Hilfe: Trojaner TR/Dropper.Gen

macmib · 24.09.2008, 19:05

Hallo,
zunächst einmal vorweg: Ich bin nicht gerade fit in Sachen Computer. Das ist auch mein erstes Mal, dass ich über ein Forum um Hilfe bitte; ich hoffe, ich mache alles korrekt.
Also, zu meinem Problem: Ich habe mir den Trojaner TR/Dropper.Gen eingefangen. Seit gestern meldet mir Antivir immer wieder, wenn ich meinen Internet-Browser (neueste Version Mozilla Firefox) öffne, dass er TR/Dropper.Gen gefunden hat. Ich versuche ihn dann in die Quarantäne zu stellen oder zu löschen, was aber leider nichts bringt. Meldung erscheint immer wieder. Dazu öffnet sich dann immer ein Browser-Fenster, meist mit einer "Sex-Seite" mit der Aufforderung, sich da anzumelden; oder auch Werbung für Spyware-Programme.
Ich habe auch schon in anderen Beiträgen oder anderen Foren versucht, mein Problem zu lösen, konnte aber keinen für mich wirklich hilfreichen Tipp finden.
Ich habe auch schon, wie in einem Beitrag empfohlen, die Systemwiederherstellung deaktiviert und den Rechner neu gestartet und daraufhin die SWH wieder aktiviert. Brachte leider auch nicht den gewünschten Effekt.
Mein Betriebssystem: Windows XP SP2
Wäre super, wenn mit jemand sagen könnte, wie ich den sch... Trojaner wieder aus meinem System bringe.
Vielen Dank schon mal.

Im folgenden das Protokoll von HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:52, on 24.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mim.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\uuttzbhg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\update\update.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - C:\Programme\FolderBox\FolderBox.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [tvjbmonitor] C:\Programme\MMEDIA\TV Jukebox 3.0\tvjbMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB002" /M "Stylus D88"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [uuttzbhg] "c:\dokumente und einstellungen\mike\lokale einstellungen\anwendungsdaten\uuttzbhg.exe" uuttzbhg
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VPN Client.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C05CA41-7A48-4248-B2BA-E327605DCE42}: NameServer = 212.18.3.5 212.18.0.5
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10245 bytes

MeisterMoatl · 24.09.2008, 19:17

Same same (wie der Thai sagen würde)

Also, den Text hätte ich schreiben können, ich hab nämlich das selbe Problem.
Ich wäre also ebenso über eine Antwort erfreut wie "macmib".
Vielen Dank und ach dir (macmib) viel Glück.

P.S.: Wenn du vor mir was rauskriegst bitte hier bescheidgeben

MeisterMoatl · 24.09.2008, 19:21

...erster post hat ja doch geklappt..

xonic · 24.09.2008, 19:23

Hallo,

folgende Datein sind auf deinem System schädlich:
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\uuttzbhg.exe
c:\dokumente und einstellungen\mike\lokale einstellungen\anwendungsdaten\uuttzbhg.exe

Bitte mit den Datein folgendes machen:

Tests durchführen
1. Anubis
Lade die Datein einzelnt bei Anubis hoch und poste hier die Links zum aufrufen der Ergebnisse.

2. Virustotal
Lade die Datein bei Virustotal hoch und schreibe bei keinem Fund trotzdem zu dem Dateinamen den MD5 Hasg. Wenn etwas gefunden wurde, füge das ganze Log ein oder poste den Link zu der Ergebnisseite.

Desweiteren dürfte euch beiden folgende Infoseiten helfen:
http://www.avira.com/de/threats/sect...647/index.html
http://www.trojaner-board.de/57791-t...deckt-tun.html
http://www.trojaner-board.de/44870-b...ngefangen.html

Tipp wenn ihr diesen Beitrag lest solltet ihr schon weiter kommen.
Also der kann sich auch in die Systemwiederherstellung setzen und sich somit immer wieder neu herstellen:
Deaktivieren geht so>>

macmib · 25.09.2008, 08:49

Hallo Xonic,
vielen Dank erstmal für die schnelle Antwort.
Anubis hat nichts an der C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\uuttzbhg.exe auszusetzen.
VirusTotal hat untenstehendes gemeldet; kann leider nichts damit anfangen.
Nun versuche ich mal deine Tipps mit Malwarebytes und Navilog1. Mal sehen, was dabei rauskommt.
Werde mich heute Abend mal damit auseinandersetzen und mich wieder melden, hoffentlich wenn der drecks Trojaner sich auf Nimmerwiedersehen verabschiedet hat.

