Hallo.

Ich habe folgendes Problem: Seit ein paar Tagen öffnet sich ein Programm mit dem Namen "1dR4e5o7.exe" immer von selber im Hintergrund und wirft einen beim arbeiten immer aus dem laufenden Prozess raus.
Heißt zb wenn ich bei der google Suche gerade was eingebe kann ich nicht weiterschreiben weil der Tab nicht mehr aktiv ist, der Prozess hebt sich also quasi immer in den Vordergrund.

Erst wusste ich nicht was ganze verursacht, habe aber dann schnell anhand des Namen des Prozesses herausgefunden dass damit wohl nicht was in Ordnung sein kann, welche .exe Datei heißt schon so. Seitdem gehe ich immer sobald es wieder auftaucht, und das kommt ca alle 30min vor, in den Task-Manager und beende den Prozess, dann habe ich 30min wieder Ruhe.

Habe jetzt schon bei der Suche den Dateinamen angegeben, er hat allerdings nichts gefunden. Habt ihr vielleicht eine Ahnung was ich noch versuchen kann?

Ich muss dazu sagen dass ich jetzt schon seit ca. 2 Wochen ab und zu immer wieder mit Viren zu kämpfen habe. Habe bereits Avira Antivir, Malwarebytes Anti-Malware , Spybot S&D und Ad-Aware auf dem Computer und lasse diese regelmäßig einmal durchsuchen. Die finden auch meistens was, trotzdem bringen sie mich bei diesem Problem nicht weiter und auftauchen tun die Viren trotzdem meistens immer wieder.

Den PC habe in im letzten Monat 3mal neu formatiert sodass ich da nicht wirklich wieder Lust drauf habe. Ich möchte mich nicht beklagen da im Moment alles recht gut funktioniert aber vor 2 Wochen sah das noch ganz anders aus.. da konnte ich kein einziges Programm mehr öffnen weil Antivir meinte alles wäre verseucht usw..

Hoffe ihr könnt mir weiterhelfen,
mfg

Hallo und

Zitat:

Die finden auch meistens was, trotzdem bringen sie mich bei diesem Problem nicht weiter und auftauchen tun die Viren trotzdem meistens immer wieder.

Dann bitte auch alle Logs posten!!

Zitat:

Den PC habe in im letzten Monat 3mal neu formatiert sodass ich da nicht wirklich wieder Lust drauf habe.

Dann machst Du da ständig was falsch. Führst Du nach der Neuinstallation immer wieder denselben Dreck aus?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:07:22, on 14.05.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
d:\Programme\Spyware Doctor\pctsAuxs.exe
D:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\Programme\EslWire\wire.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\Winamp\winampa .exe
D:\Programme\EslWire\inGame32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\QIP 2010\qip.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
d:\Programme\Winamp\winamp.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre6\bin\javaw.exe
D:\Programme\Malwarebytes' Anti-Malware\mbam .exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1dR4e5o7.exe
D:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;*.local;<local>
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ESL Wire] "d:\Programme\EslWire\wire.exe" --tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - d:\Programme\Spyware Doctor\pctsAuxs.exe

--
End of file - 4073 bytes

Ich meinte das Log vom Virenscanner!

Hey,
ja da findet er jetzt nichts mehr. Gibt es einen Befehl der es dem System verbietet ein bestimmtes Programm zu starten das "1dR4e5o7.exe" heißt?
Wenn ich das bei der Suche eingebe findet der das nicht.

Bin echt am verzweifeln immer wenn ich ein Spiel starte oder eine andere Applikation wirft es mich auf den Desktop weil es sich im Hintergrund startet und ich sterbe .. echt zum ausrasten. Also gibt es so einen Befehl? Kann nirgendwo findet wodurch das immer gestartet wird -.-

mfg

Habe Antivir nochmal durchlaufen lassen,da hat er dann nochmal einiges gefunden.

hier die log:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 15. Mai 2010 01:18

