Hallo zusammen!
Hab seit zwei Tagen ein Problem mit einem wohl schon hinreichend bekannten Trojaner: HTML/Crypted.Gen. Konnte aber bei Google-Suche und auch hier im Board kein Problem finden, welches meinem ähnelt.
Möchte zuerst sagen, dass ich von Malware und der Entfernung solcher wenig Ahnung habe. Ich habe Avira AntiVir Personal auf meinem PC. Die erste Meldung von Avira kam, nachdem ich auf den Download eines Flashplayers geklickt hatte, was sich wohl als Falle herausstellte. Seitdem wiederholen sich Meldungen von Funden vom Guard oder Scanner, zwei Dateien wurden ins Quarantäneverzeichnis verschoben.
Mein Problem ist nun folgendes: Firefox lädt zwar noch die Startseite hoch, stürzt dann aber nach wenigen Sekunden ab. Der Internet Explorer poppt in regelmäßigen Abständen unerwartet Werbefenster auf, ohne dass ich diesen gestartet hätte. Internet Explorer lässt sich auch nur das erste Mal nach dem Hochfahren starten, danach gibt es immer Probleme, die Startseite hochzuladen ("Die Wiederherstellung dieser Website wurde beendet. Offenbar bestehen weiterhin Probleme mit dieser Website").
Nun meine Frage an euch: Wie kann ich bei diesem Problem vorgehen. Von HijackThis habe ich keinen Plan, habe es gedownloadet(chip.de), es folgten aber einige Fehlermeldungen, welche ich jetzt einfach mal hierhin kopiere.
Unmittelbar nach dem Download:
"HijackThis appears to have been started from a temporary folder. Since temp folders tend to be emptied regularly, it´s wise to copy HijackThis.exe to a folder of its own, for instance C:\Program Files\HijackThis.
This way, any backups that will be made of fixed items won´t be lost.
Please quit HijackThis and copy it to a separate folder first before fixing any items"
Und wenn ich dann einen Scan machen will, kommt folgende Meldung:
"For some reason your system denied write access to the Hosts file. If any hijacked domains are in this file, HijackThis may NOT be able to fix this.
If this happens, you need to edit the file yourself. To do this, click Start, Run and type:
notepad C:\Windows\System32\drivers\etc\hosts
and press Enter. Find the line(s) HijackThis reports and delete them. Save the files as 'hosts' (with quotes), and reboot.
For Vista: simply, exit HijackThis, right click on the HijackThis icon, choose 'Run as administrator'."
Anbei noch alle Meldungen von Avira mit der Hoffnung sie geben euch Aufschluss.

In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XT045ECA\tubesexmovies_com[1].htm'
wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XT045ECA\tubesexmovies_com[1].htm'
wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben
Die Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XT045ECA\tubesexmovies_com[1].htm'
enthielt einen Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4872e342.qua' verschoben!
n der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RSO0THOC\eee447[1].htm'
wurde ein Virus oder unerwünschtes Programm 'JS/Agent.bm.2992' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RSO0THOC\ihZLLzcpylrbXFtX3jld[1].pdf'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.5962' [exploit] gefunden.
Ausgeführte Aktion: Zugriff erlauben
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\866S292R\eee447[1].htm'
wurde ein Virus oder unerwünschtes Programm 'JS/Agent.bm.2992' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\866S292R\porntubeshow_com[1].htm'
wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.
Ausgeführte Aktion: Zugriff erlauben
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OZ9QQAW4\eee447[1].htm'
wurde ein Virus oder unerwünschtes Programm 'JS/Agent.bm.2992' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0SLUFKMM\PvbH9pyj0bsd[1].pdf'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.5962' [exploit] gefunden.
Ausgeführte Aktion: Zugriff erlauben
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RI90LFO6\eee447[1].htm'
wurde ein Virus oder unerwünschtes Programm 'JS/Agent.bm.2992' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben
Die Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0SLUFKMM\PvbH9pyj0bsd[1].pdf'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pidief.5962' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fbe3691.qua' verschoben!
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RSO0THOC\flash_play_tube[1].js'
wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Was ich zum Schluss noch loswerden muss: Von Viren, Trojanern&Co. habe ich wirklich keine Ahnung. Ich will euch auch ungern mit meinem laienhaften Beitrag belästigen, aber ich brauche schlichtweg eine Lösung für das Problem, ein vergleichbares habe ich im Netz nicht gefunden.

