Guten Abend, ich leg mal los.

Also, vor einiger Zeit hat mich der Windows Updater darauf aufmerksam gemacht, dass ich SP 3 installieren soll.
Als ich das Update gestartet habe, hat mir der Rechner plötzlich mitgeteilt, dass das Updaten nicht möglich sei.

Hab mir nix weiter gedacht, und das immer mal wieder probiert, aber es hat nie funktioniert. Jetzt bekomme ich keine Aufforderung mehr, allerdings kann ich nicht mal in Eigentinitiative bei microsoft.com, chip.de oder sonstwo das Update fahren, der Rechner verweigert es mir einfach, indem er mich auf irgendeine beliebige Website umleitet.

Also habe ich AntiVir durchlaufen lassen und etwas gefunden, dass sich 'TR/Patched.CK.56' nennt. Wie ich inzwischen raus gefunden habe, irgendein Trojaner.

Und als ich mich hier umgeschaut habe, hab ich auch heraus gefunden, dass dieser Trojaner für die falsche Website - Verlinkung bei google.de (ich werde einfach auf andere Seiten umgeleitet), meinen viel zu lahmarschig arbeitenden Rechner und einige ander Sachen verantwortlich sein könnte.

Nun meine Frage:

wie werde ich dieses Ding wieder los, und vor allem, woher weiß ich, was es schon alles für Schaden angerichtet hat, und ob da noch mehr ist? Laut AntiVir ist das das einzige Problem. Achso, AntiVir kriege ich übrigens nicht geupdatet, weil es angeblich nicht online gehen kann. Könnte auch mit dem Wurm zusammen hängen, hab ich zumindest so erlesen.

Und eine ganz große Bitte:

ich bin eine Frau, die unheimlich glücklich darüber ist, dass ihr Rechner läuft, wenn er läuft, und sich mit Fachchinesisch nicht wirklich auskennt (was mich hier in den anderen Beiträgen einfach hat scheitern lassen).
Wenn es also irgendwie einfach zu erklären geht, und den selben Effekt hat, dann bitte ich inständigst darum...

Vielen Dank schon mal im Voraus, für Fragen steh ich zur Verfügung, und für jede Hilfe bin ich dankbar.

Halli hallo pusteblume und

Poste bitte die Pfadangaben zum Schädling die dir AntiVir ausgibt. Wie zu Beispiel: C:\system32\TrojanerDateiX.exe

Halte dich auch sonst an unsere NUBs

Zitat:

Zitat von undoreal

Halli hallo pusteblume und

Poste bitte die Pfadangaben zum Schädling die dir AntiVir ausgibt. Wie zu Beispiel: C:\system32\TrojanerDateiX.exe

Halte dich auch sonst an unsere NUBs

Also bisher hab ich nur folgendes gefunden:

C:\Dokumente und Einstellungen\HOME\Lokale Einstellungen\Temp\tmp11.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.CK.56
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f0cac6.qua' verschoben!
C:\Dokumente und Einstellungen\HOME\Lokale Einstellungen\Temp\tmp1D.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.CK.56
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488145c7.qua' verschoben!
C:\Dokumente und Einstellungen\HOME\Lokale Einstellungen\Temp\tmp3.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.CK.56
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f0cac7.qua' verschoben!
C:\Dokumente und Einstellungen\HOME\Lokale Einstellungen\Temp\tmp30.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.CK.56
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488145c8.qua' verschoben!
C:\Dokumente und Einstellungen\HOME\Lokale Einstellungen\Temp\tmp8.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.CK.56
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f0cac8.qua' verschoben!

Hab noch folgendes vom "Trojan Remover 6.7.5" bekommen
***** THE SYSTEM HAS BEEN RESTARTED *****
29.01.2009 19:47:57: Trojan Remover has been restarted
=======================================================
Removing the following registry keys:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9} - already removed (or did not exist)
HKCR\CLSID\{DBC80044-A445-435b-BC74-9C25C1C588A9} - already removed (or did not exist)
=======================================================
29.01.2009 19:47:57: Trojan Remover closed
************************************************************