Es wird nach 2118977 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LUKE

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 15:46:22
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 15:46:22
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 15:46:22
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 15:46:22
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 15:46:22
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 15:46:22
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 15:46:22
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 15:46:22
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 15:46:22
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 15:46:23
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 15:46:23
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 15:46:23
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 15:46:23
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 15:46:23
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 15:46:24
VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 15:46:24
VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 15:46:24
VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 15:46:24
VBASE023.VDF : 7.10.7.100 125440 Bytes 13.05.2010 23:07:09
VBASE024.VDF : 7.10.7.101 2048 Bytes 13.05.2010 23:07:09
VBASE025.VDF : 7.10.7.102 2048 Bytes 13.05.2010 23:07:09
VBASE026.VDF : 7.10.7.103 2048 Bytes 13.05.2010 23:07:09
VBASE027.VDF : 7.10.7.104 2048 Bytes 13.05.2010 23:07:09
VBASE028.VDF : 7.10.7.105 2048 Bytes 13.05.2010 23:07:09
VBASE029.VDF : 7.10.7.106 2048 Bytes 13.05.2010 23:07:10
VBASE030.VDF : 7.10.7.107 2048 Bytes 13.05.2010 23:07:10
VBASE031.VDF : 7.10.7.111 68096 Bytes 14.05.2010 23:07:10
Engineversion : 8.2.1.242
AEVDF.DLL : 8.1.2.0 106868 Bytes 12.05.2010 15:46:28
AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 14.05.2010 23:07:15
AESCN.DLL : 8.1.6.1 127347 Bytes 14.05.2010 23:07:13
AESBX.DLL : 8.1.3.1 254324 Bytes 12.05.2010 15:46:28
AERDL.DLL : 8.1.4.6 541043 Bytes 12.05.2010 15:46:27
AEPACK.DLL : 8.2.1.1 426358 Bytes 19.03.2010 11:34:51
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 14.05.2010 23:07:13
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 12.05.2010 15:46:27
AEHELP.DLL : 8.1.11.3 242039 Bytes 01.04.2010 15:05:25
AEGEN.DLL : 8.1.3.9 377203 Bytes 14.05.2010 23:07:13
AEEMU.DLL : 8.1.2.0 393588 Bytes 12.05.2010 15:46:25
AECORE.DLL : 8.1.15.3 192886 Bytes 14.05.2010 23:07:11
AEBB.DLL : 8.1.1.0 53618 Bytes 12.05.2010 15:46:25
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: d:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 15. Mai 2010 01:18

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpybotSD.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'javaw.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'inGame32.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa .exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '45' Modul(e) wurden durchsucht
Modul ist infiziert -> <D:\Programme\Winamp\winampa.exe>
[FUND] Ist das Trojanische Pferd TR/Agent.36864.LJ
[HINWEIS] Prozess 'winampa.exe' wurde beendet
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinampAgent> wurde erfolgreich entfernt.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4852415f.qua' verschoben!
Durchsuche Prozess 'wire.exe' - '57' Modul(e) wurden durchsucht
Modul ist infiziert -> <D:\Programme\EslWire\wire.exe>
[FUND] Ist das Trojanische Pferd TR/Agent.36864.LJ
[HINWEIS] Prozess 'wire.exe' wurde beendet
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\D:\Programme\ EslWire\wire.exe> wurde erfolgreich entfernt.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\D:\Programme\EslW ire\wire.exe> wurde erfolgreich entfernt.
[HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ESL Wire> wurde erfolgreich entfernt.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50c16eec.qua' verschoben!
Durchsuche Prozess 'avgnt.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '176' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '340' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\lukas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S3W5CFKB\steal[1].php
[0] Archivtyp: GZ
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen
--> steal[1]
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen
C:\Dokumente und Einstellungen\lukas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WF89I9W9\steal[2].php
[0] Archivtyp: GZ
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen
--> steal[2]
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHMZ81AN\steal[1].php
[0] Archivtyp: GZ
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen
--> steal[1]
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SXUJW12B\steal[1].php
[0] Archivtyp: GZ
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen
--> steal[1]
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen
C:\System Volume Information\_restore{DD005606-1824-4A96-A54C-12B1D04D7E29}\RP34\A0004927.com
[FUND] Ist das Trojanische Pferd TR/Agent.36864.LJ
Beginne mit der Suche in 'D:\'
D:\Programme\Malwarebytes' Anti-Malware\mbam .exe
[FUND] Ist das Trojanische Pferd TR/Agent.36864.LJ
D:\System Volume Information\_restore{DD005606-1824-4A96-A54C-12B1D04D7E29}\RP34\A0005075.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36864.LJ
D:\System Volume Information\_restore{DD005606-1824-4A96-A54C-12B1D04D7E29}\RP34\A0005135.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36864.LJ
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [3]: Das System kann den angegebenen Pfad nicht finden.

