Ich fürchte ich habe (einen) Trojaner eingefangen (Trojan-Dropper!IK) + Worm/AutoRun.aaak

chilli99 · 01.08.2011, 18:19

Hallo!

Mein PC ist seit Jahrzehnten frei von Malware, aber jetzt habe ich einmal nicht aufgepasst und glaube, mir was eingefangen zu haben. Zur Erklärung: mein PC wird auch ab und zu von meinem Sohn genutzt. Wir haben ein gemeinsames Download-Verzeichnis, das ich gestern mal wieder säubern wollte von Dateien, die nicht mehr gebraucht werden. Da war auch eine "Help"-Datei. Und als ich sie angeklickt hatte, weil ich wissen wollte, für was diese Datei gut ist, habe ich es leider zu spät gesehen: es war eine *.EXE-Datei! Sch.....

Ich habe sofort Kasper drüber laufen lassen. Ergebnis negativ. Dann habe ichs nochmal mit Malwareebytes getestet: ebenso kein Befund.

Um sicher zu gehen, habe ich die Datei dann noch mal von VirusTotal online checken lassen - und siehe da, da stecken Trojaner drin und ein Wurm.

Ich habe das System dann sicherheitshalber nicht mehr gebootet, um nicht irgendwas zusätzlich zu aktivieren und wüsste nun gerne von Euch, wie ich die Schädlinge wieder weg kriege. Die logfiles von OTL, Gmer und Defogger sind angefügt.

Erst mal besten Dank im Voraus für Eure Hilfe!

kira · 02.08.2011, 07:10

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

"Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
- da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
- also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
Charakteristische Merkmale/Profilinformationen:
- aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
Die Systemprüfung und Bereinigung:
- kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
Die Reihenfolge:
- genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
Ansonsten unsere Forumsregeln:
- Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.

Zitat:

Zitat von chilli99

Um sicher zu gehen, habe ich die Datei dann noch mal von VirusTotal online checken lassen - und siehe da, da stecken Trojaner drin und ein Wurm.

Genaue Pfad bitte angeben und die Prüfergebnisse von Virustotal posten!

2.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:

per Doppelklick starten.
gleich mal die Datenbanken zu aktualisieren - online updaten
Vollständiger Suchlauf wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

gruß
kira

chilli99 · 02.08.2011, 17:38

So, jetzt bin ich wieder zu Hause und danke Dir erst mal für Deine Antwort. Zuerst poste ich Dir mal die VirusTotal Log. Der Rest kommt stückchenweise

Code:

ATTFilter

help.exe
Submission date:
2011-08-02 16:14:02 (UTC)
Current status:
finished
Result:
7/ 42 (16.7%)
 
VT Community
 
malware
 Safety score: 0.0% 
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2011.08.02.00    2011.08.02    -
AntiVir    7.11.12.196    2011.08.02    TR/Dropper.Gen
Antiy-AVL    2.0.3.7    2011.08.02    -
Avast    4.8.1351.0    2011.08.02    -
Avast5    5.0.677.0    2011.08.02    -
AVG    10.0.0.1190    2011.08.02    -
BitDefender    7.2    2011.08.02    -
CAT-QuickHeal    11.00    2011.08.02    -
ClamAV    0.97.0.0    2011.08.02    -
Commtouch    5.3.2.6    2011.08.02    -
Comodo    9603    2011.08.02    -
DrWeb    5.0.2.03300    2011.08.02    -
Emsisoft    5.1.0.8    2011.08.02    Trojan-Dropper!IK
eSafe    7.0.17.0    2011.08.01    -
eTrust-Vet    36.1.8478    2011.08.02    -
F-Prot    4.6.2.117    2011.08.02    -
F-Secure    9.0.16440.0    2011.08.02    -
Fortinet    4.2.257.0    2011.08.02    -
Ikarus    T3.1.1.104.0    2011.08.02    Trojan-Dropper
Jiangmin    13.0.900    2011.08.02    Worm/AutoRun.aaak
K7AntiVirus    9.109.4973    2011.08.02    -
Kaspersky    9.0.0.837    2011.08.02    -
McAfee    5.400.0.1158    2011.08.02    -
McAfee-GW-Edition    2010.1D    2011.08.02    -
Microsoft    1.7104    2011.08.02    -
NOD32    6344    2011.08.02    -
Norman    6.07.10    2011.08.02    -
nProtect    2011-08-02.01    2011.08.02    -
Panda    10.0.3.5    2011.08.02    Suspicious file
PCTools    8.0.0.5    2011.08.02    Trojan.Generic
Prevx    3.0    2011.08.02    -
Rising    23.69.01.03    2011.08.02    -
Sophos    4.67.0    2011.08.02    -
SUPERAntiSpyware    4.40.0.1006    2011.08.02    -
Symantec    20111.1.0.186    2011.08.02    Trojan Horse
TheHacker    6.7.0.1.267    2011.08.02    -
TrendMicro    9.200.0.1012    2011.08.02    -
TrendMicro-HouseCall    9.200.0.1012    2011.08.02    -
VBA32    3.12.16.4    2011.08.02    -
VIPRE    10041    2011.08.02    -
ViRobot    2011.8.2.4601    2011.08.02    -
VirusBuster    14.0.149.0    2011.08.02    -
Additional information
MD5   : 18e6ed59874f64f2380d93869e46f609
SHA1  : 36db4de6ae152030046584775e8b06dcbba1554d
SHA256: 84f5db7cdddb9ee804f525947da3eb96e4fdea3a19e5a30f3b190c259a073744
ssdeep: 98304:MqjxE/3CUQdf5OyIqLbL7b/8IuuEN8gsJd4jAYFMc8vd:xjxutQdf5OyIqLruRNaQAYel
File size : 3669501 bytes
First seen: 2011-05-31 16:08:08
Last seen : 2011-08-02 16:14:02
TrID:
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
sigcheck:
publisher....: RegExLab_s Friends Group(Created by J2E 1.8 Trial, RegExLab.com)
copyright....: Copyright (c) 2007 - 2010(Created by J2E 1.8 Trial, RegExLab.com)
product......: Java Executive by Jar2Exe(Created by J2E 1.8 Trial, RegExLab.com)
description..: Java Executive by Jar2Exe, RegExLab.com(Created by J2E 1.8 Trial, RegExLab.com)
original name: J2E.exe(Created by J2E 1.8 Trial, RegExLab.com)
internal name: J2E(Created by J2E 1.8 Trial, RegExLab.com)
file version.: 1, 8, 4, 444(Created by J2E 1.8 Trial, RegExLab.com)
comments.....: Java Executive Created by Jar2Exe, RegExLab.com(Created by J2E 1.8 Trial, RegExLab.com)
signers......: -
signing date.: -
verified.....: Unsigned
PEiD: Armadillo v1.71
packers (F-Prot): ZIP
PEInfo: PE structure information
 
