Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.02.2009, 12:34   #1
mixas
 
Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Standard

Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...



Hallo, und schon mal vielen Dank an den jenigen der sich mit diesem Post beschäftigt. Ich habe mein Problem bemerkt als ich gestern im Arbeitsplatz meine Festplatte C:\ öffnen wollte und folgende Fehlermeldung erschien:

"RECYCLER\S-5-5-35-100025788-100006779-100001928-4221.com" konnte nicht gefunden werden. Stellen sie sicher, dass sie den Namen korrekt eingegeben habenund wiederholen sie den Vorgang. Klicken sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen.

Anschließend habe ich zunächst versucht mein Antivir upzudaten, was allerdings mißlang, da Antivir keine Verbindung zum Internet aufbauen konnte. Ich ließ Antivir dann einen Suchlauf machen, bei dem 8 Viren oder unerwünschte Programme gefunden wurden. Hier der Report:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 30. Januar 2009 16:15

Es wird nach 1244138 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Michel
Computername: BOMMEL

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 11:47:27
AVSCAN.DLL : 8.1.4.0 48897 Bytes 29.07.2008 10:51:10
LUKE.DLL : 8.1.4.5 164097 Bytes 29.07.2008 10:51:10
LUKERES.DLL : 8.1.4.0 12545 Bytes 29.07.2008 10:51:10
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 14:58:15
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 16:18:56
ANTIVIR2.VDF : 7.1.1.148 440832 Bytes 20.01.2009 15:37:42
ANTIVIR3.VDF : 7.1.1.159 140288 Bytes 21.01.2009 15:51:53
Engineversion : 8.2.0.57
AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 17:49:37
AESCRIPT.DLL : 8.1.1.26 340347 Bytes 16.01.2009 19:40:28
AESCN.DLL : 8.1.1.5 123251 Bytes 10.11.2008 10:14:35
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 12:37:41
AEPACK.DLL : 8.1.3.5 393588 Bytes 10.01.2009 16:49:17
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 15.12.2008 12:27:09
AEHEUR.DLL : 8.1.0.84 1540471 Bytes 16.01.2009 19:40:26
AEHELP.DLL : 8.1.2.0 119159 Bytes 19.11.2008 16:27:09
AEGEN.DLL : 8.1.1.10 323957 Bytes 16.01.2009 19:40:19
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 17:49:31
AECORE.DLL : 8.1.5.2 172405 Bytes 29.11.2008 12:31:25
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 17:49:27
AVWINLL.DLL : 1.0.0.12 15105 Bytes 29.07.2008 10:51:10
AVPREF.DLL : 8.0.2.0 38657 Bytes 29.07.2008 10:51:10
AVREP.DLL : 8.0.0.2 98344 Bytes 03.08.2008 11:13:16
AVREG.DLL : 8.0.0.1 33537 Bytes 29.07.2008 10:51:10
AVARKT.DLL : 1.0.0.23 307457 Bytes 18.04.2008 13:11:46
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 29.07.2008 10:51:10
SQLITE3.DLL : 3.3.17.1 339968 Bytes 18.04.2008 13:11:46
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 29.07.2008 10:51:11
NETNT.DLL : 8.0.0.1 7937 Bytes 18.04.2008 13:11:46
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 29.07.2008 10:51:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 29.07.2008 10:51:07

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Freitag, 30. Januar 2009 16:15

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WkCalRem.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BlueSoleil.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIADE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ktp3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVExe.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '48' Prozesse mit '48' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '63' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\185.tmp
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Crypted.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\89.tmp
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Crypted.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\93.tmp
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Crypted.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\tmp1.tmp
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\tmp1C.tmp
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\tmp1D.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.DY.1
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Michel\Lokale Einstellungen\Temp\tmp2.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.DY.1
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.
C:\Programme\Neue Programme\Spiele\HDDeluxe\hddeluxe.exe.part
[0] Archivtyp: CAB SFX (self extracting)
--> \autorun.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\96.tmp
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Crypted.Gen
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <Install>


