Hallo,

da ich bei diversen Suchmaschinen nur veraltete Artikel dazu gefunden habe möchte ich das ganze in einem neuen Thema erfragen. Auf meinem Desktop öffnet sich seit heute immer ein Fenster welches aussieht wie ein Englischer Security Agent. Dort steht dann sowas wie(immer was anders):

Security Center Alert

Name: Trojan.Win32.Agent.dcc
Risk: High Risk

Description This Trojan has a malicious payload. It is a Windows PE EXE file. It is 20480 Bytes in size.


und so weiter. Da das ganze auf englisch ist hat mich das stutzig gemacht aber Avast findet nix. Auch in der Symbolleiste unten Rechts ist ein Windows Security Alert Symbol (Dieses Schild). Aber alles auf Englisch also kann das ja nicht stimmen. Ich hab mal ein HijackThis protokoll erstellt vielleicht könnt ihr mir ja helfen


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:15:43, on 23.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
d:\Alwil Software\Avast4\aswUpdSv.exe
d:\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Winamp\winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
D:\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
D:\ICQ6.5\ICQ.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
D:\DAEMON Tools Lite\daemon.exe
C:\DOKUME~1\P6D05~1\LOKALE~1\Temp\wow64main.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
d:\Alwil Software\Avast4\ashMaiSv.exe
d:\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\DOKUME~1\P6D05~1\LOKALE~1\Temp\wscsvc32.exe
D:\Mozilla Firefox\firefox.exe
D:\Azureus\Azureus.exe
C:\WINDOWS\System32\svchost.exe
D:\hijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] d:\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] d:\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "d:\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [wow64main.exe] C:\DOKUME~1\P6D05~1\LOKALE~1\Temp\wow64main.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://d:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - d:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - d:\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - d:\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 7416 bytes


Danke im Vorraus

Bastey88

Hallo und

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten:

Code: Alles auswählenAufklappen

ATTFilter

C:\DOKUME~1\P6D05~1\LOKALE~1\Temp\wscsvc32.exe
C:\DOKUME~1\P6D05~1\LOKALE~1\Temp\wow64main.exe
         

Lade dir danach Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

(edit):ich poste die seite mal(wow64main.exe):

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.10.24 Packed.Win32.Tdss!IK
AhnLab-V3 5.0.0.2 2009.10.23 -
AntiVir 7.9.1.44 2009.10.23 -
Antiy-AVL 2.0.3.7 2009.10.23 -
Authentium 5.1.2.4 2009.10.24 -
Avast 4.8.1351.0 2009.10.24 -
AVG 8.5.0.423 2009.10.24 -
BitDefender 7.2 2009.10.24 -
CAT-QuickHeal 10.00 2009.10.24 -
ClamAV 0.94.1 2009.10.24 -
Comodo 2712 2009.10.24 -
DrWeb 5.0.0.12182 2009.10.24 -
eSafe 7.0.17.0 2009.10.22 -
eTrust-Vet 35.1.7082 2009.10.23 -
F-Prot 4.5.1.85 2009.10.23 -
F-Secure 9.0.15370.0 2009.10.22 -
Fortinet 3.120.0.0 2009.10.24 -
GData 19 2009.10.24 -
Ikarus T3.1.1.72.0 2009.10.24 Packed.Win32.Tdss
Jiangmin 11.0.800 2009.10.24 -
K7AntiVirus 7.10.878 2009.10.23 -
Kaspersky 7.0.0.125 2009.10.24 Packed.Win32.TDSS.aa
McAfee 5780 2009.10.23 -
McAfee+Artemis 5780 2009.10.23 Artemis!D00E40CF9427
McAfee-GW-Edition 6.8.5 2009.10.24 -
Microsoft 1.5202 2009.10.24 -
NOD32 4537 2009.10.23 -
Norman 6.03.02 2009.10.23 -
nProtect 2009.1.8.0 2009.10.24 -
Panda 10.0.2.2 2009.10.23 Suspicious file
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.24 Medium Risk Malware
Rising 21.52.52.00 2009.10.24 -
Sophos 4.46.0 2009.10.24 Mal/TDSSPack-A
Sunbelt 3.2.1858.2 2009.10.24 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.10.24 -
TheHacker 6.5.0.2.051 2009.10.22 -
TrendMicro 8.950.0.1094 2009.10.24 -
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.23.2003 2009.10.23 -
VirusBuster 4.6.5.0 2009.10.23 -
weitere Informationen
File size: 1146880 bytes
MD5...: d00e40cf94278944b8bdf8fdbdb82070
SHA1..: 6a6669ecfaf6629dca7ecc515999de5730a69cb7
SHA256: 0f9e697314a308ef1fe7eb7d472f89cf50b8c5756a1784d08309827704ef7522
ssdeep: 24576:qCXkICtTD9Xk1dWHFXLKrO2tZCecKqBPN3Qw6ce5XxQZf8pEjfEUs:qCbC
l90L/SfBPN3QCeXQUcMj
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x4ae2f3db (Sat Oct 24 12:32:27 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.atext 0x1000 0x3000 0x4000 7.27 20ac6d0c33b00ed34da166b4c7a837a5
.kfuvhq 0x4000 0x103000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.bfgmhq 0x107000 0x114000 0x114000 8.00 736bd15eedcb4f7ed4fac7c2040ab2a0
.idata 0x21b000 0x740 0x1000 0.58 6d19e18766293c4821e4c448107ffca5
.rsrc 0x21c000 0x10c 0x1000 3.28 ed6a71e7031f508350de26ab378a95ea

( 3 imports )
> kernel32.dll: GetProcAddress, GetCurrentThread, FlushInstructionCache, VirtualProtectEx, ExitProcess
> ntdll.dll: NtReadFile
> user32.dll: DestroyCaret, GetActiveWindow, GetWindowLongW

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=5A8FC9B400776B7580BA11E65382A7009B2F0FDC' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=5A8FC9B400776B7580BA11E65382A7009B2F0FDC</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

permalink: analisis/0f9e697314a308ef1fe7eb7d472f89cf50b8c5756a1784d08309827704ef7522-1256374861 (ich denk ma das da noch: "http://www.virustotal.com/de" davor kommt)





Datei 2 (wscsvc32) :

a-squared 4.5.0.41 2009.10.24 Gen.Trojan!IK
AhnLab-V3 5.0.0.2 2009.10.23 -
AntiVir 7.9.1.44 2009.10.23 -
Antiy-AVL 2.0.3.7 2009.10.23 -
Authentium 5.1.2.4 2009.10.24 -
Avast 4.8.1351.0 2009.10.24 -
AVG 8.5.0.423 2009.10.24 -
BitDefender 7.2 2009.10.24 Gen:Trojan.Heur.3u0@vPSb3lekx
CAT-QuickHeal 10.00 2009.10.24 -
ClamAV 0.94.1 2009.10.24 -
Comodo 2712 2009.10.24 -
DrWeb 5.0.0.12182 2009.10.24 -
eSafe 7.0.17.0 2009.10.22 -
eTrust-Vet 35.1.7082 2009.10.23 -
F-Prot 4.5.1.85 2009.10.23 -
F-Secure 9.0.15370.0 2009.10.22 Gen:Trojan.Heur.3u0@vPSb3lekx
Fortinet 3.120.0.0 2009.10.24 -
GData 19 2009.10.24 Gen:Trojan.Heur.3u0@vPSb3lekx
Ikarus T3.1.1.72.0 2009.10.24 Gen.Trojan
Jiangmin 11.0.800 2009.10.24 -
K7AntiVirus 7.10.878 2009.10.23 -
Kaspersky 7.0.0.125 2009.10.24 Packed.Win32.TDSS.aa
McAfee 5780 2009.10.23 -
McAfee+Artemis 5780 2009.10.23 Artemis!8CC5FD4683CA
McAfee-GW-Edition 6.8.5 2009.10.24 -
Microsoft 1.5202 2009.10.24 -
NOD32 4537 2009.10.23 -
Norman 6.03.02 2009.10.23 W32/FakeAV.Q!genr
nProtect 2009.1.8.0 2009.10.24 -
Panda 10.0.2.2 2009.10.23 Suspicious file
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.24 -
Rising 21.52.52.00 2009.10.24 -
Sophos 4.46.0 2009.10.24 -
Sunbelt 3.2.1858.2 2009.10.24 -
Symantec 1.4.4.12 2009.10.24 -
TheHacker 6.5.0.2.051 2009.10.22 -
TrendMicro 8.950.0.1094 2009.10.24 -
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.23.2003 2009.10.23 -
VirusBuster 4.6.5.0 2009.10.23 -
weitere Informationen
File size: 913408 bytes
MD5...: 8cc5fd4683caa98abc50ee6fe9d840ff
SHA1..: c1ba1fa96cf1998c83900a178c36bb7ed13a8871
SHA256: d1bea6f7d822291fd25d9d5f39d71b986b4e3fca51d1cd6c42ce26534616c851
ssdeep: 24576:sHX8UiS0rjwN2z/s5SoEFhVe1RYjs8iNK3ZMT3Pm:83iSYjFzk5SXFhVuI
s8iY3cPm
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x4ae2ed19 (Sat Oct 24 12:03:37 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.atext 0x1000 0x3000 0x4000 7.26 3fa1aa6b731431e2cb24e3c0500dfa23
.kuvzhq 0x4000 0x102000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.booohq 0x106000 0xd8000 0xd6800 8.00 cc46fd3177fb8efb4d1bb93b4e0b6aaa
.idata 0x1de000 0x5dc 0x600 1.34 e437ae245bb5fccfcde211894e17349f
.rsrc 0x1df000 0x7000 0x6e00 4.33 bd3b54c397434b241dc6b28dab39e2a1

( 3 imports )
> kernel32.dll: GetProcAddress, GetCurrentThread, FlushInstructionCache, VirtualProtectEx, ExitProcess
> ntdll.dll: NtReadFile
> user32.dll: DestroyCaret, GetActiveWindow, GetWindowLongW

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....:
product......:
description..: Windows Security Center
original name: wscsvc.exe
internal name: Security Center
file version.: 6.00.2900.5512 (xpsp.080413-2105)
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned

permalink: analisis/d1bea6f7d822291fd25d9d5f39d71b986b4e3fca51d1cd6c42ce26534616c851-1256375168







Hier der Scanbericht von Lop S&D:

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel Pentium III Xeon-Prozessor )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : PÖ ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1356 [VPS 091023-0] 4.8.1356 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:48 Go (Free:27 Go)
D:\ (Local Disk) - NTFS - Total:97 Go (Free:96 Go)
E:\ (Local Disk) - NTFS - Total:244 Go (Free:229 Go)
F:\ (Local Disk) - NTFS - Total:75 Go (Free:66 Go)
G:\ (CD or DVD)
H:\ (USB)
I:\ (USB)
J:\ (Local Disk) - NTFS - Total:931 Go (Free:664 Go)
K:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 24.10.2009|11:07 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[20.10.2009|14:08] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[09.10.2009|09:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Azureus
[07.10.2009|11:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DAEMON Tools Lite
[15.10.2009|10:47] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet
[07.10.2009|15:22] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[07.10.2009|11:41] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Nero
[07.10.2009|09:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
[07.10.2009|11:34] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[10|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[07.10.2009|09:07] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[07.10.2009|09:07] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[07.10.2009|09:07] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

[16.10.2009|10:31] C:\DOKUME~1\P6D05~1\ANWEND~1\Adobe
[23.10.2009|17:51] C:\DOKUME~1\P6D05~1\ANWEND~1\Azureus
[07.10.2009|15:14] C:\DOKUME~1\P6D05~1\ANWEND~1\DAEMON Tools Lite
[12.10.2009|12:26] C:\DOKUME~1\P6D05~1\ANWEND~1\dvdcss
[15.10.2009|18:35] C:\DOKUME~1\P6D05~1\ANWEND~1\ICQ
[07.10.2009|09:12] C:\DOKUME~1\P6D05~1\ANWEND~1\Identities
[07.10.2009|09:17] C:\DOKUME~1\P6D05~1\ANWEND~1\InstallShield
[23.10.2009|18:21] C:\DOKUME~1\P6D05~1\ANWEND~1\Leadertech
[07.10.2009|10:04] C:\DOKUME~1\P6D05~1\ANWEND~1\Macromedia
[19.10.2009|20:31] C:\DOKUME~1\P6D05~1\ANWEND~1\Microsoft
[07.10.2009|09:48] C:\DOKUME~1\P6D05~1\ANWEND~1\Mozilla
[07.10.2009|11:42] C:\DOKUME~1\P6D05~1\ANWEND~1\Nero
[07.10.2009|09:58] C:\DOKUME~1\P6D05~1\ANWEND~1\Sun
[07.10.2009|11:34] C:\DOKUME~1\P6D05~1\ANWEND~1\TuneUp Software
[07.10.2009|09:44] C:\DOKUME~1\P6D05~1\ANWEND~1\vlc
[19.10.2009|21:40] C:\DOKUME~1\P6D05~1\ANWEND~1\Winamp
[07.10.2009|16:09] C:\DOKUME~1\P6D05~1\ANWEND~1\WinRAR
[0|Datei(en)] C:\DOKUME~1\P6D05~1\ANWEND~1\Bytes
[19|Verzeichnis(se),] C:\DOKUME~1\P6D05~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[23.10.2009 17:15][--a------] C:\WINDOWS\tasks\1-Klick-Wartung.job
[24.10.2009 10:49][--ah-----] C:\WINDOWS\tasks\SA.DAT
[05.08.2004 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[15.10.2009|10:42] C:\Programme\Adobe
[23.10.2009|16:31] C:\Programme\AGEIA Technologies
[07.10.2009|11:46] C:\Programme\AskBarDis
[07.10.2009|09:05] C:\Programme\ComPlus Applications
[07.10.2009|11:51] C:\Programme\DAEMON Tools Toolbar
[15.10.2009|10:40] C:\Programme\Gemeinsame Dateien
[23.10.2009|16:16] C:\Programme\InstallShield Installation Information
[07.10.2009|09:14] C:\Programme\Intel
[09.10.2009|09:23] C:\Programme\Internet Explorer
[07.10.2009|10:02] C:\Programme\Java
[07.10.2009|09:04] C:\Programme\Messenger
[07.10.2009|09:07] C:\Programme\microsoft frontpage
[07.10.2009|11:27] C:\Programme\Microsoft.NET
[07.10.2009|09:06] C:\Programme\Movie Maker
[07.10.2009|09:04] C:\Programme\MSN
[07.10.2009|09:04] C:\Programme\MSN Gaming Zone
[07.10.2009|11:41] C:\Programme\Nero
[07.10.2009|09:06] C:\Programme\NetMeeting
[07.10.2009|09:04] C:\Programme\Online Services
[07.10.2009|09:06] C:\Programme\Online-Dienste
[07.10.2009|09:06] C:\Programme\Outlook Express
[07.10.2009|09:16] C:\Programme\Realtek
[07.10.2009|09:12] C:\Programme\Uninstall Information
[23.10.2009|18:00] C:\Programme\Windows Media Player
[07.10.2009|09:04] C:\Programme\Windows NT
[07.10.2009|09:06] C:\Programme\WindowsUpdate
[07.10.2009|09:07] C:\Programme\xerox
[0|Datei(en)] C:\Programme\Bytes
[29|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[20.10.2009|10:14] C:\Programme\Gemeinsame Dateien\Adobe
[07.10.2009|11:27] C:\Programme\Gemeinsame Dateien\DESIGNER
[07.10.2009|09:06] C:\Programme\Gemeinsame Dateien\Dienste
[07.10.2009|11:46] C:\Programme\Gemeinsame Dateien\DVDVideoSoft
[07.10.2009|09:16] C:\Programme\Gemeinsame Dateien\InstallShield
[15.10.2009|10:40] C:\Programme\Gemeinsame Dateien\Macrovision Shared
[07.10.2009|15:23] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[07.10.2009|09:06] C:\Programme\Gemeinsame Dateien\MSSoap
[07.10.2009|11:42] C:\Programme\Gemeinsame Dateien\Nero
[07.10.2009|09:46] C:\Programme\Gemeinsame Dateien\ODBC
[07.10.2009|09:46] C:\Programme\Gemeinsame Dateien\SpeechEngines
[07.10.2009|11:27] C:\Programme\Gemeinsame Dateien\System
[23.10.2009|16:31] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[15|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 45 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER


--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-24 11:07:56
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen


Kein anderen Infektionen gefunden !

[F:37][D:4]-> C:\DOKUME~1\P6D05~1\LOKALE~1\Temp
[F:1][D:0]-> C:\DOKUME~1\P6D05~1\Cookies
[F:30][D:5]-> C:\DOKUME~1\P6D05~1\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 24.10.2009|11:08 - Option : [1]

--------------------\\ Scan beendet um 11:08:09

mfg

Bastey88

Lad mal bitte die beiden Dateien bei uns im Uploadbereich hoch. Anleitung


Danach bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

datein sind hochgeladen ich geh jetzt mal die liste ab.

Ich weis das es Gepackt besser wäre aber da stell ich mich leider zu bescheiden an. hier das Malwarebytes Log:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3024
Windows 5.1.2600 Service Pack 3

24.10.2009 15:39:29
mbam-log-2009-10-24 (15-39-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 191156
Laufzeit: 21 minute(s), 6 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temp\wow64main.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wow64main.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temp\wow64main.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Delete on reboot.
D:\ClearProg\eBay\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{2391B2E3-5931-461F-98E0-5EDFB87FD32F}\RP23\A0002931.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{2391B2E3-5931-461F-98E0-5EDFB87FD32F}\RP23\A0002956.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{2391B2E3-5931-461F-98E0-5EDFB87FD32F}\RP23\A0002957.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{2391B2E3-5931-461F-98E0-5EDFB87FD32F}\RP24\A0004072.exe (Trojan.Clicker) -> Quarantined and deleted successfully.

Die RSIT dateien hab ich doch gepackt bekommen:

http://www.file-upload.net/download-.../rsit.rar.html

danke für die Hilfe

Okay, mach noch mal bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.