[[ basic data ]]
entrypointaddress: 0xDAEA
timedatestamp....: 0x4C4A5FD3 (Sat Jul 24 03:36:51 2010)
machinetype......: 0x14c (I386)
 
[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x28FF2, 0x29000, 6.71, 4b73ea77169b087c5cd1e5a357585e1d
.rdata, 0x2A000, 0x7190, 0x8000, 5.65, 7247d0db96411981ea9490456ed68c33
.data, 0x32000, 0x5900, 0x4000, 2.35, 6f56b7e0af2a9caf7d14129e511e39de
.rsrc, 0x38000, 0x2AFD4, 0x2B000, 7.83, be2ebf73c88ec56572957561fb85ebf7
 
[[ 4 import(s) ]]
KERNEL32.dll: FreeLibrary, GetProcAddress, LoadLibraryA, SetErrorMode, GetFullPathNameA, SetCurrentDirectoryA, CloseHandle, ReadFile, GetFileSize, CreateFileA, GetModuleFileNameA, GetCurrentDirectoryA, UnmapViewOfFile, MapViewOfFile, CreateFileMappingA, SetThreadPriority, GetCurrentThread, SetEvent, Sleep, WaitForSingleObject, CreateEventA, InterlockedExchange, InterlockedDecrement, InterlockedIncrement, GetCommandLineA, GetVersion, ExitProcess, HeapFree, RtlUnwind, HeapReAlloc, HeapAlloc, RaiseException, GetLastError, FindFirstFileA, FindNextFileA, FindClose, FileTimeToSystemTime, FileTimeToLocalFileTime, ResumeThread, CreateThread, TlsSetValue, TlsGetValue, ExitThread, LCMapStringA, LCMapStringW, GetCPInfo, CompareStringA, CompareStringW, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, WideCharToMultiByte, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCurrentThreadId, TlsAlloc, SetLastError, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, WriteFile, HeapSize, VirtualAlloc, IsBadWritePtr, SetUnhandledExceptionFilter, SetFilePointer, FlushFileBuffers, GetStringTypeA, GetStringTypeW, GetTimeZoneInformation, GetACP, GetOEMCP, IsBadReadPtr, IsBadCodePtr, SetEnvironmentVariableA, SetStdHandle, SetEndOfFile, SystemTimeToFileTime, LocalFileTimeToFileTime, SetFileTime, GetLocalTime, GetSystemTime, MoveFileA, DeleteFileA, SetVolumeLabelA, GetDriveTypeA, GetFileAttributesA, SetFileAttributesA, GetDiskFreeSpaceA, MultiByteToWideChar, EnterCriticalSection, GetModuleHandleA, FindResourceA, SizeofResource, LoadResource, LockResource, LeaveCriticalSection, DeleteCriticalSection, GetEnvironmentStringsW, InitializeCriticalSection, SetEnvironmentVariableW
USER32.dll: KillTimer, SetTimer, GetClassInfoA, LoadCursorA, RegisterClassA, GetSystemMetrics, CreateWindowExA, ShowWindow, UpdateWindow, GetClientRect, BeginPaint, EndPaint, PostQuitMessage, PostMessageA, DefWindowProcA, GetMessageA, TranslateMessage, DispatchMessageA, LoadBitmapA, MessageBoxA
GDI32.dll: DeleteObject, SelectObject, CreateCompatibleDC, DeleteDC, BitBlt, GetObjectA
ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegOpenKeyExA
 
