Trojaner-Board - C:\dir\install\install\Windows Update.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - C:\dir\install\install\Windows Update.exe (https://www.trojaner-board.de/104831-c-dir-install-install-windows-update-exe.html)

Windows-Firewall kann anbleiben, die sollte nicht stören. Der Rest steht in der Anleitung.

So, habe alles ausgeführt:

[code]
Combofix Logfile:

Code:

ComboFix 11-11-18.02 - Heiko 18.11.2011  17:28:36.1.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2046.1641 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Heiko\Desktop\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Heiko\Anwendungsdaten\inst.exe

c:\dokumente und einstellungen\Heiko\Anwendungsdaten\vso_ts_preview.xml

c:\dokumente und einstellungen\Heiko\WINDOWS

c:\programme\INSTALL.LOG

c:\windows\help\wmplayer.bak

c:\windows\IsUn0407.exe

c:\windows\system32\drivers\fad.sys

c:\windows\TSOC.LOG

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-10-18 bis 2011-11-18  ))))))))))))))))))))))))))))))

.

.

2011-11-17 00:19 . 2011-11-17 15:30        --------        d-----w-        C:\_OTL

2011-11-14 19:09 . 2011-11-14 19:09        --------        d-----w-        c:\programme\ESET

2011-10-31 19:35 . 2011-10-31 19:35        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin7.dll

2011-10-31 19:35 . 2011-10-31 19:35        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin6.dll

2011-10-31 19:35 . 2011-10-31 19:35        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin5.dll

2011-10-31 19:35 . 2011-10-31 19:35        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin4.dll

2011-10-31 19:35 . 2011-10-31 19:35        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin3.dll

2011-10-31 19:35 . 2011-10-31 19:35        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin2.dll

2011-10-31 19:35 . 2011-10-31 19:35        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin.dll

2011-10-31 19:34 . 2011-10-31 19:35        --------        d-----w-        c:\programme\QuickTime

2011-10-31 19:27 . 2011-10-31 19:27        --------        d-----w-        c:\programme\iPod

2011-10-31 19:26 . 2011-10-31 19:28        --------        d-----w-        c:\programme\iTunes

2011-10-31 19:17 . 2011-10-31 19:17        --------        d-----w-        c:\programme\Bonjour

2011-10-29 16:22 . 2011-10-29 16:22        --------        d-----w-        C:\Musik_Rumer - Seasons of the Soul (2010)

2011-10-24 13:29 . 2011-10-24 13:29        94208        ----a-w-        c:\windows\system32\QuickTimeVR.qtx

2011-10-24 13:29 . 2011-10-24 13:29        69632        ----a-w-        c:\windows\system32\QuickTime.qts

2011-10-19 21:11 . 2011-10-19 21:11        --------        d-----w-        C:\musik_Peter Schilling - Neu & Live 2010 Komplett

2011-10-19 21:10 . 2011-10-19 21:11        --------        d-----w-        C:\musik_Ottos_Eleven-OST-2CD-DE-2010

2011-10-19 21:10 . 2011-10-19 21:10        --------        d-----w-        C:\musik_Pop - Zaz - Zaz (2010)

2011-10-19 21:08 . 2011-10-19 21:09        --------        d-----w-        C:\musik_VA - Bravo_The_Hits_2010-2CD-2010

2011-10-19 21:08 . 2011-10-19 21:08        --------        d-----w-        C:\musik_Sarah Engels - Heartbeat - 2011

2011-10-19 21:07 . 2011-10-19 21:08        --------        d-----w-        C:\musik_VA- The Dome Vol.55 - 2CD - 2010 - VOiCE

2011-10-19 21:07 . 2011-10-19 21:07        --------        d-----w-        C:\musik_VA - Tatort Musik Edition.Rock and Pop.2CD.2010-OMA

2011-10-19 21:06 . 2011-10-19 21:07        --------        d-----w-        C:\musik_VA - Tatort Musik Edition.Die Hits Von 2000 Bis 2009.2CD.2010-OMA

