Trojaner-Board - TR/Patched.AA515 Löschung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/Patched.AA515 Löschung (https://www.trojaner-board.de/60802-tr-patched-aa515-loeschung.html)

TR/Patched.AA515 Löschung

Hallo,
bin neu hier und auch unerfahren was Viren angeht.
Hab hier einen PC (gehört nicht mir), der mit 200 Viren/adawares usw. infisziert war. Neuaufsetzen nicht möglich, da die XP-CD und die Treibercd fehlt (leider ein Notebook). Die meisten Viren sind weg. internet funktioniert wieder ohne Probleme. Auch Flash-Videos usw. gehen wieder. Das waren ursprünglich die Probleme.

TR/Patched.AA.515 ist ein Virus, den ich mit Antivir nicht wegkriege. Hab lange versucht..geht nicht. Es gibt glaube ich noch einen zweiten Virus...bzw. Trojaner. Werde später nochmals scannen müssen, um sicher zu sein, dass es den noch gibt.

Hijack-Datei folgt gleich. Ich hoffe auf Hilfe :) --> Das genaue Vorgehen, wie ich diesen nervigen Trojaner wegkriege, mein ich damit.
Danke im Vorraus! Freue mich schon.

Kode:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:27:12, on 27.09.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Spyware Doctor\pctsAuxs.exe

C:\Programme\Spyware Doctor\pctsSvc.exe

C:\Programme\Spyware Doctor\pctsTray.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\Programme\Apoint2K\Apoint.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\Apoint2K\Apntex.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe

C:\Programme\BroadJump\Client Foundation\CFD.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.******.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll

O2 - BHO: SSVHelper Class - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7e853d72-626a-48ec-a868-ba8d5e23e045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll

O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Programme\Megaupload\Mega Manager\MegaIEMn.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll

O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe

O4 - HKLM\..\Run: [Intense Registry Service] IntEdReg.exe /CHECK

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [FreeCall] "C:\programme\freecall.com\freecall\freecall.exe" -nosplash -minimized

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll

O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O11 - Options group: [java_sun] Java (Sun)

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://tdserver.bitstream.com/tdserver.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {66D393D5-4D80-497C-9F4F-F3839E090202} (PlayerOCX Control) - http://www.pysoft.com/Downloads/WebCamPlayerOCX.cab

O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (antivirscheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Auxiliary Service (sdauxservice) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdcoreservice) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
 

--

End of file - 9218 bytes

Persöhnliche Meinung:
Ich erkenn irgendwie den Fehler nicht.

edit2: mist, es sind noch mehr Viren, die nicht gelöscht werden konnten. Hilfee :(

Wieso kann ich nicht mehr editieren?

Ich benutze gerade Malwarebytes und poste noch den Log anschliessend.

Log von antivir folgt auch noch

Ich hatte einst Antivirus XP...das scheint nun aber gelöscht zu sein.

Es sind etwa 6 Viren, die sich nicht komplett löschen lassen.

Code:



Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Samstag, 27. September 2008  18:07
 

Es wird nach 1645581 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir PersonalEdition Classic

Seriennummer:     0000149996-ADJIE-0001

Plattform:        Windows XP

Windowsversion:   (Service Pack 2)  [5.1.2600]

Boot Modus:       Abgesicherter Modus mit Netzwerk Support

Benutzername:     Administrator

Computername:     PC219198828497
 

Versionsinformationen:

