Windows XP Trojaner infektion
 

Hallo,

heute habe ich eine email von einem gewissen lajos79@gmx.de erhalten, mit dem Inhalt:

Sehr geehrte Damen und Herren,

Vielen Dank für Ihren Auftrag bei Rumpf, nachfolgend finden Sie Ihre Kaufbestätigung.

Ihre Transaktionsnummer: 139666361622
Artikel: Samsung 9830097922 8832,40 Euro
Rechnungsname: Wie in Rechnungsdaten abgebildet


Zahlungsmethode: Lastschrift

Versandadresse und detaillierte Rechnung finden Sie aus Sicherheitsmaßnahmen in beigefügtem Anhang.

Die Buchung wurde autorisiert und wird innerhalb 2 Tage abgetragen.
Bestellauflistung und Widerspruch Mitteilung finden Sie im Zusatzordner in der E-Mail.


Ihr Support-Team

Scholz GmbH
Horner Stieg 07
35434 Potsdam

Telefon: (+49) 785 4114589
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Artern/Unstrut
Umsatzsteuer-ID: DE956029782
Geschäftsfuehrer: Dominic König

larry.grays@themidtowndbridge mit dem Inhalt

Hallo Michaela,

Danke für Ihren Kauf bei wechselwild, nachfolgend finden Sie Ihre Antragsbestätigung.

Deine Bezahnummer: 341061462368
Artikel: BenQ 0034718420 8368,42 Euro
Rechnungsname: Michaela

Zahlungsmethode: Per Nachname

Versandadresse und detaillierte Zahlungsdetails finden Sie aus Sicherheitsgründen im Zusatzordner.

Die Buchung wurde autorisiert und wird innerhalb 3 Tage entzogen.
Rechnungseinzelheiten und Stornierung Hinweise finden Sie in beigefügtem Anhang.


Ihr Kundenservice

Schröder GmbH
Blostwiete 56
66441 Essen

Telefon: (+49) 361 5107300
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Alsdorf
Umsatzsteuer-ID: DE066966505
Geschäftsfuehrer: Alexander Günther


Im anhang befanden sich zip dateien, die man nicht öffnen kann. Als ich mich dann bei t-online.de ausloggte, und ich was anderes machen wollte, kam eine meldung von wegen Infiziezrung und dass ich nun 100€ per paysafecard oder Ukash bezahlen müsste für irgendein Sicherheitsupgrade.
Nun ist die Frage was soll ich bzw. kann ich tun?
Könnt ihr mir bitte helfen.

vielen dank im voraus und noch einen schönen Feiertag :applaus:
pckeineahnun

Wieso versuchst du die überhaupt zu öffnen?
Wenn man in keinem Zusammenhang zu den o.g. Firmen steht, ja wenn es solche Firmen offensichtlich nicht mal gibt sollte man einfach mal seinen Verstand benutzen und die Finger von Anhängen in dieser Mail lassen

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Nein funktioniert leider nicht, habe ich schon ausprobiert.

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo Arne,

danke schön....

Es hat alles geklappt bis auf das kopieren auf den Stick..
das geht leider nicht, jetzt hat er sich aufgehängt. und nichts geht mehr

:heulen::headbang:

Kannst du das auch mal genauer beschreiben, so dass ich nicht rumraten was "nichts geht" bedeutet?

Nun habe ich die beigefügten Daten auf den Stick gebracht. Letztendlich nach durchzechter Nacht vor dem Pc.

Ich weiß nun nicht wie ich weiter machen soll!!!??

Find es klasse, dass so gute Leute gibt, die so "unwissenden Menschen wie mir " das so erklären können, das wir das auch hinbekommen.

Ein ganz herzliches Dankeschön dafür.

Die Dateien kann ich hier leider nicht einfügen :-(

Warte geduldig auf weitere Anweisungen. Danke im voraus.

Grüße

Frage noch:

Möchte Euch ja gerne den Inhalt des Sticks zu kommen lassen....:dummguck: Aber wie??? Danke auch dafür

Wo ist da denn das Problem? :balla:
Wenn die Logs auf dem Stick sind dann poste die einfach von einem Rechner aus, an dem alles noch funktioniert und du auch eine Internetverbindung mit hast!

Ohne die Logs geht es hier nicht weiter weil die entscheidend sind!

