Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: unimontr.exe bzw. tr/inject.bz.2

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.11.2007, 16:18   #1
metallady
 
unimontr.exe bzw. tr/inject.bz.2 - Standard

unimontr.exe bzw. tr/inject.bz.2



Hallo Leute,

ich bin entsetzt!

Habe mir gerade antivir installiert und machen einen scan. Der findet immer wieder unimontr.exe bzw. tr/inject.bz.2. Das ist laut Antivir ein trojanisches Pferd, scheint sich nach dem Löschen selbst wiederherzustellen.

Entsetzt bin ich deswegen, weil Antivir weitere 26 (!) Funde aufweist. Das Log von HJT vor ca. einer Woche hatte scheinbar alle diese Dinge nicht gefunden.

Ich werde das vollständige Ergebnis posten.

Win XP SP1 (jaja, diese Woche kommt noch SP2 mit allen Updates drauf!).

Alt 05.11.2007, 16:57   #2
metallady
 
unimontr.exe bzw. tr/inject.bz.2 - Standard

unimontr.exe bzw. tr/inject.bz.2



Hier nun der Antivir-Report. Sieht nicht gut aus, oder?

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 5. November 2007 14:50

Es wird nach 916338 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Plattform: Windows XP
Windowsversion: (Service Pack 1) [5.1.2600]

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
classic\sysscan.avp
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +Netscape/Mozilla Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 5. November 2007 14:50

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\syszmmh.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Tiny.TA
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a22900.qua' verschoben!
C:\Dokumente und Einstellungen\Heike\Anwendungsdaten\Microsoft\Vorlagen\WWMAGIC2.DOT
[FUND] Enthält verdächtigen Code: HEUR/Macro.Word95
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '477c2a76.qua' verschoben!
C:\Dokumente und Einstellungen\Heike\Lokale Einstellungen\Temp\lulcomutil59.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479b2e7d.qua' verschoben!
C:\Dokumente und Einstellungen\Heike\Lokale Einstellungen\Temp\syscomutil59.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a22eb0.qua' verschoben!
C:\Dokumente und Einstellungen\Heike\Lokale Einstellungen\Temp\utislcomutil59.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47982eb9.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP10\A0001256.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c41.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP10\A0001292.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c4a.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP11\A0001347.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c59.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP12\A0001467.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c67.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP12\A0001511.dll
[FUND] Ist das Trojanische Pferd TR/Banker.IID
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c84.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP13\A0001526.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c8b.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP13\A0001560.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c96.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP14\A0001569.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3c9c.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP14\A0001646.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3ca2.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP14\A0001712.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cab.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP14\A0001729.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cb0.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP15\A0001759.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cb5.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP16\A0001795.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cbe.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP18\A0001872.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cc5.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP19\A0001890.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cce.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP19\A0001903.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Tiny.TA
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cd3.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP8\A0001142.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cd7.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP8\A0001152.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cdb.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP8\A0001162.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3cde.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP9\A0001196.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3ce3.qua' verschoben!
C:\System Volume Information\_restore{C8C7C424-5B1E-47A0-8E8D-C0959885A2A7}\RP9\A0001204.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f3ce6.qua' verschoben!
C:\WINDOWS\flsunit32.dll
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Small.OR.3
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\unimontr.exe
[FUND] Ist das Trojanische Pferd TR/Inject.BZ.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47983f26.qua' verschoben!
C:\WINDOWS\unitserv.dll
[FUND] Ist das Trojanische Pferd TR/Banker.IID
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47983f64.qua' verschoben!
C:\WINDOWS\system32\reset5.dll
[FUND] Enthält Erkennungsmuster eines vermutlich beschädigten Samples CC/UKMalw.NA
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\system32\srvany.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.SRunner.C4-Programmes
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\system32\TFTP4036
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rbot.109056.3.A
[WARNUNG] Die Datei wurde ignoriert.