BUILD.DAT     : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00

AVSCAN.EXE    : 8.1.4.7       315649 Bytes  26.06.2008 08:57:49

AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06

LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 12:44:16

LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42

ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 10:33:34

ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 13:54:15

ANTIVIR2.VDF  : 7.0.6.217    3773440 Bytes  26.09.2008 21:18:36

ANTIVIR3.VDF  : 7.0.6.218       2048 Bytes  26.09.2008 21:18:36

Engineversion : 8.1.1.35  

AEVDF.DLL     : 8.1.0.5       102772 Bytes  09.07.2008 08:38:31

AESCRIPT.DLL  : 8.1.0.76      319867 Bytes  21.09.2008 19:27:22

AESCN.DLL     : 8.1.0.23      119156 Bytes  09.09.2008 13:09:18

AERDL.DLL     : 8.1.1.2       438644 Bytes  21.09.2008 19:27:21

AEPACK.DLL    : 8.1.2.3       364918 Bytes  24.09.2008 19:23:10

AEOFFICE.DLL  : 8.1.0.25      196986 Bytes  21.09.2008 19:27:21

AEHEUR.DLL    : 8.1.0.59     1438071 Bytes  21.09.2008 19:27:20

AEHELP.DLL    : 8.1.0.15      115063 Bytes  09.07.2008 08:38:31

AEGEN.DLL     : 8.1.0.36      315764 Bytes  09.09.2008 13:09:15

AEEMU.DLL     : 8.1.0.7       430452 Bytes  09.09.2008 13:09:14

AECORE.DLL    : 8.1.1.11      172406 Bytes  09.09.2008 13:09:14

AEBB.DLL      : 8.1.0.1        53617 Bytes  24.04.2008 08:50:42

AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 08:40:02

AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58

AVREP.DLL     : 8.0.0.2        98344 Bytes  09.09.2008 13:09:13

AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37

AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19

AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46

SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02

SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 12:49:36

NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07

RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 13:45:01

RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 13:32:05
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Lokale Laufwerke

Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\alldrives.avp

Protokollierung..................: niedrig

Primäre Aktion...................: interaktiv

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: C:, D:, 

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: aus

Datei Suchmodus..................: Intelligente Dateiauswahl

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: 20

Archiv Smart Extensions..........: ein

Makrovirenheuristik..............: ein

Dateiheuristik...................: mittel
 

Beginn des Suchlaufs: Samstag, 27. September 2008  18:07
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

  Modul ist infiziert -> 'C:\WINDOWS\Explorer.EXE'

Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Prozess 'explorer.exe' wird beendet

C:\WINDOWS\Explorer.EXE

    [FUND]      Ist das Trojanische Pferd TR/Patched.AA.515

    [WARNUNG]   Die Datei konnte nicht gelöscht werden!

    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.

    [HINWEIS]   Der Treiber konnte nicht initialisiert werden.

    [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.
 

Es wurden '21' Prozesse mit '20' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

C:\WINDOWS\Explorer.EXE

    [FUND]      Ist das Trojanische Pferd TR/Patched.AA.515

    [WARNUNG]   Die Datei konnte nicht gelöscht werden!

    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.

    [WARNUNG]   Die Datei konnte nicht gelöscht werden!

    [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.

C:\WINDOWS\Explorer.EXE

    [FUND]      Ist das Trojanische Pferd TR/Patched.AA.515

    [WARNUNG]   Die Datei konnte nicht gelöscht werden!

    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.

    [HINWEIS]   Der Treiber konnte nicht initialisiert werden.

    [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.
 

Die Registry wurde durchsucht ( '61' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinFixer.zip

    [FUND]      Enthält verdächtigen Code GEN/PwdZIP

    [HINWEIS]   Der Fund wurde als verdächtig eingestuft.

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494c5b0f.qua' verschoben!

C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP20\A0002011.dll

    [FUND]      Ist das Trojanische Pferd TR/Crypt.ULPM.Gen

    [HINWEIS]   Die Datei wurde gelöscht.

C:\WINDOWS\explorer.exe

    [FUND]      Ist das Trojanische Pferd TR/Patched.AA.515

    [WARNUNG]   Die Datei konnte nicht gelöscht werden!

    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.

    [WARNUNG]   Die Datei konnte nicht gelöscht werden!

    [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.

C:\WINDOWS\system32\tdssl.dll

    [FUND]      Ist das Trojanische Pferd TR/Dldr.Small.acpi

    [HINWEIS]   Die Datei wurde gelöscht.

C:\WINDOWS\system32\tdsslog.dll

    [FUND]      Ist das Trojanische Pferd TR/Injector.Light.B

    [HINWEIS]   Die Datei wurde gelöscht.

C:\WINDOWS\system32\tdssmain.dll

    [FUND]      Ist das Trojanische Pferd TR/Injector.Light.C

    [HINWEIS]   Die Datei wurde gelöscht.

C:\WINDOWS\system32\tdssserf.dll

    [FUND]      Ist das Trojanische Pferd TR/Dldr.FraudLoad.vbxt

    [HINWEIS]   Die Datei wurde gelöscht.

C:\WINDOWS\system32\drivers\f8b102ed.sys

    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen

    [HINWEIS]   Die Datei wurde gelöscht.

Beginne mit der Suche in 'D:\'

Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!

Systemfehler [21]: Das Gerät ist nicht bereit.
 