Hallo Arne,

sorry irgendwie pack ich das nicht so...

Ich habe mir eine Rescue cD (DE-Cleaner Rettungssystem-DC gebrannt und sie auf dem verseuchten pc laufen lassen..
Nun kann ich zumindest wieder auf meinen pc zugreifen und lasse gerade das Anti vir von Avira laufen.

Es dauert ewigkeiten, zwischendurch muß ich auch noch arbeiten gehen.

Ich habe zumindet mal den Bat/De... drauf , weiter bin ich leider noch nicht gekommen.

Wie soll ich dann weiterverfahren, denn die Datein haben einen verschlüsselten Code wie.... FELsjfoGyU....

Bitte habe etwas nachsicht, bin hier voll der Laie :-( Danke !

OTL EXTRAS Logfile:
--- --- ---

OTL Logfile:
--- --- ---

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\056EB686F08C74A67BDE.exe deleted successfully.
File C:\WINDOWS\system32\056EB686F08C74A67BDE.exe not found.
File C:\WINDOWS\System32\056EB686F08C74A67BDE.exe not found.
File C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-689382577-3436805405-3422380704-1006UA.job not found.
File C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-689382577-3436805405-3422380704-1006Core.job not found.
File C:\WINDOWS\System32\056EB686F08C74A67BDE.exe not found.
========== FILES ==========
File\Folder C:\WINDOWS\system32\056EB686F08C74A67BDE.exe not found.
C:\WINDOWS\System32\winsh325 moved successfully.
C:\WINDOWS\System32\winsh324 moved successfully.
C:\WINDOWS\System32\winsh323 moved successfully.
C:\WINDOWS\System32\winsh322 moved successfully.
C:\WINDOWS\System32\winsh321 moved successfully.
C:\WINDOWS\System32\winsh320 moved successfully.
File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LstryTUuoDGOAXfJnetr not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\psQqedOoTxvAlVrLXtu not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VrLXtuyedgETGJADVNLps not found.
< ipconfig /flushdns /c >
Windows IP Configuration
An internal error occurred: The system cannot find the file specified.

Please contact Microsoft Product Support Services for further help.
Additional information: Unable to open registry key for tcpip.
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
========== COMMANDS ==========
Error: Unable to interpret <OTL Logfile:
--- --- ---
> in the current context!
Error: Unable to interpret <OTL Logfile:
--- --- ---
> in the current context!

OTLPE by OldTimer - Version 3.1.48.0 log created on 05202012_072847

Ich hoffe ich habe es richtig gemacht. Schönen Abend noch.

Grüße

So beim scan mit antivir hat sich folgendes ergeben:

erkannt Bat..., dann TR/Gendal. 1607580

dann hat er erkannt. ind er Datei c:\Recyclers\s-1-5-18\Dc5 exe.vir wurde gefunden
TR/Shelf A

Zugriff wird jedoch verweigert :-(

Dann EchtzeitScanner hat 2 Viren oder unerwünschte Programme erkannt.

Der Zugriff wurde verweigert.

Der Antivir bringt mir immer das selbe...

Und zuvor lies ich den Windows Security Essential laufen, der sich normal auf meinem Pc als Virenprogramm befindet.

Der fand Trojan: Win32/Matsnu...habe ihn entfernen lassen; hat wohl auch geklappt.

puuuh und der Scan ist noch nicht fertig.......

So nun ist der komplett Scan durch.