[[ 7 export(s) ]]
_Java_com_regexlab_j2e_Handler_loadResourceData@12, _Java_com_regexlab_j2e_Jar2ExeClassLoader_findClass@12, _Java_com_regexlab_j2e_Jar2ExeClassLoader_findResource@12, _Java_com_regexlab_j2e_Jar2ExeClassLoader_findResources@12, _Java_com_regexlab_j2e_SplashScreen_nativeAutoClose@12, _Java_com_regexlab_j2e_SplashScreen_nativeClose@8, _Java_com_regexlab_j2e_SplashScreen_nativeGetSplashScreen@8
ExifTool:
file metadata
CharacterSet: Unicode
CodeSize: 167936
Comments: Java Executive Created by Jar2Exe, RegExLab.com(Created by J2E 1.8 Trial, RegExLab.com)
CompanyName: RegExLab's Friends Group(Created by J2E 1.8 Trial, RegExLab.com)
EntryPoint: 0xdaea
FileDescription: Java Executive by Jar2Exe, RegExLab.com(Created by J2E 1.8 Trial, RegExLab.com)
FileFlagsMask: 0x003f
FileOS: Win32
FileSize: 3.5 MB
FileSubtype: 0
FileType: Win32 EXE
FileVersion: 1, 8, 4, 444(Created by J2E 1.8 Trial, RegExLab.com)
FileVersionNumber: 1.8.4.444
ImageVersion: 0.0
InitializedDataSize: 225280
InternalName: J2E(Created by J2E 1.8 Trial, RegExLab.com)
LanguageCode: Neutral
LegalCopyright: Copyright (c) 2007 - 2010(Created by J2E 1.8 Trial, RegExLab.com)
LegalTrademarks: RegExLab.com(Created by J2E 1.8 Trial, RegExLab.com)
LinkerVersion: 6.0
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 4.0
ObjectFileType: Unknown
OriginalFilename: J2E.exe(Created by J2E 1.8 Trial, RegExLab.com)
PEType: PE32
PrivateBuild: (Created by J2E 1.8 Trial, RegExLab.com)
ProductName: Java Executive by Jar2Exe(Created by J2E 1.8 Trial, RegExLab.com)
ProductVersion: 1, 8, 4, 444(Created by J2E 1.8 Trial, RegExLab.com)
ProductVersionNumber: 1.8.4.444
SpecialBuild: (Created by J2E 1.8 Trial, RegExLab.com)
Subsystem: Windows GUI
SubsystemVersion: 4.0
TimeStamp: 2010:07:24 05:36:51+02:00
UninitializedDataSize: 0
 
VT Community
 
    User:
    anonimousrel
    Reputation:
    5000 credits
    Comment date:
    2011-06-17 08:13:25 (UTC)
    False malware crack from PACE for "Alice. Madness Returns"
 
    Verdict: VIRUS!

Hier der Malwarebytes-Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
 
Datenbank Version: 7357
 
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
 
02.08.2011 20:08:51
mbam-log-2011-08-02 (20-08-51).txt
 
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 321449
Laufzeit: 1 Stunde(n), 24 Minute(n), 18 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und last not least der Log des CCleaner:

Code:

