Hallo gestern hat gdata bei der Virensuche folgendes gefunden:

Objekt: KcrnadDrv.dll
Pfad: C:\WINDOWS\system32
Status: Datei in Quarantäne verschoben
Virus: Trojan-GameThief.Win32.OnLineGames.tbvu (Engine A)

Danach habe ich den Windows Defender laufen lassen dabei hat gdata gemeldet das der Defender auf folgende Datei zugreifen wollte:

Beim Öffnen der Datei "C:\System Volume Information\_restore{2F823A05-9788-47A3-9135-A17FC959480A}\RP425\A0142290.dll" wurde der Virus "Trojan-GameThief.Win32.OnLineGames.tbvu" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.

Beide Dateien habe ich in die Quarantäne geschoben und dort gelöscht.

Hier ist nun noch das HijackThis Protokoll es wäre sehr nett wenn sich das jemand anschauen könnte da ich tatsächlich auch online Spiele und nun erst mal verunsichert bin.
Vielen Dank im voraus.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:44:09, on 11.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\tools\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Tools\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Tools\Logitech\MouseWare\system\em_exec.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\issch.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Tools\FRITZ!DSL\StCenter.exe
C:\Tools\FRITZ!DSL\FwebProt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\tools\FREEDO~1\fdm.exe
C:\spiele\x-mods-patche\ht\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = **tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = **tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = **tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = **tp://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\tools\Free Download Manager\iefdm2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\tools\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\issch.exe" -start
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Firefox Installer] "C:\Programme\DivX\Google\Firefox\ffinstaller.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Tools\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Tools\FRITZ!DSL\StCenter.exe
O4 - Global Startup: WinCinema Manager.lnk = C:\Tools\Sandisk\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Tools\FRITZ!DSL\StCenter.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Tools\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\tools\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\tools\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\tools\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\tools\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\tools\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\tools\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\tools\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\tools\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8C4850F-98D5-4312-8474-6D416193DD7C}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\tools\Ad-Aware\aawservice.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Tools\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 8240 bytes

Ps: Die appdrvrem01.exe habe ich bereits von Gdata online prüfen lassen ohne das gdata dort etwas gefunden hat, da sie beim googlen auffällig war.

Halli hallo.

Fixe mit HJT folgenden Eintrag:

Zitat:

O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\System32\appdrvrem01.exe
C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\issch. exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Hallo, vielen Dank für die nette Hilfe.
Hier die Ergebnisse:

Datei issch.exe empfangen 2008.09.11 17:31:14 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 39 und 56 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.12.0 2008.09.11 -
AntiVir 7.8.1.28 2008.09.11 -
Authentium 5.1.0.4 2008.09.11 -
Avast 4.8.1195.0 2008.09.11 -
AVG 8.0.0.161 2008.09.11 -
BitDefender 7.2 2008.09.11 -
CAT-QuickHeal 9.50 2008.09.11 -
ClamAV 0.93.1 2008.09.11 -
DrWeb 4.44.0.09170 2008.09.11 -
eSafe 7.0.17.0 2008.09.10 -
eTrust-Vet 31.6.6084 2008.09.11 -
Ewido 4.0 2008.09.11 -
F-Prot 4.4.4.56 2008.09.10 -
F-Secure 8.0.14332.0 2008.09.11 -
Fortinet 3.113.0.0 2008.09.11 -
GData 19 2008.09.11 -
Ikarus T3.1.1.34.0 2008.09.11 -
K7AntiVirus 7.10.452 2008.09.11 -
Kaspersky 7.0.0.125 2008.09.11 -
McAfee 5381 2008.09.10 -
Microsoft 1.3903 2008.09.11 -
NOD32v2 3434 2008.09.11 -
Norman 5.80.02 2008.09.11 -
Panda 9.0.0.4 2008.09.10 -
PCTools 4.4.2.0 2008.09.11 -
Prevx1 V2 2008.09.11 -
Rising 20.61.32.00 2008.09.11 -
Sophos 4.33.0 2008.09.11 -
Sunbelt 3.1.1624.1 2008.09.11 -
Symantec 10 2008.09.11 -
TheHacker 6.3.0.9.077 2008.09.10 -
TrendMicro 8.700.0.1004 2008.09.11 -
VBA32 3.12.8.5 2008.09.10 -
ViRobot 2008.9.11.1373 2008.09.11 -
VirusBuster 4.5.11.0 2008.09.11 -
Webwasher-Gateway 6.6.2 2008.09.11 -
weitere Informationen
File size: 81920 bytes
MD5...: d2aeadfd998706b4216315b2bd3fa79e
SHA1..: 38cc63c7120b42a36c1b937c4687967c83319349
SHA256: d45634355b7733f9b6754a6fb80b7ec20c0d584a08e2f710df612b393d96a8f9
SHA512: 010f5782ab635cb98f14c1f7a8538e2ad1dfed03ddc7439e6acbfeb0f435c0d6
1a798a138adc0502e72d11b1040fa21b3d1187807ee9a3c11fedeb6441005108
PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40847d
timedatestamp.....: 0x4213c5a7 (Wed Feb 16 22:13:59 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xcaae 0xd000 6.54 a140a1baeb89545b050033d6b0004d2e
.rdata 0xe000 0x1a24 0x2000 3.99 6716b8a3f2cbd704ede4d455643edc42
.data 0x10000 0x30a4 0x3000 0.95 51db268d775dbbb00adf3e0119f0d98a
.rsrc 0x14000 0x950 0x1000 1.97 1c14584485b28ac397cebc6bacb88e3b