 

Ende des Suchlaufs: Samstag, 27. September 2008  18:58

Benötigte Zeit: 51:18 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

   4963 Verzeichnisse wurden überprüft

 330730 Dateien wurden geprüft

     11 Viren bzw. unerwünschte Programme wurden gefunden

      1 Dateien wurden als verdächtig eingestuft

      6 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      1 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      1 Dateien konnten nicht durchsucht werden

 330717 Dateien ohne Befall

   7286 Archive wurden durchsucht

      5 Warnungen

     11 Hinweise

Alle Probleme wie Antivirus XP und spywwares usw. hab ich mit Advanced WIndowsCare V2 Personal und Spyware Doctor gelöst. Ausserdem hab ich Spybot benutzt.
Mit adaware hab versucht zu scannen, doch gab es immer einen BLuescreen.

Code:

Malwarebytes' Anti-Malware 1.28

Datenbank Version: 1215

Windows 5.1.2600 Service Pack 2
 

27.09.2008 22:10:13

mbam-log-2008-09-27 (22-10-13).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 89205

Laufzeit: 1 hour(s), 17 minute(s), 19 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 4

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 11

Infizierte Dateien: 24
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhc7dvj0elb3 (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3 (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.
 

Infizierte Dateien:

C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP20\A0004018.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdss47bd.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdss48e6.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdss4a0f.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdss57c0.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdss69b1.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdss70b6.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdssa2c7.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdssa50a.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdssa79a.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdssbefa.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdssc1ad.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdssc2d6.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdssc3f0.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdssd191.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdssd1b7.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdssd4ae.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdssd605.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdsse445.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdssed1f.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tdssfc71.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Schade...hätte gerne ne Antwort erfahren...
naja dann werd ich das selber mal studieren müssen.

Frage, die ihr mir vielleicht trotzdem beantworten könntet:

Viren etc., die in die Quarantäne geschickt worden sind. Wo genau befinden sich die? Sind die nun dort fest? Malwarebytes hat einige Viren dorthin geschickt.... darf ich nun malwarebytes nie wieder deinstallieren? Wie sieht das aus?

PS: Die Viren tauchen immer noch auf.

Meine Meinung dazu. Kurz und knapp:

Gepatchte Systemdateien und zusaetzlich andere Malware= neuaufsetzen....

Neuaufsetzen ist erst in einem Monat oder später möglich.

oder versteh ich dich falsch?

wie sieht das wegen der Quarantäne aus? Möchte gerne das Malware deinstallieren, aber wenn die Quarantäne damit nicht mehr gewährleistet wäre, müsste ich das ja lassen.

Wenn die DAteien in Quarantaene sind, sind sie harmlos... Es wird einiges mehr an Malware auf deinem Rechner sein, als Antivir/Mbam und Hijackthis dir anzeigen werden. Darum waere neu aufsetzen nicht falsch, bzw wenn du das erst in einem Monat machen kannst, dann wuerde ich in der Zeit nicht unbedingt ins Internet einwaehlen, denn dann kommt noch mehr Malware auf den Rechner...

Ja, das habe ich dem Besitzer auch empfohlen, dass ein Neuaufsetzen später essentiel ist. Aber das Internet möchte er trotzdem noch weiter benutzen. Auf alle Fälle scheinen die Viren nun nicht mehr aufzutauchen, das System läuft wieder recht schnell usw.

Also kann ich davon ausgehen, dass eine Deinstallation von malwarebytes die Quarantäne nicht "zerstört"? Ich werde Spyware doctor und Antivir drauf lassen. Momentan befinden sich Viren in der Quarantäne von Antivir und Malwarebytes. Ich werde nochmals einen Scan machen, um zu überprüfen, dass alles sicherer ist als vorher. Online-Banking usw. finden sowieso nicht statt.
Welche Firewall ist eigentlich einem Internet-Anfänger zu empfehlen? Genügt hierfür Windows Firewall. Comodo wäre für den Besitzer zu kompliziert.

Vielen Dank im Übrigen für deine Antworten!

Na, das war noch lange nicht alles....
zu testzwecken kannst du da mal Combofix drueberjagen. Wichtig ist hier die instalation von der Wiederherstellungskonsole. Eine Anleitung dazu und zu cf findest du hier:
http://www.trojaner-board.de/59566-v...t-killbox.html

Bitte den erstellten Report posten.