ATTFilter

Acronis*True*Image*Home    Acronis    01.01.2009    123,9MB    12.0.9615
Active@ File Recovery Professional        02.08.2011        
Adobe Acrobat 7.0 Professional    Adobe Systems    01.01.1970        7.0.0
Adobe Flash Player 10 ActiveX    Adobe Systems, Inc.    28.08.2010    1,81MB    10.0.22.87
Adobe Flash Player 10 Plugin    Adobe Systems Incorporated    02.08.2011        10.3.181.26
Adobe Reader 6.0 - Deutsch    Adobe Systems Incorporated    26.12.2008    51,1MB    6.0
Adobe Shockwave Player 11.5    Adobe Systems, Inc.    02.08.2011        11.5.9.620
Advanced Renamer    Kim Jensen    24.06.2009        
AFPL Ghostscript 8.54        02.08.2011        
AFPL Ghostscript Fonts        02.08.2011        
Amazon MP3-Downloader 1.0.5        02.08.2011        
Ant Renamer    Ant Software    02.08.2011        2.10.0
Apple Application Support    Apple Inc.    17.06.2011    52,7MB    1.5.2
Apple Mobile Device Support    Apple Inc.    17.06.2011    22,1MB    3.4.1.2
Apple Software Update    Apple Inc.    07.07.2011    2,38MB    2.1.3.127
ASUS Enhanced Display Driver    ASUSTeK COMPUTER INC.    26.12.2008        6.14.10.0130
ASUS nVIDIA Driver        02.08.2011        
Auto Hide IP        02.08.2011        4.7.3.2
AviSynth 2.5        02.08.2011        
AVM FRITZ!Box Dokumentation    AVM Berlin    02.08.2011        
AVM FRITZ!Box Druckeranschluss    AVM Berlin    02.08.2011        
AVM FRITZ!DSL    AVM Berlin    15.01.2011    14,2MB    2.04.02
AxCrypt (Nur Entfernen)    Axon Data    02.08.2011        
Bonjour    Apple Inc.    22.07.2011    0,73MB    3.0.0.2
Canon PIXMA iP5000        02.08.2011        
Canon Utilities Easy-PhotoPrint        02.08.2011        
Canon Utilities Easy-PrintToolBox        02.08.2011        
CCleaner    Piriform    02.08.2011        3.09
CD-LabelPrint        02.08.2011        
Citrix Offline Plug-in    Citrix Systems, Inc.    11.05.2011    13,8MB    5.2.0.1227
Citrix Online Plug-in    Citrix Systems, Inc.    02.08.2011        12.0.0.6410
CloneCD    SlySoft    02.08.2011        
Cole2k Media - Nero Audio Plugin Pack    Cole    02.08.2011        
CoreFLAC Audio Decoder+Source Filter (remove only)        02.08.2011        
dBpoweramp [Calculate Audio CRC] Codec        02.08.2011        
dBpoweramp DSP Effects    Illustrate    02.08.2011        Release 5
dBpoweramp FLAC Codec        02.08.2011        
dBpoweramp m4a Codec    Illustrate    02.08.2011        Release 8
dBpoweramp Monkeys Audio Codec        02.08.2011        
dBpoweramp Mp2 and BwfMp2 codec        02.08.2011        
dBpoweramp mp3 (Fraunhofer IIS) Codec        02.08.2011        
dBpoweramp Musepack Codec        02.08.2011        
dBpoweramp Music Converter        02.08.2011        
dBpoweramp Ogg Vorbis Codec        02.08.2011        
dBpoweramp WavPack Codec        02.08.2011        
dBpoweramp Windows Media Audio 10 Codec        02.08.2011        
Disk Manager        02.08.2011        
Dropbox    Dropbox, Inc.    02.08.2011        1.1.35
DVD Decrypter (Remove Only)        02.08.2011        
DVD Shrink 3.2 deutsch (DeCSS-frei)    DVD Shrink    02.08.2011        
Easy Graphic Converter 1.2    Etru Software Development    02.08.2011        1.1
EasyRecovery Professional    Ontrack Data International, Inc.    07.10.2009        6.00.09
eMule        02.08.2011        
EPSON Copy Utility 3        02.08.2011        3.1.5.0
EPSON Scan        02.08.2011        
Eraser 5.82    Heidi Computers Ltd.    27.12.2008        Eraser 5.82
Evernote v. 4.4.2    Evernote Corp.    02.07.2011    141,5MB    4.4.2.4912
Exact Audio Copy 1.0beta2    Andre Wiethoff    02.08.2011        1.0beta2
Facemoods Toolbar        02.08.2011        
Fast Folder Rename 1.5    Skyjuice Software    21.06.2009    3,16MB    1.50.0000
FileZilla Client 3.3.5.1        02.08.2011        3.3.5.1
FileZilla Server (remove only)        02.08.2011        
FLAC 1.2.1b (remove only)    Xiph.org    02.08.2011        1.2.1b
foobar2000 v1.1.2    Peter Pawlowski    02.08.2011        1.1.2
FoxyTunes for Firefox        02.08.2011        
Free Audio CD Burner version 1.4.8    DVDVideoSoft Limited.    03.05.2011        
Free Download Manager 3.0    FreeDownloadManager.ORG    20.02.2011        
Free Spider    TreeCardGames.com    02.08.2011        Free Spider
Free Video to iPhone Converter version 3.2.10    DVDVideoSoft Limited.    21.10.2010        
Free YouTube to MP3 Converter version 3.9.37.426    DVDVideoSoft Limited.    03.05.2011        
FreeMind        14.07.2011        0.9.0_RC_10
Gigabyte Raid Configurer    Gigabyte Technology Corp.    26.12.2008        1.00.0000
GoldWave v5.14        02.08.2011        
Google Chrome    Google Inc.    18.02.2011        12.0.742.122
HijackThis 2.0.2    TrendMicro    02.08.2011        2.0.2
HP CD-Labeler Software V1.4        02.08.2011        
Internet Download Manager        02.08.2011        
iPhone-Konfigurationsprogramm    Apple Inc.    19.09.2009    22,4MB    2.1.0.163
iTunes    Apple Inc.    22.07.2011    141,9MB    10.4.0.80
Java Media Framework 2.1.1e        02.08.2011        
Java(TM) 6 Update 26    Sun Microsystems, Inc.    24.11.2009    91,0MB    6.0.260
JDownloader    AppWork UG (haftungsbeschränkt)    02.08.2011        
Kaspersky Anti-Virus 2011    Kaspersky Lab    13.10.2010        11.0.1.400
KeePass Password Safe 2.14    Dominik Reichl    19.03.2011        
kikin plugin 2.9    kikin    02.08.2011        2.9
LG PC Suite IV    LG Electronics    02.08.2011        4.1.0.20090824
LG USB Modem Drivers    LG Electronics    28.08.2010    1,06MB    4.9.4
Lupas Rename 2000 v5.0 Release    Ivan Anton Albarracin    02.08.2011        
Malwarebytes' Anti-Malware Version 1.51.1.1800    Malwarebytes Corporation    02.08.2011        1.51.1.1800
Marvell Miniport Driver    Marvell    26.12.2008    1,03MB    9.12.4.3
Medieval CUE Splitter    Medieval Software    03.02.2009    1,66MB    1.2.0
Microsoft .NET Framework 1.0 Hotfix (KB953295)    Microsoft Corporation    16.10.2009        
Microsoft .NET Framework 1.0 Hotfix (KB979904)    Microsoft Corporation    10.06.2010        
Microsoft .NET Framework 1.1        08.10.2010        
