TR/AvKill.AQ wie entfernen?

undoreal · 05.08.2010, 09:24

Sauber ist der auf keinen Fall!

AVZ scheint nicht in der Lage zu sein die datei zu löschen, was mich wundert. Daher müssen wir es anders versuchen. Irgendwas muss die Datei schützen, bzw. wiederherstellen und das hat sich bisher noch nicht gezeigt.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK
Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter BlaBlub.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

achwas · 05.08.2010, 10:03

Habe nun alles erledigt; Cc-Clean u. "BlaBlub" Ich füge die Log-Datei unten ein.

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-08-04.05 - uwe 05.08.2010  10:40:02.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\uwe\Desktop\BlaBlub.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\uwe\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\uwe\Desktop\RegClean.exe
C:\extensions.exe
c:\extensions.exe\config.bin
c:\extensions.exe\extensions.exe
c:\programme\\setup.exe
c:\programme\Setup.exe
c:\windows\regedit.com
c:\windows\system32\taskmgr.com

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-05 bis 2010-08-05  ))))))))))))))))))))))))))))))
.

2010-08-04 15:07 . 2010-08-04 15:07	13312	----a-w-	c:\windows\system32\drivers\vdqwnza0.sys
2010-08-02 12:15 . 2010-08-04 15:30	--------	d-----w-	C:\AVZ
2010-08-02 09:39 . 2010-08-02 09:39	50968	----a-w-	c:\windows\system32\avgfwdx.dll
2010-08-02 09:39 . 2010-08-02 09:39	30104	----a-w-	c:\windows\system32\drivers\avgfwdx.sys
2010-08-02 09:37 . 2010-08-02 11:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2010-08-01 11:40 . 2010-08-01 11:40	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-08-01 11:34 . 2010-08-01 11:34	--------	d-----w-	c:\dokumente und einstellungen\uwe\Anwendungsdaten\Malwarebytes
2010-08-01 11:33 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-01 11:33 . 2010-08-01 11:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-01 11:33 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-12 13:55 . 2009-08-24 20:08	28160	----a-w-	c:\windows\system32\DfSdkBt.exe
2010-07-12 13:55 . 2010-07-12 13:55	--------	d-----w-	c:\programme\Ashampoo