2011-10-19 21:06 . 2011-10-19 21:06        --------        d-----w-        C:\musik_VA - Tatort Musik Edition.Die Hits Von 1970 Bis 1979.2CD.2010-OMA

2011-10-19 21:06 . 2011-10-19 21:06        --------        d-----w-        C:\musik_Pop - Herbert Grönemeyer - Schiffsverkehr - Special Edition (2011)

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-10-10 14:22 . 2004-06-07 12:19        692736        ----a-w-        c:\windows\system32\inetcomm.dll

2011-09-28 07:06 . 2002-09-23 13:10        604160        ----a-w-        c:\windows\system32\crypt32.dll

2011-09-26 09:41 . 2008-07-29 18:59        614912        ----a-w-        c:\windows\system32\uiautomationcore.dll

2011-09-26 09:41 . 2002-08-29 04:00        23040        ----a-w-        c:\windows\system32\oleaccrc.dll

2011-09-26 09:41 . 2002-08-29 04:00        220160        ----a-w-        c:\windows\system32\oleacc.dll

2011-09-06 20:45 . 2010-12-21 01:11        41184        ----a-w-        c:\windows\avastSS.scr

2011-09-06 20:45 . 2010-12-21 01:11        199304        ----a-w-        c:\windows\system32\aswBoot.exe

2011-09-06 20:38 . 2011-03-06 17:02        442200        ----a-w-        c:\windows\system32\drivers\aswSnx.sys

2011-09-06 20:37 . 2010-12-21 01:12        320856        ----a-w-        c:\windows\system32\drivers\aswSP.sys

2011-09-06 20:36 . 2010-12-21 01:12        34392        ----a-w-        c:\windows\system32\drivers\aswRdr.sys

2011-09-06 20:36 . 2010-12-21 01:12        52568        ----a-w-        c:\windows\system32\drivers\aswTdi.sys

2011-09-06 20:36 . 2010-12-21 01:12        110552        ----a-w-        c:\windows\system32\drivers\aswmon2.sys

2011-09-06 20:36 . 2010-12-21 01:12        104536        ----a-w-        c:\windows\system32\drivers\aswmon.sys

2011-09-06 20:36 . 2010-12-21 01:12        20568        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys

2011-09-06 20:33 . 2010-12-21 01:12        30808        ----a-w-        c:\windows\system32\drivers\aavmker4.sys

2011-09-06 14:10 . 2002-08-29 04:00        1859072        ----a-w-        c:\windows\system32\win32k.sys

2011-08-31 16:00 . 2010-09-06 22:21        22216        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-08-30 22:05 . 2011-08-30 22:05        83816        ----a-w-        c:\windows\system32\dns-sd.exe

2011-08-30 22:05 . 2011-08-30 22:05        73064        ----a-w-        c:\windows\system32\dnssd.dll

2011-08-30 22:05 . 2011-08-30 22:05        50536        ----a-w-        c:\windows\system32\jdns_sd.dll

2011-08-30 22:05 . 2011-08-30 22:05        178536        ----a-w-        c:\windows\system32\dnssdX.dll

2011-08-22 23:41 . 2004-02-06 16:07        916480        ----a-w-        c:\windows\system32\wininet.dll

2011-08-22 23:41 . 2002-08-29 04:00        43520        ------w-        c:\windows\system32\licmgr10.dll

2011-08-22 23:41 . 2002-08-29 04:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2011-08-22 11:56 . 2004-08-04 07:42        385024        ------w-        c:\windows\system32\html.iec

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2011-09-06 20:45        122512        ----a-w-        c:\programme\Alwil Software\Avast5\ashShell.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIModeChange"="Ati2mdxx.exe" [2002-08-28 28672]

"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-04-29 327680]

"avast"="c:\programme\Alwil Software\Avast5\avastUI.exe" [2011-09-06 3722416]

"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]

"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-10-06 59240]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2011-10-24 421888]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe"

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

"AppleSyncNotifier"=c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\SaferSurf FileSharing\\SaferSurf-FileSharing.exe"=

"c:\\Programme\\eMule\\emule.exe"=

"c:\\totalcmd\\TOTALCMD.EXE"=

"c:\\Programme\\ChessBase\\ChessProgram8\\ChessProgram8.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\NewsBin\\nbpro.exe"=

"c:\\Programme\\REALTEK\\11n USB Wireless LAN Utility\\RtWLan.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1542:TCP"= 1542:TCP:Realtek WPS TCP Prot

"1542:UDP"= 1542:UDP:Realtek WPS UDP Prot

"53:UDP"= 53:UDP:Realtek AP UDP Prot

.