Ende des Suchlaufs: Freitag, 30. Januar 2009 17:44
Benötigte Zeit: 1:29:22 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

10721 Verzeichnisse wurden überprüft
556022 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
8 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
556011 Dateien ohne Befall
9152 Archive wurden durchsucht
6 Warnungen
8 Hinweise


Das änderte leider nichts an meinem Problem, C:\ lässt sich immer noch nicht öffnen, Antivir lässt sich nicht updaten und Ad aware auch nicht. Außerdem lässt sich auch die Festplattenpartition D:\ nicht öffnen, allerdings ohne Fehlermeldung. Dann habe ich versucht eine Systemwiederherstellung zu starten, aber die startet nicht einmal. Soweit die von mir erkannten Probleme. Ich habe auch schon versucht mit der angezeigten Fehlermeldung zu googeln um Hilfe zu finden, allerdings sind die Hilfen die ich gefunden habe zu spezifisch um mir weiter zu helfen. Hier jetzt erstmal mein Hijack this logfile,
ich hoffe es kann mir jemand helfen, und ich lasse jetzt erstmal die Finger davon. Danke im Vorraus, mixas


Logfile of Trend Micro Hijack This v2.0.2
Scan saved at 13:08:54, on 01.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Neue Programme\Lavasoft\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\MSI\AV Wizard\AVExe.exe
C:\Programme\Elantech\ktp3.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Neue Programme\Highjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 79.99.43.128:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AV Wizard] C:\Programme\MSI\AV Wizard\AVExe.exe
O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB002" /M "Stylus C46"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121868772625
O16 - DPF: {826287F8-454E-11D9-ADFE-00062919A34C} (ActiveXUploadFotoCom.UserCtrlFotoCom) - http://express.foto.com/activeX/newUploadFotoCom.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Neue Programme\Lavasoft\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 9189 bytes

Alt 04.02.2009, 10:38   #2
mixas
 
Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Standard

Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...



Ich habe mittlerweile noch herausgefunden dass ich mir den Schrott wohl selber heruntereladen habe, während ich ein Programm aus dem Netz geladen habe, dieses sollte mit einem Keygen geöffnet werden, ich habe den Keygen zwar nicht ausgeführt und das Programm direkt wieder heruntergeschmissen, aber es hat wohl gereicht um meinen Rechner zu infizieren.
Außerdem habe ich eben imTask Manager einen Prozeß bemerkt, mit ähnlichem Namen wie diesem: "S-5-5-35-100025788-100006779-100001928-4221.com"
der die CPU fasst komplett auslastete. Ich nehme an das hat auch mit der Schadsoftware auf meinem Rechner zu tun. Seit meinem letzten Post habe ich zudem Antivir noch einmal durchlaufen lassen, leider immer noch mit der Virendefinition vom 21.01.09 ich habe wieder die gleichen Trojaner TR/Vundo.gen und TR/Patched.DY.1 gefunden.

Hier noch einmal ein aktuelles HJT Logfile:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:35:53, on 04.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Neue Programme\Lavasoft\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\MSI\AV Wizard\AVExe.exe
C:\Programme\Elantech\ktp3.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Neue Programme\Highjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 79.99.43.128:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AV Wizard] C:\Programme\MSI\AV Wizard\AVExe.exe
O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB002" /M "Stylus C46"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121868772625
O16 - DPF: {826287F8-454E-11D9-ADFE-00062919A34C} (ActiveXUploadFotoCom.UserCtrlFotoCom) - http://express.foto.com/activeX/newUploadFotoCom.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43207E40-EF3C-4A63-BCD4-A140507002F4}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{8558BEE8-19BC-4CD1-8B82-3CECC5F39FBB}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5E51094-6C20-4D4C-8845-B2D793B396A3}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Neue Programme\Lavasoft\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 9770 bytes
Die O17 Einträge im Logfile gehören offensichtlich zu dem hier im Forum schon öfters thematisierten Ukrainischen Server, so jedenfalls die HJT Onlineauswertung. Soll ich die direkt fixen?

Danke im Vorraus, mixas
__________________


Geändert von mixas (04.02.2009 um 10:44 Uhr)

Alt 04.02.2009, 13:02   #3
Chris4You
 
Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Standard

Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...



Hi,

bitte prüfen:
Arbeitsplatz->rechte Maustaste->Eigenschaften-> Hardware->Gerätemanager->Ansicht->ausgeblendete Geräte anzeigen-> Nicht PnP-Treiber und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten.

Danach MAM:
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

Neu booten, Avira updaten und so einstellen, dann fullscan:
http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html

Poste alle Logs...

chris
__________________
__________________

Alt 04.02.2009, 13:53   #4
mixas
 
Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Standard

Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...



Hi Chris, danke erstmal das du mir hilfst.
In meinem Gerätemanager ist kein Prozess mit Namen "TDSSserv.sys" oder so ähnlich, dafür einer mit Namen "Serial" der durch ein Ausrufezeichen im Gelben Kreis hinterlegt ist.

Hier ist ein Screenshot vom Gerätemanager
http://www.file-upload.net/view-1429...nshot.JPG.html

Kann das derjenige sein, zumal ich meine das ein Prozess Namens "Serial" auch aktiv war als ich im Task Manager den Prozess "S-5-5-35-100025788-100006779-100001928-4221.com" gesehen habe.

Soll ich die O17 Einträge eigentlich jetzt mit HJT fixen?

Geändert von mixas (04.02.2009 um 14:09 Uhr)

Alt 04.02.2009, 16:33   #5
Chris4You
 
Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Standard

Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...



Hi,

das wäre neu, es kann ja aber auch ein Problem mit der Seriellen SST vorliegen, ev. disablen!

Bitte mit der rechten Maustaste draufklicken->Eigenschaften->Treiber-> Treiberdetails.

Bitte posten was dort als Treiber angegeben wurde und über virustotal.com prüfen lassen...

Die genannten Einträge umgehen fixen und MAM nicht vergessen!

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 04.02.2009, 17:01   #6
mixas
 
Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Standard

Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...



Also, die genannten Einträge sind gefixt, bei "serial" steht in den Treiberdetails:
C:\windows\system32\drivers\serial.sys
ich habe die Datei bei virustotal.com prüfen lassen, Ergebnis 0/39 0%.
Ich erspare dir an dieser stelle das log dazu, ich denke das war wohl nur ein Schuss ins blaue von mir.
Ansonsten läuft MBAM inzwischen seit einer Stunde, ich stelle dann gleich das Log ein, sowie dann auch das aktuelle HJT Log.
Muss ich bei den nicht PnP-Treibern noch welche nachprüfen?

Alt 04.02.2009, 18:17   #7
mixas
 
Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Standard

Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...



So, MbAM ist durch, hier das log:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3

04.02.2009 19:09:39
mbam-log-2009-02-04 (19-09-39).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 187902
Laufzeit: 1 hour(s), 57 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{3c2d2a1e-031f-4397-9614-87c932a848e0} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{04a38f6b-006f-4247-ba4c-02a139d5531c} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx.1 (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ICF (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ICF (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll (Adware.Minibug) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll (Adware.Minibug) -> Quarantined and deleted successfully.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\418928252012.CPX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\418928252021.CPX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\418928252031.CPX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\418928252051.CPX (Trojan.Agent) -> Quarantined and deleted successfully.
         
Außerdem habe ich hier noch einmal das HJT Logfile:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:14:38, on 04.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Neue Programme\Lavasoft\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\MSI\AV Wizard\AVExe.exe
C:\Programme\Elantech\ktp3.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Neue Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Neue Programme\Highjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 79.99.43.128:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AV Wizard] C:\Programme\MSI\AV Wizard\AVExe.exe
O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB002" /M "Stylus C46"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121868772625
O16 - DPF: {826287F8-454E-11D9-ADFE-00062919A34C} (ActiveXUploadFotoCom.UserCtrlFotoCom) - http://express.foto.com/activeX/newUploadFotoCom.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Neue Programme\Lavasoft\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 9372 bytes
         
Soweit so gut, einiges hat MbAM ja gefunden, war es das schon? Wahrscheinlich nicht.

Alt 04.02.2009, 20:28   #8
mixas
 
Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Standard

Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...



Antivir update funktioniert leider immer noch nicht, auch die Fehlermeldung beim Versuch die Festplatte aus dem Arbeitsplatz zu öffnen erscheint nach wie vor.

Alt 05.02.2009, 06:42   #9
Chris4You
 
Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Standard

Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...



Hi,

mit dem HJ-Log kommen wir so nicht weiter, da ist nichts drin zu finden (das sieht dann nach einem weiteren Rootkit aus...).

Autorun-Vrius und Autorun disablen!
\Autorun.inf
\resycled
\resycled\boot.com
Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sect...isinfector.exe
Trenne den Rechner physikalisch vom Netz.
Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer,
da der Disinfector von manchen Scannern als Virus/Trojaner fälschlicherweise erkannt wird.
Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden).
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

Dann lassen wir mal combofix von der Leine:
Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

chris

Ps.: Falls der Download blockiert wird bzw. die Exe sich nicht starten lässt, bereits im Download-Dialog die exe umbenennen...
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 05.02.2009, 08:38   #10
mixas
 
Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Standard

Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...



Hi, ich habe disinfector und Combofix durchlaufen lassen, hier das Combofixlog:

Code:
ATTFilter
ComboFix 09-02-04.01 - Michel 2009-02-05  9:19:50.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.1023.655 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Michel\Desktop\ComboFix.exe
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Outdated)
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\Michel\LOKALE~1\Temp\tmp1.tmp
c:\dokume~1\Michel\LOKALE~1\Temp\tmp2.tmp
c:\programme\Mozilla Firefox\components\iamfamous.dll
c:\recycler\S-3-6-11-100009412-100027442-100001108-6031.com
c:\windows\system32\drivers\gaopdxcobufura.sys
c:\windows\system32\drivers\gaopdxmpareodp.sys
c:\windows\system32\drivers\gaopdxodivdyiu.sys
c:\windows\system32\drivers\gaopdxtfnmttok.sys
c:\windows\system32\drivers\gaopdxxhxyxtas.sys
c:\windows\system32\drivers\gaopdxxossthsq.sys
c:\windows\system32\gaopdxwqbbwyik.dll
c:\windows\wuasirvy.dll
d:\recycler\S-0-3-27-100031993-100025984-100009456-3402.com
d:\recycler\S-2-8-77-100023383-100001658-100002681-1511.com
d:\recycler\S-3-6-11-100009412-100027442-100001108-6031.com
d:\recycler\S-5-5-35-100025788-100006779-100001928-4211.com
d:\recycler\S-8-1-50-100017172-100008116-100025521-2841.com
d:\recycler\S-9-4-51-100004887-100023516-100032104-3212.com

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys
-------\Legacy_ICF


(((((((((((((((((((((((   Dateien erstellt von 2009-01-05 bis 2009-02-05  ))))))))))))))))))))))))))))))
.

2009-02-04 16:58 . 2009-02-04 16:58	<DIR>	d--------	c:\dokumente und einstellungen\Michel\Anwendungsdaten\Malwarebytes
2009-02-04 16:58 . 2009-02-04 16:58	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-04 16:58 . 2009-01-14 16:11	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-04 16:58 . 2009-01-14 16:11	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-01-30 17:50 . 2005-07-20 12:34	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Vorlagen
2009-01-30 17:50 . 2005-07-20 15:12	<DIR>	d---s----	c:\dokumente und einstellungen\Administrator\UserData
2009-01-30 17:50 . 2005-07-20 13:29	<DIR>	dr-------	c:\dokumente und einstellungen\Administrator\Startmenü
2009-01-30 17:50 . 2005-07-20 13:29	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-01-30 17:50 . 2005-07-20 13:29	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-01-30 17:50 . 2005-07-27 10:06	<DIR>	dr-------	c:\dokumente und einstellungen\Administrator\Favoriten
2009-01-30 17:50 . 2005-07-27 10:06	<DIR>	dr-------	c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-01-30 17:50 . 2005-07-20 13:29	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-01-30 17:50 . 2005-07-20 16:34	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2009-01-30 17:50 . 2005-07-20 14:04	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\S.A.D
2009-01-30 17:50 . 2006-03-21 15:59	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AOL
2009-01-30 17:50 . 2008-08-07 13:35	<DIR>	dr-h-----	c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-01-30 17:50 . 2009-01-30 17:50	<DIR>	d--------	c:\dokumente und einstellungen\Administrator

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-04 23:38	47,114	----a-w	c:\dokumente und einstellungen\Michel\Anwendungsdaten\wklnhst.dat
2009-02-04 20:25	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-04 15:58	---------	d-----w	c:\programme\Neue Programme
2009-02-04 15:04	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-02-03 17:01	---------	d-----w	c:\programme\antivir
2009-01-30 14:55	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-12-23 01:20	---------	d-----w	c:\programme\GameSpy Arcade
2008-12-19 13:51	73,216	----a-w	c:\windows\ST6UNST.EXE
2008-12-19 13:51	249,856	------w	c:\windows\Setup1.exe
2008-12-17 18:17	---------	d-----w	c:\dokumente und einstellungen\Gina\Anwendungsdaten\OpenOffice.org
2008-12-12 19:45	---------	d-----w	c:\dokumente und einstellungen\Michel\Anwendungsdaten\DivX
2008-12-11 10:57	333,952	----a-w	c:\windows\system32\drivers\srv.sys
2008-12-09 19:02	---------	d-----w	c:\programme\DivX
2008-12-08 11:12	---------	d-----w	c:\programme\Java
2008-09-29 13:25	32	----a-w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-07-26 15:01	33,048	----a-w	c:\dokumente und einstellungen\Gina\Anwendungsdaten\wklnhst.dat
2008-02-26 10:42	78,720	----a-w	c:\dokumente und einstellungen\Michel\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-01-04 11:35	78,720	----a-w	c:\dokumente und einstellungen\Gina\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-09-30 11:20	32,768	--sha-w	c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008093020081001\index.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-01-12 344064]
"AV Wizard"="c:\programme\MSI\AV Wizard\AVExe.exe" [2005-03-03 81920]
"KTPWare"="c:\programme\Elantech\ktp3.exe" [2005-01-17 258048]
"EPSON Stylus C46 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE" [2004-01-13 99840]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-29 266497]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-07-20 98304]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"SoundMan"="SOUNDMAN.EXE" [2005-02-23 c:\windows\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2005-01-17 c:\windows\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Gina\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org\program\quickstart.exe [2005-09-23 61440]

c:\dokumente und einstellungen\Michel\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000]
wkcalrem.LNK - c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe [2004-07-12 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BlueSoleil.lnk - c:\programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-06-15 1208320]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL
"aux1"= 41892825201.CPX