P.S. Bitte keine Kommentare über die URLs, ich hab mich schon genug über mich selbst aufgeregt Man lernt schließlich aus seinen Fehlern
MfG
Manny Marc

Hallo und

bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Malwarebytes hats echt gebracht! Beide Browser gehen wieder, keine nervigen Popups! Vielen Dank@cosinus!

Du sollst die Logs posten!

Der Vollständigkeit halber hier also die Logs im Anhang. Ich konnte leider nur einen der drei Logs in den Anhang hochladen.

Code: Alles auswählenAufklappen

ATTFilter

OTL Extras logfile created on: 20.05.2010 18:26:35 - Run 1
OTL by OldTimer - Version 3.2.5.0     Folder = C:\Users\***\Downloads
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18904)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 69,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 348,57 Gb Total Space | 234,66 Gb Free Space | 67,32% Space Free | Partition Type: NTFS
Drive D: | 117,19 Gb Total Space | 76,68 Gb Free Space | 65,43% Space Free | Partition Type: NTFS
Drive E: | 6,83 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ***-PC
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office2003\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office2003\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Program Files\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Program Files\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Program Files\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{06744DA5-434C-48B0-A9CD-53A16930377A}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{34238006-82B5-4AF7-B193-D54153AD520B}" = lport=138 | protocol=17 | dir=in | app=system | 
"{52404FAB-54DC-491F-836E-29CC7F80DC8B}" = rport=445 | protocol=6 | dir=out | app=system | 
"{62BB385A-E986-434A-BB18-1124D754C5FC}" = lport=137 | protocol=17 | dir=in | app=system | 
"{6BDB2DC7-ACC3-4DC5-AB97-6163C51D3F97}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{711350B2-9B17-4CA1-9C7C-17B86F4CED78}" = rport=139 | protocol=6 | dir=out | app=system | 
"{A8C14A78-72CF-4E62-89F7-930391B1B6CB}" = rport=138 | protocol=17 | dir=out | app=system | 
"{AE7394A2-3CD5-4E82-9677-FFFA895F05D1}" = rport=137 | protocol=17 | dir=out | app=system | 
"{BE7D6178-03EA-438E-AF62-B240FA6C5130}" = lport=445 | protocol=6 | dir=in | app=system | 
"{D97E73C0-647A-40AE-ADE6-3E38DDBD9109}" = lport=139 | protocol=6 | dir=in | app=system | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0982262A-BA6A-4E82-9BED-D663CFAB0044}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{113F8DAB-7071-43BF-BEA0-CF1ED33E5B6D}" = protocol=6 | dir=in | app=c:\program files\icq7.1\aolload.exe | 
"{13E1A68C-5DFB-44BA-82BC-D8F2476717DC}" = protocol=17 | dir=in | app=c:\program files\icq7.1\aolload.exe | 
"{145F2B8D-5861-4100-98EB-33665FD11CC0}" = protocol=6 | dir=in | app=c:\program files\logitech\logitech vid\vid.exe | 
"{1F1F2E62-8961-478E-9966-9BE260D82E2C}" = protocol=6 | dir=in | app=c:\program files\steam\steam.exe | 
"{2C9C583F-5424-4153-8B0B-D2D6133152F7}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{364B6DB9-1B27-4231-B916-C2343F2FC5CC}" = protocol=17 | dir=in | app=c:\program files\logitech\logitech vid\vid.exe | 
"{48408CB2-C933-450D-900B-0A9D744245CF}" = protocol=17 | dir=in | app=c:\program files\steam\steam.exe | 
"{4CC5616B-566F-4C86-8754-BFE1D6962C78}" = protocol=6 | dir=in | app=c:\program files\teamviewer\version5\teamviewer.exe | 
"{4E80258D-B579-49DF-8321-53A312EC70D8}" = protocol=17 | dir=in | app=c:\program files\icq7.1\icq.exe | 
"{70E46054-8B3A-4099-BBF5-B965ED8DCCB9}" = protocol=6 | dir=in | app=c:\program files\icq7.1\icq.exe | 
"{7BBBBD0F-B94E-4C2B-B014-3D1E412FBD07}" = protocol=6 | dir=in | app=c:\program files\icq7.1\icq.exe | 
"{7E93E5BE-F6E3-4FF8-8C67-6B349A289D02}" = protocol=17 | dir=in | app=c:\program files\rockstar games\grand theft auto iv\launchgtaiv.exe | 
"{8147213E-1B7A-45F0-9782-7CFAD0534E95}" = protocol=6 | dir=in | app=c:\program files\steam\steamapps\common\call of duty modern warfare 2\iw4mp.exe | 
"{88577A89-4F0C-42AB-A408-FB1618BA5ECB}" = protocol=17 | dir=in | app=c:\program files\icq7.1\icq.exe | 
"{8D1A96DE-B036-49EF-892B-5EEAA283E5A1}" = protocol=6 | dir=in | app=c:\program files\icq7.1\aolload.exe | 
"{A9D0B8CD-D59D-4DE9-B8BB-F65D42C55D59}" = protocol=17 | dir=in | app=c:\program files\steam\steamapps\common\call of duty modern warfare 2\iw4sp.exe | 
"{AACD9462-591D-4FE1-829F-4374E64AA63D}" = protocol=17 | dir=in | app=c:\program files\icq7.1\aolload.exe | 
"{C2B945EA-47D5-45F2-892E-603C9C7A8A49}" = protocol=17 | dir=in | app=c:\program files\steam\steamapps\common\call of duty modern warfare 2\iw4mp.exe | 