***** NORMAL SCAN FOR ACTIVE MALWARE *****
Trojan Remover Ver 6.7.5.2555. For information, email support@simplysup1.com
[Unregistered version]
Scan started at: 19:44:53 29 Jan 2009
Using Database v7275
Operating System: Windows XP SP2 [Windows XP Professional Service Pack 2 (Build 2600)]
File System: NTFS
Data directory: C:\Dokumente und Einstellungen\HOME\Anwendungsdaten\Simply Super Software\Trojan Remover\
Database directory: C:\Programme\Trojan Remover\
Logfile directory: C:\Dokumente und Einstellungen\HOME\Eigene Dateien\Simply Super Software\Trojan Remover Logfiles\
Program directory: C:\Programme\Trojan Remover\
Running with Administrator privileges

************************************************************
PC appears to be in SAFE MODE with Network Support.

************************************************************


************************************************************
19:44:53: Scanning ----------WIN.INI-----------
WIN.INI found in C:\WINDOWS.0

************************************************************
19:44:53: Scanning --------SYSTEM.INI---------
SYSTEM.INI found in C:\WINDOWS.0

************************************************************
19:44:53: ----- SCANNING FOR ROOTKIT SERVICES -----
Hidden Service Keyname: msqpdxserv.sys
No action taken on this hidden service - no ImagePath or Driver found
----------

************************************************************
19:44:54: Scanning -----WINDOWS REGISTRY-----
--------------------
Checking HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon
--------------------
Checking HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon
This key's "Shell" value calls the following program(s):
File: Explorer.exe
C:\WINDOWS.0\Explorer.exe
1036288 bytes
Created: 03.08.2004
Modified: 13.06.2007
Company: Microsoft Corporation
----------
This key's "Userinit" value calls the following program(s):
File: C:\WINDOWS.0\system32\userinit.exe
C:\WINDOWS.0\system32\userinit.exe
25088 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
----------
This key's "System" value appears to be blank
----------
This key's "UIHost" value calls the following program:
File: logonui.exe
C:\WINDOWS.0\system32\logonui.exe
515072 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
----------
--------------------
Checking HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
--------------------
Checking HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Value Name: load
--------------------
Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value Name: NeroFilterCheck
Value Data: C:\WINDOWS.0\system32\NeroCheck.exe
C:\WINDOWS.0\system32\NeroCheck.exe
155648 bytes
Created: 05.01.2009
Modified: 09.07.2001
Company: Ahead Software Gmbh
--------------------
Value Name: Adobe Reader Speed Launcher
Value Data: "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
34672 bytes
Created: 12.06.2008
Modified: 12.06.2008
Company: Adobe Systems Incorporated
--------------------
Value Name: avgnt
Value Data: "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
266497 bytes
Created: 28.01.2009
Modified: 12.06.2008
Company: Avira GmbH
--------------------
Value Name: TrojanScanner
Value Data: C:\Programme\Trojan Remover\Trjscan.exe /boot
C:\Programme\Trojan Remover\Trjscan.exe
1230728 bytes
Created: 29.01.2009
Modified: 10.12.2008
Company: Simply Super Software
--------------------
--------------------
Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
This Registry Key appears to be empty
--------------------
Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
This Registry Key appears to be empty
--------------------
Checking HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Value Name: CTFMON.EXE
Value Data: C:\WINDOWS.0\system32\ctfmon.exe
C:\WINDOWS.0\system32\ctfmon.exe
15360 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
--------------------
Value Name: ICQ
Value Data: "C:\Programme\ICQ6\ICQ.exe" silent
C:\Programme\ICQ6\ICQ.exe
173304 bytes
Created: 21.11.2007
Modified: 01.09.2008
Company: ICQ, Inc.
--------------------
--------------------
Checking HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
This Registry Key appears to be empty

************************************************************
19:44:55: Scanning -----SHELLEXECUTEHOOKS-----
ValueName: {AEB6717E-7E19-11d0-97EE-00C04FD91972}
File: shell32.dll - this file is expected and has been left in place
----------

************************************************************
19:44:55: Scanning -----HIDDEN REGISTRY ENTRIES-----
Taskdir check completed
----------
No Hidden File-loading Registry Entries found
----------

************************************************************
19:44:55: Scanning -----ACTIVE SCREENSAVER-----
ScreenSaver: C:\WINDOWS.0\System32\logon.scr
C:\WINDOWS.0\System32\logon.scr
220672 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
--------------------