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-05 07:39 . 2001-08-23 12:00	704214	----a-w-	c:\windows\system32\perfh007.dat
2010-08-05 07:39 . 2001-08-23 12:00	183138	----a-w-	c:\windows\system32\perfc007.dat
2010-08-04 11:51 . 2008-01-31 09:25	--------	d-----w-	c:\programme\Avira
2010-08-04 11:47 . 2008-03-02 13:13	--------	d-----w-	c:\programme\VSO
2010-08-04 11:47 . 2008-03-02 13:13	47360	-c--a-w-	c:\dokumente und einstellungen\uwe\Anwendungsdaten\pcouffin.sys
2010-08-04 11:47 . 2008-03-02 13:13	--------	d-----w-	c:\dokumente und einstellungen\uwe\Anwendungsdaten\Vso
2010-08-04 11:47 . 2008-03-02 13:13	94208	-c--a-w-	c:\dokumente und einstellungen\uwe\Anwendungsdaten\ezplay.sys
2010-08-04 11:45 . 2008-05-01 15:08	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-08-04 11:45 . 2008-05-01 15:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-04 11:43 . 2010-06-26 13:27	--------	d-----w-	c:\programme\Uniblue
2010-08-04 11:39 . 2008-02-07 11:43	--------	d-----w-	c:\programme\Norton SystemWorks
2010-08-04 11:39 . 2008-02-07 11:43	--------	d-----w-	c:\programme\Gemeinsame Dateien\Symantec Shared
2010-08-04 11:38 . 2008-02-07 11:43	--------	d-----w-	c:\programme\Symantec
2010-08-04 11:38 . 2009-03-16 14:31	--------	d-----w-	c:\programme\Trend Micro
2010-07-31 10:49 . 2008-04-11 14:33	--------	d-----w-	c:\dokumente und einstellungen\uwe\Anwendungsdaten\ICQ
2010-07-31 08:14 . 2008-07-16 10:03	--------	d-----w-	c:\programme\XPcleanv5
2010-07-31 08:05 . 2004-03-03 15:23	892	-c--a-w-	c:\programme\WASHANDGO.ini
2010-07-31 07:59 . 2010-03-15 10:02	--------	d-----w-	c:\programme\BACKUP
2010-07-25 12:23 . 2008-04-24 15:06	10	-c--a-w-	c:\windows\popcinfo.dat
2010-07-25 12:23 . 2008-02-01 16:10	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-07-18 14:12 . 2008-02-06 13:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-07-11 08:53 . 2009-03-06 12:42	--------	d-----w-	c:\programme\TuneUp Utilities 2008
2010-07-05 14:09 . 2010-07-05 14:09	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SlySoft
2010-07-05 14:04 . 2010-07-05 14:04	--------	d-----w-	c:\programme\SlySoft
2010-06-26 13:50 . 2010-06-26 13:50	--------	d-----w-	c:\programme\Daphne
2010-06-26 13:40 . 2009-12-24 11:29	--------	d-----w-	c:\programme\nLite
2010-06-26 13:39 . 2008-01-30 13:28	77544	-c--a-w-	c:\dokumente und einstellungen\uwe\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-26 09:10 . 2008-01-30 15:52	--------	d-----w-	c:\programme\BitComet
2010-06-25 15:18 . 2010-06-25 14:53	397312	----a-w-	c:\windows\esi_kl01.dat
2010-06-25 14:53 . 2010-06-25 14:53	--------	d-----w-	c:\programme\Gemeinsame Dateien\Spielberg DMS
2010-06-16 14:56 . 2009-03-22 15:34	--------	d-----w-	c:\programme\ICQ6.5
2010-06-10 14:44 . 2010-06-10 14:44	--------	d-----w-	c:\dokumente und einstellungen\uwe\Anwendungsdaten\Canneverbe Limited
2010-06-10 14:44 . 2010-06-10 14:44	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
2010-06-10 14:44 . 2010-06-10 14:44	--------	d-----w-	c:\programme\CDBurnerXP
2010-06-10 08:35 . 2010-03-31 14:46	--------	d-----w-	c:\programme\eToro
2010-06-10 08:35 . 2009-05-07 14:03	--------	d-----w-	c:\programme\Eusing Free Registry Cleaner
2010-06-10 08:35 . 2008-02-09 12:11	--------	d-----w-	c:\programme\MpcStar
2010-06-09 20:41 . 2010-06-09 20:41	106432	----a-w-	c:\windows\system32\drivers\AnyDVD.sys
2010-03-19 14:02 . 2010-03-19 14:02	1	-c--a-w-	c:\programme\WashAndGo.cho
2009-11-17 14:01 . 2010-02-08 13:02	1456640	-c--a-w-	c:\programme\Gemeinsame Dateien\Falk Navi-Manager.msi
2005-08-15 20:43 . 2004-03-03 15:23	15629	-c--a-w-	c:\programme\WashAndGo.t02
2005-08-14 20:02 . 2004-03-03 15:23	13883	-c--a-w-	c:\programme\WashAndGo.t012
2005-04-29 08:22 . 2004-03-03 15:23	14158	-c--a-w-	c:\programme\WashAndGo.t011
2005-04-19 20:49 . 2004-03-03 15:23	14981	-c--a-w-	c:\programme\WashAndGo.t09
2005-02-27 21:43 . 2004-03-03 15:23	14767	-c--a-w-	c:\programme\WashAndGo.t05
2005-02-05 17:53 . 2004-03-03 15:23	612	-c--a-w-	c:\programme\WhatsNew.txt
2005-02-05 17:13 . 2004-03-03 15:23	164352	-c--a-w-	c:\programme\WashAndGo.d01
2005-02-05 17:12 . 2004-03-03 15:23	198656	-c--a-w-	c:\programme\WashAndGo.doc
2005-02-05 17:12 . 2004-03-03 15:23	198656	-c--a-w-	c:\programme\WashAndGo.d00
2005-02-05 17:10 . 2004-03-03 15:23	91330	-c--a-w-	c:\programme\WashAndGo.chm
2005-02-05 17:10 . 2004-03-03 15:23	91330	-c--a-w-	c:\programme\WashAndGo.c00
2005-02-05 17:08 . 2004-03-03 15:23	87404	-c--a-w-	c:\programme\WashAndGo.c01
2005-02-05 16:41 . 2004-03-03 15:23	14816	-c--a-w-	c:\programme\WashAndGo.t07