R0 PrecSim;PrecSim;c:\windows\SYSTEM32\DRIVERS\precsim.sys [21.05.2002 23:00 69600]

R1 aswSnx;aswSnx;c:\windows\SYSTEM32\DRIVERS\aswSnx.sys [06.03.2011 18:02 442200]

R1 aswSP;aswSP;c:\windows\SYSTEM32\DRIVERS\aswSP.sys [21.12.2010 02:12 320856]

R1 bizVSerial;Franson VSerial;c:\windows\SYSTEM32\DRIVERS\bizVSerialNT.sys [30.04.2011 13:14 14949]

R2 aswFsBlk;aswFsBlk;c:\windows\SYSTEM32\DRIVERS\aswFsBlk.sys [21.12.2010 02:12 20568]

R3 pcouffin;VSO Software pcouffin;c:\windows\SYSTEM32\DRIVERS\pcouffin.sys [13.11.2010 08:44 47360]

R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [29.11.2010 19:27 10064]

S3 cglptnt;cglptnt;c:\totalcmd\CGLPTNT.SYS [22.08.2003 14:26 7888]

S3 cjusb;REINER SCT cyberJack USB Driver;c:\windows\SYSTEM32\DRIVERS\cjusb.sys [30.04.2011 13:14 28144]

S3 esgiguard;esgiguard;\??\c:\programme\Enigma Software Group\SpyHunter\esgiguard.sys --> c:\programme\Enigma Software Group\SpyHunter\esgiguard.sys [?]

S3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\SYSTEM32\DRIVERS\RTL8192su.sys [30.05.2011 13:55 591488]

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

Inhalt des "geplante Tasks" Ordners

.

2011-11-14 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

2011-11-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2011-08-13 18:02]

.

2011-11-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2011-08-13 18:02]

.

2011-09-22 c:\windows\Tasks\ISP-Anmeldungserinnerung 1.job

- c:\windows\System32\OOBE\OOBEBALN.EXE [2002-08-29 02:22]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = 

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.178.1

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-Adobe Acrobat 5.0 - c:\windows\ISUN0407.EXE

AddRemove-map&guide 9 - c:\windows\IsUn0407.exe

AddRemove-map&guide 9 Karte Deutschland City - c:\windows\IsUn0407.exe

AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-11-18 17:43

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-11-18  17:51:17

ComboFix-quarantined-files.txt  2011-11-18 16:51

.

Vor Suchlauf: 2.003.922.944 Bytes frei

Nach Suchlauf: 2.036.645.888 Bytes frei

.

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

[spybotsd]

timeout.old=30

.

- - End Of File - - A316165BCD2B73B8356E8ED1844732A6

--- --- ---

Wie gehts weiter?

LG und schönen Abend noch
Heiko

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Hallo Arne,

hier erst mal der Log von GMER. Hat lange gedauert bis es durchgelaufen war.

OSAM-Log mache ich nach Neustart. Heißt ja ich soll nach jedem Scan Neustart machen. Oder?

Mist, Text zu lange sagt mir das Board.

Füge ich daher als Anlage bei. OK?

Anhang 24452

Ehrlich gesagt verstehe ich nur Bahnhof was ich hier mache.

Vielen Dank und ne gute Nacht
Heiko

So Arne,

habe Schlepptop neu gestartet.

avast! Pro Antivirus hatte ich noch deaktiviert gehabt, also schon beim Scannen mit gmer. Schlimm?