************************************************************
19:44:55: Scanning ----- REGISTRY ACTIVE SETUP KEYS -----
Key: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
Path: C:\WINDOWS.0\inf\unregmp2.exe /ShowWMP
C:\WINDOWS.0\inf\unregmp2.exe
212992 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
----------
Key: >{26923b43-4d38-484f-9b9e-de460746276c}
Path: %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
C:\WINDOWS.0\system32\shmgrate.exe
42496 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
----------
Key: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS
Path: RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
C:\WINDOWS.0\system32\IEDKCS32.DLL
323584 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
----------
Key: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a}
Path: %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
C:\WINDOWS.0\system32\shmgrate.exe
42496 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
----------
Key: {2C7339CF-2B09-4501-B3F3-F3508C9228ED}
Path: %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
C:\WINDOWS.0\system32\themeui.dll
389632 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
----------
Key: {44BBA840-CC51-11CF-AAFA-00AA00B6015C}
Path: "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
C:\Programme\Outlook Express\setup50.exe
74240 bytes
Created: 29.11.2007
Modified: 03.08.2004
Company: Microsoft Corporation
----------
Key: {44BBA842-CC51-11CF-AAFA-00AA00B6015B}
Path: rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.0\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
C:\WINDOWS.0\INF\msnetmtg.inf
92678 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: [no info]
----------
Key: {5945c046-1e7d-11d1-bc44-00c04fd912be}
Path: rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.0\INF\msmsgs.inf,BLC.QuietInstall.PerUser
C:\WINDOWS.0\INF\msmsgs.inf
104030 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: [no info]
----------
Key: {6BF52A52-394A-11d3-B153-00C04F79FAA6}
Path: rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.0\INF\wmp.inf,PerUserStub
C:\WINDOWS.0\INF\wmp.inf
57688 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: [no info]
----------
Key: {7790769C-0471-11d2-AF11-00C04FA35D02}
Path: "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
C:\Programme\Outlook Express\setup50.exe
74240 bytes
Created: 29.11.2007
Modified: 03.08.2004
Company: Microsoft Corporation
----------
Key: {89820200-ECBD-11cf-8B85-00AA005B4340}
Path: regsvr32.exe /s /n /i:U shell32.dll
C:\WINDOWS.0\system32\shell32.dll
8495616 bytes
Created: 03.08.2004
Modified: 25.10.2007
Company: Microsoft Corporation
----------
Key: {89820200-ECBD-11cf-8B85-00AA005B4383}
Path: %SystemRoot%\system32\ie4uinit.exe
C:\WINDOWS.0\system32\ie4uinit.exe
34304 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
----------

************************************************************
19:44:56: Scanning ----- SERVICEDLL REGISTRY KEYS -----
Key: BITS
Path: C:\WINDOWS.0\system32\qmgr.dll
C:\WINDOWS.0\system32\qmgr.dll
382464 bytes
Created: 29.11.2007
Modified: 03.08.2004
Company: Microsoft Corporation
--------------------
Key: EventSystem
Path: C:\WINDOWS.0\system32\es.dll
C:\WINDOWS.0\system32\es.dll
253952 bytes
Created: 03.08.2004
Modified: 07.07.2008
Company: Microsoft Corporation
--------------------
Key: HidServ
%SystemRoot%\System32\hidserv.dll - file is globally excluded (file cannot be found)
--------------------
Key: srservice
Path: C:\WINDOWS.0\system32\srsvc.dll
C:\WINDOWS.0\system32\srsvc.dll
171008 bytes
Created: 29.11.2007
Modified: 03.08.2004
Company: Microsoft Corporation
--------------------
Key: W32Time
Path: C:\WINDOWS.0\system32\w32time.dll
C:\WINDOWS.0\system32\w32time.dll
176640 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
--------------------
Key: WmdmPmSN
Path: C:\WINDOWS.0\system32\MsPMSNSv.dll
C:\WINDOWS.0\system32\MsPMSNSv.dll
25088 bytes
Created: 03.08.2004
Modified: 28.01.2005
Company: Microsoft Corporation
--------------------
Key: wuauserv
Path: C:\WINDOWS.0\system32\wuauserv.dll
C:\WINDOWS.0\system32\wuauserv.dll
6656 bytes
Created: 29.11.2007
Modified: 03.08.2004
Company: Microsoft Corporation
--------------------