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 21. Mai 2012 22:07

Es wird nach 3724174 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PCNAD

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 01.05.2012 22:48:48
AVSCAN.DLL : 12.3.0.15 66256 Bytes 02.05.2012 00:02:50
LUKE.DLL : 12.3.0.15 68304 Bytes 01.05.2012 23:31:47
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 01.05.2012 22:13:36
AVREG.DLL : 12.3.0.17 232200 Bytes 21.05.2012 18:48:11
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:22:12
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:31:36
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:58:50
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 10:43:53
VBASE005.VDF : 7.11.29.136 2166272 Bytes 10.05.2012 18:47:50
VBASE006.VDF : 7.11.29.137 2048 Bytes 10.05.2012 18:47:50
VBASE007.VDF : 7.11.29.138 2048 Bytes 10.05.2012 18:47:51
VBASE008.VDF : 7.11.29.139 2048 Bytes 10.05.2012 18:47:51
VBASE009.VDF : 7.11.29.140 2048 Bytes 10.05.2012 18:47:51
VBASE010.VDF : 7.11.29.141 2048 Bytes 10.05.2012 18:47:51
VBASE011.VDF : 7.11.29.142 2048 Bytes 10.05.2012 18:47:52
VBASE012.VDF : 7.11.29.143 2048 Bytes 10.05.2012 18:47:52
VBASE013.VDF : 7.11.29.144 2048 Bytes 10.05.2012 18:47:52
VBASE014.VDF : 7.11.30.3 198144 Bytes 14.05.2012 18:47:53
VBASE015.VDF : 7.11.30.69 186368 Bytes 17.05.2012 18:47:54
VBASE016.VDF : 7.11.30.143 223744 Bytes 21.05.2012 18:47:56
VBASE017.VDF : 7.11.30.144 2048 Bytes 21.05.2012 18:47:56
VBASE018.VDF : 7.11.30.145 2048 Bytes 21.05.2012 18:47:56
VBASE019.VDF : 7.11.30.146 2048 Bytes 21.05.2012 18:47:56
VBASE020.VDF : 7.11.30.147 2048 Bytes 21.05.2012 18:47:56
VBASE021.VDF : 7.11.30.148 2048 Bytes 21.05.2012 18:47:56
VBASE022.VDF : 7.11.30.149 2048 Bytes 21.05.2012 18:47:56
VBASE023.VDF : 7.11.30.150 2048 Bytes 21.05.2012 18:47:56
VBASE024.VDF : 7.11.30.151 2048 Bytes 21.05.2012 18:47:57
VBASE025.VDF : 7.11.30.152 2048 Bytes 21.05.2012 18:47:57
VBASE026.VDF : 7.11.30.153 2048 Bytes 21.05.2012 18:47:57
VBASE027.VDF : 7.11.30.154 2048 Bytes 21.05.2012 18:47:57
VBASE028.VDF : 7.11.30.155 2048 Bytes 21.05.2012 18:47:57
VBASE029.VDF : 7.11.30.156 2048 Bytes 21.05.2012 18:47:57
VBASE030.VDF : 7.11.30.157 2048 Bytes 21.05.2012 18:47:57
VBASE031.VDF : 7.11.30.158 2048 Bytes 21.05.2012 18:47:58
Engineversion : 8.2.10.68
AEVDF.DLL : 8.1.2.2 106868 Bytes 06.02.2012 23:31:09
AESCRIPT.DLL : 8.1.4.19 455034 Bytes 21.05.2012 18:48:10
AESCN.DLL : 8.1.8.2 131444 Bytes 16.02.2012 16:11:36
AESBX.DLL : 8.2.5.5 606579 Bytes 26.04.2012 16:41:32
AERDL.DLL : 8.1.9.15 639348 Bytes 20.01.2012 23:21:32
AEPACK.DLL : 8.2.16.13 807287 Bytes 21.05.2012 18:48:09
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 26.04.2012 16:41:32
AEHEUR.DLL : 8.1.4.28 4800886 Bytes 21.05.2012 18:48:06
AEHELP.DLL : 8.1.21.0 254326 Bytes 21.05.2012 18:47:58
AEGEN.DLL : 8.1.5.28 422260 Bytes 26.04.2012 16:41:31
AEEXP.DLL : 8.1.0.40 82292 Bytes 21.05.2012 18:48:10
AEEMU.DLL : 8.1.3.0 393589 Bytes 20.01.2012 23:21:29
AECORE.DLL : 8.1.25.6 201078 Bytes 26.04.2012 16:41:31
AEBB.DLL : 8.1.1.0 53618 Bytes 20.01.2012 23:21:28
AVWINLL.DLL : 12.3.0.15 27344 Bytes 01.05.2012 22:59:21
AVPREF.DLL : 12.3.0.15 51920 Bytes 01.05.2012 22:44:31
AVREP.DLL : 12.3.0.15 179208 Bytes 01.05.2012 22:13:35
AVARKT.DLL : 12.3.0.15 211408 Bytes 01.05.2012 22:21:32
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 01.05.2012 22:28:49
SQLITE3.DLL : 3.7.0.1 398288 Bytes 16.04.2012 21:11:02
AVSMTP.DLL : 12.3.0.15 63440 Bytes 01.05.2012 22:51:35
NETNT.DLL : 12.3.0.15 17104 Bytes 01.05.2012 23:33:29
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 02.05.2012 00:03:51
RCTEXT.DLL : 12.3.0.15 98512 Bytes 02.05.2012 00:03:51