2005-02-05 16:36 . 2004-03-03 15:23	14293	-c--a-w-	c:\programme\WashAndGo.t01
2005-02-05 16:16 . 2004-06-10 18:27	14762	-c--a-w-	c:\programme\WashAndGo.t013
2005-02-05 16:13 . 2004-03-03 15:23	13903	-c--a-w-	c:\programme\WashAndGo.t08
2005-02-05 16:12 . 2004-03-03 15:23	14196	-c--a-w-	c:\programme\WashAndGo.t06
2005-02-05 16:12 . 2004-03-03 15:23	14831	-c--a-w-	c:\programme\WashAndGo.t04
2005-02-05 16:11 . 2004-03-03 15:23	14599	-c--a-w-	c:\programme\WashAndGo.t03
2005-02-05 16:10 . 2004-03-03 15:23	13865	-c--a-w-	c:\programme\WashAndGo.t010
2005-01-19 20:46 . 2004-03-03 15:23	15809	-c--a-w-	c:\programme\WashAndGo.t00
2005-01-19 20:46 . 2004-03-03 15:23	15809	-c--a-w-	c:\programme\WashAndGo.def
2005-01-04 22:12 . 2004-03-03 15:23	2193920	-c--a-w-	c:\programme\WashAndGo.exe
2004-04-28 11:02 . 2009-01-03 16:02	62693	-c----w-	c:\programme\setup.ini
2004-04-28 10:57 . 2009-01-03 16:02	492016	-c----w-	c:\programme\Eumex 504PC USB.msi
2004-04-28 10:57 . 2009-01-03 16:02	1759570	-c----w-	c:\programme\Data.Cab
2004-03-13 10:57 . 2004-03-03 15:23	116224	-c--a-w-	c:\programme\WashAndGo.d09
2004-02-21 20:07 . 2004-03-03 15:23	38	-c--a-w-	c:\programme\WASHANDGO.key
2004-02-21 19:47 . 2004-03-03 15:23	247	-c--a-w-	c:\programme\WashAndGo.dat
2004-02-21 19:08 . 2004-03-03 15:23	98304	-c--a-w-	c:\programme\WashAndGo.d02
2004-02-03 22:37 . 2004-03-03 15:23	18930	-c--a-w-	c:\programme\washandgo.sk4_2.ani
2004-02-03 22:35 . 2004-03-03 15:23	4812	-c--a-w-	c:\programme\washandgo.sk1_1.ani
2004-02-03 22:34 . 2004-03-03 15:23	7984	-c--a-w-	c:\programme\washandgo.sk5_1.ani
2004-02-03 22:05 . 2004-03-03 15:23	6846	-c--a-w-	c:\programme\washandgo.sk2_1.ani
2004-02-03 16:54 . 2004-03-03 15:23	10839	-c--a-w-	c:\programme\washandgo.bg3.jpg
2004-02-03 16:54 . 2004-03-03 15:23	24761	-c--a-w-	c:\programme\washandgo.bg1.jpg
2004-02-03 16:54 . 2004-03-03 15:23	11384	-c--a-w-	c:\programme\washandgo.bg2.jpg
2004-02-03 14:40 . 2004-03-03 15:23	11088	-c--a-w-	c:\programme\washandgo.sk5_2.ani
2003-04-07 17:21 . 2004-03-03 15:23	71680	-c--a-w-	c:\programme\Checker.exe
2003-03-20 22:50 . 2004-03-03 15:23	3127	-c--a-w-	c:\programme\washandgo.bg0.jpg
2001-10-19 18:37 . 2005-01-02 22:05	749	-c--a-w-	c:\programme\WashAndGo.exe.Manifest
2001-09-17 15:21 . 2004-03-03 15:23	149504	-c--a-w-	c:\programme\washandgo.d03
2001-07-20 11:17 . 2004-03-03 15:23	10428	-c--a-w-	c:\programme\WashAndGo.c09
2001-07-20 11:17 . 2004-03-03 15:23	10428	-c--a-w-	c:\programme\WashAndGo.c03
2001-07-20 11:17 . 2004-03-03 15:23	10428	-c--a-w-	c:\programme\WashAndGo.c02
1999-06-10 09:34 . 2008-02-08 15:19	570128	-c--a-w-	c:\programme\Gemeinsame Dateien\DAO350.DLL
1998-08-07 16:49 . 2004-03-03 15:23	4786	-c--a-w-	c:\programme\washandgo.sk0_1.ani
1998-06-01 23:10 . 2004-03-03 15:23	6806	-c--a-w-	c:\programme\washandgo.sk2_2.ani
1998-05-01 21:14 . 2004-03-03 15:23	2696	-c--a-w-	c:\programme\schhht.wav
1998-04-13 22:00 . 2004-03-03 15:23	684	-c--a-w-	c:\programme\klick.wav
1998-04-13 21:58 . 2004-03-03 15:23	13940	-c--a-w-	c:\programme\finished.wav
1996-10-09 18:06 . 2004-03-03 15:23	33826	-c--a-w-	c:\programme\washandgo.sk3_2.ani
1996-10-09 18:06 . 2004-03-03 15:23	33826	-c--a-w-	c:\programme\washandgo.sk3_1.ani
1995-07-31 10:22 . 2004-03-03 15:23	18722	-c--a-w-	c:\programme\washandgo.sk4_1.ani
1993-11-06 14:12 . 2004-03-03 15:23	4786	-c--a-w-	c:\programme\washandgo.sk0_2.ani
1993-11-06 14:08 . 2004-03-03 15:23	4778	-c--a-w-	c:\programme\washandgo.sk1_2.ani
1993-05-07 17:28 . 2004-03-03 15:23	26540	-c--a-w-	c:\programme\start.wav
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
CAPIControl.lnk - c:\programme\DeTeWe\OpenCom X32\Capictrl.exe [2005-9-9 290913]
HomeNet Control.lnk - c:\programme\DeTeWe\OpenCom X32\HNetCtrl.exe [2005-9-9 90112]
OpenComControl.lnk - c:\programme\DeTeWe\OpenCom X32\PABXControl.exe [2005-9-16 53248]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoSecCpl"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoFileAssociate"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStartMenuSubFolders"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)
"NoPrinters"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)
"NoChangeAnimation"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CAPIControl.lnk]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ralink Wireless Utility.lnk]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk]
backup=c:\windows\pss\Status Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^uwe^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateStar

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Advanced SystemCare 3]
2010-03-29 12:54	2343120	-c--a-w-	c:\programme\IObit\Advanced SystemCare 3\AWC.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2007-07-02 10:29	220544	-c--a-w-	c:\programme\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
2004-08-11 04:44	1228800	-c--a-r-	c:\windows\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]
2004-07-20 08:34	851968	-c----w-	c:\programme\Brother\ControlCenter2\brctrcen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22	15360	----a-w-	c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2006-08-16 07:35	7630848	-c--a-w-	c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
2007-09-04 18:25	81920	-c--a-w-	c:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2006-08-16 07:35	86016	-c--a-w-	c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2006-08-16 07:35	1617920	-c--a-w-	c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-02-09 12:12	282624	-c--a-w-	c:\programme\MpcStar\Codecs\QuickTime\QTSystem\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoboForm]
2004-06-08 22:12	40960	-c--a-w-	c:\programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]
2004-05-25 08:16	49152	-c----w-	c:\programme\Brother\Brmfl04a\BrStDvPt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2007-09-25 00:11	132496	-c--a-w-	c:\programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
"H/PC Connection Agent"="Z:\wcescomm.exe"
"NVIDIA nTune"="c:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
"AnyDVD"=c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"QuickTime Task"="c:\programme\MpcStar\Codecs\QuickTime\qttask.exe" -atboottime
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"z:\rapimgr.exe"= z:\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"z:\wcescomm.exe"= z:\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"z:\wcesmgr.exe"= z:\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\DeTeWe\\OpenCom X32\\PABXControl.exe"=
"c:\\Programme\\DeTeWe\\OpenCom X32\\HNetCtrl.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"18378:TCP"= 18378:TCP:BitComet 18378 TCP
"18378:UDP"= 18378:UDP:BitComet 18378 UDP
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [19.08.2009 12:24 39472]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]
R2 CAPI20;OpenCom 31lan;c:\windows\system32\drivers\Capi20.sys [15.09.2005 18:00 972568]
R2 DETEWECP;DeTeWe CapiPort;c:\windows\system32\drivers\DETEWECP.SYS [09.09.2005 16:30 37696]
R3 dtwmnic5;DeTeWe OpenCom 32;c:\windows\system32\drivers\dtwmnic5.sys [09.09.2005 15:30 198118]
R3 ulisa;DeTeWe ISDN-Adapter (USB);c:\windows\system32\drivers\ulisa.sys [09.09.2005 15:30 34713]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
S2 DirMngr;DirMngr;c:\programme\GNU\GnuPG\dirmngr.exe [17.09.2007 16:58 219136]
S2 gupdate1c9a2f2cf8133ca;Google Update Service (gupdate1c9a2f2cf8133ca);c:\programme\Google\Update\GoogleUpdate.exe [12.03.2009 11:10 133104]
S3 Avgfwdx;Avgfwdx;c:\windows\system32\drivers\avgfwdx.sys [02.08.2010 11:39 30104]
S3 Avgfwfd;AVG network filter service;c:\windows\system32\drivers\avgfwdx.sys [02.08.2010 11:39 30104]
S3 DfSdkS;Defragmentation-Service;c:\programme\Ashampoo\Ashampoo WinOptimizer 2010 Advanced\DfSdkS.exe [12.07.2010 15:55 406016]
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;\??\c:\dokume~1\uwe\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys --> c:\dokume~1\uwe\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys [?]
S3 MatSvc;Microsoft Automated Troubleshooting Service;c:\programme\Microsoft Fix it Center\Matsvc.exe [10.04.2010 17:05 266544]
S3 PORTMON;PORTMON;\??\c:\programme\Sysinternals-Suite\PORTMSYS.SYS --> c:\programme\Sysinternals-Suite\PORTMSYS.SYS [?]
S3 pwdrvio;pwdrvio;c:\windows\system32\pwdrvio.sys [19.08.2009 11:40 16456]
S3 pwdspio;pwdspio;c:\windows\system32\pwdspio.sys [19.08.2009 11:40 11088]
S3 TMPassthruMP;TMPassthruMP;c:\windows\system32\DRIVERS\TMPassthru.sys --> c:\windows\system32\DRIVERS\TMPassthru.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-08-05 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-29 16:47]