( 3 imports )
> KERNEL32.dll: CompareStringA, GetProcAddress, CompareStringW, CreateProcessA, OpenMutexA, CreateMutexA, LoadLibraryA, CloseHandle, RtlUnwind, ExitProcess, TerminateProcess, GetCurrentProcess, GetTimeZoneInformation, GetSystemTime, GetLocalTime, GetLastError, GetFullPathNameA, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, HeapFree, RaiseException, HeapAlloc, HeapReAlloc, HeapSize, WideCharToMultiByte, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetCurrentDirectoryA, GetDriveTypeA, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, WriteFile, VirtualAlloc, IsBadWritePtr, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadCodePtr, GetStringTypeA, GetStringTypeW, GetCPInfo, GetACP, GetOEMCP, SetEnvironmentVariableA
> USER32.dll: GetMessageA, TranslateMessage, DispatchMessageA, SetTimer
> ADVAPI32.dll: RegSetValueExA, RegQueryValueExA, RegCreateKeyA, RegCloseKey, RegOpenKeyExA, RegDeleteValueA

( 0 exports )

Datei appdrvrem01.exe empfangen 2008.09.11 17:27:06 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 48 und 68 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.12.0 2008.09.11 -
AntiVir 7.8.1.28 2008.09.11 -
Authentium 5.1.0.4 2008.09.11 -
Avast 4.8.1195.0 2008.09.11 -
AVG 8.0.0.161 2008.09.11 -
BitDefender 7.2 2008.09.11 -
CAT-QuickHeal 9.50 2008.09.11 -
ClamAV 0.93.1 2008.09.11 -
DrWeb 4.44.0.09170 2008.09.11 -
eSafe 7.0.17.0 2008.09.10 -
eTrust-Vet 31.6.6084 2008.09.11 -
Ewido 4.0 2008.09.11 -
F-Prot 4.4.4.56 2008.09.10 -
F-Secure 8.0.14332.0 2008.09.11 -
Fortinet 3.113.0.0 2008.09.11 -
GData 19 2008.09.11 -
Ikarus T3.1.1.34.0 2008.09.11 -
K7AntiVirus 7.10.452 2008.09.11 -
Kaspersky 7.0.0.125 2008.09.11 -
McAfee 5381 2008.09.10 -
Microsoft 1.3903 2008.09.11 -
NOD32v2 3434 2008.09.11 -
Norman 5.80.02 2008.09.11 -
Panda 9.0.0.4 2008.09.10 -
PCTools 4.4.2.0 2008.09.11 -
Prevx1 V2 2008.09.11 -
Rising 20.61.32.00 2008.09.11 -
Sophos 4.33.0 2008.09.11 -
Sunbelt 3.1.1624.1 2008.09.11 -
Symantec 10 2008.09.11 -
TheHacker 6.3.0.9.077 2008.09.10 -
TrendMicro 8.700.0.1004 2008.09.11 -
VBA32 3.12.8.5 2008.09.10 -
ViRobot 2008.9.11.1373 2008.09.11 -
VirusBuster 4.5.11.0 2008.09.11 -
Webwasher-Gateway 6.6.2 2008.09.11 -
weitere Informationen
File size: 304528 bytes
MD5...: 3f56e9e6f01d014a70718f3986566481
SHA1..: 09f6b561551b92ff498dec8633ee6ccc0daffa07
SHA256: b9c39e3b3b2ac52dd890c89a3ab06e2a812ea4d7b291145f776bb8a35d4cb0a5
SHA512: 1b216aed2cef4586f13ca9ca141021d2895ec6ea9b60c91ffb679a77621efa75
7f843ce1c142550c904e9a81f5d93e76216d3d3248ee6c4399bd519514282055
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x414842
timedatestamp.....: 0x48689439 (Mon Jun 30 08:07:21 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b903 0x2c000 6.56 5eb91fbfae17dd2f7681a11dd859c50e
.rdata 0x2d000 0x1634c 0x17000 4.76 ea3abc23bd474e07e5bcc8be7cfd082a
.data 0x44000 0x5d94 0x4000 4.69 2ec59dce875d2fcb69a76efe0b6d29bc
.rsrc 0x4a000 0x4c8 0x1000 1.29 d80ef2b75cfd1159071bc82f77ddb834