Achso, alles auf eigene Gefahr natuerlich.....

hallo
Danke für diesen Hinweis.
Davor hab ich noch die VIren in der Quarantäne gelöscht und alles nochmals gescannt. Scheinbar hab ich sie nun endgültig gelöscht. Oder lieg ich da total falsch?

So sieht der Log aus von ComboFix (wiederherstellungskonsole wurde installiert)

Ist hier etwas nicht in Ordnung? Der PC wurde beim scan nicht neugestartet:

Code:

ComboFix 08-09-27.03 - ** 2008-09-28 17:11:49.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.273 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\**\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

(((((((((((((((((((((((   Dateien erstellt von 2008-08-28 bis 2008-09-28  ))))))))))))))))))))))))))))))

.
 

2008-09-28 13:24 . 2008-09-28 14:14        <DIR>        d--------        C:\Programme\Spyware Doctor

2008-09-28 13:24 . 2008-09-28 13:24        <DIR>        d--------        C:\Dokumente und Einstellungen\**\Anwendungsdaten\PC Tools

2008-09-28 13:24 . 2008-06-10 21:22        81,288        --a------        C:\WINDOWS\system32\drivers\iksyssec.sys

2008-09-28 13:24 . 2008-06-02 15:19        66,952        --a------        C:\WINDOWS\system32\drivers\iksysflt.sys

2008-09-28 13:24 . 2008-06-02 15:19        42,376        --a------        C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-09-28 13:24 . 2008-06-02 15:19        29,576        --a------        C:\WINDOWS\system32\drivers\kcom.sys

2008-09-28 12:14 . 2008-09-28 12:14        23        --a------        C:\WINDOWS\MegaManager.INI

2008-09-28 11:59 . 2008-09-28 11:59        <DIR>        d--------        C:\Programme\Microsoft Silverlight

2008-09-28 00:11 . 2008-09-28 00:11        <DIR>        d--------        C:\Programme\MSBuild

2008-09-28 00:00 . 2008-09-28 12:33        <DIR>        d--------        C:\WINDOWS\system32\XPSViewer

2008-09-27 23:56 . 2008-09-27 23:56        <DIR>        d--------        C:\Programme\Reference Assemblies

2008-09-27 23:52 . 2006-06-29 13:07        14,048        ---------        C:\WINDOWS\system32\spmsg2.dll

2008-09-27 22:29 . 2008-09-27 22:29        <DIR>        d--------        C:\WINDOWS\system32\de

2008-09-27 22:29 . 2008-09-27 22:29        <DIR>        d--------        C:\WINDOWS\system32\bits

2008-09-27 22:20 . 2008-09-27 22:31        <DIR>        d--------        C:\WINDOWS\ServicePackFiles

2008-09-27 21:59 . 2008-09-27 21:59        <DIR>        d--------        C:\WINDOWS\EHome

2008-09-27 20:48 . 2008-09-27 20:48        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-09-27 20:48 . 2008-09-27 20:48        <DIR>        d--------        C:\Dokumente und Einstellungen\**\Anwendungsdaten\Malwarebytes

2008-09-27 20:48 . 2008-09-27 20:48        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-09-27 20:48 . 2008-09-10 00:04        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-09-27 20:48 . 2008-09-10 00:03        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-09-27 18:29 . 2008-09-27 18:29        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM

2008-09-27 18:04 . 2005-02-13 11:56        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Vorlagen

2008-09-27 18:04 . 2005-02-13 11:56        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Startmen

2008-09-27 18:04 . 2005-02-13 11:56        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung

2008-09-27 18:04 . 2008-09-28 17:13        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen

2008-09-27 18:04 . 2005-02-13 11:56        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Favoriten

2008-09-27 18:04 . 2005-02-13 11:56        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Eigene Dateien

2008-09-27 18:04 . 2005-02-13 11:56        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Druckumgebung

2008-09-27 18:04 . 2005-02-13 11:56        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec

2008-09-27 18:04 . 2005-02-13 11:56        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sonic

2008-09-27 18:04 . 2005-02-13 11:56        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer

2008-09-27 18:04 . 2008-09-27 18:29        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten

2008-09-27 18:04 . 2008-09-27 18:04        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator

2008-09-27 16:46 . 2008-09-28 17:00        <DIR>        d-a------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

2008-09-27 16:38 . 2008-09-28 02:58        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-09-27 16:13 . 2008-09-27 16:13        <DIR>        d--------        C:\Programme\Lavasoft