Beginne mit der Desinfektion:
D:\System Volume Information\_restore{DD005606-1824-4A96-A54C-12B1D04D7E29}\RP34\A0005135.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36864.LJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '02dc23fb.qua' verschoben!
D:\System Volume Information\_restore{DD005606-1824-4A96-A54C-12B1D04D7E29}\RP34\A0005075.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36864.LJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '64eb6c39.qua' verschoben!
D:\Programme\Malwarebytes' Anti-Malware\mbam .exe
[FUND] Ist das Trojanische Pferd TR/Agent.36864.LJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '213c4171.qua' verschoben!
C:\System Volume Information\_restore{DD005606-1824-4A96-A54C-12B1D04D7E29}\RP34\A0004927.com
[FUND] Ist das Trojanische Pferd TR/Agent.36864.LJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e747366.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SXUJW12B\steal[1].php
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '12835f68.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHMZ81AN\steal[1].php
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6e9b1f38.qua' verschoben!
C:\Dokumente und Einstellungen\lukas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WF89I9W9\steal[2].php
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43c13075.qua' verschoben!
C:\Dokumente und Einstellungen\lukas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S3W5CFKB\steal[1].php
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5aa90bef.qua' verschoben!


Ende des Suchlaufs: Samstag, 15. Mai 2010 02:59
Benötigte Zeit: 1:13:28 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

5360 Verzeichnisse wurden überprüft
234781 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
10 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
234771 Dateien ohne Befall
1604 Archive wurden durchsucht
0 Warnungen
10 Hinweise
369389 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Kann mir niemand helfen??

Wo sind die Malwarebytes Logfiles mit den Funden?

hey malware log mit gefundenen viren hab ich noch keine, aber was mir aufgefallen ist, ist, dass sich der prozess wohl nur startet wenn die CPU Auslastung einen bestimmten Grad erreicht.

Heißt wenn ich nichts mache startet der Prozess sich glaub ich nicht, nur wenn ich ein Spiel starte o.ä. und dadurch die CPU Auslastung steigt, dann startet sich der Prozess und ich werde auf den Desktop geworfen.

Sagt euch das vllt irwas?

mfg

ok jetz hat er 5 sachen gefunden

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4107

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

17.05.2010 00:11:33
mbam-log-2010-05-17 (00-11-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 163648
Laufzeit: 1 Stunde(n), 0 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1dR4e5o7.exe (Backdoor.Sinowal) -> Delete on reboot.
C:\System Volume Information\_restore{DD005606-1824-4A96-A54C-12B1D04D7E29}\RP33\A0004910.exe (Backdoor.Sinowal) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DD005606-1824-4A96-A54C-12B1D04D7E29}\RP33\A0004921.exe (Backdoor.Sinowal) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DD005606-1824-4A96-A54C-12B1D04D7E29}\RP34\A0005084.exe (Backdoor.Sinowal) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DD005606-1824-4A96-A54C-12B1D04D7E29}\RP34\A0005054.exe (Backdoor.Sinowal) -> Quarantined and deleted successfully.

ok es handelt sich anscheinend um einen backdoor sinowal virus. wie krieg ich den weg??