************************************************************
19:44:57: Scanning ----- SERVICES REGISTRY KEYS -----
Key: AntiVirScheduler
ImagePath: "C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
68865 bytes
Created: 28.01.2009
Modified: 15.10.2008
Company: Avira GmbH
----------
Key: AntiVirService
ImagePath: "C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
151297 bytes
Created: 28.01.2009
Modified: 15.10.2008
Company: Avira GmbH
----------
Key: avgio
ImagePath: \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys
11840 bytes
Created: 28.01.2009
Modified: 27.02.2007
Company: Avira GmbH
----------
Key: avgntflt
ImagePath: \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
52032 bytes
Created: 28.01.2009
Modified: 20.05.2008
Company: Avira GmbH
----------
Key: avipbb
ImagePath: system32\DRIVERS\avipbb.sys
C:\WINDOWS.0\system32\DRIVERS\avipbb.sys
75072 bytes
Created: 28.01.2009
Modified: 30.10.2008
Company: Avira GmbH
----------
Key: COMSysApp
ImagePath: C:\WINDOWS.0\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
C:\WINDOWS.0\system32\dllhost.exe
5120 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
----------
Key: getPlus(R) Helper
ImagePath: C:\Programme\NOS\bin\getPlus_HelperSvc.exe
C:\Programme\NOS\bin\getPlus_HelperSvc.exe
33752 bytes
Created: 11.01.2009
Modified: 01.12.2008
Company: NOS Microsystems Ltd.
----------
Key: HSFHWALI
ImagePath: system32\DRIVERS\HSFHWALI.sys
C:\WINDOWS.0\system32\DRIVERS\HSFHWALI.sys
196736 bytes
Created: 29.11.2007
Modified: 11.12.2003
Company: Conexant Systems, Inc.
----------
Key: ImapiService
ImagePath: C:\WINDOWS.0\system32\imapi.exe
C:\WINDOWS.0\system32\imapi.exe
150016 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
----------
Key: mnmsrvc
ImagePath: C:\WINDOWS.0\system32\mnmsrvc.exe
C:\WINDOWS.0\system32\mnmsrvc.exe
32768 bytes
Created: 29.11.2007
Modified: 03.08.2004
Company: Microsoft Corporation
----------
Key: MSDTC
ImagePath: C:\WINDOWS.0\system32\msdtc.exe
C:\WINDOWS.0\system32\msdtc.exe
6144 bytes
Created: 29.11.2007
Modified: 03.08.2004
Company: Microsoft Corporation
----------
Key: MSIServer
ImagePath: C:\WINDOWS.0\system32\msiexec.exe /V
C:\WINDOWS.0\system32\msiexec.exe
78848 bytes
Created: 03.08.2004
Modified: 04.05.2005
Company: Microsoft Corporation
----------
Key: RDSessMgr
ImagePath: C:\WINDOWS.0\system32\sessmgr.exe
C:\WINDOWS.0\system32\sessmgr.exe
142848 bytes
Created: 29.11.2007
Modified: 03.08.2004
Company: Microsoft Corporation
----------
Key: rtl8180
ImagePath: system32\DRIVERS\MA521nd5.SYS
C:\WINDOWS.0\system32\DRIVERS\MA521nd5.SYS
172416 bytes
Created: 29.11.2007
Modified: 30.07.2003
Company: NETGEAR, Inc.
----------
Key: SjyPkt
ImagePath: \??\C:\WINDOWS.0\System32\Drivers\SjyPkt.sys
C:\WINDOWS.0\System32\Drivers\SjyPkt.sys
13532 bytes
Created: 16.12.2003
Modified: 16.12.2003
Company: Windows (R) 2000 DDK provider
----------
Key: SNC
ImagePath: system32\DRIVERS\SonyNC.sys
C:\WINDOWS.0\system32\DRIVERS\SonyNC.sys
20752 bytes
Created: 29.11.2007
Modified: 17.08.2001
Company: Sony Corporation
----------
Key: ssmdrv
ImagePath: system32\DRIVERS\ssmdrv.sys
C:\WINDOWS.0\system32\DRIVERS\ssmdrv.sys
21248 bytes
Created: 28.01.2009
Modified: 08.11.2007
Company: AVIRA GmbH
----------
Key: SwPrv
ImagePath: C:\WINDOWS.0\system32\dllhost.exe /Processid:{6530986C-6EE3-4837-9071-6C77EED3532E}
C:\WINDOWS.0\system32\dllhost.exe
5120 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
----------
Key: tifmsony
ImagePath: system32\drivers\tifmsony.sys
C:\WINDOWS.0\system32\drivers\tifmsony.sys
65024 bytes
Created: 29.11.2007
Modified: 21.05.2004
Company: Texas Instruments
----------
Key: TlntSvr
ImagePath: C:\WINDOWS.0\system32\tlntsvr.exe
C:\WINDOWS.0\system32\tlntsvr.exe
75264 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
----------
Key: UMWdf
ImagePath: C:\WINDOWS.0\system32\wdfmgr.exe
C:\WINDOWS.0\system32\wdfmgr.exe
38912 bytes
Created: 28.01.2005
Modified: 28.01.2005
Company: Microsoft Corporation
----------
Key: WmiApSrv
ImagePath: C:\WINDOWS.0\system32\wbem\wmiapsrv.exe
C:\WINDOWS.0\system32\wbem\wmiapsrv.exe
126464 bytes
Created: 29.11.2007
Modified: 03.08.2004
Company: Microsoft Corporation
----------