"{C5A3E19C-A8F9-4914-AD2A-6480A16EF8CF}" = protocol=17 | dir=in | app=c:\program files\codemasters\dirt2\dirt2_game.exe | 
"{C6F8F2B0-4450-40A4-8AC7-B9496DF72420}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{DA2888B2-C2F5-4910-8905-899AE44271B5}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{ECD94926-3737-4A9E-9972-FF96659673E9}" = protocol=6 | dir=in | app=c:\program files\steam\steamapps\common\call of duty modern warfare 2\iw4sp.exe | 
"{F178C3EF-0609-4521-9454-D4ED77341ED5}" = protocol=6 | dir=in | app=c:\program files\codemasters\dirt2\dirt2_game.exe | 
"{F1BF98FE-72AF-49C1-B3EC-134DED38ADCF}" = protocol=6 | dir=in | app=c:\program files\rockstar games\grand theft auto iv\launchgtaiv.exe | 
"{F3869C71-3729-4D6E-87CE-F7C43DDEA683}" = protocol=17 | dir=in | app=c:\program files\teamviewer\version5\teamviewer.exe | 
"TCP Query User{40E6DC5B-7428-41BC-B2AE-86CEB7B50772}C:\program files\logitech\logitech vid\vid.exe" = protocol=6 | dir=in | app=c:\program files\logitech\logitech vid\vid.exe | 
"TCP Query User{607730A2-CB19-4825-AE8A-70624B2E1D5E}C:\program files\codemasters\dirt2\dirt2_game.exe" = protocol=6 | dir=in | app=c:\program files\codemasters\dirt2\dirt2_game.exe | 
"TCP Query User{E2BF40C4-578B-48A1-AE03-07EEA0D12998}C:\program files\rockstar games\grand theft auto iv\gtaiv.exe" = protocol=6 | dir=in | app=c:\program files\rockstar games\grand theft auto iv\gtaiv.exe | 
"UDP Query User{0B7F2C49-0589-405B-9EE0-C7E74E55EAF0}C:\program files\codemasters\dirt2\dirt2_game.exe" = protocol=17 | dir=in | app=c:\program files\codemasters\dirt2\dirt2_game.exe | 
"UDP Query User{16A7BABE-4BF7-42A1-AFF1-F67D3A7FCF78}C:\program files\rockstar games\grand theft auto iv\gtaiv.exe" = protocol=17 | dir=in | app=c:\program files\rockstar games\grand theft auto iv\gtaiv.exe | 
"UDP Query User{FAF043E4-B9A8-4FFD-AA27-89279A77AD81}C:\program files\logitech\logitech vid\vid.exe" = protocol=17 | dir=in | app=c:\program files\logitech\logitech vid\vid.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00C5F4F4-62F9-40D7-8000-AD8A9CD0C669}" = Microsoft Games for Windows - LIVE Redistributable
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2C9EE786-1DDB-4C98-8FA4-B1B9B5A66B77}" = Microsoft Games for Windows - LIVE
"{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
"{434D0820-3AA6-493A-80B9-301000028501}" = DiRT2
"{4FBCEA31-5D18-4212-9231-DE7CF1BE7DBB}" = Logitech Vid
"{52D1D62C-FEAB-4580-849E-1DB624BADBBD}" = DiRT2
"{5454083B-1308-4485-BF17-1110000B8301}" = Grand Theft Auto IV
"{579BA58C-F33D-4970-9953-B94B43768AC3}" = Grand Theft Auto IV
"{71BFC818-0CED-42D6-9C87-5142918957EE}" = ICQ7.1
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{8AAB4176-A747-493A-A42C-B63CFADFD8E3}" = NVIDIA PhysX
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch
"{C27BC2A2-30DD-4014-B22E-63EB0DB572F9}" = Logitech Webcam Software
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D2FCA41E-AC01-4DCD-B3A7-DC9E32363065}}_is1" = Rapture3D 2.3.22 Game
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F3D92514-CD5D-4E96-BE88-8258EB9BF85A}" = Azurewave Wireless LAN
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.2
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.3
"ICQToolbar" = ICQ Toolbar
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
"OpenAL" = OpenAL
"TeamViewer 5" = TeamViewer 5
"Uninstall_is1" = Uninstall 1.0.0.1
"Winamp" = Winamp
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Winamp Detect" = Winamp Detector Plug-in
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 19.05.2010 10:31:45 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 19.05.2010 11:20:43 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 19.05.2010 11:24:01 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 19.05.2010 11:26:42 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 19.05.2010 11:31:01 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 19.05.2010 12:19:02 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 19.05.2010 12:22:08 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 19.05.2010 12:58:10 | Computer Name = ***-PC | Source = Application Hang | ID = 1002
Description = Programm Steam.exe, Version 1.0.843.387 arbeitet nicht mehr mit Windows
 zusammen und wurde beendet. Überprüfen Sie den Problemverlauf im Applet "Lösungen
 für Probleme" in der Systemsteuerung, um nach weiteren Informationen über das Problem
 zu suchen.  Prozess-ID: f44  Anfangszeit: 01caf7741b3646df  Zeitpunkt der Beendigung:
 20
 
