#Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:54:19, on 24.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Programme\NewSoft\Presto! PVR\Monitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**tp://home.1und1.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**tp://go.1und1.de/links/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**tp://home.1und1.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**tp://home.1und1.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**tp://go.1und1.de/suchbox/1und1suche?su=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**tp://w*w.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von 1&1 Internet AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IEPlugin Class - {11222041-111B-46E3-BD29-EFB2449479B1} - C:\PROGRA~1\ArcSoft\MEDIAC~1.5FO\STREAM~1\ARCURL~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {aa58ed58-01dd-4d91-8333-cf10577473f7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {c84d72fe-e17d-4195-bb24-76c02e2e7c4e} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: 1&&1 Internet AG Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [Presto! PVR Monitor] C:\Programme\NewSoft\Presto! PVR\Monitor.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - h**tp://w*w.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**tp://w*w.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**tp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099254598359
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**tp://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10459 bytes

-----------------------------------------------------------------------
Hier alle Programme:

Adobe Acrobat - Reader 6.0.2 Update
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Reader 6.0.1 - Deutsch
Agere Systems AC'97 Modem
AOL Meine Fotos Bildschirmschoner
ArcSoft Panorama Maker 3.0
a-squared Free 3.5
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
AVM FRITZ!DSL
AVM FRITZ!WLAN
CA eTrust Antivirus
CCleaner (remove only)
ConvertHelper 2.2
Creative MediaSource
Creative MuVo N200 Media Explorer
Designer 2.0
DivX Player
DivX Pro
DivX Web Player
eTrust Antivirus Registration
Fotoservice
FotoStation Easy
FRITZ!Box
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Haufe iDesk-Browser
Haufe iDesk-Service
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
HP Image Zone 3.5
HP PSC & OfficeJet 3.5
HP PSC & OfficeJet 3.5
HP Software Update
InfoRapid KnowledgeMap
Informationen über Ihren PC
Java 2 Runtime Environment, SE v1.4.2_05
Java(TM) 6 Update 11
Java(TM) 6 Update 2
Learn2 Player (Uninstall Only)
Lexware buchhalter 2007
Lexware Info Service
Lexware reisekosten 2007
Macromedia Shockwave Player
Malwarebytes' Anti-Malware
MediaConverter 2.5 for Philips
MediaShow 3.0
Memories Disc Creator 2.0
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft AutoRoute 2005
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Encarta Enzyklopädie 2005
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Small Business Edition 2003
Microsoft Picture It! Foto Premium 10
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Windows-Journal-Viewer
Microsoft Word 2002
Microsoft Works
Microsoft Works Suite-Add-Ins für Microsoft Word
Mozilla Firefox (3.0.10)
MSN Messenger 6.2
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Musicmatch® Jukebox
MUSICMATCH® Jukebox
MuVo Driver
Nero Suite
overland
PC-DTV Receiver
Photo Loader 2.3G
Photohands 1.0G
PhotoNow! 1.0
PowerCinema 3.0
PowerDirector
PowerDVD
PowerProducer
Presto! PVR
QuickTime
RealPlayer
Realtek AC'97 Audio
REALTEK Gigabit and Fast Ethernet NIC Driver
SA52xx Device Manager
Setup-Start von Microsoft Works 2005
Shockwave
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Skype 1.0
Skype™ 3.6
Synaptics Pointing Device Driver
TAXMAN 2008
TAXMAN Bibliothek 2008
TEAM MANAGER 4.0 for Swimming
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VC80CRTRedist - 8.0.50727.762
VeohTV BETA
videon
Viewpoint Media Player
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
Windows-Sicherungsprogramm
X10 Hardware(TM)
XMedia Recode 2.1.1.1

Was muss ich jetzt tun?

Über Eure Hilfe wäre ich echt wahnsinnig dankbar!!!

Hallo,
ich bin neu hier und hoffe, Ihr könnt mir helfen, denn ich selbst habe nicht so viel Ahnung von Trojanern etc.

Ich habe von meinem Internetanbieter folgende Nachricht bekommen:
"...wir haben Hinweise erhalten, dass über Ihren Internetzugang Spam
verbreitet wird. Anhand dieser Hinweise konnten wir feststellen, dass Ihr Computer sehr wahrscheinlich mit einem Virus infiziert ist. Dadurch ist er Teil eines sogenannten Botnetzes und kann von Hackern weltweit missbraucht werden."