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 21. Mai 2012 22:07

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMERunner.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'msseces.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcCon.ac' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'GhostStartService.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'LxUpdateManager.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'GhostStartTrayApp.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'DrvLsnr.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMTray.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '176' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Program Files\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Program Files\SlySoft\CloneCD\ccd-uninst.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
Die Registry wurde durchsucht ( '3401' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Documents and Settings\All Users\Application Data\DATA BECKER\Steuer-Sparpaket 2006-2007\Konfiguration\download\qst2007_sp2b.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Documents and Settings\All Users\Application Data\DATA BECKER\Steuer-Sparpaket 2006-2007\Konfiguration\download\qst2007_sp3b.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Documents and Settings\All Users\Application Data\DATA BECKER\Steuer-Sparpaket 2006-2007\Konfiguration\download\qst2007_sp3b.zip.tmp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Documents and Settings\All Users\Application Data\DATA BECKER\Steuer-Sparpaket 2006-2007\Konfiguration\download\qstdb2007_sp4.zip.tmp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Documents and Settings\All Users\Application Data\MFAData\pack\idatx.cab
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\APTemp\AP0.bat.vir
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/DelIE.148
C:\Documents and Settings\Nadine\My Documents\Downloads\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Documents and Settings\Nadine\My Documents\My Pictures\qUVEGqULtAVEGqU
[WARNUNG] Der Archivheader ist defekt
C:\Documents and Settings\Nadine\My Documents\TomTom\HOME\Download\complete\map\West-_und_Mitteleuropa-1\sapulravsgpulraJ
[WARNUNG] Der Archivheader ist defekt
C:\Documents and Settings\Nadine\My Documents\TomTom\HOME\Sicherungskopie\ONE\Backup01\InternalMemory\home images\aelNXuegaJDNXue
[WARNUNG] Der Archivheader ist defekt
C:\Program Files\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Program Files\Franzis\Drucken Total Pro\data\cdt\CD_Einleger_Set\tpl8.cd1
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files\Franzis\Drucken Total Pro\data\cdt\Visitenkarten_CD\tpl6.cd1
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files\Franzis\Drucken Total Pro\data\lct\Video\Foto\Alex_W_020.lc1
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files\Franzis\Drucken Total Pro\data\mpt\mousepad\Weihnacht5.mp1
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files\Real\RealArcade\MozillaBrowserPlugin.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Program Files\Real\RealArcade\Plugins\Mozilla\MozillaPluginUninstaller.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Program Files\SlySoft\CloneCD\ccd-uninst.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Program Files\SlySoft\CloneCD\regkey.exe.vir
[FUND] Ist das Trojanische Pferd TR/Gendal.1607580

Beginne mit der Desinfektion:
C:\Program Files\SlySoft\CloneCD\regkey.exe.vir
[FUND] Ist das Trojanische Pferd TR/Gendal.1607580
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53b0b019.qua' verschoben!
C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\APTemp\AP0.bat.vir
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/DelIE.148
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54ee9f92.qua' verschoben!


Ende des Suchlaufs: Dienstag, 22. Mai 2012 06:21
Benötigte Zeit: 3:29:38 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

11930 Verzeichnisse wurden überprüft
420790 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
420788 Dateien ohne Befall
28157 Archive wurden durchsucht
19 Warnungen
2 Hinweise
392654 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Der TR/Skelf A wurde wphl nicht beseitigt.