OSAM hat Onlinedatenbank abgerufen. Also habe ich Netzwerkkabel dran gelassen und nicht rausgezogen.

Hier der Log von OSAM:

Code:

OSAM Logfile:
 

        Code:


        
Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 02:57:10 on 20.11.2011
 

OS: Windows XP Home Edition Service Pack 3 (Build 2600)

Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Control Panel Objects]

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

"SYMLIVE" - ? - C:\Programme\Symantec\LiveUpdate\S32LUCP1.CPL  (File not found)
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"AEGIS Protocol (IEEE 802.1x) v3.7.5.0" (AegisP) - "Cisco Systems, Inc." - C:\WINDOWS\System32\DRIVERS\AegisP.sys

"ASPI32" (ASPI32) - "Adaptec" - C:\WINDOWS\system32\drivers\ASPI32.sys

"aswFsBlk" (aswFsBlk) - "AVAST Software" - C:\WINDOWS\system32\drivers\aswFsBlk.sys

"aswRdr" (aswRdr) - "AVAST Software" - C:\WINDOWS\system32\drivers\aswRdr.sys

"aswSnx" (aswSnx) - "AVAST Software" - C:\WINDOWS\system32\drivers\aswSnx.sys

"aswSP" (aswSP) - "AVAST Software" - C:\WINDOWS\system32\drivers\aswSP.sys

"avast! Asynchronous Virus Monitor" (Aavmker4) - "AVAST Software" - C:\WINDOWS\system32\drivers\Aavmker4.sys

"avast! Network Shield Support" (aswTdi) - "AVAST Software" - C:\WINDOWS\system32\drivers\aswTdi.sys

"avast! Standard Shield Support" (aswMon2) - "AVAST Software" - C:\WINDOWS\system32\drivers\aswMon2.sys

"bvrp_pci" (bvrp_pci) - ? - C:\WINDOWS\system32\drivers\bvrp_pci.sys  (File not found)

"catchme" (catchme) - ? - C:\DOKUME~1\Heiko\LOKALE~1\Temp\catchme.sys  (File not found)

"Cdr4_xp" (Cdr4_xp) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\Cdr4_xp.sys

"Cdralw2k" (Cdralw2k) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\Cdralw2k.sys

"cglptnt" (cglptnt) - "C. Ghisler & Co." - C:\totalcmd\cglptnt.sys

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"cpuz132" (cpuz132) - ? - C:\DOKUME~1\Heiko\LOKALE~1\Temp\PCWizard\pcwiz32.sys  (File not found)

"ElbyCDFL" (ElbyCDFL) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\ElbyCDFL.sys

"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys

"esgiguard" (esgiguard) - ? - C:\Programme\Enigma Software Group\SpyHunter\esgiguard.sys  (File not found)

"Franson VSerial" (bizVSerial) - "franson.biz" - C:\WINDOWS\System32\drivers\bizVSerialNT.sys

"iAimTV2" (iAimTV2) - ? - C:\WINDOWS\System32\DRIVERS\wATV03nt.sys  (File not found)

"imagedrv" (imagedrv) - "Ahead Software AG" - C:\WINDOWS\System32\Drivers\imagedrv.sys

"imagesrv" (imagesrv) - "Ahead Software AG" - C:\WINDOWS\System32\DRIVERS\imagesrv.sys

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"OMCI WDM Device Driver" (omci) - "Dell Computer Corporation" - C:\WINDOWS\System32\DRIVERS\omci.sys

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"PrecSim" (PrecSim) - "Engelmann GmbH" - C:\WINDOWS\System32\DRIVERS\precsim.sys

"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys

"SymEvent" (SymEvent) - ? - C:\Programme\Symantec\SYMEVENT.SYS  (File not found)

"SYMREDRV" (SYMREDRV) - "Symantec Corporation" - C:\WINDOWS\System32\Drivers\SYMREDRV.SYS

"SYMTDI" (SYMTDI) - "Symantec Corporation" - C:\WINDOWS\System32\Drivers\SYMTDI.SYS