Daraufhin habe ich eTrustAntivirus benutzt, der auch was gefunden und gelöscht hat. Dann auch noch a-Squared free und der hat dies gefunden:

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4TC9SVIJ\load[1].exe Quarantäne Trojan-Downloader.Win32.Injecter.crq!A2
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6TZEO3JN\load[1].exe Quarantäne Trojan-Downloader.Win32.Injecter.crq!A2
C:\WINDOWS\system32\digiwet.dll Quarantäne Trojan-Downloader.Win32.Injecter.crq!A2

Ich habe die ganzen Anleitungen abgearbeitet und das sind die Ergebnisse (das mit den Code Tags habe ich leider nicht verstanden):

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2174
Windows 5.1.2600 Service Pack 3

24.05.2009 13:14:11
mbam-log-2009-05-24 (13-14-11).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 82053
Laufzeit: 6 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 91
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVCONSOL.EXE (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP32.EXE (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.EXE (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVNT.EXE (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navw32.EXE (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVWNT.EXE (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCAN32.EXE (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ZONEALARM.EXE (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\filemon.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\outpost.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regmon.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zapro.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPF.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OllyDBG.EXE (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regtool.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\niu.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2SERVICE.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVGNT.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVGUARD.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVSCAN.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CASECURITYCENTER.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EKRN.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FAMEH32.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPAVSERVER.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPWIN.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FSAV32.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FSGK32ST.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FSMA32.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwadins.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwebupw.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GFRing3.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ArcaCheck.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\arcavir.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashDisp.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashEnhcd.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashServ.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashUpd.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aswUpdSv.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avadmin.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcls.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconfig.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz4.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz_se.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdinit.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\caav.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\caavguiscan.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccupdate.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cfp.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cfpupdat.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmdagent.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DRWEB32.EXE (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fpscan.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\guardgui.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\guardxservice.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\guardxup.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSTUB.EXE (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nvcc.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\preupd.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pskdr.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SfFnUp.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Vba32arkit.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vba32ldr.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Zanda.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Zlh.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zoneband.dll (Security.Hijack) -> Delete on reboot.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\services\del (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\crypts.dll (Trojan.Agent) -> Delete on reboot.

....

Hi,

ja leider gehen Beiträge mit Antworten schnell unter, weil man denkt, dass dem/derjenigen bereits geholfen wird.

So fangen wir mal an, zuerst würd ich dich bitten jede Menge Software zu deinstallieren:
(Einfach über Start->Systemsteuerung->software entfernen)

diese Software ist veraltet und enthält Sicherheitslücken, die von Malware aktiv ausgenutzt wird:
Adobe Acrobat - Reader 6.0.2 Update
Adobe Reader 6.0.1 - Deutsch
Java 2 Runtime Environment, SE v1.4.2_05
Java(TM) 6 Update 11
Java(TM) 6 Update 2
Skype 1.0

Die aktuelle Version von Skype ist bei dir bereits installiert. Den aktuellen Adobereader findest du hier: Link, das aktuelle Java hier: Link

Folgende Software wird häufig ohne dein Wissen installiert, wenn du sie nicht nutzt einfach deinstallieren.
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Viewpoint Media Player

Generell kannst du die Liste einfach mal durchgehen und schauen was du davon nicht mehr benutzt.
(Wenn dir programme unbekannt sind, dann kannst du bei google oder hier fragen ob du damit was machen sollst )

Um einen besseren Überblick über deinen Rechner zu kriegen hätte ich gerne noch Logfiles von folgenden Programmen:

Gmer:
Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
• (Wichtig: "Show all" darf nicht angehakt sein)

• Starte den Durchlauf mit "Scan".

• Mache nichts am Computer während der Scan läuft.

• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

RSIT:

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
• In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
• Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

lg myrtille

Super, dass Du mir helfen möchtest!!!!!

Da die LogFiles insgesamt fast 150000 Zeichen hatten, haben ich sie so hochgeladen:

http://www.file-upload.net/download-1668307/gmer-logfile-2.log.html
http://www.file-upload.net/download-1668311/info.txt.html
http://www.file-upload.net/download-1668314/log.txt.html

Ich hoffe, ich habe alles richtig gemacht.

Wouhou, du hast da ja noch ne schicke Sammlung aufm Rechner!

Nimm bitte den Rechner vom Internet und geh so wenig wie irgend möglich.
Außerdem solltest du davon ausgehen, dass all deine Daten von dem PC ausspioniert wurden und auch noch ausgelesen werden.
Ändere daher am besten so schnell wie möglich von einem sauberen PC aus deine Passwörter und gib diese auf dem verseuchten PC nicht wieder ein.

Der Rechner ist schwer verseucht, das sicherste wäre ein Neuaufsetzen um den Rechner wieder sauber zu kriegen.
Wir können versuchen das alles zu bereinigen, aber du solltest dir darüber im klaren sein, das ein gewisses Risiko besteht, das etwas übersehen wird und du weiterhin verseucht bist.