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Michel^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=c:\dokumente und einstellungen\Michel\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 03:22 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
-----c--- 2005-06-02 16:03 1957888 c:\programme\Ahead\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--a--c--- 2005-07-14 17:41 127118 c:\programme\CyberLink\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-07-20 16:34 98304 c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-02-12 19:10 21898024 c:\programme\Skype\Phone\Skype.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\CyberLink\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\AntiVir PersonalEdition Classic\\avcenter.exe"=
"c:\\Programme\\utorrent\\utorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\system32\\svchost.exe"=
"c:\\Programme\\Neue Programme\\streamingprogs\\sopcast\\SopCast.exe"=
"c:\\Programme\\AudioJack 2\\AJack2.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Neue Programme\\streamingprogs\\sopcast\\adv\\SopAdver.exe"=
"c:\\Programme\\Neue Programme\\zattoo\\zattood.exe"=
"c:\\Programme\\Neue Programme\\zattoo\\Zattoo1.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Neue Programme\\Spiele\\Worms\\Wormux\\wormux.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-10 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2006-02-10 45376]
R3 Ktp3;Elantech TouchPad(KTP3);c:\windows\system32\drivers\Ktp3.sys [2005-07-20 24704]
S2 Ca536av;5.1M MPEG4 DV Video Camera Device;c:\windows\system32\drivers\Ca536av.sys [2005-12-30 514859]
S3 ALSysIO;ALSysIO;\??\c:\dokume~1\Michel\LOKALE~1\Temp\ALSysIO.sys --> c:\dokume~1\Michel\LOKALE~1\Temp\ALSysIO.sys [?]
S3 hamachi_oem;PlayLinc Adapter;c:\windows\system32\drivers\gan_adapter.sys [2006-10-19 10664]
S3 LVHybrid;LVHybrid service;c:\windows\system32\drivers\LVHybrid.sys [2005-07-20 1000064]
S3 USBCamera;5.1M MPEG4 DV Still Camera Device;c:\windows\system32\drivers\Bulk536.sys [2005-12-30 11048]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7998aeae-f92f-11d9-8cb9-0011090ba3fb}]
\Shell\AutoRun\command - D:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f6dcf62-fe7d-11d9-83d5-806d6172696f}]
\Shell\AutoRun\command - G:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e68d2684-9a5b-11da-bae0-00038a000015}]
\Shell\AutoRun\command - F:\AutoRun.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyServer = 79.99.43.128:3128
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: {826287F8-454E-11D9-ADFE-00062919A34C} - hxxp://express.foto.com/activeX/newUploadFotoCom.CAB
DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} - hxxp://express.foto.com/SFUploader/SpeedUploader.cab
FF - ProfilePath - c:\dokumente und einstellungen\Michel\Anwendungsdaten\Mozilla\Firefox\Profiles\p3r0vk02.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF - plugin: c:\programme\Photosynth\npPhotosynthMozilla.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 09:28:32
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-4277028751-724578557-3880512149-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"AB141C35E9F4BF344B9FC010BB17F68A"=""
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(752)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Neue Programme\Lavasoft\aawservice.exe
c:\windows\system32\ati2evxx.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\IVT Corporation\BlueSoleil\BTNtService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Windows Media Player\wmpnetwk.exe
c:\programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-05  9:35:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-02-05 08:35:56

Vor Suchlauf: 15 Verzeichnis(se), 12,267,548,672 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 13,704,249,344 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=alwaysoff /fastdetect

243	--- E O F ---	2009-01-15 13:07:46
         

Und bevor ichs vergesse, Antivir hat sich nachdem combofix das System das erste mal neugestartet hatte wieder aktiviert und ich hatte keine Möglichkeit es wieder zu deaktivieren, da außer dem Combofix fenster nur mein leerer Desktophintergrund zu sehen war, ich hoffe das hat keinen Schaden verursacht.

Geändert von mixas (05.02.2009 um 09:02 Uhr)

Alt 05.02.2009, 09:53   #11
Chris4You
 
Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Standard

Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...



Hi,


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
c:\dokume~1\Michel\LOKALE~1\Temp\ALSysIO.sys 
F:\AutoRun.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Das kann ich nicht einordnen:
uStart Page = hxxp://google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyServer = 79.99.43.128:3128

Bitte noch einmal MAM updaten und Komplettscan&bereinigen, Log posten...
wuasirvy.dll -> http://www.prevx.com/filenames/X1855471434919272962-X1/3E2ETMP2EEXE.html

Zur Sicherheit noch Superantispyware:
http://www.trojaner-board.de/51871-anleitung-superantispyware.html
Auch dieses Log posten...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 05.02.2009, 12:01   #12
mixas
 
Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Standard

Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...



Hi, MAM läuft, Superantispyware mache ich danach, aber die Dateien

Code:
ATTFilter
c:\dokume~1\Michel\LOKALE~1\Temp\ALSysIO.sys 
F:\AutoRun.exe
         
finde ich auf meinem Rechner nicht.
Und ein Laufwerk F: habe ich auch gar nicht. Kann das evtl. ein mp3 Player sein?
Der war aber bestimmt schon 2-3 Monate nicht mehr angeschlossen.
Ansonsten vielleicht eine SD-Card von meinem Fotoapparat oder mein Drucker, das sind die Geräte die mir jetzt einfallen die manchmal als Laufwerk F: bezeichnet werden.

Die Datei ALSysIO.sys habe ich sowohl "manuell" als auch über die Windows Suche nicht gefunden.

Ich melde mich dann wieder wenn die Logs von MAM und SUPERAntiSpyware da sind,

Michel

Alt 05.02.2009, 13:36   #13
Chris4You
 
Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Standard

Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...



Hi,

die Datei kommt im Log auf fast allen Laufwerken vor:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7998aeae-f92f-11d9-8cb9-0011090ba3fb}]
\Shell\AutoRun\command - D:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f6dcf62-fe7d-11d9-83d5-806d6172696f}]
\Shell\AutoRun\command - G:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e68d2684-9a5b-11da-bae0-00038a000015}]
\Shell\AutoRun\command - F:\AutoRun.exe

Schaue mal ob Du die Datei auf "D" findest...
Darüber pflanzen sich die Viren/Trojaner fort..
Der Explorer führt diese Datei automatisch aus, wenn das Laufwerk das erstemal angesprochen wird ... Und schwupp wird der Virus/Trojaner geladen und ist wieder aktiv. Pech für den, der einen verseuchten USB-Stick bekommt...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 05.02.2009, 16:25   #14
mixas
 
Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Standard

Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...



Hi, MAM und SUPERAntiSpyware sind durch:

SuperAntiSpyware:
Code:
ATTFilter
SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 02/05/2009 bei 05:19 PM

Version der Applikation : 4.25.1012

Version der Kern-Datenbank : 3744
Version der Spur-Datenbank : 1712

Scan Art       : kompletter Scann
Totale Scann-Zeit : 01:53:54

Gescannte Speicherelemente  : 655
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 5858
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 131681
Erfasste Datei-Elemente   : 0
         
MAM:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1730
Windows 5.1.2600 Service Pack 3

05.02.2009 15:16:26
mbam-log-2009-02-05 (15-16-26).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 181100
Laufzeit: 2 hour(s), 32 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\coolplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Die anderen Dateien habe ich immer noch nicht gefunden, ich suche weiter.

Alt 05.02.2009, 17:05   #15
mixas
 
Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Standard

Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...



Ich habe inzwischen auf D: eine Autorun Datei gefunden, da steht drunter
"Easy install CD Targa Gmbh" und sie ist 2005 erstellt und das letzte mal bearbeitet worden, Targa heißt die Firma von der mein Computer ist.
Auch Virustotal hält die Datei für unbedenklich.

Was vielleicht noch weiterhilft, ich habe unter C:\RECYCLER folgende Datei gefunden:

S-1-5-21-4277028751-724578557-3880512149-1006

Das dazugehörige Dateisymbol ist das vom Papierkorb. In den Dateieigenschaften steht die Datei habe eine Größe von 85 Bytes, Virustotal sagt aber sie habe 0 Bytes.
Unter D:\RECYCLER finden sich gleich 4 Dateien mit ähnlichem Namen. Auch diese sind laut Eigenschaften 85 Bytes groß, laut Virustotal 0 Bytes.
Kannst du damit was anfangen?