Wie hattest Du genau den Rechner neu aufgesetzt? Hast Du die Systempartition immer formatiert? Eigentlich schreibt das Windows-Setup dann auch einen neuen MBR (der Sinowal manipuliert diesen nämlich)

Mach mal bitte nen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ok hier is die Log von ComboFix

ComboFix 10-05-16.02 - lukas 17.05.2010 18:33:39.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.3007.2608 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\lukas\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Inetde.dll
c:\windows\system32\lowsec

.
((((((((((((((((((((((( Dateien erstellt von 2010-04-17 bis 2010-05-17 ))))))))))))))))))))))))))))))
.

2010-05-16 22:16 . 2010-05-16 22:16 12552 ----a-w- c:\windows\system32\drivers\hddirect.sys
2010-05-15 20:39 . 2010-05-15 20:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Uniblue
2010-05-15 20:30 . 2010-05-15 20:30 -------- d-----w- c:\programme\Uniblue
2010-05-15 20:18 . 2010-05-15 20:39 -------- d-----w- c:\dokumente und einstellungen\lukas\Anwendungsdaten\Uniblue
2010-05-12 15:47 . 2010-05-12 15:47 -------- d-----w- c:\dokumente und einstellungen\lukas\Anwendungsdaten\Avira
2010-05-12 15:45 . 2010-05-12 15:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-05-12 15:45 . 2010-03-01 08:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-05-12 15:45 . 2010-02-16 12:24 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-05-12 15:45 . 2009-05-11 10:49 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-05-12 15:45 . 2009-05-11 10:49 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-05-08 16:31 . 2010-05-08 16:31 -------- d-----w- c:\dokumente und einstellungen\lukas\Anwendungsdaten\Apple Computer
2010-05-08 16:31 . 2010-05-08 16:31 -------- d-----w- c:\dokumente und einstellungen\lukas\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2010-05-08 16:26 . 2010-05-08 16:35 -------- d-----w- c:\dokumente und einstellungen\lukas\Lokale Einstellungen\Anwendungsdaten\Blizzard Entertainment
2010-05-08 16:26 . 2010-05-08 16:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2010-05-08 16:18 . 2010-05-08 16:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-05-08 16:18 . 2010-05-08 16:18 -------- d-----w- c:\programme\Bonjour
2010-05-08 16:17 . 2010-05-08 16:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-05-08 16:17 . 2010-05-08 16:17 -------- d-----w- c:\dokumente und einstellungen\lukas\Lokale Einstellungen\Anwendungsdaten\Apple
2010-05-08 16:17 . 2010-05-08 16:17 -------- d-----w- c:\programme\Apple Software Update
2010-05-08 16:17 . 2010-05-08 16:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-05-07 19:16 . 2010-05-07 19:16 -------- d-----w- c:\dokumente und einstellungen\lukas\Anwendungsdaten\DivX
2010-05-06 22:30 . 2010-05-08 18:13 -------- d-----w- c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2010-05-06 22:30 . 2010-05-06 22:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard
2010-05-05 20:00 . 2010-05-05 20:00 144053 ----a-w- c:\dokumente und einstellungen\lukas\Anwendungsdaten\Move Networks\uninstall.exe
2010-05-05 20:00 . 2010-05-05 20:00 -------- d-----w- c:\dokumente und einstellungen\lukas\Lokale Einstellungen\Anwendungsdaten\Move Networks
2010-05-05 20:00 . 2010-05-05 20:00 -------- d-----w- c:\dokumente und einstellungen\lukas\Anwendungsdaten\Move Networks
2010-05-01 20:43 . 2008-10-10 02:52 452440 ----a-w- c:\windows\system32\d3dx10_40.dll
2010-05-01 20:43 . 2008-10-10 02:52 4379984 ----a-w- c:\windows\system32\D3DX9_40.dll
2010-05-01 20:43 . 2008-10-10 02:52 2036576 ----a-w- c:\windows\system32\D3DCompiler_40.dll
2010-05-01 20:43 . 2007-04-04 16:53 81768 ----a-w- c:\windows\system32\xinput1_3.dll
2010-05-01 13:27 . 2010-05-16 23:46 -------- d-----w- c:\windows\system32\NtmsData
2010-04-30 18:09 . 2000-10-01 21:00 125712 ----a-w- c:\windows\system32\vb6de.dll
2010-04-30 18:09 . 2000-04-03 17:06 16896 ----a-w- c:\windows\system32\winskde.dll
2010-04-30 18:09 . 1999-07-14 11:07 6656 ----a-w- c:\windows\system32\stdftde.dll
2010-04-30 18:09 . 1998-07-05 21:00 22528 ----a-w- c:\windows\system32\Tabctde.dll
2010-04-30 18:09 . 1998-07-05 21:00 158208 ----a-w- c:\windows\system32\Mscmcde.dll
2010-04-30 12:37 . 2009-11-10 08:28 165840 ----a-w- c:\windows\PCTBDRes.dll