Wenn du bereinigen willst, mache bitte mit Combofix weiter:
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

lg myrtille

So´n Mist! Das habe ich befürchtet. Ich denke, wir werden auf Nummer Sicher gehen und Neuaufsetzen. Werde das aber vorher mal mit meinem Mann besprechen. Ich danke Dir auf jeden Fall schon Mal für Deine Einschätzung!!!!

Ich hätte da noch ein paar Fragen:

1. Wenn wir vorher unsere Daten auf unsere Festplatte kopieren, kann es dann sein, dass wir Viren o. ä. mitkopieren?

2. Kann man schon durch Ansehen von YouTube Video o. ä. sich was einfangen?

3. Gibt es eine Möglichkeit, vor dem Downloaden oder Öffnen eines Mailanhangs zu prüfen, ob die Datei sauber ist?

Könntest Du mir diese Fragen beantworten oder gibt es eine empfehlenswerte Seite, wo man sowas nachlesen kann und als Laie auch versteht?

Außerdem würde ich am liebsten allen Bekannten raten, ihre PC´s mal durch Euch checken zu lassen oder gibt es eine andere Möglichkeit, wie man prüfen kann, ob der PC sauber ist? Auf die Antivirenprogramme kann man sich ja überhaupt nicht verlassen.

Ich bin auf jeden Fall froh, dass ich auf Eure Seite gestossen bin und Ihr mir helft!

Hi,

Zitat:

1. Wenn wir vorher unsere Daten auf unsere Festplatte kopieren, kann es dann sein, dass wir Viren o. ä. mitkopieren?

Normalerweise kannst du ohne Bedenken Daten sichern.
Es sind vor allem 2 Sachen zu beachten:
1) Unter keinen Umständen ausführbare Dateien sichern. Am besten alles was die Endungen exe,com,scr, pif,cmd (und wenn du wirklcih ganz sicher gehen willst auch rar, zip, html und php)auf deinem Rechner lassen. Keinerlei Setups oder Installationsdateien vom infizierten Rechner auf den neuen mitnehmen.
2) Wenn es sich um ein externes Medium handelt, beim Anschließen der Platte unbedingt die Shift-Taste gedrückt halten. Dann den Arbeitsplatz öffnen und einen Rechtsklick auf die entsprechende Platte machen und diese von deinem Antivirenprogramm kontrollieren lassen, bevor du sie das erste Mal öffnest.
Wenn der Rechner neuaufgesetzt ist, dann solltest du dir von einem sauberen Rechner das SP3, die installationsdatei deines AVP und am besten den aktuellen Firefox ziehen und diese auf jedenfall installieren BEVOR du das erste Mal mit dem Rechner online gehst, sonst war die ganze Mühe umsonst.

Zitat:

2. Kann man schon durch Ansehen von YouTube Video o. ä. sich was einfangen?

Hier ein klares Jein.
Alle Videos, die behaupten, dass du ein Update für den Flashplayer installieren musst oder dich auffordern nen Codec zu installieren dürften böse sein.
Youtube sollte sicher sein, aber vollkommene Sicherheit gibt es nicht.
Generell gilt: Software immer aktuell halten! Keine Software aus unbekannten Quellen installieren.

Wenn dir also jemand sagt du hättest nicht den aktuellsten Player von adobe, dann kontrollier ob deine Version aktuell ist und wenn nciht, dann lad dir die neue Version vom Hersteller und nicht von der Seite, die dir ne unbekannte exe-Datei andrehen wollte.

Zitat:

3. Gibt es eine Möglichkeit, vor dem Downloaden oder Öffnen eines Mailanhangs zu prüfen, ob die Datei sauber ist?

Wie meinst du das? Womit lädst du eine Datei herunter?

Es gibt verschiedene Möglcihkeiten: Entweder lädst du die Datei bei virustotal.com hoch und schaust was die Scanner in der Datei sehen, oder du machst einen Rechtsklick auf die Datei und lässt es durch deinen Antivirenscanner kontrollieren oder du legst dir ein (wahrscheinlcih kostenpflichtiges) Antivirenprogramm, dass eingehende Emails kontrolliert.
Generell gilt auch hier: Die meisten Probleme kannst du vermeiden, indem du nur Anhänge öffnest von Leuten die du kennst UND die du erwartest.

Zitat:

Außerdem würde ich am liebsten allen Bekannten raten, ihre PC´s mal durch Euch checken zu lassen oder gibt es eine andere Möglichkeit, wie man prüfen kann, ob der PC sauber ist? Auf die Antivirenprogramme kann man sich ja überhaupt nicht verlassen.