29 Viren bzw. unerwünschte Programme wurden gefunden
4 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
28 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
108573 Dateien ohne Befall
3362 Archive wurden durchsucht
6 Warnungen
0 Hinweise
__________________


Alt 05.11.2007, 16:59   #3
Sunny
Administrator
> Competence Manager
 

unimontr.exe bzw. tr/inject.bz.2 - Standard

unimontr.exe bzw. tr/inject.bz.2





Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:





Schädlinge im Ordner der Systemwiederherstellung:


* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)



Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)



MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)


__________________
__________________

Alt 05.11.2007, 20:21   #4
metallady
 
unimontr.exe bzw. tr/inject.bz.2 - Standard

unimontr.exe bzw. tr/inject.bz.2



So, hier nun der neue Antivir-Report (ein paar sind übrig geblieben nach dem ersten Scan):


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 5. November 2007 18:49

Es wird nach 916338 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Plattform: Windows XP
Windowsversion: (Service Pack 1) [5.1.2600]

Beginn des Suchlaufs: Montag, 5. November 2007 18:49

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '25402' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'd:\avira\antivir personaledition classic\avscan.exe'
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\System32\wuauclt.exe'
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\System32\wuauclt.exe'
Durchsuche Prozess 'wpabaln.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\System32\wpabaln.exe'
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'D:\Avira\AntiVir PersonalEdition Classic\avcenter.exe'
Durchsuche Prozess 'naPrdMgr.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe'
Durchsuche Prozess 'PQV2iSvc.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\Drive Image 7.0\Agent\PQV2iSvc.exe'
Durchsuche Prozess 'Tablet.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\System32\Tablet.exe'
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\System32\svchost.exe'
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\System32\nvsvc32.exe'
Durchsuche Prozess 'VsTskMgr.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\McAffee\VsTskMgr.exe'
Durchsuche Prozess 'Mcshield.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\McAffee\Mcshield.exe'
Durchsuche Prozess 'FrameworkService.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\Programme\Network Associates\Common Framework\FrameworkService.exe'
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe'
Durchsuche Prozess 'gearsec.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\System32\GEARSec.exe'
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'D:\Avira\AntiVir PersonalEdition Classic\sched.exe'
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\System32\alg.exe'
Durchsuche Prozess 'TabUserW.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\system32\WTablet\TabUserW.exe'
Durchsuche Prozess 'LxUpdateManager.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe'
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'D:\Acrobat 5.0\Distillr\AcroTray.exe'
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe'
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\Programme\Messenger\msmsgs.exe'
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'D:\FIREFOX\FIREFOX.EXE'
Durchsuche Prozess 'pdfSaver3.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe'
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\System32\ctfmon.exe'
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe'
Durchsuche Prozess 'SERVIC~1.EXE' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE'
Durchsuche Prozess 'DataLayer.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe'
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'D:\QuickTime 5.0\qttask.exe'
Durchsuche Prozess 'delttray.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\System32\DeltTray.exe'
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe'
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\Programme\Java\jre1.5.0_05\bin\jusched.exe'
Durchsuche Prozess 'UpdaterUI.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\Programme\Network Associates\Common Framework\UpdaterUI.exe'
Durchsuche Prozess 'shstat.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\McAffee\SHSTAT.EXE'
Durchsuche Prozess 'INSTAN~1.EXE' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'D:\TEXTBR~1\Bin\INSTAN~1.EXE'
Durchsuche Prozess 'WFXSNT40.EXE' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\System32\wfxsnt40.exe'
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\Explorer.EXE'
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'D:\Avira\AntiVir PersonalEdition Classic\avguard.exe'
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\system32\spoolsv.exe'
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\System32\svchost.exe'
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\System32\svchost.exe'
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\System32\svchost.exe'
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\system32\svchost.exe'
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\system32\lsass.exe'
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\system32\services.exe'
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\system32\winlogon.exe'
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\system32\csrss.exe'
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> 'C:\WINDOWS\\System32\smss.exe'
Es wurden '48' Prozesse mit '48' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0057
Masterbootsektor HD1
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\
WFXSNT40.EXE
[HINWEIS] HKEY_LOCAL_MACHINE\wfxsnt40.exe
d:\TextBridge\Bin\
InstantAccess.exe
[HINWEIS] HKEY_LOCAL_MACHINE\d:\TEXTBR~1\Bin\INSTAN~1.EXE /h
d:\TextBridge\Bin\
RegisterDropHandler.exe
[HINWEIS] HKEY_LOCAL_MACHINE\d:\TEXTBR~1\Bin\REGIST~1.EXE
C:\McAffee\
shstat.exe
[HINWEIS] HKEY_LOCAL_MACHINE\"C:\McAffee\SHSTAT.EXE" /STANDALONE
C:\WINDOWS\system32\
rundll32.exe
[HINWEIS] HKEY_LOCAL_MACHINE\RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
C:\WINDOWS\system32\
nvcpl.dll
[HINWEIS] HKEY_LOCAL_MACHINE\RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
C:\WINDOWS\system32\
nwiz.exe
[HINWEIS] HKEY_LOCAL_MACHINE\nwiz.exe /install
C:\WINDOWS\system32\
rundll32.exe
[HINWEIS] HKEY_LOCAL_MACHINE\RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
C:\WINDOWS\system32\
nvmctray.dll
[HINWEIS] HKEY_LOCAL_MACHINE\RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
C:\Programme\Java\jre1.5.0_05\bin\
jusched.exe
[HINWEIS] HKEY_LOCAL_MACHINE\C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\
NeroCheck.exe
[HINWEIS] HKEY_LOCAL_MACHINE\C:\WINDOWS\system32\NeroCheck.exe
C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\
oss_reinstall.exe
[HINWEIS] HKEY_LOCAL_MACHINE\C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> icudt32l.dat
C:\WINDOWS\system32\
delttray.exe
[HINWEIS] HKEY_LOCAL_MACHINE\DeltTray.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\
DataLayer.exe
[HINWEIS] HKEY_LOCAL_MACHINE\C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
D:\InCD\
InCD.exe
[HINWEIS] HKEY_LOCAL_MACHINE\D:\InCD\InCD.exe
d:\TextBridge\Bin\
RegisterDropHandler.exe
[HINWEIS] HKEY_LOCAL_MACHINE\d:\TEXTBR~1\Bin\REGIST~1.EXE
C:\WINDOWS\system32\
crypt32.dll
[HINWEIS] HKEY_LOCAL_MACHINE\crypt32.dll
C:\WINDOWS\system32\
cryptnet.dll
[HINWEIS] HKEY_LOCAL_MACHINE\cryptnet.dll
C:\WINDOWS\system32\
cscdll.dll
[HINWEIS] HKEY_LOCAL_MACHINE\cscdll.dll
C:\WINDOWS\system32\
reset5.dll
[FUND] Enthält Erkennungsmuster eines vermutlich beschädigten Samples CC/UKMalw.NA
[HINWEIS] HKEY_LOCAL_MACHINE\reset5.dll
[WARNUNG] Die Datei wurde ignoriert.
[FUND] Enthält Erkennungsmuster eines vermutlich beschädigten Samples CC/UKMalw.NA
C:\WINDOWS\system32\
wlnotify.dll
[HINWEIS] HKEY_LOCAL_MACHINE\wlnotify.dll
C:\WINDOWS\system32\
wlnotify.dll
[HINWEIS] HKEY_LOCAL_MACHINE\wlnotify.dll
C:\WINDOWS\system32\
sclgntfy.dll
[HINWEIS] HKEY_LOCAL_MACHINE\sclgntfy.dll
C:\WINDOWS\system32\
wlnotify.dll
[HINWEIS] HKEY_LOCAL_MACHINE\WlNotify.dll
C:\WINDOWS\system32\
wlnotify.dll
[HINWEIS] HKEY_LOCAL_MACHINE\wlnotify.dll
C:\WINDOWS\system32\
wlnotify.dll
[HINWEIS] HKEY_LOCAL_MACHINE\wlnotify.dll
C:\WINDOWS\system32\
ctfmon.exe
[HINWEIS] HKEY_CURRENT_USER\C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\
msmsgs.exe
[HINWEIS] HKEY_CURRENT_USER\"C:\Programme\Messenger\msmsgs.exe" /background
C:\Programme\Google\GoogleToolbarNotifier\
GoogleToolbarNotifier.exe
[HINWEIS] HKEY_CURRENT_USER\C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\
unimontr.exe
[FUND] Ist das Trojanische Pferd TR/Inject.BZ.2
[HINWEIS] HKEY_CURRENT_USER\C:\WINDOWS\unimontr.exe
[WARNUNG] Die Datei wurde ignoriert.
[FUND] Ist das Trojanische Pferd TR/Inject.BZ.2
C:\WINDOWS\system32\
userinit.exe
[HINWEIS] HKEY_LOCAL_MACHINE\C:\WINDOWS\system32\userinit.exe,
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\
Acrobat Assistant.lnk
[HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
D:\Acrobat 5.0\Distillr\
acrotray.exe
[HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Reader - Schnellstart.lnk
[HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
C:\Programme\Adobe\Acrobat 7.0\Reader\
reader_sl.exe
[HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\
desktop.ini
[HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
C:\WINDOWS\system32\
desktop.ini
[HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
C:\WINDOWS\system32\
desktop.ini
[HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
C:\WINDOWS\system32\
desktop.ini
[HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\
Lexware Info Service.lnk
[HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Lexware Info Service.lnk
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\
LxUpdateManager.exe
[HINWEIS] HKEY_LOCAL_MACHINE\C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Lexware Info Service.lnk
C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\
Adobe Gamma.lnk
[HINWEIS] HKEY_CURRENT_USER\C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\Adobe Gamma.lnk
C:\Programme\Gemeinsame Dateien\Adobe\Calibration\
Adobe Gamma Loader.exe
[HINWEIS] HKEY_CURRENT_USER\C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\Adobe Gamma.lnk
C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\
desktop.ini
[HINWEIS] HKEY_CURRENT_USER\C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\desktop.ini
C:\WINDOWS\system32\
desktop.ini
[HINWEIS] HKEY_CURRENT_USER\C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\desktop.ini
C:\WINDOWS\system32\
desktop.ini
[HINWEIS] HKEY_CURRENT_USER\C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\desktop.ini
C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\
TabUserW.exe.lnk
[HINWEIS] HKEY_CURRENT_USER\C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\TabUserW.exe.lnk
C:\WINDOWS\system32\WTablet\
TabUserW.exe
[HINWEIS] HKEY_CURRENT_USER\C:\Dokumente und Einstellungen\Heike\Startmenü\Programme\Autostart\TabUserW.exe.lnk
C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\
desktop.ini
[HINWEIS] HKEY_USERS\C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini

Die Registry wurde durchsucht ( '50' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:



Der Suchlauf wurde vollständig durchgeführt.

3368 Verzeichnisse wurden überprüft
106729 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
29 Dateien konnten nicht durchsucht werden
106721 Dateien ohne Befall
3411 Archive wurden durchsucht
35 Warnungen
0 Hinweise
25402 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

-------------------------

Und hier das HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:19:30, on 05.11.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wfxsnt40.exe
D:\TEXTBR~1\Bin\INSTAN~1.EXE
C:\McAffee\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\DeltTray.exe
D:\QuickTime 5.0\qttask.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
D:\FIREFOX\FIREFOX.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\McAffee\Mcshield.exe
C:\McAffee\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Thunderbird\thunderbird.exe
D:\Firefox\firefox.exe
D:\HJT\This.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\eBay\Toolbar\eBayTB.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\eBay\Toolbar\eBayTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [InstantAccess] d:\TEXTBR~1\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] d:\TEXTBR~1\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\McAffee\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime 5.0\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] d:\TEXTBR~1\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [NBJ] "D:\Nero6\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Creative Audio Studio V2.8] C:\WINDOWS\unimontr.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O8 - Extra context menu item: Google AdSense Preview Tool - http://pagead2.googlesyndication.com/pagead/preview/en/preview.html
O8 - Extra context menu item: Suche - res://D:\eBay\Toolbar\eBayTb.dll/RCSearch.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {AFFBDA02-5D3A-11D9-AAC8-91EC5E497716} (ActiveXShadow Control) - https://www.ll2go.com/html/x-file/000/www.ll2go.com/x-res/ActiveXShadow_de.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - d:\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\McAffee\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\McAffee\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
(file missing)
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - d:\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Drive Image 7.0\Agent\PQV2iSvc.exe


Für eScan habe ich heute keinen Nerv mehr.

Ich werde mir diese Woche auf jeden Fall noch SP2 draufspielen.

Danke für Eure Hilfe.

Alt 06.11.2007, 12:47   #5
metallady
 
unimontr.exe bzw. tr/inject.bz.2 - Standard

unimontr.exe bzw. tr/inject.bz.2



So, und nun zu guter Letzt der eScan-Bericht:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.1
Sprache: German
C:\DOKUME~1\Heike\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with opinionbar Spyware/Adware ({6607c683-ae7c-11d4-acd7-0050dac291a2})! Action taken: Keine Aktion vorgenommen.
System found infected with multipassrecover Spyware (readme.txt)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.desktop toolbar Spyware/Adware (toolbar.lnk)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\unimontr.exe infiziert von "Trojan.Win32.Inject.bz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\unimontr.exe infiziert von "Trojan.Win32.Inject.bz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\flsunit32.dll infiziert von "Backdoor.Win32.Small.or" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\unimontr.exe infiziert von "Trojan.Win32.Inject.bz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Heike\Anwendungsdaten\ahead\nero backitup\info files\readme.txt
Offending file found: C:\Dokumente und Einstellungen\Heike\Recent\toolbar.lnk
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\datacaching !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS\System32\TFTP4036 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 13:36:14,58
Batchende: 13:36:18,34

---------

Wie geht es jetzt weiter?


Alt 06.11.2007, 14:28   #6
Franz1968
/// Helfer-Team
 
unimontr.exe bzw. tr/inject.bz.2 - Standard

unimontr.exe bzw. tr/inject.bz.2



Moin,

du machst IMHO den zweiten oder dritten Schritt vor dem ersten. Nachdem du seit mindestens einer Woche an deinem System herumgefrickelt hast und eScan jetzt einen Backdoor-Befall feststellt, solltest du deine Kiste einmal neu aufsetzen und vernünftig absichern, dann hast du Ruhe (wenn du nach Cidres Anleitung im entsprechenden Unterforum vorgehst). Danach kannst du AntiVir oder ein anderes AV-Produkt deiner Wahl installieren; es sollte dann keinen Befall mehr finden.

Ohne das immer noch fehlende SP2 jedenfalls ist weiteres Herumdoktern an deinem System eher sinnlos.

Übrigens, dass HJT und AntiVir nicht dasselbe finden, braucht dich nicht zu verwirren. HJT listet Starteinträge (oder besser gesagt eine Auswahl davon ), während ein Virenscanner, vereinfacht gesagt, vor allem nach infizierten Dateien sucht, also z. B. auch nach Dateien, die auf der Festplatte liegen, beim Rechnerstart aber nicht unbedingt mitstarten.
__________________
--> unimontr.exe bzw. tr/inject.bz.2

Alt 06.11.2007, 14:41   #7
metallady
 
unimontr.exe bzw. tr/inject.bz.2 - Standard

unimontr.exe bzw. tr/inject.bz.2



Gibt es denn keine Möglichkeit, die Dinger loszuwerden ohne Neuinstallation? Ich meine, XP mit SP2 drüberinstallieren und voher oder nachher die Viren bekämpfen?

Ja, ich weiß... alles schon x-mal geklärt. Ich scheue mich nur davor, weil es nach endloser Arbeit aussieht, bis alles wieder funktioniert, wenn das überhaupt geht. Das System als solches läuft nämlich äußerst stabil.

Vielleicht gibt es ja Tricks, den Neuinstallationsvorgang für die einzelnen Hardware-/Software-Komponenten abzukürzen?

Alt 06.11.2007, 15:18   #8
Franz1968
/// Helfer-Team
 
unimontr.exe bzw. tr/inject.bz.2 - Standard

unimontr.exe bzw. tr/inject.bz.2



Zitat:
Zitat von metallady Beitrag anzeigen
Gibt es denn keine Möglichkeit, die Dinger loszuwerden ohne Neuinstallation?
Klar, man kann immer irgend etwas bereinigen, löschen, drüberinstallieren.

Ausnahme: Backdoor-Befall; in diesem Fall kann ein vertrauenswürdiges System nicht wiederhergestellt werden, jedenfalls nicht mit den Mitteln der Ferndiagnose und Fernheilung , die ein Forum bietet. Wenn eScan mit der Backdoor-Diagnose recht hat, scheidet der Weg der Bereinigung vernünftigerweise aus.

Wenn trotzdem eine Bereinigung versucht wird, muss abgewogen werden, ob der zu erwartende, meist nicht geringe zeitliche Aufwand und das "Restrisiko", dass etwas zurückbleibt auf dem System, in einem vernünftigen Verhältnis stehen zu dem erhofften Nutzen (nämlich eine Neuinstallation und den damit verbundenen Aufwand zu vermeiden). Da du schon seit Tagen oder Wochen an der Arbeit bist, wäre meine Antwort: nein.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 06.11.2007, 15:43   #9
metallady
 
unimontr.exe bzw. tr/inject.bz.2 - Standard

unimontr.exe bzw. tr/inject.bz.2



Danke für Deine Ehrlichkeit.

Dazu fällt mir nur noch eins ein:

Super, dass diejenigen (die meisten jedenfalls), die das Zeugs in Umlauf setzen, immer noch nicht gefasst und hart bestraft werden. Möglich wäre es mit Sicherheit. Das ist doch Sachbeschädigung oder was auch immer! Aber Viren scheinen wohl eine gewisse Berechtigung zu haben

Und unsere und alle anderen Regierungen jagen ja lieber die Raucher

Da arbeitet man friedlich vor sich hin, fängt sich so ein Ding ein - und zack, hat man den (zeitlich nicht unerheblichen) Schaden, der einem natürlich niemand ersetzt.

Das kostet mich bestimmt eine Woche mindestens, bis alles wieder läuft.

Ich könnte echt kotzen!

Ok, selbst schuld. "Hättest halt Dein System aktuell gehalten..."

Ok, das nächste Mal demoliert mir jemand das Auto. "Hättest es halt nicht dort geparkt..."



So, das musste jetzt raus.

Dann warte ich mal die CD mit SP2 ab; könnte diese Woche noch kommen. Und dann ran an die Arbeit.

Hier gab's ja auch Anleitungen. Die muss ich vorher noch ausdrucken.

Antwort

Themen zu unimontr.exe bzw. tr/inject.bz.2
antivir, dinge, ergebnis, funde, gefunde, immer wieder, installier, installiert, leute, log, löschen, pferd, poste, schei, setzt, sp2, troja, trojanisches, trojanisches pferd, updates, vollständige, woche



Ähnliche Themen: unimontr.exe bzw. tr/inject.bz.2


  1. TR/Inject.cdodsf
    Plagegeister aller Art und deren Bekämpfung - 17.06.2015 (10)
  2. TR/Inject.937984125-Trojaner
    Log-Analyse und Auswertung - 04.01.2014 (13)
  3. Trojaner: TR/Inject.EB.1
    Plagegeister aller Art und deren Bekämpfung - 31.07.2012 (1)
  4. TR/ATRAPS.Gen und TR/inject.eigl eingefangen
    Log-Analyse und Auswertung - 26.07.2012 (19)
  5. Virus: Win32:Inject-XP
    Antiviren-, Firewall- und andere Schutzprogramme - 02.06.2010 (24)
  6. TR/Inject.TM.23' in 'C:\WINDOWS\infocard.exe gefunden
    Plagegeister aller Art und deren Bekämpfung - 16.05.2010 (9)
  7. ICQ Virus, TR/Trash.Gen, TR/Inject usw.
    Plagegeister aller Art und deren Bekämpfung - 24.04.2010 (15)
  8. Possible-Thread.Gamez.Inject!IK
    Plagegeister aller Art und deren Bekämpfung - 11.07.2009 (3)
  9. Problem mit den Trojanern TR/Inject.IA.35 und TR/Crypt.XDR.Gen
    Plagegeister aller Art und deren Bekämpfung - 31.05.2009 (18)
  10. Problem mit den Trojanern TR/Inject.IA.35 und TR/Crypt.XDR.Gen
    Log-Analyse und Auswertung - 28.05.2009 (0)
  11. tr/inject.mf
    Plagegeister aller Art und deren Bekämpfung - 12.03.2009 (5)
  12. HTML/Dldr.Inject 14
    Mülltonne - 02.12.2008 (0)
  13. TR/Trash.gen und DR/Inject.jux
    Plagegeister aller Art und deren Bekämpfung - 01.12.2008 (7)
  14. Trojana TR/Inject.ZS
    Plagegeister aller Art und deren Bekämpfung - 29.03.2008 (10)
  15. TR/Inject.ZS auf externer Festplatte
    Plagegeister aller Art und deren Bekämpfung - 24.03.2008 (6)
  16. TR/Inject.ZS auf externer Festplatte
    Mülltonne - 22.03.2008 (0)
  17. TR/Inject.ZS - wie loswerden?
    Plagegeister aller Art und deren Bekämpfung - 20.03.2008 (7)

Zum Thema unimontr.exe bzw. tr/inject.bz.2 - Hallo Leute, ich bin entsetzt! Habe mir gerade antivir installiert und machen einen scan. Der findet immer wieder unimontr.exe bzw. tr/inject.bz.2. Das ist laut Antivir ein trojanisches Pferd, scheint sich - unimontr.exe bzw. tr/inject.bz.2...
Archiv
Du betrachtest: unimontr.exe bzw. tr/inject.bz.2 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.