2010-08-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-12 09:09]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-online.de/
mStart Page = hxxp://www.msn.com
mSearch Bar = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: RF - &Formular speichern - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: RF - &Menü anpassen - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
IE: RF - Formular ausf&üllen - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
FF - ProfilePath - c:\dokumente und einstellungen\uwe\Anwendungsdaten\Mozilla\Firefox\Profiles\shhj95ce.default\
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\MpcStar\Codecs\QuickTime\Plugins\npqtplugin.dll
FF - plugin: c:\programme\MpcStar\Codecs\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: c:\programme\MpcStar\Codecs\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: c:\programme\MpcStar\Codecs\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: c:\programme\MpcStar\Codecs\QuickTime\Plugins\npqtplugin5.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: browser.cache.memory.capacity - 65536
FF - user.js: browser.chrome.favicons - fales
FF - user.js: browser.display.show_image_placeholders - true
FF - user.js: browser.turbo.enabled - true
FF - user.js: browser.urlbar.autocomplete.enabled - true
FF - user.js: browser.urlbar.autoFill - true
FF - user.js: content.interrupt.parsing - true
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.backoffcount - 5
FF - user.js: content.notify.interval - 600000
FF - user.js: content.notify.ontimer - true
FF - user.js: content.switch.threshold - 1000000
FF - user.js: network.http.max-connections - 48
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: network.http.max-persistent-connections-per-proxy - 16
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: network.http.pipelining - true
FF - user.js: network.http.pipelining.firstrequest - true
FF - user.js: network.http.pipelining.maxrequests - 8
FF - user.js: network.http.proxy.pipelining - true
FF - user.js: network.http.request.max-start-delay - 0
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: plugin.expose_full_path - true
FF - user.js: ui.submenuDelay - 0
FF - user.js: browser.blink_allowed - true
FF - user.js: network.prefetch-next - true
FF - user.js: layout.spellcheckDefault - 1
FF - user.js: browser.search.openintab - false
FF - user.js: browser.tabs.closeButtons - 1
FF - user.js: browser.tabs.opentabfor.middleclick - true
FF - user.js: browser.tabs.tabMinWidth - 100
FF - user.js: browser.urlbar.hideGoButton - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-extensions.exe - c:\extensions.exe\extensions.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-05 10:47
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\brss01a.exe
c:\windows\system32\LEXPPS.EXE
c:\windows\system32\Brmfrmps.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\NVIDIA Corporation\nTune\nTuneService.exe
c:\programme\Google\Update\1.2.183.23\GoogleCrashHandler.exe
c:\windows\system32\nvsvc32.exe
c:\programme\CyberLink\Shared files\RichVideo.exe
c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-05  10:53:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-05 08:53