2008-09-27 16:13 . 2008-09-27 16:13        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft

2008-09-27 16:08 . 2008-09-27 16:08        0        --a------        C:\WINDOWS\nsreg.dat

2008-09-23 16:14 . 2008-07-18 22:09        29,896        --a------        C:\WINDOWS\system32\wuapi.dll.mui

2008-09-22 19:15 . 2004-08-03 22:29        25,471        ---------        C:\WINDOWS\system32\drivers\watv10nt.sys

2008-09-22 19:15 . 2004-08-03 22:29        22,271        ---------        C:\WINDOWS\system32\drivers\watv06nt.sys

2008-09-22 19:15 . 2004-08-03 22:29        11,935        ---------        C:\WINDOWS\system32\drivers\wadv11nt.sys

2008-09-22 19:15 . 2004-08-03 22:29        11,871        ---------        C:\WINDOWS\system32\drivers\wadv09nt.sys

2008-09-22 19:15 . 2004-08-03 22:29        11,807        ---------        C:\WINDOWS\system32\drivers\wadv07nt.sys

2008-09-22 19:15 . 2004-08-03 22:29        11,295        ---------        C:\WINDOWS\system32\drivers\wadv08nt.sys

2008-09-22 19:09 . 2004-08-04 00:38        701,952        ---------        C:\WINDOWS\system32\drivers\ati2mtag.sys

2008-09-11 18:06 . 2008-09-11 18:06        118        --a------        C:\WINDOWS\system32\MRT.INI

2008-09-11 18:05 . 2008-09-11 18:05        <DIR>        d--------        C:\Programme\Microsoft CAPICOM 2.1.0.2

2008-09-11 17:28 . 2008-07-18 22:07        270,880        --a------        C:\WINDOWS\system32\mucltui.dll

2008-09-11 17:28 . 2008-07-18 22:07        210,976        --a------        C:\WINDOWS\system32\muweb.dll

2008-09-11 17:28 . 2008-07-18 22:07        29,728        --a------        C:\WINDOWS\system32\mucltui.dll.mui

2008-09-09 22:10 . 2008-09-09 22:10        <DIR>        d--------        C:\Programme\Sun

2008-09-09 22:09 . 2008-06-10 02:32        73,728        --a------        C:\WINDOWS\system32\javacpl.cpl

2008-09-09 21:30 . 2008-09-09 21:30        <DIR>        d--hsc---        C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller

2008-09-09 21:29 . 2008-09-09 21:31        <DIR>        d--------        C:\Programme\Windows Live

2008-09-09 21:29 . 2008-09-09 21:29        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller

2008-09-09 15:01 . 2008-09-09 15:01        <DIR>        d--------        C:\Programme\Avira

2008-09-09 15:01 . 2008-09-09 15:01        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

2008-09-09 14:53 . 2008-09-24 22:34        54,156        --ah-----        C:\WINDOWS\QTFont.qfn

2008-09-09 14:53 . 2008-09-09 14:53        1,409        --a------        C:\WINDOWS\QTFont.for

2008-09-09 11:04 . 2008-09-27 17:14        <DIR>        d--------        C:\Programme\Enigma Software Group

2008-09-09 10:54 . 2001-08-18 04:22        12,288        --a------        C:\WINDOWS\system32\drivers\mouhid.sys

2008-09-09 10:54 . 2001-08-18 04:22        12,288        --a------        C:\WINDOWS\system32\dllcache\mouhid.sys

2008-09-09 10:54 . 2008-04-13 20:45        10,368        --a------        C:\WINDOWS\system32\drivers\hidusb.sys

2008-08-31 16:58 . 2008-06-14 19:32        273,024        ---------        C:\WINDOWS\system32\drivers\bthport.sys

2008-08-31 16:58 . 2008-06-14 19:32        273,024        ---------        C:\WINDOWS\system32\dllcache\bthport.sys

2008-08-31 16:56 . 2007-03-08 07:09        1,040,384        ---------        C:\WINDOWS\system32\dllcache\ieframe.dll.mui

2008-08-31 16:56 . 2008-06-23 18:14        459,264        ---------        C:\WINDOWS\system32\dllcache\msfeeds.dll

2008-08-31 16:56 . 2008-05-01 16:34        331,776        ---------        C:\WINDOWS\system32\dllcache\msadce.dll