************************************************************
19:45:02: Scanning -----VXD ENTRIES-----

************************************************************
19:45:02: Scanning ----- WINLOGON\NOTIFY DLLS -----

************************************************************
19:45:02: Scanning ----- CONTEXTMENUHANDLERS -----
Key: Shell Extension for Malware scanning
CLSID: {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
Path: C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll
C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll
65793 bytes
Created: 28.01.2009
Modified: 12.06.2008
Company: Avira GmbH
----------
Key: WinRAR
CLSID: {B41DB860-8EE4-11D2-9906-E49FADC173CA}
Path: C:\Programme\WinRAR\rarext.dll
C:\Programme\WinRAR\rarext.dll
129024 bytes
Created: 30.01.2008
Modified: 20.09.2007
Company: [no info]
----------

************************************************************
19:45:02: Scanning ----- FOLDER\COLUMNHANDLERS -----
Key: {F9DB5320-233E-11D1-9F84-707F02C10627}
File: C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
378200 bytes
Created: 11.06.2008
Modified: 11.06.2008
Company: Adobe Systems, Inc.
----------

************************************************************
19:45:03: Scanning ----- BROWSER HELPER OBJECTS -----
Key: {055FD26D-3A88-4e15-963D-DC8493744B1D}
BHO: C:\PROGRA~1\ICQTOO~1\toolbaru.dll
C:\PROGRA~1\ICQTOO~1\toolbaru.dll
701952 bytes
Created: 08.12.2007
Modified: 25.12.2006
Company: IE Toolbar
----------
Key: {18DF081C-E8AD-4283-A596-FA578C2EBDC3}
BHO: C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
75128 bytes
Created: 11.06.2008
Modified: 11.06.2008
Company: Adobe Systems Incorporated
----------
Key: {DBC80044-A445-435b-BC74-9C25C1C588A9}
BHO: C:\Programme\Java\jre6\bin\jp2ssv.dll
C:\Programme\Java\jre6\bin\jp2ssv.dll - this BHO was being loaded by the following key:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9} - this key has been removed [file not found to scan]
C:\Programme\Java\jre6\bin\jp2ssv.dll - this BHO was referenced by the following key:
HKEY_CLASSES_ROOT\CLSID\{DBC80044-A445-435b-BC74-9C25C1C588A9} - this key has been removed
----------

************************************************************
19:45:21: Scanning ----- SHELLSERVICEOBJECTS -----
Key: SysTray
CLSID: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Path: C:\WINDOWS.0\system32\stobject.dll
C:\WINDOWS.0\system32\stobject.dll
122368 bytes
Created: 03.08.2004
Modified: 03.08.2004
Company: Microsoft Corporation
----------

************************************************************
19:45:21: Scanning ----- SHAREDTASKSCHEDULER ENTRIES -----

************************************************************
19:45:21: Scanning ----- IMAGEFILE DEBUGGERS -----
No "Debugger" entries found.

************************************************************
19:45:21: Scanning ----- APPINIT_DLLS -----
The AppInit_DLLs value is blank or does not exist

************************************************************
19:45:21: Scanning ----- SECURITY PROVIDER DLLS -----

************************************************************
19:45:22: Scanning ------ COMMON STARTUP GROUP ------
[C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Startmenü\Programme\Autostart]
The Common Startup Group attempts to load the following file(s) at boot time:
C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Startmenü\Programme\Autostart\desktop.ini
-HS- 84 bytes
Created: 29.11.2007
Modified: 29.11.2007
Company: [no info]
--------------------
C:\Programme\NETGEAR\NETGEAR MA521 Adapter\wlancfg5.exe
425984 bytes
Created: 10.03.2004
Modified: 10.03.2004
Company:
MA521 Configuration Utility.lnk - links to C:\Programme\NETGEAR\NETGEAR MA521 Adapter\wlancfg5.exe
--------------------
C:\Programme\Microsoft Office\Office10\OSA.EXE
83360 bytes
Created: 13.02.2001
Modified: 13.02.2001
Company: Microsoft Corporation
Microsoft Office.lnk - links to C:\Programme\Microsoft Office\Office10\OSA.EXE
--------------------