"TuneUpUtilitiesDrv" (TuneUpUtilitiesDrv) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys

"VSO Software pcouffin" (pcouffin) - "VSO Software" - C:\WINDOWS\System32\Drivers\pcouffin.sys

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

-----( HKLM\Software\Classes\Protocols\Handler )-----

{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{472083B0-C522-11CF-8763-00608CC02F24} "avast" - "AVAST Software" - C:\Programme\Alwil Software\Avast5\ashShell.dll

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -   (File not found | COM-object registry key not found)

{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)

{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll

{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL

{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

{4838CD50-7E5D-4811-9B17-C47A85539F28} "TuneUp Disk Space Explorer Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2011\DseShExt-x86.dll

{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2011\SDShelEx-win32.dll

{44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll

{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\Winrar\rarext.dll
 

[Internet Explorer]

-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----

{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

DirectAnimation Java Classes "DirectAnimation Java Classes" - ? -   (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\dajava.cab

Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -   (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab

{7530BFB8-7293-4D34-9923-61A11451AFC5} "OnlineScanner Control" - "ESET" - C:\PROGRA~1\ESET\ESETON~1\ONLINE~1.OCX / hxxp://download.eset.com/special/eos/OnlineScanner.cab

{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10t.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} "Symantec AntiVirus scanner" - "Symantec Corporation" - C:\WINDOWS\Downloaded Program Files\avsniff.dll / hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

{644E432F-49D3-41A1-8DD5-E099162EEEC5} "Symantec RuFSI Utility Class" - "Symantec Corporation" - C:\WINDOWS\Downloaded Program Files\rufsi.dll / hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

"eBay - Homepage" - ? - C:\Programme\IrfanView\Ebay\Ebay.htm

{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----

<binary data> "avast! WebRep" - "AVAST Software" - C:\Programme\Alwil Software\Avast5\aswWebRepIE.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} "avast! WebRep" - "AVAST Software" - C:\Programme\Alwil Software\Avast5\aswWebRepIE.dll
 

[Logon]

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"AppleSyncNotifier" - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe

"APSDaemon" - "Apple Inc." - "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe"

"ATIPTA" - "ATI Technologies, Inc." - C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

"avast" - "AVAST Software" - "C:\Programme\Alwil Software\Avast5\avastUI.exe" /nogui

"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll

"PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\System32\pdfports.dll
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)

"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"avast! Antivirus" (avast! Antivirus) - "AVAST Software" - C:\Programme\Alwil Software\Avast5\AvastSvc.exe

"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe

"GEARSecurity" (GEARSecurity) - "GEAR Software" - C:\WINDOWS\System32\GEARSEC.EXE

"Google Update-Dienst (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe

"LiveShare P2P Server 9" (RoxLiveShare9) - "Sonic Solutions" - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe

"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE

"Symantec Network Drivers Service" (SNDSrvc) - "Symantec Corporation" - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

"TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll

"TuneUp Utilities Service" (TuneUp.UtilitiesSvc) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe

"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

"WLTRYSVC" (WLTRYSVC) - ? - C:\WINDOWS\System32\WLTRYSVC.EXE  (File found, but it contains no detailed information)
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
 

[Winsock Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----

"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===

 
--- --- ---
 

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Gleich dann noch mal Neustart und dann das andere Tool auch noch laufen lassen.
Ich hoffe ich mache alles richtig.

Vielen Dank
Heiko

Hallo Arne,

habe jetzt das aswMBR.exe laufen lassen. Quickscan war voreingestellt. Habe ich so gelassen.

Hier die *.txt-Datei:

Anhang 24453

2x was Rotes hat er mir im DOS Fenster angezeigt.

Aktiviere jetzt wieder das avast! Pro Antivirus und fahre Schlepptop runter.

Noch mal gute Nacht
Heiko

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne,

habe alles ausgeführt. Das Malware's Anti-Malware war schon installiert. Nur aktualisiert dann.