2008-08-31 16:56 . 2008-06-23 18:14        267,776        ---------        C:\WINDOWS\system32\dllcache\iertutil.dll

2008-08-31 16:56 . 2008-05-08 16:02        203,136        ---------        C:\WINDOWS\system32\dllcache\rmcast.sys

2008-08-31 16:56 . 2008-06-23 18:14        52,224        ---------        C:\WINDOWS\system32\dllcache\msfeedsbs.dll

2008-08-31 16:56 . 2008-06-23 11:20        13,824        ---------        C:\WINDOWS\system32\dllcache\ieudinit.exe

2008-08-31 16:55 . 2008-06-23 18:14        6,066,176        ---------        C:\WINDOWS\system32\dllcache\ieframe.dll

2008-08-31 16:55 . 2007-04-17 11:32        2,455,488        ---------        C:\WINDOWS\system32\dllcache\ieapfltr.dat

2008-08-31 16:55 . 2008-04-11 21:04        691,712        ---------        C:\WINDOWS\system32\dllcache\inetcomm.dll

2008-08-31 16:55 . 2008-06-23 18:14        383,488        ---------        C:\WINDOWS\system32\dllcache\ieapfltr.dll

2008-08-31 16:55 . 2008-06-23 18:14        63,488        ---------        C:\WINDOWS\system32\dllcache\icardie.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-28 12:13        ---------        d-----w        C:\Programme\Google

2008-09-28 10:15        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-09-09 20:09        ---------        d-----w        C:\Programme\Java

2008-08-31 17:05        ---------        d-----w        C:\Dokumente und Einstellungen\**\Anwendungsdaten\AdobeUM

2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\dllcache\cdm.dll

2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\dllcache\wuauclt.exe

2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll

2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\dllcache\wups.dll

2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\dllcache\wuapi.dll

2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\dllcache\wucltui.dll

2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\dllcache\wuweb.dll

2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll

2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\dllcache\wuaueng.dll

2008-07-07 20:26        253,952        ----a-w        C:\WINDOWS\system32\es.dll

2008-07-07 20:26        253,952        ------w        C:\WINDOWS\system32\dllcache\es.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-08 159744]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-04-07 4730880]

"Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2004-03-01 200766]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"UpdateManager"="C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]

"eabconfg.cpl"="C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-08-19 290816]

"BJCFD"="C:\Programme\BroadJump\Client Foundation\CFD.exe" [2002-12-16 376912]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-04-04 155648]

"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 C:\WINDOWS\AGRSMMSG.exe]

"nwiz"="nwiz.exe" [2004-04-07 C:\WINDOWS\system32\nwiz.exe]

"Intense Registry Service"="IntEdReg.exe" [2003-01-03 C:\WINDOWS\system32\intedreg.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveSearch"= 1 (0x1)
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]

--a------ 2007-03-01 19:11 4670968 C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\Messenger\\msmsgs.exe"=

"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=

"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
 

S1 f8b102ed;f8b102ed;C:\WINDOWS\system32\drivers\f8b102ed.sys [ ]
 

*Newly Created Service* - PROCEXP90

.

Inhalt des "geplante Tasks" Ordners

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKCU-Run-FreeCall - C:\programme\freecall.com\freecall\freecall.exe

MSConfigStartUp-smrhc7dvj0elb3 - C:\Programme\rhc7dvj0elb3\rhc7dvj0elb3.exe
 
 

.

------- Zusätzlicher Suchlauf -------

.

R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

R0 -: HKCU-Main,Start Page = hxxp://www.**.com/

R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
 

O16 -: {66D393D5-4D80-497C-9F4F-F3839E090202} - hxxp://www.pysoft.com/Downloads/WebCamPlayerOCX.cab

C:\WINDOWS\Downloaded Program Files\WebCamPlayerOCX.inf

C:\WINDOWS\Downloaded Program Files\GSM_codec.dll

C:\WINDOWS\Downloaded Program Files\WebCamPlayerOCX.ocx

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-28 17:14:17

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe????????????????P??|?????? ???B???????????????B???????? 
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-09-28 17:16:43

ComboFix-quarantined-files.txt  2008-09-28 15:16:24
 

Vor Suchlauf: 14 Verzeichnis(se), 23'117'148'160 Bytes frei

Nach Suchlauf: 18 Verzeichnis(se), 23,157,149,696 Bytes frei
 

183        --- E O F ---        2008-09-23 15:04:21

Das sieht mehr oder minder normal aus, die Explorer.exe wurde anscheinend durch entsprechende Orginale ersetzt. Suche im Ordner system32 bitte nach pni.dll.