Error - 20.05.2010 09:02:18 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 20.05.2010 11:23:05 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
[ System Events ]
Error - 13.05.2010 13:26:03 | Computer Name = ***-PC | Source = Dhcp | ID = 1001
Description = Diesem Computer konnte keine Netzwerkadresse durch den DHCP-Server
 für die Netzwerkkarte mit der Netzwerkadresse 0015AF5CD526 zugeteilt werden. Der
 folgende Fehler ist aufgetreten:   %%121. Es wird weiterhin im Hintergrund versucht,
 eine Adresse vom Netzwerkadressserver (DHCP) zugeteilt zu bekommen.
 
Error - 14.05.2010 06:17:44 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7009
Description = 
 
Error - 14.05.2010 06:17:44 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 14.05.2010 07:31:57 | Computer Name = ***-PC | Source = DCOM | ID = 10010
Description = 
 
Error - 15.05.2010 06:09:45 | Computer Name = ***-PC | Source = bowser | ID = 8003
Description = 
 
Error - 15.05.2010 06:15:07 | Computer Name = ***-PC | Source = bowser | ID = 8003
Description = 
 
Error - 15.05.2010 08:27:19 | Computer Name = ***-PC | Source = DCOM | ID = 10010
Description = 
 
Error - 16.05.2010 08:31:07 | Computer Name = ***-PC | Source = Microsoft-Windows-Kernel-General | ID = 5
Description = 
 
Error - 19.05.2010 12:56:33 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7009
Description = 
 
Error - 19.05.2010 12:56:33 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7000
Description = 
 
 
< End of report >
         

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4117

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

19.05.2010 18:16:00
mbam-log-2010-05-19 (18-16-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 224393
Laufzeit: 34 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qzaib7kitk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\Saved Games\Call of Duty 4\#readme#\rzr-cod4-keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\Part_Recover\Call of Duty 4\#readme#\rzr-cod4-keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Temp\El1.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\Users\Public\Desktop\AntiVir.lnk (Rogue.Antivir2010) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Efydua.exe (Trojan.FakeAlert) -> Delete on reboot.

MfG
Manny Marc

Zitat:

C:\Users\***\Saved Games\Call of Duty 4\#readme#\rzr-cod4-keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\Part_Recover\Call of Duty 4\#readme#\rzr-cod4-keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!