So hoffe Du kannst jetzt was mit den Daten anfangen und mir bitte weiterhelfen. Schönen Tag Danke und bis dann

Grüße

1. hast du offenbar Probleme meine Anweisungen zu lesen und führst einfach ohne dass es auch nur irgendwie angedeutet wurde Fixscripte aus, die von einem anderen Helfer für einen ganz anderen User bestimmt war! :stirn:

2. das sieht mir nach illegalen Dreck aus :mad:
:pfui:

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

So hey Arne,
habe den Scan nochmals ausgeführt. Hier das Ergebnis




Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 22. Mai 2012 06:59

Es wird nach 3724174 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PCNAD

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 01.05.2012 22:48:48
AVSCAN.DLL : 12.3.0.15 66256 Bytes 02.05.2012 00:02:50
LUKE.DLL : 12.3.0.15 68304 Bytes 01.05.2012 23:31:47
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 01.05.2012 22:13:36
AVREG.DLL : 12.3.0.17 232200 Bytes 21.05.2012 18:48:11
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:22:12
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:31:36
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:58:50
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 10:43:53
VBASE005.VDF : 7.11.29.136 2166272 Bytes 10.05.2012 18:47:50
VBASE006.VDF : 7.11.29.137 2048 Bytes 10.05.2012 18:47:50
VBASE007.VDF : 7.11.29.138 2048 Bytes 10.05.2012 18:47:51
VBASE008.VDF : 7.11.29.139 2048 Bytes 10.05.2012 18:47:51
VBASE009.VDF : 7.11.29.140 2048 Bytes 10.05.2012 18:47:51
VBASE010.VDF : 7.11.29.141 2048 Bytes 10.05.2012 18:47:51
VBASE011.VDF : 7.11.29.142 2048 Bytes 10.05.2012 18:47:52
VBASE012.VDF : 7.11.29.143 2048 Bytes 10.05.2012 18:47:52
VBASE013.VDF : 7.11.29.144 2048 Bytes 10.05.2012 18:47:52
VBASE014.VDF : 7.11.30.3 198144 Bytes 14.05.2012 18:47:53
VBASE015.VDF : 7.11.30.69 186368 Bytes 17.05.2012 18:47:54
VBASE016.VDF : 7.11.30.143 223744 Bytes 21.05.2012 18:47:56
VBASE017.VDF : 7.11.30.144 2048 Bytes 21.05.2012 18:47:56
VBASE018.VDF : 7.11.30.145 2048 Bytes 21.05.2012 18:47:56
VBASE019.VDF : 7.11.30.146 2048 Bytes 21.05.2012 18:47:56
VBASE020.VDF : 7.11.30.147 2048 Bytes 21.05.2012 18:47:56
VBASE021.VDF : 7.11.30.148 2048 Bytes 21.05.2012 18:47:56
VBASE022.VDF : 7.11.30.149 2048 Bytes 21.05.2012 18:47:56
VBASE023.VDF : 7.11.30.150 2048 Bytes 21.05.2012 18:47:56
VBASE024.VDF : 7.11.30.151 2048 Bytes 21.05.2012 18:47:57
VBASE025.VDF : 7.11.30.152 2048 Bytes 21.05.2012 18:47:57
VBASE026.VDF : 7.11.30.153 2048 Bytes 21.05.2012 18:47:57
VBASE027.VDF : 7.11.30.154 2048 Bytes 21.05.2012 18:47:57
VBASE028.VDF : 7.11.30.155 2048 Bytes 21.05.2012 18:47:57
VBASE029.VDF : 7.11.30.156 2048 Bytes 21.05.2012 18:47:57
VBASE030.VDF : 7.11.30.157 2048 Bytes 21.05.2012 18:47:57
VBASE031.VDF : 7.11.30.158 2048 Bytes 21.05.2012 18:47:58
Engineversion : 8.2.10.68
AEVDF.DLL : 8.1.2.2 106868 Bytes 06.02.2012 23:31:09
AESCRIPT.DLL : 8.1.4.19 455034 Bytes 21.05.2012 18:48:10
AESCN.DLL : 8.1.8.2 131444 Bytes 16.02.2012 16:11:36
AESBX.DLL : 8.2.5.5 606579 Bytes 26.04.2012 16:41:32
AERDL.DLL : 8.1.9.15 639348 Bytes 20.01.2012 23:21:32
AEPACK.DLL : 8.2.16.13 807287 Bytes 21.05.2012 18:48:09
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 26.04.2012 16:41:32
AEHEUR.DLL : 8.1.4.28 4800886 Bytes 21.05.2012 18:48:06
AEHELP.DLL : 8.1.21.0 254326 Bytes 21.05.2012 18:47:58
AEGEN.DLL : 8.1.5.28 422260 Bytes 26.04.2012 16:41:31
AEEXP.DLL : 8.1.0.40 82292 Bytes 21.05.2012 18:48:10
AEEMU.DLL : 8.1.3.0 393589 Bytes 20.01.2012 23:21:29
AECORE.DLL : 8.1.25.6 201078 Bytes 26.04.2012 16:41:31
AEBB.DLL : 8.1.1.0 53618 Bytes 20.01.2012 23:21:28
AVWINLL.DLL : 12.3.0.15 27344 Bytes 01.05.2012 22:59:21
AVPREF.DLL : 12.3.0.15 51920 Bytes 01.05.2012 22:44:31
AVREP.DLL : 12.3.0.15 179208 Bytes 01.05.2012 22:13:35
AVARKT.DLL : 12.3.0.15 211408 Bytes 01.05.2012 22:21:32
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 01.05.2012 22:28:49
SQLITE3.DLL : 3.7.0.1 398288 Bytes 16.04.2012 21:11:02
AVSMTP.DLL : 12.3.0.15 63440 Bytes 01.05.2012 22:51:35
NETNT.DLL : 12.3.0.15 17104 Bytes 01.05.2012 23:33:29
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 02.05.2012 00:03:51
RCTEXT.DLL : 12.3.0.15 98512 Bytes 02.05.2012 00:03:51