( 4 imports )
> VERSION.dll: GetFileVersionInfoW, VerQueryValueA, GetFileVersionInfoSizeW
> KERNEL32.dll: GetCurrentProcess, LoadLibraryW, LocalFree, SetLastError, GetFullPathNameW, QueryDosDeviceW, GetVersionExA, GetVersionExW, LoadLibraryA, CreateFileA, CreateFileW, GetModuleFileNameA, CreateFileMappingA, CreateFileMappingW, CreateMutexA, CreateMutexW, GetSystemDirectoryA, GetSystemDirectoryW, GetWindowsDirectoryA, GetWindowsDirectoryW, GetDriveTypeW, FindFirstFileA, FindFirstFileW, GetEnvironmentVariableW, GetModuleHandleW, WriteConsoleA, CreateProcessA, CreateProcessW, GetFileAttributesW, SetFileAttributesA, SetFileAttributesW, DeleteFileA, DeleteFileW, LocalAlloc, FormatMessageA, FormatMessageW, GetCPInfo, WideCharToMultiByte, FindClose, GetFileSize, ReadFile, WriteFile, SetFileTime, MapViewOfFile, UnmapViewOfFile, DeviceIoControl, Sleep, AreFileApisANSI, GetOEMCP, GetACP, SleepEx, WaitForMultipleObjectsEx, ReleaseMutex, GetExitCodeProcess, WaitForSingleObject, SetEndOfFile, SetStdHandle, SetFilePointer, GetConsoleOutputCP, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, LCMapStringA, GetSystemTime, SystemTimeToFileTime, FreeLibrary, CloseHandle, LCMapStringW, MultiByteToWideChar, GetModuleHandleA, GetProcAddress, InterlockedDecrement, InterlockedIncrement, GetTickCount, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, GetEnvironmentVariableA, GetStdHandle, WriteConsoleW, VirtualFree, VirtualAlloc, GetLastError, GetCommandLineW, GetFileAttributesA, HeapSize, FlushFileBuffers, GetConsoleMode, HeapAlloc, HeapFree, RtlUnwind, HeapReAlloc, RaiseException, GetCommandLineA, GetProcessHeap, GetStartupInfoA, HeapDestroy, HeapCreate, ExitProcess, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCurrentThreadId, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetCurrentProcessId, GetSystemTimeAsFileTime, GetConsoleCP
> USER32.dll: MessageBoxA, MessageBoxW
> ADVAPI32.dll: RegCloseKey, QueryServiceStatus, ControlService, DeleteService, CloseServiceHandle, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, RegQueryValueExW, RegQueryValueExA, RegDeleteValueW, RegSetValueExW, RegSetValueExA, RegEnumKeyExW, RegDeleteKeyW, RegOpenKeyExW, RegOpenKeyExA, RegCreateKeyExW, RegisterServiceCtrlHandlerW, StartServiceCtrlDispatcherW, StartServiceW, ChangeServiceConfigW, QueryServiceConfigW, CreateServiceW, OpenServiceW, OpenSCManagerW, SetServiceStatus

( 0 exports )
Zusätzlich habe ich noch mit mbam getestet:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1137
Windows 5.1.2600 Service Pack 3

11.09.2008 11:47:33
mbam-log-2008-09-11 (11-47-33).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 129785
Laufzeit: 1 hour(s), 30 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Es scheinen wohl zum Glück nur diese 2 bereits gelöschten Dateien infiziert gewesen zu sein, soweit ich das als Laie bewerten kann?

Edit:
Ich habe die appdrvrem01.exe mit HijackThis versucht zu fixen nach einem reboot und erneuten HijackThis ist sie aber immer noch vorhanden (taucht aber im Task Manager nicht auf, ich kann mich aber erinnern das sie manchmal direkt beim starten von Windows im TM erscheint und dann gleich wieder verschwindet):

O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe

Lade uns die C:\WINDOWS\System32\appdrvrem01.exe bitte auf den Server hoch. An das Ergebnis glaube ich nicht.

http://www.trojaner-board.de/54791-a...ner-board.html

Habe die Datei versandt.

Die Datei ist tatsächlich sauber.

Dann scheint es deinem Rechner gut zu gehen.. Ich würde vorsichtshalber alle meine Passwörter insb. die für online Games ändern. Denn bei dem Trojaner handelte es sich um einen Passwort Dieb.