2010-04-30 12:37 . 2010-02-05 07:17 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2010-04-30 12:37 . 2009-10-06 14:31 87784 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2010-04-30 12:37 . 2009-09-23 14:10 207280 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2010-04-30 12:37 . 2010-02-05 07:25 70408 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2010-04-30 12:36 . 2010-04-30 12:37 -------- d-----w- c:\programme\Gemeinsame Dateien\PC Tools
2010-04-30 12:36 . 2010-04-30 12:36 -------- d-----w- c:\dokumente und einstellungen\lukas\Anwendungsdaten\PC Tools
2010-04-30 12:36 . 2010-04-30 12:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2010-04-30 12:36 . 2010-04-30 12:37 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-04-29 14:33 . 2010-04-29 14:12 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-04-29 14:12 . 2010-04-29 14:12 -------- dc----w- c:\windows\system32\DRVSTORE
2010-04-29 14:12 . 2010-02-04 15:53 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-04-29 14:12 . 2010-04-29 14:12 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-04-29 14:10 . 2010-04-29 14:10 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
2010-04-29 14:10 . 2010-02-04 15:53 2954656 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}\Ad-AwareInstaller.exe
2010-04-29 14:09 . 2010-04-29 14:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-04-29 14:09 . 2010-04-29 14:10 -------- d-----w- c:\programme\Lavasoft
2010-04-29 11:04 . 2010-04-29 11:04 96761 ----a-w- c:\windows\system32\519e466c.exe
2010-04-29 11:04 . 2010-04-29 11:04 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten
2010-04-29 10:58 . 2010-05-09 13:08 -------- d-----w- c:\dokumente und einstellungen\lukas\Anwendungsdaten\TS3Client
2010-04-28 15:28 . 2010-04-28 15:28 -------- d-----w- c:\dokumente und einstellungen\lukas\Anwendungsdaten\Malwarebytes
2010-04-28 15:28 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-28 15:28 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 15:28 . 2010-04-28 15:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-28 15:25 . 2010-04-28 15:25 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData
2010-04-28 13:42 . 2003-06-18 15:31 18944 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2010-04-28 13:42 . 2003-06-18 15:31 17920 ----a-w- c:\windows\system32\mdimon.dll
2010-04-28 13:42 . 2010-04-28 13:42 -------- d-----w- c:\windows\SHELLNEW
2010-04-28 12:27 . 2010-04-28 12:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-04-28 12:18 . 2010-04-28 12:18 -------- d-----w- c:\windows\Sun
2010-04-28 11:10 . 2010-05-01 12:20 -------- d-----w- c:\windows\system32\CatRoot_bak
2010-04-28 11:09 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-04-28 11:09 . 2008-06-14 17:57 273024 -c----w- c:\windows\system32\dllcache\bthport.sys
2010-04-28 11:09 . 2008-06-14 17:57 273024 ------w- c:\windows\system32\drivers\bthport.sys
2010-04-28 11:08 . 2010-02-16 19:30 2060672 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe
2010-04-28 11:08 . 2010-02-16 19:30 2019328 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2010-04-28 11:08 . 2010-02-16 19:30 2183680 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe
2010-04-28 11:08 . 2010-02-16 19:30 2139648 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2010-04-28 11:05 . 2010-02-24 12:31 454016 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2010-04-28 11:04 . 2004-08-04 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-04-28 00:24 . 2010-04-29 10:57 -------- d--h--w- c:\windows\$hf_mig$
2010-04-27 17:20 . 2010-04-27 17:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ableton
2010-04-27 17:20 . 2010-04-27 17:20 -------- d-----w- c:\dokumente und einstellungen\lukas\Anwendungsdaten\Ableton
2010-04-27 17:19 . 2009-11-19 00:57 368640 ----a-w- c:\windows\system32\ReWire.dll
2010-04-27 17:19 . 2009-11-19 00:57 233472 ----a-w- c:\windows\system32\REX Shared Library.dll
2010-04-27 15:18 . 2010-05-14 18:36 -------- d-----w- c:\dokumente und einstellungen\lukas\Lokale Einstellungen\Anwendungsdaten\ESL Wire Game Client
2010-04-27 15:17 . 2010-04-06 09:47 24504 ----a-w- c:\windows\system32\drivers\ESLvnic.sys
2010-04-27 15:17 . 2010-04-27 15:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESL Wire
2010-04-27 15:14 . 2010-04-27 15:14 -------- d-----w- c:\dokumente und einstellungen\lukas\Anwendungsdaten\teamspeak2