Und hier das Protokoll vom Virus-Total-Scan (einfach mal drangehängt):

Datei uuttzbhg.exe empfangen 2008.09.25 09:15:07 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/36 (2.78%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 51 und 73 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.25.0 2008.09.25 -
AntiVir 7.8.1.34 2008.09.25 -
Authentium 5.1.0.4 2008.09.24 -
Avast 4.8.1195.0 2008.09.24 -
AVG 8.0.0.161 2008.09.24 -
BitDefender 7.2 2008.09.25 -
CAT-QuickHeal 9.50 2008.09.25 -
ClamAV 0.93.1 2008.09.25 -
DrWeb 4.44.0.09170 2008.09.25 -
eSafe 7.0.17.0 2008.09.24 -
eTrust-Vet 31.6.6105 2008.09.24 -
Ewido 4.0 2008.09.24 -
F-Prot 4.4.4.56 2008.09.25 -
F-Secure 8.0.14332.0 2008.09.25 -
Fortinet 3.113.0.0 2008.09.25 -
GData 19 2008.09.25 -
Ikarus T3.1.1.34.0 2008.09.25 -
K7AntiVirus 7.10.470 2008.09.24 -
Kaspersky 7.0.0.125 2008.09.25 -
McAfee 5391 2008.09.24 -
Microsoft 1.3903 2008.09.25 -
NOD32 3469 2008.09.24 -
Norman 5.80.02 2008.09.24 -
Panda 9.0.0.4 2008.09.24 -
PCTools 4.4.2.0 2008.09.24 -
Prevx1 V2 2008.09.25 Suspicious
Rising 20.63.31.00 2008.09.25 -
Sophos 4.33.0 2008.09.25 -
Sunbelt 3.1.1668.1 2008.09.24 -
Symantec 10 2008.09.25 -
TheHacker 6.3.0.9.093 2008.09.25 -
TrendMicro 8.700.0.1004 2008.09.25 -
VBA32 3.12.8.6 2008.09.25 -
ViRobot 2008.9.25.1391 2008.09.25 -
VirusBuster 4.5.11.0 2008.09.24 -
Webwasher-Gateway 6.6.2 2008.09.25 -
weitere Informationen
File size: 262144 bytes
MD5...: 17fecee53830326609212d548ed18b75
SHA1..: 8251017e3aa91da9f6a0a81f94f7b8b534807cff
SHA256: 2a178197013388258d44f99aca042453eeda3e19a7d0366c4d344245efee8837
SHA512: fd752704d8e4884c67cdc6959c043c8568e72d177d72572ce7af2658c9b51346
f1932a4034fe29737a4b8a292010b466fe742ec31cb126ea8a02a6a749116713
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43b879
timedatestamp.....: 0x45d9e0f1 (Mon Feb 19 17:40:01 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3aa0c 0x3b000 7.42 0d85d07cb4d24ec67922550f91fd0a30
.rdata 0x3c000 0x177a 0x2000 4.59 67008dfd5bc5879f3fcc7e4c49b309bd
.data 0x3e000 0x195c 0x2000 3.46 59dd48dd80328589ea0870cf10157395