Microsoft .NET Framework 1.1 German Language Pack    Microsoft    28.02.2009    3,02MB    1.1.4322
Microsoft .NET Framework 2.0 Service Pack 2    Microsoft Corporation    29.06.2011    185,2MB    2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2    Microsoft Corporation    23.06.2010    209MB    3.2.30729
Microsoft .NET Framework 3.5 SP1    Microsoft Corporation    08.10.2010        
Microsoft .NET Framework 4 Client Profile    Microsoft Corporation    28.06.2011        4.0.30319
Microsoft .NET Framework 4 Extended    Microsoft Corporation    13.05.2011        4.0.30319
Microsoft Compression Client Pack 1.0 for Windows XP    Microsoft Corporation    01.02.2009        1
Microsoft Office Enterprise 2007    Microsoft Corporation    13.10.2009        12.0.4518.1014
Microsoft Office Home and Student 2007    Microsoft Corporation    05.12.2009        12.0.4518.1014
Microsoft Primary Interoperability Assemblies 2005    Microsoft Corporation    17.02.2011    7,77MB    8.0.50727.42
Microsoft SQL Server Desktop Engine (PINNACLESYS)    Microsoft Corporation    26.12.2008    69,1MB    8.00.761
Microsoft User-Mode Driver Framework Feature Pack 1.5    Microsoft Corporation    03.01.2009        
Microsoft Visual C++ 2005 Redistributable    Microsoft Corporation    26.12.2008    5,21MB    8.0.56336
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022    Microsoft Corporation    11.05.2011    6,04MB    9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729    Microsoft Corporation    06.03.2011    10,3MB    9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17    Microsoft Corporation    28.08.2010    10,3MB    9.0.30729
Microsoft Visual J# .NET Redistributable Package 1.1    Microsoft    28.02.2009    11,4MB    1.1.4322
Monkey's Audio        08.02.2009        
Mozilla Firefox 5.0.1 (x86 de)    Mozilla    02.08.2011        5.0.1
Mozilla Firefox 6.0 (x86 de)    Mozilla    02.08.2011        6.0
Mozilla Thunderbird (5.0)    Mozilla    02.08.2011        5.0 (de)
MSXML 4.0 SP2 (KB954430)    Microsoft Corporation    27.12.2008    2,67MB    4.20.9870.0
MSXML 4.0 SP2 (KB973688)    Microsoft Corporation    25.11.2009    2,77MB    4.20.9876.0
MSXML 4.0 SP2 Parser and SDK    Microsoft Corporation    18.07.2009    36,00KB    4.20.9818.0
Music NFO Builder v1.20    Pawel Piecuch    02.01.2010        
Nero 7 Premium    Nero AG    26.12.2008    493MB    7.02.9752
Nitro PDF Professional    Nitro PDF Software    23.07.2011    108,9MB    6.2.1.10
NVIDIA Drivers        02.08.2011        
ObjectDock        02.08.2011        
Ogg Codecs 0.81.15562    Xiph.Org    02.08.2011        0.81.15562
OLYMPUS Master 2    OLYMPUS IMAGING CORP.    18.07.2009    0,20MB    1.0.11
OLYMPUS Studio 2    OLYMPUS IMAGING CORP.    18.07.2009    0,14MB    1.0.7
Opera 11.50    Opera Software ASA    29.06.2011    30,8MB    11.50
Password Safe 3.26 for Windows    Rony Shapiro    03.07.2011    16,2MB    3.26
PC Connectivity Solution    Nokia    02.01.2009    8,11MB    6.43.8.0
PerformanceTest v7.0    Passmark Software    22.06.2010        7.0
Pinnacle MediaCenter        02.08.2011        3.20.458
Pinnacle MediaServer        02.08.2011        1.10.120
PNotes 5.0.112    Andrey Gruber    01.12.2009        5.0.112
PocketCloud Windows Companion    Wyse Technology    17.06.2011    9,43MB    2.2.0
PowerDesk 6    Avanquest Publishing USA, Inc.    26.12.2008    14,6MB    6.0.1.3
PowerQuest PartitionMagic 8.0    PowerQuest    03.04.2009        8.00.000
QuickTime    Apple Inc.    09.12.2010    73,7MB    7.69.80.9
RAR Repair Tool v.4.0    ZRT Labs    02.08.2011        
Realtek High Definition Audio Driver    Realtek Semiconductor Corp.    26.12.2008        5.10.0.5324
Serif AlbumPlus 4    Serif (Europe) Ltd    08.09.2009    33,8MB    4.1.1.28
Serif PagePlus 11    Serif (Europe) Ltd    07.01.2009    349MB    11.1.1.004
Serif PagePlus 11 Ressourcen    Serif (Europe) Ltd    07.01.2009    265MB    11.1.0.007
Serif PhotoPlus 11    Serif (Europe) Ltd    08.09.2009    120,5MB    11.1.1.019
SiSoftware Sandra Lite XIIc    SiSoftware    22.06.2010        12.34.2008.1
SolidConverterPDF    SolidDocuments    04.05.2009    25,1MB    2.2.158.0
Space Eraser 2.0        08.07.2010        
Tag&Rename 3.5.3    Softpointer Inc    29.11.2009        3.5.3
Tau Analyzer (remove only)        02.08.2011        
TeamViewer 6    TeamViewer GmbH    02.08.2011        6.0.10722
Trader's Little Helper 2.2.2    Robert Hoffmann    02.02.2010        2.2.2
TuneUp Utilities    TuneUp Software    11.03.2011        9.0.4100.36
Uninstall 1.0.0.1        30.05.2010        
Veetle TV 0.9.18    Veetle, Inc    02.08.2011        0.9.18
VLC media player 1.1.9    VideoLAN    02.08.2011        1.1.9
Vodafone Mobile Broadband via the phone    Vodafone Ltd    03.09.2010    6,13MB    2.4.16
WIDCOMM Bluetooth Software    WIDCOMM, Inc.    02.01.2009    21,7MB    3.0.1.912
Winamp    Nullsoft, Inc    02.08.2011        5.551 
Winamp Toolbar        02.08.2011        
Windows Driver Package - Nokia (WUDFRd) WPD  (11/03/2006 6.82.26.2)    Nokia    02.08.2011        11/03/2006 6.82.26.2
Windows Feature Pack for Storage (32-bit) - IMAPI update for Blu-Ray    Microsoft Corporation    15.01.2010        1.0
Windows Internet Explorer 8    Microsoft Corporation    05.07.2009        20090308.140743
Windows Media Format 11 runtime        02.08.2011        
Windows Media Player 11        02.08.2011        
Windows Media Player Firefox Plugin    Microsoft Corp    26.06.2011    0,29MB    1.0.0.8
Windows XP Service Pack 3    Microsoft Corporation    26.12.2008        20080414.031514
Windows-Treiberpaket - OLYMPUS IMAGING CORP. (OlyUsbCam) OlyUsbCam  (12/28/2006 1.0.0.0)    OLYMPUS IMAGING CORP.    02.08.2011        12/28/2006 1.0.0.0
WinRAR archiver        02.08.2011        
WinZip    WinZip Computing, Inc.    02.08.2011         9.0  (6028)
XChat 2 (remove only)        02.08.2011        
XMind    XMind Ltd.    02.08.2011        3.2.1
XnView 1.97.8    Gougelet Pierre-e    10.12.2010        1.97.8
XviD MPEG4 Video Codec (remove only)        02.08.2011        
Zimbra Desktop    Zimbra    30.04.2011    221MB    2.0.0
µTorrent        02.08.2011        2.2.1