Michel

Antwort

Themen zu Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...
.com, 1.exe, ad aware, ad-aware, antivir, avgnt.exe, bho, bonjour, festplatte, festplatte c, festplatte c:, firefox, highjackthis, hijack, hijack this, hkus\s-1-5-18, jusched.exe, logfile, logon.exe, mozilla, nicht gefunden, nicht öffnen, nt.dll, object, problem, registry, software, starten, suchlauf, svchost.exe, system, trojaner, usb, verweise, viren, virus, virus gefunden, windows, windows\temp



Ähnliche Themen: Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht...


  1. Windows 7 starte nicht mehr, Wiederherstellung klappt auch nicht!
    Log-Analyse und Auswertung - 31.07.2014 (5)
  2. Sony Vaio (ca.5 Jahre alt) fährt nach Polizeivirus nicht mehr hoch.Es lässt sich auch nicht mehr laden.
    Netzwerk und Hardware - 06.09.2013 (1)
  3. Avira Antivir funktioniert nicht mehr - updated auch nicht - sowie Windows Warnung
    Plagegeister aller Art und deren Bekämpfung - 04.12.2011 (7)
  4. AVG Antivirus scant nicht mehr lässt sich auch nicht mehr entfernen
    Plagegeister aller Art und deren Bekämpfung - 17.10.2011 (1)
  5. Avira Antivir startet nicht mehr - Download von Dateien nicht mehr möglich
    Log-Analyse und Auswertung - 06.10.2010 (34)
  6. Trojanerbefall, PC fährt nicht mehr hoch, auch nicht im abgesicherten Modus...
    Plagegeister aller Art und deren Bekämpfung - 08.09.2010 (28)
  7. Keine Updates/ Google öffnet falsche Seiten/ Virussoftware updated nicht mehr
    Log-Analyse und Auswertung - 22.05.2010 (1)
  8. Progamme starten nicht mehr; Systemwiederherstellung geht auch nicht :-*
    Log-Analyse und Auswertung - 07.01.2010 (12)
  9. Antivir Dienst gestoppt lässt sich auch nicht mehr starten
    Log-Analyse und Auswertung - 12.12.2009 (1)
  10. Avira Updated nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 19.09.2009 (13)
  11. kann Antivir nicht mehr installieren (genau wie Java und Defrag geht auch nicht)
    Log-Analyse und Auswertung - 14.07.2009 (4)
  12. AntiVir und Ad-Aware läuft nicht mehr durch
    Log-Analyse und Auswertung - 02.07.2009 (2)
  13. Antivir updated seit dem 9.März nicht mehr
    Antiviren-, Firewall- und andere Schutzprogramme - 13.03.2009 (1)
  14. CPU Schwankungen+Dauerlaggs -> Antivir/Ad-Aware hilft nicht!
    Log-Analyse und Auswertung - 27.03.2007 (2)
  15. Ad Aware läuft nicht mehr trotz mehrfacher Neuinstallation
    Antiviren-, Firewall- und andere Schutzprogramme - 20.06.2006 (3)
  16. Hier lassen sich sowohl Spybot, als auch AntiVir nicht mehr öffnen. Hilfe!!!
    Log-Analyse und Auswertung - 18.03.2006 (6)
  17. AV updated nicht..
    Antiviren-, Firewall- und andere Schutzprogramme - 03.10.2005 (4)

Zum Thema Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... - Hallo, und schon mal vielen Dank an den jenigen der sich mit diesem Post beschäftigt. Ich habe mein Problem bemerkt als ich gestern im Arbeitsplatz meine Festplatte C:\ öffnen wollte - Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht......
Archiv
Du betrachtest: Trojaner an Board? Antivir updated nicht mehr, Ad aware auch nicht... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.