.OBN trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\Local\Temp\~!#F1F0.tmp	a variant of Win32/Kryptik.ADRP trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\Local\Temp\~!#FFC6.tmp	a variant of Win32/Kryptik.ADOT trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\38f7fccf-6d0ab490	Java/Exploit.Agent.NAT trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\2d6580d1-2a48713e	Java/TrojanDownloader.Agent.AD trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\54f3d472-4bbbb37b	Java/Exploit.Agent.NBC trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\441ff13c-62901014	Java/Exploit.Agent.NAW trojan (unable to clean)	00000000000000000000000000000000	I
         

Code: Alles auswählenAufklappen

C:\Users\Tarzan\AppData\Local\Temp\jar_cache3697651584228352064.tmp	Java/Exploit.CVE-2012-0507.R trojan
C:\Users\Tarzan\AppData\Local\Temp\~!#D1F0.tmp	a variant of Win32/Kryptik.ADRP trojan
C:\Users\Tarzan\AppData\Local\Temp\~!#E062.tmp	Win32/PSW.Delf.OBN trojan
C:\Users\Tarzan\AppData\Local\Temp\~!#F1F0.tmp	a variant of Win32/Kryptik.ADRP trojan
C:\Users\Tarzan\AppData\Local\Temp\~!#FFC6.tmp	a variant of Win32/Kryptik.ADOT trojan
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\38f7fccf-6d0ab490	Java/Exploit.Agent.NAT trojan
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\2d6580d1-2a48713e	Java/TrojanDownloader.Agent.AD trojan
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\54f3d472-4bbbb37b	Java/Exploit.Agent.NBC trojan
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\441ff13c-62901014	Java/Exploit.Agent.NAW trojan
         

hätte ich Firefox auch als Admin starten müssen?

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Nein Malewarebytes lief das erste mal seit der Windowsinstallation.
Ich hatte mal versucht mich selbst mit einem Java Exploit auf Firefox anzugreifen die ESET funde könnten daher stammen aber der UpdateChecker/Pandavirus wurde nicht gefunden :-(.

Wenn zum Beispiel die Datei explorer.exe manipuliert wurde besteht dann noch die Möglichkeit sie zu überschreiben oder reparieren oder hilft mir in diesem Fall nur noch eine Neuinstallation?

Man hat verschiedene Möglichkeiten eine manipulierte Systemdatei durch eine saubere/originale wieder zu ersetzen, aber da will ich jetzt nicht so tief drauf eingehen weil wir für sowas bei dir keine Hinweise haben

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Zitat:

1.) Geht der normale Modus uneingeschränkt?

Ich hab bis auf die Datei und den Verweis in der Registry nichts von dem Virus gemerkt.

Zitat:

2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Leerer Ordner unter 'Alle Programme' ist nur einer 'EditPlus 2' was ich mal installiert und wieder deinstalliert hab. Ansonsten kann ich keine veränderungen im Startmenü feststellen bis auf die von mir durchgeführten.

EDIT: muss mich wegen vorhin berichtigen. Ich habe UpdateChecker geschrieben die Datei heißt UpgradeChecker.exe.
Ich hab mal ein Bild vom Icon drangehängt.



Hab paar neue Infos.
Die Datei wurde laut CCleaner bei mir bisher folgendermaßen erstellt.

Code: Alles auswählenAufklappen

Ja	HKCU:Run	Upgrade	C:\Users\Tarzan\AppData\Roaming\Opera\{B0EF1955-EB4F-4B8F-B4E2-38917B8958BC}\Upgrade.exe
Nein	HKCU:Run	Upgrade	C:\Users\Tarzan\AppData\Roaming\Dropbox\{25528A03-9CC8-4A32-9C5B-46173D9C6C6C}\Upgrade.exe
Nein	HKCU:Run	UpgradeChecker	C:\Users\Tarzan\AppData\Roaming\Google Inc.\{C7B065AD-8325-4420-A088-7BC0CF67095A}\UpgradeChecker.exe
Nein	HKCU:Run	UpgradeHelper	C:\Users\Tarzan\AppData\Roaming\TeamViewer\{469DFBE8-AF33-4660-ACA0-C6DC73E6F8D7}\UpgradeHelper.exe
Nein	HKCU:Run	Validator	C:\Users\Tarzan\AppData\Roaming\TeamViewer\{1316FABA-4722-4FAB-B0E3-F4D5119A2362}\Validator.exe
         

Das Ja/Nein steht dafür ob es beim Systemstart starten soll oder nicht.
Wobei das warscheinlich nur eine Ablenkung ist denn der Virus startet ja auch im abgesicherten Modus! O.O

#######################################

Ich habe ein Interresantes Tool durch Google gefunden es heißt Process Monitor.

Damit konnte ich herausfinden welcher Prozess genau diese Datei erstellt O.O als erstes war es Steam.exe(ein standard Programm was ich täglich benutze) als ich dann Steam.exe beendet hab, den Autostart Eintrag erneut gelöscht hab wurde die Datei von DUC30.exe erstellt was auch ein von mir bekanntes und benutztes Programm ist o.o.

Irgendwo muss sich der Virus doch eingenistet haben, von wo aus er den Registryschlüssel kontrollieren kann.

Kennt jemand vielleicht eine effektive Möglichkeit herauszufinden von wo aus die Prozesse manipuliert oder vielleicht auch vorgetäuscht werden?

Ich bin für jede Hilfe dankbar.

Die UpgradeChecker hatte ich ich hier schonmal.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

 hier steht das Log
         

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread