Guten Morgen zusammen,

ich bin neu und hoffe, dass mir jemand mit Erfahrung unter die Arme greifen kann.

Vor 2 Tagen hatte ich mehrere Viren u.ä. auf dem alten Rechner (800er - XP - SP2). Da ich selbst nicht viel Ahnung vom PC habe, hat ein guter Bekannter den Rechner für mich so hingebogen, dass ich wieder arbeiten kann. Alles läuft eigentlich gut - bis auf eine Sache.

Das Programm Avira meldet mir laufend, dass es einen Virus gefunden hat.
Name: TR/Agent.29568

Als Verzeichnis wird angegeben: C:\windows\system32\iifddaYr.dll

Diese dll-Datei ist sichtbar, aber ich kann sie weder löschen, verschieben, ignorieren usw.

Was kann ich tun ? Kann mir bitte jemand helfen ? Danke im Voraus an Alle. brat.wurst

Hallo brat.wurst und




Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Hallo Sunny,

danke für die schnelle und bisher sehr kompetente Hilfe. Eigentlich habe ich bis jetzt alles gemacht, was Sie vorgeschlagen haben - bis auf ComboFix. CCleaner und AntiMalware sind gut durchgelaufen. AntiMalware hat noch eine ganze Menge Trojaner festgestellt, die gelöscht wurden. Aber Avira sagt mir immer noch, dass es was findet.

Da ich selbst keinerlei PC-Ahnung habe, wurde mir fast schlecht, als ich den Leitfaden von ComboFix gelesen habe, was alles beim Ausführen des Programms passieren könnte. So etwas wie eine Wiederherstellungs-CD besitze ich nicht, da ich den Rechner vor Jahren von einem Bekannten bekommen habe. Muss ich ComboFix denn tatsächlich starten ?
brat.wurst

Zitat:

Zitat von brat.wurst

Muss ich ComboFix denn tatsächlich starten ?
brat.wurst

Wenn es keine Probleme mehr mit dem System gibt kannst du drauf verzichten, jedoch bin ich nicht davon überzeugt das Malwarebytes alles entfernt hat.


Anstelle von CF kannst du auch DSS benutzen:


Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]


Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.


Sunny

Bin wieder da. DSS ist heruntergeladen, installiert und hat auch schon gearbeitet. Ich hoffe, dass ich das mit richtig verstanden habe, ansonsten "Asche auf mein Haupt". brat.wurst.

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Home Edition (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: Intel Pentium III-Prozessor
Percentage of Memory in Use: 48%
Physical Memory (total/avail): 383.49 MiB / 196.91 MiB
Pagefile Memory (total/avail): 922.94 MiB / 685.6 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1926.3 MiB

A: is Removable (No Media)
C: is Fixed (FAT32) - 18.66 GiB total, 7.35 GiB free.
D: is Fixed (FAT) - 0.19 GiB total, 0.19 GiB free.
E: is CDROM (No Media)
F: is CDROM (Unformatted)

\\.\PHYSICALDRIVE0 - FUJITSU MPF3204AT - 19.08 GiB - 3 partitions
\PARTITION0 (bootable) - Unknown - 18.67 GiB - C:
\PARTITION1 - Win95 mit Int 13 (erweitert) - 196.11 MiB - D:
\PARTITION2 - Unknown - 203.95 MiB



-- Security Center -------------------------------------------------------------

AUOptions is disabled.
Windows Internal Firewall is enabled.

FirstRunDisabled is set.
AntivirusOverride is set.

AV: Avira AntiVir PersonalEdition v8.0.1.18 (Avira GmbH)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\DATEV\\PROGRAMM\\B0000005\\CDBTool.exe"="C:\\DATEV\\PROGRAMM\\B0000005\\CDBTool.exe:*:Enabled:CDBTool.exe"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\Temp\\NavBrowser.exe"="C:\\WINDOWS\\Temp\\NavBrowser.exe:*isabled:NAVBrowser"
"C:\\DATEV\\PROGRAMM\\B0000005\\CDBTool.exe"="C:\\DATEV\\PROGRAMM\\B0000005\\CDBTool.exe:*:Enabled:CDBTool.exe"


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=HEINZ
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Heinzelmann
LOGONSERVER=\\HEINZ
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\SYSTEM32;C:\WINDOWS;C:\WINDOWS\SYSTEM32\WBEM;C:\DATEV\SYSTEM
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 6, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0806
ProgramFiles=C:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\HEINZE~1\LOKALE~1\Temp
TMP=C:\DOKUME~1\HEINZE~1\LOKALE~1\Temp
USERDOMAIN=HEINZ
USERNAME=Heinzelmann
USERPROFILE=C:\Dokumente und Einstellungen\Heinzelmann
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

Heinzelmann (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23EFDB58-0874-4883-9810-EDA510B19FAE}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2BB79C8D-9DCC-4861-8A23-AE1B0B45E2B6}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3C1B8CBC-9118-11D7-86D3-00055DF3561E}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{775FFF70-4A8C-4500-908D-3C34DBEB11D5}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{83021AC3-086F-4B77-ACCD-1BD7C9AB211E}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B14F9B26-D695-4C4A-8B11-0FE6CDCC797B}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E213C271-AEFA-481D-A9B4-914D88925B8D}\setup.exe" -l0x9
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware --> MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) --> MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Adobe Reader 8.1.2 Security Update 1 (KB403742) -->
Avira AntiVir Personal – Free Antivirus --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"
Cleaning Suite v1.1 --> "C:\Programme\ASCOMP Software\Cleaning Suite\unins000.exe"
Das Fussball Studio 6.7.1 --> "C:\Programme\Das Fussball Studio\uninst\unins000.exe"
DesignPro Business Cards SE --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{2797D1CC-B68F-4098-96EF-E45700A3335C} /l1031
EPSON-Drucker-Software --> C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
EPSON CardMonitor --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{109D28C7-FB38-483A-9C91-001CB59E2699}\SETUP.EXE" -l0x7 uninst
EPSON Copy Utility 3 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{67EDD823-135A-4D59-87BD-950616D6E857}\Setup.exe" -l0x7 -UnInstall
EPSON PhotoQuicker3.5 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{65F5B7AF-3363-11D7-BB6B-00018021113F}\SETUP.EXE" -l0x7 uninst
EPSON PhotoStarter3.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C48817E7-AA05-4151-A99D-1E1E550CE801}\SETUP.EXE" -l0x7 uninst
EPSON PRINT Image Framer Tool2.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23B59ED4-C360-11D7-875B-0090CC005647}\SETUP.EXE" -l0x7 anything
EPSON Scan --> C:\Programme\epson\escndv\setup\setup.exe /r
EPSON Smart Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6C11D561-620B-47DA-A693-4C597F3CDF40}\SETUP.EXE" -l0x7 Uninstall
EPSON Web-To-Page --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x7 -anything
ESPRX420 Ref. Handbuch --> C:\Programme\EPSON\TPMANUAL\ESPRX420\REF_G\DOCUNINS.EXE
ESPRX420 Softwarehandbuch --> C:\Programme\EPSON\TPMANUAL\ESPRX420\PQU_G\DOCUNINS.EXE
J2SE Runtime Environment 5.0 Update 14 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150140}
Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Mozilla Sunbird (0.7) --> C:\Programme\Mozilla Sunbird\uninstall\uninst.exe
Nero Suite --> C:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID=""
PhotoImpression 5 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{66C8BE35-8BBB-472B-96C7-C7C9A499F988}\SETUP.EXE" -l0x7


-- Application Event Log -------------------------------------------------------

Event Record #/Type4203 / Warning
Event Submitted/Written: 07/12/2008 11:14:12 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Trash.GenC:\WINDOWS\system32\appteyag.dll

Event Record #/Type4202 / Warning
Event Submitted/Written: 07/12/2008 11:14:06 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Trash.GenC:\WINDOWS\system32\oxlmzm.dll

Event Record #/Type4201 / Warning
Event Submitted/Written: 07/12/2008 11:07:12 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Trash.GenC:\WINDOWS\system32\appteyag.dll

Event Record #/Type4200 / Warning
Event Submitted/Written: 07/12/2008 09:53:43 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Trash.GenC:\WINDOWS\system32\appteyag.dll

Event Record #/Type4199 / Warning
Event Submitted/Written: 07/12/2008 09:53:39 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Trash.GenC:\WINDOWS\system32\appteyag.dll



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type14328 / Warning
Event Submitted/Written: 07/12/2008 09:07:24 AM
Event ID/Source: 18 / avgntflt
Event Description:
TIMEOUT<EXPLORER.EXE> C:\...Bundesliga\Thumbs.db

Event Record #/Type14285 / Warning
Event Submitted/Written: 07/12/2008 07:07:17 AM
Event ID/Source: 18 / avgntflt
Event Description:
TIMEOUT<mbam.exe> C:\...ler Bundesliga\Thumbs.db

Event Record #/Type14247 / Warning
Event Submitted/Written: 07/12/2008 01:13:59 AM
Event ID/Source: 18 / avgntflt
Event Description:
TIMEOUT<mbam.exe> C:\...ler Bundesliga\Thumbs.db

Event Record #/Type14242 / Warning
Event Submitted/Written: 07/11/2008 10:47:31 PM
Event ID/Source: 18 / avgntflt
Event Description:
TIMEOUT<aawservice.exe> C:\...ndesliga\Thumbs.db

Event Record #/Type14187 / Warning
Event Submitted/Written: 07/10/2008 09:53:53 PM
Event ID/Source: 18 / avgntflt
Event Description:
TIMEOUT<aawservice.exe> C:\...ndesliga\Thumbs.db



-- End of Deckard's System Scanner: finished at 2008-07-12 11:15:12 ------------

Deckard's System Scanner v20071014.68
Run by Heinzelmann on 2008-07-12 11:12:26
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
5: 2008-07-12 09:12:33 UTC - RP58 - Deckard's System Scanner Restore Point
4: 2008-07-10 20:25:08 UTC - RP57 - Installed Windows Media Format 9 Series Runtime Setup
3: 2008-07-10 19:31:34 UTC - RP56 - Installed Ad-Aware
2: 2008-07-10 19:30:15 UTC - RP55 - Removed Ad-Aware 2007
1: 2008-07-08 23:14:14 UTC - RP54 - Last known good configuration


Backed up registry hives.
Performed disk cleanup.

Total Physical Memory: 384 MiB (512 MiB recommended).


-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-07-12 11:13:42
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\explorer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Heinzelmann\Eigene Dateien\dss.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sunbird Terminkalender.lnk = C:\Programme\Mozilla Sunbird\sunbird.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL
O20 - AppInit_DLLs: sol629.txt
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: VIWAS Updatedienst (ViwasService) - Unknown owner - C:\DATEV\PROGRAMM\VIWAS\ViwaServ.EXE


--
End of file - 4207 bytes

-- File Associations -----------------------------------------------------------

.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>

S4 LckFldService - c:\windows\system32\lckfldservice.exe <Not Verified; ; LckFldService>
S4 ViwasService (VIWAS Updatedienst) - c:\datev\programm\viwas\viwaserv.exe (file missing)


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Files created between 2008-06-12 and 2008-07-12 -----------------------------

2008-07-12 08:07:29 0 dr-h----- C:\Dokumente und Einstellungen\Heinzelmann\Recent
2008-07-12 08:04:30 0 d-------- C:\Programme\CCleaner
2008-07-12 01:01:47 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-11 22:07:26 0 -----n--- C:\WINDOWS\system32\appteyag.dll
2008-07-11 22:07:22 0 -----n--- C:\WINDOWS\system32\oxlmzm.dll
2008-07-10 22:28:27 0 d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-07-10 22:23:28 3031040 -----n--- C:\WINDOWS\UNNeroVision.exe <Not Verified; Nero AG; Nero WebEngine>
2008-07-10 22:22:14 364544 -----n--- C:\WINDOWS\system32\TwnLib4.dll <Not Verified; Pegasus Imaging Corp.; TwnLib4>
2008-07-10 22:22:14 471040 -----n--- C:\WINDOWS\system32\ImagXRA7.dll <Not Verified; Pegasus Imaging Corp.; ImagXpress7>
2008-07-10 22:22:13 262144 -----n--- C:\WINDOWS\system32\ImagXR7.dll <Not Verified; Pegasus Imaging Corp.; ImagXpress7>
2008-07-10 22:22:13 1568768 -----n--- C:\WINDOWS\system32\ImagX7.dll <Not Verified; Pegasus Imaging Corp.; ImagXpress7>
2008-07-10 22:22:11 106496 -----n--- C:\WINDOWS\system32\TwnLib20.dll <Not Verified; Pegasus Software; TWNLIB20>
2008-07-10 22:22:11 38912 -----n--- C:\WINDOWS\system32\picn20.dll <Not Verified; Pegasus Imaging Corp.; PEGASUS>
2008-07-10 22:21:51 0 d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-07-10 22:21:42 0 d-------- C:\Programme\Ahead
2008-07-10 21:30:35 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-10 18:13:07 116352 --a------ C:\WINDOWS\system32\vcguzc.dll
2008-07-10 18:13:06 116352 --a------ C:\WINDOWS\system32\scnajfut.dll
2008-06-25 17:13:19 0 d-------- C:\Programme\OpenOffice.org 2.4
2008-06-25 17:00:58 0 d-------- C:\WINDOWS\Downloaded Installations


-- Find3M Report ---------------------------------------------------------------

2008-07-12 09:46:54 0 d-------- C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\Ahead
2008-07-12 08:28:14 36736 --a------ C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-07-12 01:02:06 0 d-------- C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\Malwarebytes
2008-07-10 16:58:44 316594 --a------ C:\WINDOWS\system32\perfh007.dat
2008-07-10 16:58:44 48156 --a------ C:\WINDOWS\system32\perfc007.dat
2008-07-09 01:05:56 0 d-------- C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\TmpRecentIcons
2008-07-04 10:44:30 3063808 --a------ C:\WINDOWS\system32\PEGRPDL.DLL <Not Verified; Gigasoft, Inc.; ProEssentials Lite>
2008-06-25 17:17:18 0 d-------- C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\OpenOffice.org2
2008-06-24 11:03:12 0 d-------- C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\EssentialPIM


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus Photo RX420 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.exe" [09.04.2004 04:00]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [16.04.2008 04:19]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.2008 04:25]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 22:16]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 12:00]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 01:01:04]
Sunbird Terminkalender.lnk - C:\Programme\Mozilla Sunbird\sunbird.exe [26.10.2007 21:39:02]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=sol629.txt

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIWAS-Update Scheduler.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIWAS-Update Scheduler.lnk
backup=C:\WINDOWS\pss\VIWAS-Update Scheduler.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIWAS-Update.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIWAS-Update.lnk
backup=C:\WINDOWS\pss\VIWAS-Update.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ViwasService"=2 (0x2)
"McTaskManager"=2 (0x2)
"McShield"=2 (0x2)
"LckFldService"=2 (0x2)




-- End of Deckard's System Scanner: finished at 2008-07-12 11:15:12 ------------

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\sol629.txt
C:\WINDOWS\system32\vcguzc.dll
C:\WINDOWS\system32\scnajfut.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Hallo Sunny, die Datei

C:\WINDOWS\system32\sol629.txt

scheint nicht auf meinem Rechner zu sein, kann sie jedenfalls nicht finden.

Zu

C:\WINDOWS\system32\vcguzc.dll

Die Datei wurde bereits analysiert:
MD5: a38b2cee8765036c5ecc53d4d09ddeaf
First received: 2008.07.10 18:16:27 (CET)
Datum 2008.07.12 13:14:45 (CET) [<1D]
Ergebnisse 8/33
Permalink: analisis/619c883cdae386e1fb90012e7cab3212


Zu

C:\WINDOWS\system32\scnajfut.dll

Die Datei wurde bereits analysiert:
MD5: a38b2cee8765036c5ecc53d4d09ddeaf
First received: 2008.07.10 18:16:27 (CET)
Datum 2008.07.12 13:14:45 (CET) [<1D]
Ergebnisse 8/33
Permalink: analisis/619c883cdae386e1fb90012e7cab3212

OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Zitat:

C:\WINDOWS\system32\sol629.txt
C:\WINDOWS\system32\vcguzc.dll
C:\WINDOWS\system32\scnajfut.dll

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!


Erstellung eines Hijacklog

• Hier gibt es die Anleitung -> http://www.trojaner-board.de/51130-a...ijackthis.html

Hier zunächst der Bericht von OTMovelt2:

File/Folder C:\WINDOWS\system32\sol629.txt not found.
File/Folder C:\WINDOWS\system32\vcguzc.dll not found.
File/Folder C:\WINDOWS\system32\scnajfut.dll not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07122008_140922

Der Rest kommt später - Der Besuch steht vor der Türe. Bitte um Verständnis.

Tut mir leid, dass ich mich erst jetzt melde, aber zwischendurch geht die Arbeit vor. Hier kommt nun das HJT-Logfile.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:59:29, on 14.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Heinzelmann\Eigene Dateien\Hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sunbird Terminkalender.lnk = C:\Programme\Mozilla Sunbird\sunbird.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: sol629.txt
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 3641 bytes
         

Versuche es doch bitte nochmal mit dem Combofix, das mit der Wiederherstellungs-CD lässt du außen vor, Combofix erstellt auch einen Wiederherstellungspunkt...



ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Habe CCleaner und Combo-Fix durchlaufen lassen. Combo-Fix meldet sofort verschiedene Viren. Eine Log-Datei wurde jedoch nicht erstellt. Weder im Verzeichnis Desktop noch unter C:\ComboFix.txt

Startet denn Combofix dein System neu oder bleibt es hängen?
Es kommt ja eine Art Liste welches das Programm abarbeitet..

Punkt 10
Punkt 11
...

etc.

Wird hierbei die Fehlermeldung ausgeworfen?



Sophos scannen lassen

* Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
* Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
* Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
* Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
* Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.


Gmer scannen lassen

* Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
* Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.
* Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
(Wichtig: "Show all" darf nicht angehakt sein)
* Starte den Scan mit "Scan".
Mache nichts am Computer während der Scan läuft.
* Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Nein, das System wird nicht neu gestartet. Es erscheint auf dem Desktop lediglich ein ganz kleines Fenster, in dem ein grüner Balken läuft, sonst nichts.

Versuche Combofix einfach nochmal zu starten, zwei bis dreimal hintereinander...wenn es dann immer noch nicht klappt scanne mit Sophos und GMER.