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-16 13:02 . 2010-04-27 13:09 -------- d-----w- c:\dokumente und einstellungen\lukas\Anwendungsdaten\HLSW
2010-05-15 20:41 . 2010-04-27 12:49 96368 ----a-w- c:\windows\system32\drivers\jraid.sys
2010-05-14 22:43 . 2010-05-13 16:09 112 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\KdTJA40F2.dat
2010-05-05 20:00 . 2010-02-11 19:31 5640640 ----a-w- c:\dokumente und einstellungen\lukas\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll
2010-04-30 12:37 . 2010-04-30 12:37 1640400 ----a-w- c:\windows\is-MEJN1.tmp
2010-04-28 16:16 . 2010-04-27 13:31 17464 ----a-w- c:\dokumente und einstellungen\lukas\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-04-28 13:52 . 2010-04-27 12:32 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-04-27 15:26 . 2010-04-27 13:11 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-04-27 13:23 . 2010-04-27 13:19 -------- d-----w- c:\dokumente und einstellungen\lukas\Anwendungsdaten\Winamp
2010-04-27 13:11 . 2010-04-27 13:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-04-27 13:09 . 2010-04-27 13:09 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-04-27 13:09 . 2010-04-27 13:10 754984 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-04-27 13:09 . 2010-04-27 13:09 -------- d-----w- c:\programme\Java
2010-04-27 13:09 . 2010-04-27 13:09 152576 ----a-w- c:\dokumente und einstellungen\lukas\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2010-04-27 12:56 . 2010-04-27 12:55 -------- d-----w- c:\programme\NVIDIA Corporation
2010-04-27 12:55 . 2010-04-27 12:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2010-04-27 12:54 . 2004-08-04 12:00 48354 ----a-w- c:\windows\system32\perfc007.dat
2010-04-27 12:54 . 2004-08-04 12:00 316924 ----a-w- c:\windows\system32\perfh007.dat
2010-04-27 12:52 . 2010-04-27 12:52 0 ----a-w- c:\windows\nsreg.dat
2010-04-27 12:49 . 2010-04-27 12:44 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-04-27 12:48 . 2010-04-27 12:48 -------- d-----w- c:\programme\Attansic
2010-04-27 12:44 . 2010-04-27 12:44 -------- d-----w- c:\programme\Analog Devices
2010-04-27 12:43 . 2010-04-27 12:43 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2010-04-27 12:39 . 2010-04-27 12:39 -------- d-----w- c:\programme\Intel
2010-04-27 12:33 . 2010-04-27 12:33 -------- d-----w- c:\programme\microsoft frontpage
2010-04-27 12:32 . 2010-04-27 12:32 -------- d-----w- c:\programme\Online-Dienste
2010-04-27 12:31 . 2010-04-27 12:31 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2010-04-27 12:30 . 2010-04-27 12:30 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2010-04-18 17:29 . 2010-04-27 13:10 986904 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-04-03 22:55 . 2010-04-27 12:55 61440 ----a-w- c:\windows\system32\OpenCL.dll
2010-04-03 22:55 . 2010-04-27 12:55 14757888 ----a-w- c:\windows\system32\nvoglnt.dll
2010-04-03 22:55 . 2010-04-27 12:55 10232128 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2010-04-03 22:55 . 2010-04-27 12:55 2646632 ----a-w- c:\windows\system32\nvcuvenc.dll
2010-04-03 22:55 . 2010-04-27 12:55 2030184 ----a-w- c:\windows\system32\nvcuvid.dll
2010-04-03 22:55 . 2010-04-27 12:55 6432128 ----a-w- c:\windows\system32\nv4_disp.dll
2010-04-03 22:55 . 2010-04-27 12:55 4075520 ----a-w- c:\windows\system32\nvcuda.dll
2010-04-03 22:55 . 2010-04-27 12:55 227944 ----a-w- c:\windows\system32\nvcodins.dll
2010-04-03 22:55 . 2010-04-27 12:55 227944 ----a-w- c:\windows\system32\nvcod.dll
2010-04-03 22:55 . 2010-04-27 12:55 2183470 ----a-w- c:\windows\system32\nvdata.bin
2010-04-03 22:55 . 2010-04-27 12:55 11647592 ----a-w- c:\windows\system32\nvcompiler.dll
2010-04-03 22:55 . 2010-04-27 12:55 1097728 ----a-w- c:\windows\system32\nvapi.dll
2010-04-03 17:23 . 2010-04-03 17:23 278120 ----a-w- c:\windows\system32\nvmccs.dll