Hier der Log von Malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Datenbank Version: 8198
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

20.11.2011 14:55:00

mbam-log-2011-11-20 (14-55-00).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)

Durchsuchte Objekte: 263583

Laufzeit: 53 Minute(n), 4 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Habe dann das SUPERAntiSpyware runtergeladen und installiert. Da die Anleitung auf die englische Version war, habe ich auch in englisch installiert. Leider ist die Oberfläche etwas anders als in der Anleitung. Bin mir nicht sicher ob ich die richtigen Einstellungen gemacht/geändert habe.
Hier mal ein paar Hardcopys bevor ich losgelegt habe das Teil laufen zu lassen:

Anhang 24499

Das Programm hat sich irgendwo im Autostart o. ä. eingetragen. Jedenfalls startet es autom. beim Booten von Windoofs und legt sich rechts im Systemtray ab.

Hier der Log:

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 11/20/2011 at 09:13 PM
 

Application Version : 5.0.1136
 

Core Rules Database Version : 7965

Trace Rules Database Version: 5777
 

Scan type       : Complete Scan

Total Scan Time : 02:32:41
 

Operating System Information

Windows XP Home Edition 32-bit, Service Pack 3 (Build 5.01.2600)

Administrator
 

Memory items scanned      : 459

Memory threats detected   : 0

Registry items scanned    : 38735

Registry threats detected : 0

File items scanned        : 97569

File threats detected     : 8
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Heiko\Cookies\ZA47D1QJ.txt [ /imrworldwide.com ]

        C:\Dokumente und Einstellungen\Heiko\Cookies\F6PY5BV6.txt [ /doubleclick.net ]

        C:\Dokumente und Einstellungen\Heiko\Cookies\JDYT2K8Y.txt [ /atdmt.com ]

        C:\Dokumente und Einstellungen\Heiko\Cookies\G5X202VF.txt [ /msnportal.112.2o7.net ]

        C:\Dokumente und Einstellungen\Heiko\Cookies\A0H8KTJX.txt [ /mediaplex.com ]

        C:\Dokumente und Einstellungen\Heiko\Cookies\P90KVQO2.txt [ /c.atdmt.com ]

        C:\Dokumente und Einstellungen\Heiko\Cookies\ORPN669C.txt [ /apmebf.com ]
 

Trojan.Agent/Gen-FakeAlert

        C:\PROGRAMME\MG9\PROG\MGXLS.EXE

Dann habe ich das avast! Pro Antivirus, SUPERAntiSpyware geschlossen/deaktiviert und die Windoofs-Firewall auch deaktiviert. Steht ja in der Anleitung. Firewall von XP hatte ich beim ersten Scan Deiner Antwort vergessen gehabt zu deaktivieren. Schlimm?

Jetzt wurde 2 Objekte gefunden:

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

esets_scanner_update returned -1 esets_gle=53251

# version=7

# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=ab4575ee78827640b7e967fa4b63e38f

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-11-16 01:46:51

# local_time=2011-11-16 02:46:51 (+0100, Westeuropäische Normalzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=768 16777215 100 0 27616890 27616890 0 0

# compatibility_mode=4096 16777215 100 0 0 0 0 0

# compatibility_mode=8192 67108863 100 0 44613 44613 0 0

# scanned=96781

# found=2

# cleaned=0

# scan_time=65667

C:\Dokumente und Einstellungen\...\Anwendungsdaten\javaw.exe        a variant of MSIL/Agent.BI trojan (unable to clean)        00000000000000000000000000000000        I

${Memory}        a variant of MSIL/Agent.BI trojan        00000000000000000000000000000000        I

# version=7

# IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=ab4575ee78827640b7e967fa4b63e38f

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-11-21 05:33:38

# local_time=2011-11-21 06:33:38 (+0100, Westeuropäische Normalzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=768 16777215 100 0 28945019 28945019 0 0

# compatibility_mode=4096 16777215 100 0 0 0 0 0

# compatibility_mode=8192 67108863 100 0 541142 541142 0 0

# scanned=75201

# found=2

# cleaned=0

# scan_time=14732

C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP186\A0032306.exe        a variant of MSIL/Agent.BI trojan (unable to clean)        00000000000000000000000000000000        I

C:\_OTL\MovedFiles.zip        a variant of MSIL/Agent.BI trojan (unable to clean)        00000000000000000000000000000000        I

Zusätlich ist mir aufgefallen das ich seit einiger Zeit Probleme mit meiner externen USB-Festplatte 1,5 TB von LaCie habe. Kommt von Windoofs öfter mal die Meldung Fehler beim Schreiben...
Und eben kam auch der Hinweis Gerät wurde nicht richtig erkannt o. ä.