kira · 03.08.2011, 06:13

Code:

ATTFilter

eMule

Zitat:

Internet-Tauschbörsen gehören leider zu den unseriösesten Anbietern, und dort werden sehr viele Schädlinge verbreitet, hierbei sollte deshalb, wenn überhaupt, nur ganz besonders vorsichtig umgegangen werden ! Laut Studien sind bei den Tauschbörsen bei 45% der zum Download angebotenen Dateien, Viren oder Würmer und sonstige Schädlinge enthalten!
Hinzu kommt noch, dass die meisten Downloads von diesen Tauschbörsen eh illegal sind, und damit die Nutzer verleitet werden, „Straftaten“ zu begehen!

Selbst wenn du ein „sicheres“ P2P Programm verwendest, ist es nur das Programm, das sicher ist.Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...

Ausserdem nicht nur trojanische Pferde oder andere Virentypen eine direkt Verbindung brauchen, sondern der Verwendung von µtorrent & Co, "telefonieren auch nach Hause", wenn auch noch keine Beweise vorliegen (zumindest teilweise nicht) und solchen Clients erlaubt, würde ich nicht empfehlen!

2.

Code:

ATTFilter

kikin plugin

ist ein Risikofaktor, ich würde deinstallieren

3.

Code:

ATTFilter

Facemoods:

lustige Smileys, denoch kann sehr lästig sein, ich würde darauf verzichten!

4.
Adobe Reader aktualisieren :
- Bei Installation aufpassen/mitlesen!: Wenn irgendeine Software, Toolbar etc angeboten wird, bitte abwählen! - (z.B "McAfee Security Scan Plus")
Adobe Reader
Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..."