************************************************************
No User Startup Groups were located to check

************************************************************
19:45:22: Scanning ----- SCHEDULED TASKS -----
No Scheduled Tasks found to scan

************************************************************
19:45:22: Scanning ----- SHELLICONOVERLAYIDENTIFIERS -----

************************************************************
19:45:22: ----- ADDITIONAL CHECKS -----
PE386 rootkit checks completed
----------
Winlogon registry rootkit checks completed
----------
Heuristic checks for hidden files/drivers completed
----------
Layered Service Provider entries checks completed
----------
Windows Explorer Policies checks completed
----------
Checking for specific malicious files:
C:\resycled\boot.com - Trojan.Agent
C:\resycled\boot.com - process is either not running or could not be terminated
C:\resycled\boot.com - READ-ONLY, HIDDEN and SYSTEM file attributes removed
C:\resycled\boot.com - file renamed to: C:\resycled\boot.com.vir
C:\Programme\Mozilla Firefox\components\iamfamous.dll - Trojan.Agent
C:\Programme\Mozilla Firefox\components\iamfamous.dll - file renamed to: C:\Programme\Mozilla Firefox\components\iamfamous.dll.vir
----------
Desktop Wallpaper: C:\Dokumente und Einstellungen\HOME\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
C:\Dokumente und Einstellungen\HOME\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
1440054 bytes
Created: 13.06.2008
Modified: 23.12.2008
Company: [no info]
----------
Web Desktop Wallpaper: %USERPROFILE%\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
C:\Dokumente und Einstellungen\HOME\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
1440054 bytes
Created: 13.06.2008
Modified: 23.12.2008
Company: [no info]
----------
Checking autorun.inf in C:\
C:\autorun.inf
-RHS- 255 bytes
Created: 01.01.2009
Modified: 05.01.2009
Company: [no info]
C:\autorun.inf ShellExecute entry: ["resycled\boot.com c:"]
C:\resycled\boot.com - already disabled
C:\autorun.inf - READ-ONLY, HIDDEN and SYSTEM file attributes removed
C:\autorun.inf - file renamed to: C:\autorun.inf.vir
----------
Checking autorun.inf in E:\
E:\autorun.inf
-RHS- 255 bytes
Created: 04.01.2009
Modified: 05.01.2009
Company: [no info]
E:\autorun.inf ShellExecute entry: ["resycled\boot.com e:"]
E:\resycled\boot.com
-RHS- 30208 bytes
Created: 04.01.2009
Modified: 26.12.2008
Company: [no info]
E:\autorun.inf - READ-ONLY, HIDDEN and SYSTEM file attributes removed
E:\autorun.inf - file renamed to: E:\autorun.inf.vir
----------
--------------------
Rogue DNS NameServers:
Interface: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC
NameServers: 85.255.112.37,85.255.112.38
[85.255.112.37,85.255.112.38] - Rogue DNS Nameserver entry removed
Rogue DNS NameServers:
Interface: NETGEAR MA521 802.11b Wireless PC Card
NameServers: 85.255.112.37,85.255.112.38
[85.255.112.37,85.255.112.38] - Rogue DNS Nameserver entry removed
Checks for rogue DNS NameServers completed
----------
Additional checks completed

************************************************************
=== CHANGES WERE MADE TO THE WINDOWS REGISTRY ===
=== ONE OR MORE FILES WERE RENAMED OR REMOVED ===
Scan completed at: 19:46:19 29 Jan 2009
Total Scan time: 00:01:25
-------------------------------------------------------------------------
One or more files could not be moved or renamed as requested.
They may be in use by Windows, so Trojan Remover needs
to restart the system in order to deal with these files.
29.01.2009 19:46:23: restart commenced
************************************************************


Danke erstmal vorab.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.




Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
  Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter.
  .
• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Installation des aktuellen ServicePacks:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  • Vista_ TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume mit cCleaner auf; Punkte 1&2.
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

Poste danach bitte ein HijackThis log.