( 11 imports )
> KERNEL32.dll: GetLogicalDriveStringsA, SetProcessAffinityMask, ExpandEnvironmentStringsW, VirtualQueryEx, DebugBreak, GetSystemDefaultLangID, SetConsoleOutputCP, FreeLibrary, GetProcessTimes, CopyFileExW, WaitNamedPipeA, CancelIo, _lopen, GetWindowsDirectoryA, PrepareTape, lstrcmpiW, ClearCommBreak, FreeResource, WritePrivateProfileStringW, TryEnterCriticalSection, GetTimeZoneInformation, GetComputerNameW, IsBadReadPtr, GetHandleInformation, SetConsoleActiveScreenBuffer, FindFirstFileA, CreateProcessA, CreateIoCompletionPort, CompareStringW, EnumTimeFormatsW, SetCommTimeouts, VirtualUnlock, FindResourceExW, GetDateFormatA, GetConsoleMode, SystemTimeToFileTime, GetLocaleInfoW, ExitThread, CreateWaitableTimerA, SetStdHandle, GlobalGetAtomNameW, AreFileApisANSI, GetPrivateProfileSectionW, VirtualLock, ReadFileScatter, SetProcessWorkingSetSize, CloseHandle, SetSystemTime, GetOEMCP, GetOverlappedResult, FatalAppExitA, GetFullPathNameA, GetACP, GetProcessHeap, GetFileAttributesA, VirtualProtect, GetVersionExA, EnumSystemCodePagesA, FreeLibraryAndExitThread, ReadFile, GlobalReAlloc, SetVolumeLabelA, LocalFileTimeToFileTime, lstrcmpiA, GetTempFileNameA, LCMapStringA, CreatePipe, InitializeCriticalSection, SetLastError, OutputDebugStringA, GetTapeStatus, LeaveCriticalSection, RemoveDirectoryW, GetModuleHandleA, SetHandleCount, SetThreadPriorityBoost, GetShortPathNameW, SetupComm, DuplicateHandle, GetAtomNameA, GetTickCount, PulseEvent, SetFileAttributesA, WritePrivateProfileSectionW, GetUserDefaultLCID, GetCommConfig, EnumResourceNamesW, SetEnvironmentVariableA, SetEnvironmentVariableW, GetStartupInfoA, GetFileAttributesExA, WriteConsoleOutputW, lstrlenA, _hread, VirtualAlloc
> USER32.dll: GetUpdateRect, SetPropW, SetCursor, OpenWindowStationA, ArrangeIconicWindows, DialogBoxIndirectParamA, InternalGetWindowText, OemToCharA, GetGuiResources, MenuItemFromPoint, InsertMenuA, UnhookWinEvent, UnregisterClassW, AdjustWindowRect, wsprintfA, ToUnicodeEx, SetForegroundWindow, MapVirtualKeyExW, SendNotifyMessageA, BringWindowToTop, GetTopWindow, IsDialogMessageW, SetLastErrorEx, MonitorFromWindow, WaitForInputIdle, GetWindowTextLengthA, CreateIcon, GetWindowLongW, DrawTextExA, MapWindowPoints, IsCharAlphaNumericW, GetProcessDefaultLayout, EnumDisplaySettingsW, MapVirtualKeyA, IsClipboardFormatAvailable, EnumWindowStationsA, LoadCursorW, UnionRect, ShowCaret, EnableMenuItem, LoadIconW, CreateDialogParamW
> GDI32.dll: GetOutlineTextMetricsA, GetRgnBox, CreateMetaFileA, CombineRgn, SetROP2, ScaleViewportExtEx, PlayEnhMetaFile, Polygon, EnumFontsA, GetBrushOrgEx, StrokeAndFillPath, RealizePalette, UpdateColors, GetEnhMetaFileDescriptionA, CreateDCA, AddFontResourceW, IntersectClipRect, SelectObject, EnumObjects, GetNearestPaletteIndex, SelectClipPath
> comdlg32.dll: ReplaceTextW, GetOpenFileNameW, FindTextA
> ADVAPI32.dll: SetServiceStatus, SetKernelObjectSecurity, EqualSid, OpenThreadToken, SetNamedSecurityInfoA, RegSetValueExA, CryptDeriveKey, CryptGetHashParam, BuildTrusteeWithNameW, GetSecurityDescriptorSacl, GetServiceDisplayNameW, CryptVerifySignatureA
> SHELL32.dll: Shell_NotifyIconA, FindExecutableW, SHBrowseForFolderA, FindExecutableA, SHGetPathFromIDListA
> ole32.dll: CoReleaseMarshalData, CoMarshalInterface, CoCreateInstanceEx, ReadFmtUserTypeStg, OleIsRunning, CoUninitialize, CoFreeAllLibraries
> OLEAUT32.dll: -, -, -
> COMCTL32.dll: -
> SHLWAPI.dll: StrTrimW, SHRegGetUSValueW, PathFindNextComponentW, PathIsUNCA, AssocQueryStringW, StrCatBuffW, SHRegQueryUSValueW
> MSVCRT.dll: _acmdln, exit, _XcptFilter, _exit, _controlfp, _except_handler3, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=B2DC72B500F6EBDD00A9047B0D3C930026CB7D6E

macmib · 25.09.2008, 09:17

P.S.: Wenn du vor mir was rauskriegst bitte hier bescheidgeben[/QUOTE]