Es gibt leider keine Garantie auf einen sauberen Rechner. Selbst wenn ich über den Rechner drübergeschaut habe, und alles kontrolliere kann es sein, dass ich etwas übersehen habe.
Wenn das Antivirenprogramm und die WindowsUpdates noch laufen und der Rechner ohne Zwischenfälle läuft, ist schonmal ein gutes Anzeichen.
Wenn Zweifel bestehen, können sie sich aber gerne hier melden, und überprüfen lassen.

Ansonsten gibt es die Möglichkeit mal mit onlinescannern die Rechner zu kontrollieren. zb DrWeb oder eben mit Antispywarescannern wie Malwarebytes oder SUPERAntiSpyware um zu sehen ob diese fündig werden.

Schau dir auf jedenfall noch unsere Anleitung zum Neuaufsetzen an und evtl auch diesen Anleitungsentwurf zum Thema Sicherheit am Rechner: Rechnersicherheit
Wirklich wichtig ist es vor allem alle Software aktuell zu halten: Windows, Antivirenprogramme, Java, den Browser,Adobe, etc...
Aktualisierungen stopfen häufig Sicherheitslücken, durch die ohne dein zu Tun Malware auf den Rechner gelangen kann.


Mach bitte vorm Neuaufsetzen noch folgendes:
Lade dir diese Datei -> mbr.exe direkt auf das Laufwerk
wo dein Betriebssystem installiert ist (also auf c: ) und führe sie aus.

Auf c:\ wir dann ein mbr.log angelegt, öffne dieses mit dem Editor, kopiere den Text ab und füge ihn in deinen Beitrag ein.

lg myrtille

Hallo,

erstmal vielen Dank für Deine Antworten und hilfreichen Tipps!

Wir haben uns tatsächlich für das Neuaufsetzen entschieden. Vorher also hier der gewünschte mbr.log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Also eigentlich ist es doch schon total nachlässig von mir gewesen, dass ich auf Eure Anweisung hin, alle möglichen Programme runtergeladen haben, ohne überhaupt zu wissen, was dahinter steckt. Sind diese Programme auch wirklich alle sicher und vertrauenswürdig oder könnte ein Außenstehender da auch schon Viren „reingeschmuggelt“ haben? Sorry, aber ich bin momentan total verunsichert, weil ich mich echt frage, wie unser Rechner so verseucht werden konnte.

Außerdem fallen mir gleich auch noch folgende neue Fragen ein:

Habe ich es richtig verstanden, dass man Updates etc. von Herstellerseiten ohne Probleme runterladen kann, weil diese auf jeden Fall sicher sind?

Könnte es sein, dass wir Viren o. ä. durch eMail-Anhänge von unserem Rechner an Bekannte weitergegeben haben oder ginge das nur, wenn wir ausführbare Dateien geschickt hätten?

Darf ich also auch keine Favoriten rüberkopieren bzw. mitnehmen, weil dies html Dateien sind und diese evtl. verseucht sind?

Ich habe mal einen Film auf meinen Stick runtergeladen. Kann der jetzt auch verseucht sein?

Tut mir leid, dass ich so unwissend bin. Vielleicht sollte ich mal eine „Plagegeister aller Art und deren Bekämpfung – Schulung“ besuchen.

LG
rize

Hi,

das log von mbr ist sauber. Dem Neuaufsetzen steht also nichts mehr im Weg.

Zitat:

Also eigentlich ist es doch schon total nachlässig von mir gewesen, dass ich auf Eure Anweisung hin, alle möglichen Programme runtergeladen haben, ohne überhaupt zu wissen, was dahinter steckt. Sind diese Programme auch wirklich alle sicher und vertrauenswürdig oder könnte ein Außenstehender da auch schon Viren „reingeschmuggelt“ haben? Sorry, aber ich bin momentan total verunsichert, weil ich mich echt frage, wie unser Rechner so verseucht werden konnte.

Nein, das ist eine berechtigte Frage und das große Problem im Internet. Wem kannst du vertrauen.
Ich kann dir jetzt eine Menge Seiten als Beweis liefern, dass die Dateien sicher sind und du dich dadurch nicht verseucht haben kannst, aber die Seiten werden dir nicht vertrauenswürdiger scheinen als unser Board.
Ich kann nur sagen, dass sowohl Malwarebytes (Hersteller von Malwarebytes Anti-Malware) als auch Trend Micro (Hijackthis) bekannte Firmen sind, die sich mit PC-Sicherheit beschäftigen. Es ist sehr unwahrscheinlich, dass du dir dort etwas geholt hast.
Schwieriger ist es bei mbr.exe/gmer.exe und RSIT.exe.. Dort stehen keine Firmen dahinter, sondern Leute wie ich, die in ihrer Freizeit bei der Malwarebekämpfung mitmachen. gmer.net und malwareremoval.com sind repsektierte Seiten. Bei Malwareremoval.com kann man übrigens eine Schule zum Forenbereiniger machen, falls du da wirklich Interesse hast. Die Seite ist allerdings auf englisch.