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 22. Mai 2012 06:59

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMERunner.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'msseces.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'GhostStartService.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcCon.ac' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'LxUpdateManager.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'GhostStartTrayApp.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'DrvLsnr.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMTray.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '166' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Program Files\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Program Files\SlySoft\CloneCD\ccd-uninst.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
Die Registry wurde durchsucht ( '3402' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Documents and Settings\All Users\Application Data\DATA BECKER\Steuer-Sparpaket 2006-2007\Konfiguration\download\qst2007_sp2b.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Documents and Settings\All Users\Application Data\DATA BECKER\Steuer-Sparpaket 2006-2007\Konfiguration\download\qst2007_sp3b.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Documents and Settings\All Users\Application Data\DATA BECKER\Steuer-Sparpaket 2006-2007\Konfiguration\download\qst2007_sp3b.zip.tmp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Documents and Settings\All Users\Application Data\DATA BECKER\Steuer-Sparpaket 2006-2007\Konfiguration\download\qstdb2007_sp4.zip.tmp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Documents and Settings\All Users\Application Data\MFAData\pack\idatx.cab
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Documents and Settings\Nadine\My Documents\Downloads\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Documents and Settings\Nadine\My Documents\My Pictures\qUVEGqULtAVEGqU
[WARNUNG] Der Archivheader ist defekt
C:\Documents and Settings\Nadine\My Documents\TomTom\HOME\Download\complete\map\West-_und_Mitteleuropa-1\sapulravsgpulraJ
[WARNUNG] Der Archivheader ist defekt
C:\Documents and Settings\Nadine\My Documents\TomTom\HOME\Sicherungskopie\ONE\Backup01\InternalMemory\home images\aelNXuegaJDNXue
[WARNUNG] Der Archivheader ist defekt
C:\Program Files\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Program Files\Franzis\Drucken Total Pro\data\cdt\CD_Einleger_Set\tpl8.cd1
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files\Franzis\Drucken Total Pro\data\cdt\Visitenkarten_CD\tpl6.cd1
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files\Franzis\Drucken Total Pro\data\lct\Video\Foto\Alex_W_020.lc1
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files\Franzis\Drucken Total Pro\data\mpt\mousepad\Weihnacht5.mp1
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files\Real\RealArcade\MozillaBrowserPlugin.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Program Files\Real\RealArcade\Plugins\Mozilla\MozillaPluginUninstaller.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Program Files\SlySoft\CloneCD\ccd-uninst.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft


Ende des Suchlaufs: Dienstag, 22. Mai 2012 10:09
Benötigte Zeit: 3:09:44 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

11956 Verzeichnisse wurden überprüft
420834 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
420834 Dateien ohne Befall
28163 Archive wurden durchsucht
19 Warnungen
0 Hinweise
392924 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Der PC wird nicht mehr bereingt, Begründung siehe oben in Posting #12

Danke. :-)