Auch hier mal Hardcopys:

Anhang 24500

Aktiviere gleich wieder XP-Firewall und das avast!... SUPERAntiSpyware kommt ja autom. beim Booten.
Fahre Schlepptop dann erst mal wieder runter.

Gute Nacht
Heiko
:dankeschoen:

PS: Habe Verlauf vom IE heute Nacht gelöscht. Seitdem sind die Cookies weg. Gerade gesehen sind wieder welche da.

Zitat:

Trojan.Agent/Gen-FakeAlert
C:\PROGRAMME\MG9\PROG\MGXLS.EXE

Kennst du diese Datei?

Zitat:

Hilft mir so nicht weiter. Seit wann genau hast du das? Läuft diese Platte an einem anderen Rechner einwandfrei?

Also diese Datei hier C:\PROGRAMME\MG9\PROG\MGXLS.EXE
ist im Programmordner von Map & Guide 9 (ältere Version). Ob die zum eigentlichen Programm gehört, kann ich nicht sagen.
Die eigentliche Verknüpfung für Map & Guide, welche ich bisher immer gestartet habe über Startmenü ist: C:\Programme\mg9\prog\mgstart.exe
Über die Eigenschaften von mgstart.exe zeigt Windows mir auch den Register Version mit den Infos von Map & Guide an. Bei mgxls.exe fehlt dieser Register.

Da das Programm schon älter ist und ich es lange nicht mehr benutzt habe, würde ich es sowieso gerne deinstallieren.
Ist das OK?
Oder erst mal den Rest abwarten?

Habe z. Zt. nur diesen Schlepptop am Laufen mit Win XP. Anderen PC hatte ich platt gemacht und Linux installiert. Unter Knoppix Live-DVD hatte ich am Schlepptop bisher keine Probleme mit der externen Platte gehabt. Aber ich boote auch nicht regelmäßig mit der DVD.
Und die Fehler mit der externen Platte treten nicht immer auf. Nur hin und wieder mal.

Seit wann genau kann ich nicht mehr sagen. Irgendwann letztes Jahr. Vielleicht so 2-3 Monate nach dem Kauf. Diese Festplatte hatte ich im Schweiz-Urlaub gekauft. War glaube ich letztes Jahr.

Beim ESET Online Scan ist mir im Log die Datei javaw.exe aufgefallen. Hatten wir die nicht schon am Anfang mit dem OTL-Fix gelöscht bzw. nach C:\_OTL... verschoben lassen?
Warum jetzt wieder da unter Anwendungsdaten?

Und unter C:\System Volume Information\_restore... werden da nicht die Wiederherstellungsinformationen von Windoofs XP abgelegt?

Vielen Dank.
Gruß
Heiko

Zitat:

Beim ESET Online Scan ist mir im Log die Datei javaw.exe aufgefallen.

Das war von den Scans mit ESET davor!!

Zitat:

Seit wann genau kann ich nicht mehr sagen. Irgendwann letztes Jahr. Vielleicht so 2-3 Monate nach dem Kauf. Diese Festplatte hatte ich im Schweiz-Urlaub gekauft. War glaube ich letztes Jahr.

Mal ne andere Platte testen oder diese an einem anderen Rechner. Vllt schadet auch ein Test mit dem Diagnosetool des Herstellers nicht.

Zitat:

Und unter C:\System Volume Information\_restore... werden da nicht die Wiederherstellungsinformationen von Windoofs XP abgelegt?

U.a. die auch, ja.