5.
reinige dein System mit Ccleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

6.
Genaue Pfad bitte angeben:
help.exe

7.
erneut einen Scan mit OTL:

Doppelklick auf die OTL.exe
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Standard-Ausgabe
Unter Extra-Registrierung wähle bitte Benutze SafeList.
Mache Häckchen bei LOP- und Purity-Prüfung.
Klicke nun auf Scan links oben.
Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
Poste die Logfiles in Code-Tags hier in den Thread.

chilli99 · 03.08.2011, 21:03

So, jetzt lass mich mal step by step Deine Kommentare durchgehen ....

Code:

ATTFilter

1. emule & µtorrent

Deine Bedenken kann ich teilen. Muss mit meinem Sprössling vorher reden. Das hat er installiert.

Code:

ATTFilter

2. kikin plugin

Never heard. Wusste nicht, dass ich das drauf habe. Ist schon weg von der Platte.

Code:

ATTFilter

3. Facemoods

Gehört wohl zu Facebook. Weg von der Platte ....

Code:

ATTFilter

4. Adobe Reader aktualisieren

Hab ich wohl übersehen. Mach ich gleich.

edit: ist erledigt

Code:

ATTFilter

5. Reinige dein System mit Ccleaner

Bereits erledigt.

Code:

ATTFilter

6. Genaue Pfad bitte angeben: help.exe

War bis vorgestern auf c:\downloads und ist jetzt im Virenhimmel, mit eraser ausgelöscht. So ein Sch... braucht kein Mensch.

chilli99 · 03.08.2011, 21:05

Code:

ATTFilter

7. erneut einen Scan mit OTL:

und hier sind die Logs:

A) OTL.txt

Code:

ATTFilter

OTL logfile created on: 03.08.2011 21:24:52 - Run 2
OTL by OldTimer - Version 3.2.26.1     Folder = F:\Docs (01)\Trojaner Board\August 2011
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,14 Gb Available Physical Memory | 56,84% Memory free
3,84 Gb Paging File | 3,08 Gb Available in Paging File | 80,14% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,74 Gb Total Space | 9,42 Gb Free Space | 19,32% Space Free | Partition Type: NTFS
Drive D: | 231,30 Gb Total Space | 26,95 Gb Free Space | 11,65% Space Free | Partition Type: NTFS
Drive F: | 249,20 Gb Total Space | 114,18 Gb Free Space | 45,82% Space Free | Partition Type: NTFS
Drive G: | 15,66 Mb Total Space | 13,15 Mb Free Space | 83,96% Space Free | Partition Type: NTFS
Drive H: | 234,45 Gb Total Space | 38,12 Gb Free Space | 16,26% Space Free | Partition Type: NTFS
Drive I: | 931,51 Gb Total Space | 311,70 Gb Free Space | 33,46% Space Free | Partition Type: NTFS
Drive M: | 149,01 Gb Total Space | 58,44 Gb Free Space | 39,22% Space Free | Partition Type: FAT32
Drive O: | 232,88 Gb Total Space | 11,38 Gb Free Space | 4,88% Space Free | Partition Type: NTFS
Drive Q: | 279,39 Gb Total Space | 12,23 Gb Free Space | 4,38% Space Free | Partition Type: FAT32
Drive R: | 1863,01 Gb Total Space | 216,05 Gb Free Space | 11,60% Space Free | Partition Type: NTFS
Drive T: | 596,17 Gb Total Space | 60,86 Gb Free Space | 10,21% Space Free | Partition Type: NTFS
 