Hallo MeisterMoatl,
bislang kann ich leider noch keine Erfolgsmeldung liefern. Falls du das Ei des Kolumbus gefunden hast, kannst mich ja informieren. Ich glaube, das wird ein langer Abend am PC heute für mich.

macmib · 25.09.2008, 20:09

Hallo Xonic,
habe jetzt mit Malewarebytes und anschließend mit Navilog wie beschrieben die Festplatte gescannt (Logs dazu stehen unten).
Danach die Systemwiederherstellung deaktiviert und Rechner neu gestartet. Nochmal mit beiden Programmen gescannt. Mal sehen was passiert.

Hier der Malware-Log:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1204
Windows 5.1.2600 Service Pack 3

25.09.2008 20:44:50
mbam-log-2008-09-25 (20-44-45).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|L:\|)
Durchsuchte Objekte: 200350
Laufzeit: 1 hour(s), 36 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Media Access (Adware.MediaAccess) -> No action taken.
HKEY_CLASSES_ROOT\AppID\LoaderX.EXE (Adware.Winad) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und hier der Navi-Log:
Search Navipromo version 3.6.5 began on 25.09.2008 at 20:51:15,32

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : ***

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***

Favorit

*** Search folders in "C:\WINDOWS" ***

*** Search folders in "C:\Programme" ***

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Admin\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Besitzer\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Kinder\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Admin\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Kinder\lokale~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\Admin\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\Kinder\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\Admin\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\Kinder\lokale~1\anwend~1" *

*** Search files ***

*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\WINDOWS\system32" :

* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" :

uuttzbhg.dat found !
uuttzbhg.exe found !
uuttzbhg_nav.dat found !
uuttzbhg_navps.dat found !

* In "C:\DOKUME~1\Admin\lokale~1\anwend~1" :

* In "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" :

* In "C:\DOKUME~1\Kinder\lokale~1\anwend~1" :

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :

*** Search completed on 25.09.2008 at 20:58:50,64 ***

macmib · 25.09.2008, 22:31

Hallo,
so untenstehend die Logs, die ich nach der SWH aufgezeichnet habe, nachdem ich mit Navilog bereinigt, anschließend mit Maleware gescannt und nochmals mit Navilog gescannt habe.
Hoffentlich habe ich das Problem dank deiner/eurer Hilfe nach stundenlangem posten, scannen und removen beheben können. Falls nicht, versuch ichs nochmal hier. Ansonsten vielen Dank.

Die (hoffentlich) abschließenden Logs:

MALWAREBYTES:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1204
Windows 5.1.2600 Service Pack 3

25.09.2008 23:05:44
mbam-log-2008-09-25 (23-05-44).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 158451
Laufzeit: 1 hour(s), 0 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Media Access (Adware.MediaAccess) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\LoaderX.EXE (Adware.Winad) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
NAVILOG:
Search Navipromo version 3.6.5 began on 25.09.2008 at 23:07:38,21

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "***"

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***

*** Search folders in "C:\WINDOWS" ***

*** Search folders in "C:\Programme" ***

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\***\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Admin\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Besitzer\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Kinder\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Admin\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Kinder\lokale~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\***\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\Admin\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\Kinder\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\Admin\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\Kinder\lokale~1\anwend~1" *

*** Search files ***

*** Search specific Registry keys ***

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\WINDOWS\system32" :

* In "C:\Dokumente und Einstellungen\***\lokale~1\anwend~1" :

* In "C:\DOKUME~1\Admin\lokale~1\anwend~1" :

* In "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" :

* In "C:\DOKUME~1\Kinder\lokale~1\anwend~1" :

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :

*** Search completed on 25.09.2008 at 23:13:32,54 ***

macmib · 26.09.2008, 08:44

Also, die Maßnahmen scheinen gegriffen zu haben. Trojaner offenbar entfernt. Bislang funzt alles wie geschmiert.
Ein herzliches Dankeschön.

Hilfe: Trojaner TR/Dropper.Gen

Log-Analyse und Auswertung: Hilfe: Trojaner TR/Dropper.Gen