PS: Habe den Ordner C:\Programme\mg9\prog mit meinem avast! Pro Antivirus überprüft. Der findet da nix. :confused:

:dankeschoen:
Gruß
Heiko

Rechner nun wieder im Lot?

Hallo Arne,

bin mir nicht sicher ob alles ok ist. Das müßt Ihr/Du mir sagen.

Habe versucht das Map & Guide zu deinstallieren. Über den eigenen Deinstaller erhalte ich Fehlermeldung:

Anhang 24549

Sowie über Windows-Software ebenfalls:

Anhang 24550

Sind jetzt die Pfade zu dem Deinstaller falsch? Dateiordner C:\Qoobox wurde lt. Eigenschaften erstellt: Freitag, 18. November 2011, 17:19:28.

MG9 über Explorer manuell löschen und Einträge im Startmenü + Softwaremenü ebenfalls manuell löschen?

Über Knoppix Boot-DVD habe ich mir mal aus C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP186\A0032306.exe auf C:\ gespeichert. Über Windows ging es nicht. Wollte mir die Eigenschaften über Windows Explorer anzeigen lassen, hat avast! Pro Antivirus direkt Alarm geschlagen und in Quarantäne geschoben. Ich zurück auf C:\ und umbenannt in A0032306.ex
Diese Datei hat selbe Größe wie C:\Dokumente und Einstellungen\Heiko\Anwendungsdaten\javaw.exe. Diese wurde ja bei dem Combofix nach C:\_OTL verschoben. Dort ist die Datei aber jetzt nicht mehr vorhanden. War sie aber. Ist jetzt auch noch in der ZIP-Datei MovedFiles.zip aufgelistet. Die anderen Dateien sind unter c:\_OTL\MovedFiles\11172011_011918\ aber noch vorhanden.

Muß ich diese A0032306.ex und auch die im _restore... A0032306.exe nicht auch löschen?

Zusätzlich ist mir noch ein weiterer neuer Dateiordner aufgefallen C:\cmdcons
Erstellt Freitag, 18. November 2011, 17:25:43
Dort sind *.sy_, *.dll, *.dl_, *.exe usw. Dateien und ein Unterordner System32.

Dann noch was zu Deiner Antwort:

Zitat:

Zitat:
Beim ESET Online Scan ist mir im Log die Datei javaw.exe aufgefallen.

Das war von den Scans mit ESET davor!!

Das verstehe ich nicht. Ich hatte doch den ESET Online Scan gem. Deiner Antwort noch mal laufen lassen. Wieso findet der dann trotzdem noch was?

Ach und zu guter letzt, bei A0032306.exe steht das gleiche wie bei der javaw.exe: a variant of MSIL/Agent.BI trojan

Ein Arbeitskollege hat heute schon zu mir gemeint, ich solle hier abbrechen und er würde eine aktualisierte Boot-CD/DVD von GData brennen und am Do. mitbringen und wir würden Laptop damit mal scannen.
Der findet doch auch nicht alles. Oder?

Sorry das ich so wirr schreibe, mir sind halt die Punkte so eingefallen wo ich denke sicherheitshalber noch mal nachfragen.

:dankeschoen: :dankeschoen: :dankeschoen:

Vielen Dank
Heiko

Zitat:

bin mir nicht sicher ob alles ok ist. Das müßt Ihr/Du mir sagen.

Lt. Logs ist von meiner Seite aus alles ok, ich frag nur nach, ob es noch andere Probleme gibt, die nicht unbedingt von aktiver Malware noch stammen! Den gesamteindruck des System, ob es zB flüssig oder zähflüssig läuft kann ich nur erfragen!

Zitat:

Über Windows ging es nicht

Natürlich geht das so ohne weiteres unter Windows nicht, weil die NTFS-Rechte das nicht zu lassen!
In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Zitat:

Zusätzlich ist mir noch ein weiterer neuer Dateiordner aufgefallen C:\cmdcons

ist die Wiederherstellungskonsole die mit CF installiert wurde. Lass den Ordner in Ruhe!