Vor Suchlauf: 1.588.727.808 Bytes frei
Nach Suchlauf: 1.949.732.864 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn /usepmtimer /noguiboot

- - End Of File - - B50950182E81E45AFF8055DAF8E2CB21

--- --- ---

undoreal · 05.08.2010, 11:15

Na das hat ja wenigstens mal was gebracht. Die schädliche Treiber Datei hat CF aber übersehen.
Evtl. erwischen wir sie jetzt mit AVZ.

Poste zwei frische AVZ logs.

achwas · 05.08.2010, 12:03

Habe nun alles wieder laufenlassen; C-Clean - AVZ - Neustart -C-Clean - AVZ

Im Anhang die neuen Log - Dateien.

Gruß...achwas

undoreal · 05.08.2010, 13:02

Führe folgendes Skript mit AVZ aus:

Hast du so ein "XPClean5" installiert?
Und WashAndGo?

Deinstalliere bitte beide!

Deinstalliere auch BitComet.

Zitat:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\drivers\vdqwnza0.sys');
DeleteFolder('c:\programme\XPcleanv5');
DeleteFile('c:\programme\WASHANDGO.ini');
DeleteFile('c:\windows\popcinfo.dat');
DeleteFile('c:\windows\esi_kl01.dat');
DeleteFile('C:\Programme\Checker.exe');
ExecuteWizard('TSW',2,2,true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

achwas · 05.08.2010, 13:38

Habe auch diese Progs. gelöscht.

Leider funktioniert das Skript nicht :

Script error: Undeclared Indentifer. "Delete Folder", position (5:13)

Gruß...achwas

undoreal · 05.08.2010, 14:31

Neues Skript:

Zitat:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\drivers\vdqwnza0.sys');
DeleteDirectory('c:\programme\XPcleanv5');
DeleteFile('c:\programme\WASHANDGO.ini');
DeleteFile('c:\windows\popcinfo.dat');
DeleteFile('c:\windows\esi_kl01.dat');
DeleteFile('C:\Programme\Checker.exe');
ExecuteWizard('TSW',2,2,true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

achwas · 05.08.2010, 15:59

Vielen Dank; das hat funktioniert.
Im Anhang befinden sich die neuesten Logs.

Vielen Dank

undoreal · 05.08.2010, 16:56

Das sieht soweit doch ganz gut aus.

Poste bitte ein Hjackthis log.