Was das ganze nochmal unwahrscheinlicher macht, ist dass diese Programme weltweit täglich hundertausendfach empfohlen und heruntergeladen und du der einzige wärst der durch sie infiziert worden wäre.
Wenn du trotzdem Angst hast, kannst du die Dateien bei virustotal hochladen, dort werden Dateien von 40 verschiedenen Antivirenscannern geprüft.

Zitat:

Habe ich es richtig verstanden, dass man Updates etc. von Herstellerseiten ohne Probleme runterladen kann, weil diese auf jeden Fall sicher sind?

Es gibt leider nichts was auf jedenfall sicher ist. Auch der Hersteller kann mal Pech haben und ein faules Ei verteilen, aber es ist sehr sehr unwahrscheinlich.
Wenn ein Hersteller infizierte Dateien anbietet, dann wird das in der Regel sehr schnell bekannt und korrigiert, das Risiko hier ist wirklich sehr sehr gering.

Die Gefahr bei anderen Seiten ist viel größer, weil sie dir gar nicht das Update anbieten, sondern nur so tun. Eine übliche Masche um Malware zu verbreiten, ist zum Beispiel ein Video anzubieten. Wenn ein Besucher vorbeikommt, dann wird aber nicht das Video abgespielt, sondern gesagt "Sie haben eine veraltete Flashversion, laden sie hier die neueste Version herunter". Dadurch kommt allerdings nicht die neueste Flashversion sondern nur Malware auf den Rechner.

Zitat:

Könnte es sein, dass wir Viren o. ä. durch eMail-Anhänge von unserem Rechner an Bekannte weitergegeben haben oder ginge das nur, wenn wir ausführbare Dateien geschickt hätten?

Zum einen kann man auch ausführbare Dateien per Email versenden, zum anderen gibt es leider noch weitere Möglichkeiten Leute zu infizieren.
Viele Leute werden zb infiziert, weil sie glauben, dass ihr Freund ihnen geschrieben hat "sag mal bist du auf dem Photo nackt?!?? http://linkzumalware.com". Wenn man das "Photo" herunterlädt und ausführt, dann infizieren sie sich.

Zitat:

Darf ich also auch keine Favoriten rüberkopieren bzw. mitnehmen, weil dies html Dateien sind und diese evtl. verseucht sind?

Die Frage ist: Wieviel Risiko willst du eingehn?
Nein , im Ernst, die Sicherheitsmassnahmen sind auch gegen eventuelle Befälle, die ich übersehen habe. Bei einem Neuaufsetzen empfehle ich generell so wenig wie möglich mitzunehmen.
Bei dir gibt es keine direkten Anzeichen, dass das notwendig ist, allerdings haben wir auch nicht bis in die letzte Ecke kontrolliert. Wenn du deine Bookmarks einfach als backup.txt statt backup.html abspeicherst, sollte alles gut sein. Auf dem sauberen Rechner backup.txt in backup.html umbenennen und scannen lassen und dann solltest du diese auch wieder importieren können.

Zitat:

Ich habe mal einen Film auf meinen Stick runtergeladen. Kann der jetzt auch verseucht sein?

Ja, das kann passiert sein.
Es gibt Malware die sich primär über USB-Sticks verbreiten, sie werden infiziert wenn man sie in den infizierten Rechner einsteckt und infizieren dann beim einstecken an andere Rechner diese.
Das Video ist hingegen wahrscheinlich harmlos.
Daher hatte ich dir folgendes empfohlen:
Wenn es sich um ein externes Medium handelt, beim Anschließen der Platte unbedingt die Shift-Taste gedrückt halten. Dann den Arbeitsplatz öffnen und einen Rechtsklick auf die entsprechende Platte machen und diese von deinem Antivirenprogramm kontrollieren lassen, bevor du sie das erste Mal öffnest.
Das verhindert dass die Malware ausgeführt wird, bevor du den Stick gescannt hast.

lg myrtille

TAUSEND DANK für Deine Geduld mit mir und Deine ausführlichen Antworten!!! Ich bin echt begeistert