2010-04-03 17:23 . 2010-04-03 17:23 154216 ----a-w- c:\windows\system32\nvsvc32.exe
2010-04-03 17:23 . 2010-04-03 17:23 145000 ----a-w- c:\windows\system32\nvcolor.exe
2010-04-03 17:23 . 2010-04-03 17:23 13670504 ----a-w- c:\windows\system32\nvcpl.dll
2010-04-03 17:23 . 2010-04-03 17:23 110696 ----a-w- c:\windows\system32\nvmctray.dll
2010-04-03 17:23 . 2010-04-03 17:23 229376 ----a-w- c:\windows\system32\nvrszhc.dll
2010-04-03 17:23 . 2010-04-03 17:23 126976 ----a-w- c:\windows\system32\nvrszht.dll
2010-03-10 08:02 . 2004-08-04 12:00 417792 ----a-w- c:\windows\system32\vbscript.dll
2010-03-08 17:59 . 2010-03-08 17:59 94208 ----a-w- c:\windows\system32\dpl100.dll
2010-03-04 02:00 . 2010-03-04 02:00 79144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\Safari 5.31.22.7\SetupAdmin.exe
2010-02-26 06:10 . 2004-08-04 12:00 667648 ----a-w- c:\windows\system32\wininet.dll
2010-02-26 06:10 . 2004-08-04 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-02-24 12:31 . 2004-08-04 12:00 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-19 19:27 . 2010-02-19 19:27 720384 ----a-w- c:\windows\system32\DivX.dll
2010-02-19 19:27 . 2010-02-19 19:27 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2010-02-19 19:27 . 2010-02-19 19:27 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2010-02-19 19:27 . 2010-02-19 19:27 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2010-02-19 19:27 . 2010-02-19 19:27 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2010-02-19 19:27 . 2010-02-19 19:27 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2010-02-16 19:30 . 2004-08-04 12:00 2139648 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:30 . 2004-08-04 00:50 2019328 ----a-w- c:\windows\system32\ntkrnlpa.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X Configure"="c:\windows\system32\JMRaidSetup.exe" [2006-10-30 1953792]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HDDirect.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-03-24 18:17 952768 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-04-04 05:42 36272 ----a-w- d:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-04-12 22:46 1135912 ----a-w- c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X IDE Setup]
2006-10-30 12:44 36864 ------r- c:\windows\JM\JMInsIDE.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
2006-07-13 05:12 729088 ------w- c:\programme\Analog Devices\SoundMAX\SMax4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
2006-10-05 12:25 868352 ----a-r- c:\programme\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-05-07 16:47 1238352 ----a-w- d:\programme\Steam\steam.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\HLSW\\hlsw.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"d:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\StarCraft II Beta\\StarCraft II.exe"=
"d:\\Programme\\StarCraft II Beta\\Versions\\Base13891\\SC2.exe"=
"d:\\Programme\\StarCraft II Beta\\Versions\\Base15250\\SC2.exe"=
"d:\\Programme\\Steam\\steamapps\\lukas_rauen\\counter-strike\\hl.exe"=
"d:\\Programme\\StarCraft II Beta\\Versions\\Base15343\\SC2.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [29.04.2010 16:12 64288]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [30.04.2010 14:37 207280]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [12.05.2010 17:45 135336]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [04.02.2010 17:52 1291544]
R2 sdAuxService;PC Tools Auxiliary Service;d:\programme\Spyware Doctor\pctsAuxs.exe [30.04.2010 14:36 365280]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [27.04.2010 14:48 35840]
R3 ESLvnic1;ESLvnic Virtual Network 32 Bit;c:\windows\system32\drivers\ESLvnic.sys [27.04.2010 17:17 24504]
S0 gennn;gennn; [x]
S3 HDDirect;Hard Disk Direct Control;c:\windows\system32\drivers\hddirect.sys [17.05.2010 00:16 12552]
.
Inhalt des "geplante Tasks" Ordners