Scanne den Rechner außerdem mit Hitman Pro und poste das log.
http://filepony.de/?q=hitman/

achwas · 05.08.2010, 17:03

Danke

zunächst Log-Hijack this; das andere (Hitman) kommt morgen.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Google\Update\1.2.183.23\GoogleCrashHandler.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: OpenComControl.lnk = ?
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - Z:\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - Z:\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - Z:\INetRepl.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-S&ymbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Lucky Emperor Casino - {13C3A988-5BF3-4911-91A8-DDBF0A09F2F6} - C:\Microgaming\Casino\LuckyEmperor\casinogame.exe (HKCU)
O9 - Extra button: Golden Tiger Casino - {17E31981-DED3-416D-BCE8-26194116BB8E} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra button: The Gaming Club - {303AF311-6D13-43AC-998D-6E64A9FB1746} - C:\Microgaming\Casino\GamingClub\casinogame.exe (HKCU)
O9 - Extra button: Nostalgia Casino - {4B52E09A-222D-423F-896D-BB0896767585} - C:\Microgaming\Casino\Nostalgia\casinogame.exe (HKCU)
O9 - Extra button: Virtual City Casino - {9213F054-69D2-4427-8F4B-335112E1C33C} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra button: Platinum Play Online Casino - {B002E97B-5694-4A05-B6CF-5B3D4E44C612} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra button: Zodiac Casino - {D3D8CED6-7789-437B-8F13-673D07149084} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - hxxp://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Programme\Ashampoo\Ashampoo WinOptimizer 2010 Advanced\Dfsdks.exe
O23 - Service: DirMngr - Unknown owner - C:\Programme\GNU\GnuPG\dirmngr.exe
O23 - Service: Google Update Service (gupdate1c9a2f2cf8133ca) (gupdate1c9a2f2cf8133ca) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NMSAccess - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9029 bytes

undoreal · 05.08.2010, 19:25

Du hast den Kopf des HJT logs vergessen..

Welche AntiViren Programme sind bei dir installiert?

achwas · 05.08.2010, 19:47

Sorry, dass beim HJ Log etwas felht.
Im Augenblick habe ich kein virenprogr. installiert, weil ich dachte, es würde bei der Auswertung stören u ich sollte ja auch alles löschen. Ich werde aber wieder Antivr nehmen wollen, oder?
Noch eine Ffrage: seit dem Comfix- Durchlauf haben sich meine Favoriten
im Inet-Explorer verändert; sie haben das Symbol geändert u funktionieren nicht mehr. Gibt sich das wieder?
Und, last but not least: woher kann so ein Virus kommen? Bin eig. sehr
vorsichtig und das ist seit 12 Jahren das erste mal, das mir so etwas passiert.

Da ich wieder zu Hause bin, bitte ixg um Deine Geduld, damit ich die letzten Logs morgen senden kann.

Vielen dank

undoreal · 05.08.2010, 23:07

Sehr vorsichtig?

Aber du installierst so einen Mist an Registry Waschern und son Mist und saugst über BitComet?!
Vorsichtig ist etwas ganz anderes!

Die Favoriten wirst du neu einrichten müssen.

Durchführen, log posten: http://www.trojaner-board.de/54192-a...tellungen.html

achwas · 06.08.2010, 08:49

Guten morgen

....und vielen Dank für den "Rüffel". Allerdings nutze ich Bitcomet seit ca. 1,5 Jahren nicht mehr, das nur am Rande.

Habe Antivir runtergeladen; es hat sich das Update holen können!!! ;-)

Hier die Report-Datei:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 6. August 2010 09:46

Es wird nach 2680386 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : uwe
Computername : SLÄDLE