Kontrollscans mit Drweb cureit und einem Onlinescan mit Kaspersky koennen nicht schaden....

Wie gesagt der Zustrand ist aber immer noch nicht so wie er sein sollte. Onlinebanking wuerde ich nicht mit diesem PC betreiben wollen....

Ich werde die Scans durchführen!

eine pni.dll wurde nicht gefunden. (Existiert nicht) Was ist damit genau?

und woran erkennst du, dass explorer.exe ersetzt worden ist? Meinst du jetzt den Log von Malwire? Tatsächlich kam der Virus meistens in Kombination mit Explorer zum Vorschein (nicht immer)

Die Datei wird haeufig durch die gepatchten Systemdateien geladen...

Ist das nun ein schlechtes Zeichen, wenn ich diese Datei nicht besitze?

Die beiden Scans sind am Laufen...aber sieht nicht aus, als würden sie was finden. (natürlich lasse ich es noch bis zum Schluss laufen!)

Anscheinend hab ich doch noch Viren

und zwar in C:\System Volume Information\...

und zwar: Trojan.Win32.Patched.cx
Trojan.Starter.384 (von dr. web...die anderen scheint er nicht zu finden)

Anderswo sonst nirgends ausser dass Kapersky überall anzeigt, dass einige Dateien gesperrt worden sind (Das Objekt ist gesperrt)

Kapersky: (nicht reparierbar, da nur durchsucht wird...)

Code:

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER  

Sonntag, 28. September 2008 21:38:29

Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)

Version von Kaspersky Online Scanner: 5.0.98.1

Letztes Update der Antiviren-Datenbanken: 28/09/2008

Anzahl der Einträge in den Antiviren-Datenbanken: 1268308

 

 

Scan-Einstellungen 

Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte 

Archive untersuchen ja 

Mail-Datenbanken untersuchen ja 

 

Untersuchungsobjekt Arbeitsplatz 

C:\

D:\  

 

Untersuchungsergebnisse 

Untersuchte Objekte insgesamt 61410 

Viren gefunden 2 

Infizierte Objekte gefunden 14 

Verdächtige Objekte gefunden 0 

Untersuchungszeit 02:40:35 
 

Name des infizierten Objekts Virusname Letzte Aktion 

C:\Dokumente und Einstellungen\**\Cookies\index.dat  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\**\DoctorWeb\CureIt.log  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Verlauf\History.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\**\NTUSER.DAT  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\**\ntuser.dat.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT  Das Objekt ist gesperrt  übersprungen  

 

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\System Volume Information\MountPointManagerRemoteDatabase  Das Objekt ist gesperrt  übersprungen  

 

C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0007663.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  

 

C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0007685.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  

 

C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0007962.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  

 

C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0008837.sys  Infizierte Objekte: Hoax.Win32.Agent.fu  übersprungen  

 

C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0008847.dll  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  

 

C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0008891.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  

 

C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0008917.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  

 

C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0008927.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  

 

C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0009034.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  

 

C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP30\change.log  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\$NtServicePackUninstall$\lsass.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  

 

C:\WINDOWS\$NtServicePackUninstall$\services.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  

 

C:\WINDOWS\$NtServicePackUninstall$\spoolsv.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  

 

C:\WINDOWS\$NtServicePackUninstall$\svchost.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  

 

C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  

 

C:\WINDOWS\Debug\PASSWD.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\SchedLgU.Txt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\Sti_Trace.log  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\CatRoot2\edb.log  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\CatRoot2\tmp.edb  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\AppEvent.Evt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\default  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\default.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\Internet.evt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SAM  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SAM.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SecEvent.Evt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SECURITY  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SECURITY.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\software  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\software.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SysEvent.Evt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\system  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\system.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\h323log.txt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\wiadebug.log  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\wiaservc.log  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\WindowsUpdate.log  Das Objekt ist gesperrt  übersprungen  

 

Die Untersuchung wurde abgeschlossen.

Dr. Web folgt
Mit dem Dr. Web versuch ich diese Trojan.Starter.384 Viren zu löschen. Eieiei seltsam, dass alle andere Tests diese nicht bemerkt haben.