2010-05-17 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-02-04 14:12]

2010-05-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-05-17 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-04-28 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uInternet Settings,ProxyOverride = ;*.local;<local>
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\lukas\Anwendungsdaten\Mozilla\Firefox\Profiles\b9v9ojrc.default\
FF - plugin: c:\dokumente und einstellungen\lukas\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: d:\programme\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\npwachk.dll

---- FIREFOX Richtlinien ----
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-HDDirect
MSConfigStartUp-diukujrw - c:\dokumente und einstellungen\lukas\Lokale Einstellungen\Anwendungsdaten\mxntqedhk\cpeyvsktssd.exe
MSConfigStartUp-ESL Wire - d:\programme\EslWire\wire.exe
MSConfigStartUp-nwiz - nwiz.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-17 18:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys PCTCore.sys JGOGO.sys >>UNKNOWN [0x8A17BEE4]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb810cfc3
\Driver\ACPI -> ACPI.sys @ 0xb7f7ecb8
\Driver\atapi -> atapi.sys @ 0xb7ef17b4
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80582414
ParseProcedure -> ntkrnlpa.exe @ 0x80581554
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80582414
ParseProcedure -> ntkrnlpa.exe @ 0x80581554
NDIS: Attansic L1 Gigabit Ethernet 10/100/1000Base-T Controller -> SendCompleteHandler -> NDIS.sys @ 0xb7db3ba0
PacketIndicateHandler -> NDIS.sys @ 0xb7dc0b21
SendHandler -> NDIS.sys @ 0xb7d9e87b
user & kernel MBR OK
malicious code @ sector 0x17499f00 size 0x1aa !
PE file found in sector at 0x017499F00 !

**************************************************************************
.
Zeit der Fertigstellung: 2010-05-17 18:42:04
ComboFix-quarantined-files.txt 2010-05-17 16:42

Vor Suchlauf: 6 Verzeichnis(se), 21.856.227.328 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 22.874.685.440 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 809AC0C86930B90212890FD957841879

Zitat:

Zitat von cosinus

Wie hattest Du genau den Rechner neu aufgesetzt? Hast Du die Systempartition immer formatiert?

Das woll ich schon gerne noch wissen, dann kann ich Dir evtl auch sagen was Du falsch gemacht hast bzw warum Dein PC nach jedem Format trotzdem wieder Schädlinge hatte

Ja ich habe halt windows mit der xp cd gebootet und beide partitionen gelöscht. dann neu erstellt und windows auf der einen festplatte wieder installiert ca so aufgeteilt wie vorher.
Also ja, ich habe beide Partitionen immer gelöscht und komplett neu aufgesetzt.

mfg