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:44:29
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 07:44:30
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 07:44:34
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 07:44:34
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 07:44:34
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 07:44:34
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 07:44:34
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 07:44:34
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 07:44:35
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 07:44:35
VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 07:44:35
VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 07:44:36
VBASE017.VDF : 7.10.10.53 1536 Bytes 03.08.2010 07:44:36
VBASE018.VDF : 7.10.10.54 1536 Bytes 03.08.2010 07:44:36
VBASE019.VDF : 7.10.10.55 1536 Bytes 03.08.2010 07:44:36
VBASE020.VDF : 7.10.10.56 1536 Bytes 03.08.2010 07:44:36
VBASE021.VDF : 7.10.10.57 1536 Bytes 03.08.2010 07:44:36
VBASE022.VDF : 7.10.10.58 1536 Bytes 03.08.2010 07:44:36
VBASE023.VDF : 7.10.10.59 1536 Bytes 03.08.2010 07:44:36
VBASE024.VDF : 7.10.10.60 1536 Bytes 03.08.2010 07:44:36
VBASE025.VDF : 7.10.10.61 1536 Bytes 03.08.2010 07:44:36
VBASE026.VDF : 7.10.10.62 1536 Bytes 03.08.2010 07:44:36
VBASE027.VDF : 7.10.10.63 1536 Bytes 03.08.2010 07:44:36
VBASE028.VDF : 7.10.10.64 1536 Bytes 03.08.2010 07:44:36
VBASE029.VDF : 7.10.10.65 1536 Bytes 03.08.2010 07:44:36
VBASE030.VDF : 7.10.10.66 1536 Bytes 03.08.2010 07:44:36
VBASE031.VDF : 7.10.10.82 116224 Bytes 05.08.2010 07:44:36
Engineversion : 8.2.4.32
AEVDF.DLL : 8.1.2.1 106868 Bytes 06.08.2010 07:44:40
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 06.08.2010 07:44:40
AESCN.DLL : 8.1.6.1 127347 Bytes 06.08.2010 07:44:39
AESBX.DLL : 8.1.3.1 254324 Bytes 06.08.2010 07:44:40
AERDL.DLL : 8.1.8.2 614772 Bytes 06.08.2010 07:44:39
AEPACK.DLL : 8.2.3.3 471414 Bytes 06.08.2010 07:44:39
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 06.08.2010 07:44:39
AEHEUR.DLL : 8.1.2.10 2830711 Bytes 06.08.2010 07:44:39
AEHELP.DLL : 8.1.13.2 242039 Bytes 06.08.2010 07:44:38
AEGEN.DLL : 8.1.3.18 393589 Bytes 06.08.2010 07:44:37
AEEMU.DLL : 8.1.2.0 393588 Bytes 06.08.2010 07:44:37
AECORE.DLL : 8.1.16.2 192887 Bytes 06.08.2010 07:44:37
AEBB.DLL : 8.1.1.0 53618 Bytes 06.08.2010 07:44:37
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Kurze Systemprüfung nach Installation
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\setupprf.dat
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 6. August 2010 09:46

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avconfig.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'setup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'presetup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avira_antivir_personal_de.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nTuneService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Brmfrmps.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PABXControl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HNetCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Capictrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1724' Dateien ).

Ende des Suchlaufs: Freitag, 6. August 2010 09:47
Benötigte Zeit: 00:54 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
2200 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
2200 Dateien ohne Befall
5 Archive wurden durchsucht
0 Warnungen
0 Hinweise

Ist die Kiste nun wieder sauber?

undoreal · 06.08.2010, 09:16

Zitat:

Ist die Kiste nun wieder sauber?

Sieht ganz so aus, ja.

05.08.2010, 11:15	#18
undoreal /// AVZ-Toolkit Guru	TR/AvKill.AQ wie entfernen? Na das hat ja wenigstens mal was gebracht. Die schädliche Treiber Datei hat CF aber übersehen. Evtl. erwischen wir sie jetzt mit AVZ. Poste zwei frische AVZ logs. __________________ __________________

05.08.2010, 16:56	#24
undoreal /// AVZ-Toolkit Guru	TR/AvKill.AQ wie entfernen? Das sieht soweit doch ganz gut aus. Poste bitte ein Hjackthis log. Scanne den Rechner außerdem mit Hitman Pro und poste das log. http://filepony.de/?q=hitman/ __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

05.08.2010, 19:25	#26
undoreal /// AVZ-Toolkit Guru	TR/AvKill.AQ wie entfernen? Du hast den Kopf des HJT logs vergessen.. Welche AntiViren Programme sind bei dir installiert? __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

TR/AvKill.AQ wie entfernen?

Plagegeister aller Art und deren Bekämpfung: TR/AvKill.AQ wie entfernen?