Computer Name: ULI-AA4E076B | User Name: Uli | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.07.31 19:13:38 | 000,579,584 | ---- | M] (OldTimer Tools) -- F:\Docs (01)\Trojaner Board\August 2011\OTL.exe
PRC - [2011.07.08 09:31:38 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2011.06.28 14:48:58 | 000,974,848 | ---- | M] (Evernote Corp., 333 W Evelyn Ave. Mountain View, CA 94041) -- C:\Programme\Evernote\Evernote\EvernoteClipper.exe
PRC - [2011.06.28 14:39:12 | 006,970,880 | ---- | M] (Evernote Corp., 333 W Evelyn Ave. Mountain View, CA 94041) -- C:\Programme\Evernote\Evernote\Evernote.exe
PRC - [2011.06.28 14:27:32 | 000,387,072 | ---- | M] (Evernote Corp., 333 W Evelyn Ave. Mountain View, CA 94041) -- C:\Programme\Evernote\Evernote\EvernoteTray.exe
PRC - [2011.05.25 22:07:14 | 024,176,560 | ---- | M] (Dropbox, Inc.) -- C:\Dokumente und Einstellungen\Uli\Anwendungsdaten\Dropbox\bin\Dropbox.exe
PRC - [2011.05.24 21:02:52 | 000,405,504 | ---- | M] () -- C:\Programme\Wyse\PocketCloud Windows Companion\WyseBrowser.exe
PRC - [2011.05.24 21:02:52 | 000,083,456 | ---- | M] () -- C:\Programme\Wyse\PocketCloud Windows Companion\PocketCloudService.exe
PRC - [2011.04.08 12:59:52 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2011.03.21 12:07:42 | 000,196,928 | ---- | M] (Nitro PDF Software) -- C:\Programme\Nitro PDF\Professional\NitroPDFDriverService.exe
PRC - [2011.03.21 11:17:56 | 000,068,928 | ---- | M] (Nalpeiron Ltd.) -- C:\WINDOWS\system32\NLSSRV32.EXE
PRC - [2011.02.18 17:37:16 | 000,037,664 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2010.10.17 21:38:42 | 000,742,912 | ---- | M] (FileZilla Project) -- C:\Programme\FileZilla Server\FileZilla Server.exe
PRC - [2010.10.13 20:04:18 | 000,352,976 | ---- | M] (Kaspersky Lab ZAO) -- C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe
PRC - [2010.10.12 17:28:26 | 000,726,456 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\Citrix\ICA Client\wfcrun32.exe
PRC - [2010.10.12 17:24:38 | 000,304,568 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\Citrix\ICA Client\concentr.exe
PRC - [2010.07.01 21:34:46 | 000,129,720 | ---- | M] (Kaspersky Lab ZAO) -- C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtblfs.exe
PRC - [2010.05.10 13:09:00 | 000,719,688 | ---- | M] (TuneUp Software) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
PRC - [2010.05.10 13:07:00 | 001,051,976 | ---- | M] (TuneUp Software) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
PRC - [2010.03.11 00:45:54 | 000,804,176 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\Citrix\ICA Client\pnamain.exe
PRC - [2010.03.11 00:05:52 | 000,071,024 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\Citrix\ICA Client\ssonsvr.exe
PRC - [2009.09.10 12:17:24 | 000,636,232 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\Citrix\Streaming Client\RadeSvc.exe
PRC - [2009.09.10 12:01:28 | 000,144,712 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\Citrix\Streaming Client\RadeObj.exe
PRC - [2009.08.12 11:40:08 | 000,320,832 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\Gemeinsame Dateien\Citrix\System32\CdfSvc.exe
PRC - [2009.08.02 06:43:30 | 000,047,616 | R--- | M] (Mobile Leader Co.,Ltd.) -- C:\WINDOWS\system32\LGScsiCommandService.exe
PRC - [2009.05.08 10:46:24 | 000,233,472 | ---- | M] (Vodafone Group) -- C:\Programme\Vodafone\Via The Phone\VodafoneConnectorService.exe
PRC - [2008.10.13 16:57:54 | 000,962,480 | ---- | M] (Acronis) -- C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
PRC - [2008.10.13 16:53:48 | 004,378,000 | ---- | M] (Acronis) -- C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
PRC - [2008.10.13 13:16:50 | 000,165,144 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
PRC - [2008.10.13 13:16:44 | 000,554,264 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
PRC - [2008.05.02 09:15:48 | 000,015,872 | ---- | M] () -- F:\Docs (02)\Downloaded Programs N-Z\PortableApps\Portable SOFT 2009 40\unlocker_portable_1.8.7_en_fr\unlocker_portable_1.8.7_en_fr\App\Unlocker\UnlockerAssistant.exe
PRC - [2008.04.14 08:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.09.04 11:14:34 | 000,087,344 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE
PRC - [2007.04.25 20:02:30 | 003,444,008 | ---- | M] (Stardock) -- C:\Programme\Stardock\ObjectDock\ObjectDock.exe
PRC - [2006.12.26 02:23:10 | 000,643,072 | ---- | M] (Heidi Computers Ltd) -- C:\Programme\Eraser\eraser.exe
PRC - [2005.10.18 16:00:10 | 000,241,152 | ---- | M] (ASUSTeK COMPUTER INC.) -- C:\WINDOWS\ATKKBService.exe
PRC - [2005.10.04 14:16:46 | 000,040,960 | ---- | M] (Avanquest Publishing USA, Inc.) -- C:\Programme\VCOM\PowerDesk\pddlghlp.exe
PRC - [2005.04.20 17:02:56 | 000,049,152 | ---- | M] (Pinnacle Systems) -- c:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
PRC - [2004.10.01 16:12:18 | 000,565,309 | ---- | M] (Broadcom Corporation) -- C:\Programme\Bluetooth Software\BTTray.exe
PRC - [2004.10.01 16:11:38 | 001,249,364 | ---- | M] (Broadcom Corporation) -- C:\Programme\Bluetooth Software\BTStackServer.exe
PRC - [2004.10.01 16:06:34 | 000,163,840 | ---- | M] (Broadcom Corporation) -- C:\Programme\Bluetooth Software\bin\btwdins.exe
PRC - [2002.12.17 18:26:22 | 007,520,337 | ---- | M] (Microsoft Corporation) -- C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

Ich fürchte ich habe (einen) Trojaner eingefangen (Trojan-Dropper!IK) + Worm/AutoRun.aaak

Plagegeister aller Art und deren Bekämpfung: Ich fürchte ich habe (einen) Trojaner eingefangen (Trojan-Dropper!IK) + Worm/AutoRun.aaak