tr crypt.xpack.gen Bitte um Hilfe.
 

Hallo. Ich habe Windows XP Home und mein AntiVir hat vorhin in einer Datei den
tr crypt.xpack.gen Trojaner entdeckt. Jetzt hab ich rumgegooglt und festgestellt, dass das Ding ernstzunehmen ist und sich überall einnistet.

Nun hab ich gesehen, dass ihr hier alles per Log von diesem Programm macht. Hier ist der Log von mir. Sagt einfach Mal was ihr dadrin seht und wenn ihr besonders nett seid woran ihr das erkennt, ich interessiere mich auch für sowas und hab mal in der IT gearbeitet, aber halt nicht so teifgehend. Würde gern meine Rechner von dem Mist befreien.

Ich nutze auch Spybot - Search & Destroy und die Agnitum Outpost Firewall. Wie kann sich sowas trotzdem noch auf einen Rechner einschleichen? Kann das durch Cookies passieren? Ich nutze den Firefox.

Hier nun der Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:02:26, on 18.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Stardock\Object Desktop\ThemeManager\wbload.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\DOKUME~1\Ilya\LOKALE~1\Temp\RtkBtMnt.exe
C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.254.200:3182
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: D - {2508CBA6-AD92-3624-9005-4383115B413F} - C:\WINDOWS\system32\cy37722.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AA09CE4-2184-4ABD-8579-34586F3DD9B6}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{890AC32E-EBD8-4DD2-AF22-791BDF415790}: NameServer = 192.168.178.1
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe

--
End of file - 6563 bytes

Vielen Dank schon Mal. Würde mich über schnelle Hilfe freuen.

Hallo und Herzlich Willkommen! :)

das kann schnell & leicht passieren z.B:

• ausführbaren Dateien die Du runterlädst
• betreibst Filesharing, P2P Netzerke...
• Keygen, gecrackte Software herunterlädst...
• eine infizierte E-Mail öffnest...
• Porn-Warez Seiten besuchst...(über Cookies ja auch)
• schlecht konfigurierte Software
• alle installierte Software und Windows : wichtiger Patches oder Updates fehlen... usw

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):

gruß
Coverflow

Ich hoffe ich habs richtig gemacht. Rest kommt gleich. Der Rechner neigt nämlich oft zu Bluescreens, deshalb eines nach dem anderen.

Hier die installierten Programme.

So und die zwei Dateien.

Was ich noch hinzufügen wollte - beim Start des Rechners sind in den Prozessen sofort iexplore.exe zwei Mal drin. Und der Internet Explorer ist bei mir weder im Autostart noch unter Systemstart von msconfig drin. Wenn ich die Prozesse zu schnell beende (also zb wenn der PC noch nicht fertiggeladen hat, oder in zu kurzer Zeit nacheinander) führt dies oft zum Bluescreen. Ich finde es verdächtig, aber ich kann zum Verrecken die Quelle des Übels nicht finden.

Schon Mal vielen dank im Voraus für eure Hilfe.

Sorry das ich mich einmisch:

Aber ich seh genau das, was Coverflow schon geschrieben hat:

Du verwendest Filesharingprogramme (eMule) und dir fehlen einige Updates/Patches (Adobe Reader, Java, Firefox, Windows XP, Internet Explorer ) und hast ne Toolbar installiert (google Toolbar)^^

Sollte dir nur mal zu Nachdenken geben :)

Gruß

Hallo Shianky:)

Punkt 4. bitte noch mal lesen:-> http://www.trojaner-board.de/77622-t...tml#post466580

Ich möchte, dass die Ergebnisse die Dateiname auch beinhaltet!
Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen :
also bitte die Dateiüberprüfung wiederholen, für "DAPBHO.dll
" auch!:)

dann warum *einmisch*?
:rolleyes:

Deswegen *einmisch* :D

Wollt ihm nur aufzeigen, wo seine Sicherheitslücken sitzen....wollt dich aber auf keinen Fall bei deiner Arbeit stören :affe:

Wen du dich gestört fühlt, dann entschuldigung :heulen:

Ich bin keine Frau, es lohnt sich nicht um mich zu streiten ;)

So hier nochmal zu Punkt 4:

Für DAPBHO.dll:


Für cy37722.dll:

Danke nochmal.

PS: Was sagst du dazu, dass Internet Explorer seine exes mehrmals nach dem Hochfahren startet?

ist schon Ok:)

hallo Shianky:)

nönö..das tun wir gar nichthttp://www.world-of-smilies.com/wos_...nahrung002.gif

- da die Datei ist noch noch nicht bekannt, lass uns sie noch schnell hochladen, damit sie zu den AV-Programm Herstellern weitergeleitet werden kann bzw zur weitere Analyse:

Datei Upload

• Klicke bitte auf diesen Link UploadMalware.com

• Gib im obersten Feld deinen Namen ein
• Im Feld darunter den Thread bei uns an Board (http://www.trojaner-board.de/77622-t...-um-hilfe.html)
• Lade dann diese Datei von deinem Rechner hoch:

C:\WINDOWS\system32\cy37722.dll

• Gib im Kommentarfeld Folgendes an:
• "Unknown file"
• deine eMail Adresse, damit du benachrichtigt werden kannst, um was es sich bei dieser Datei handelt.
• diese Information:

Code:

---

Datei cy37722.dll empfangen 2009.09.19 09:42:26 (UTC)

Ergebnis: 0/40 (0%)       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.24        2009.09.19        -
AhnLab-V3        5.0.0.2        2009.09.19        -
AntiVir        7.9.1.19        2009.09.18        -
Antiy-AVL        2.0.3.7        2009.09.18        -
Authentium        5.1.2.4        2009.09.19        -
Avast        4.8.1351.0        2009.09.18        -
AVG        8.5.0.412        2009.09.19        -
BitDefender        7.2        2009.09.19        -
CAT-QuickHeal        10.00        2009.09.19        -
ClamAV        0.94.1        2009.09.19        -
Comodo        2366        2009.09.19        -
DrWeb        5.0.0.12182        2009.09.19        -
eTrust-Vet        31.6.6746        2009.09.18        -
F-Prot        4.5.1.85        2009.09.18        -
F-Secure        8.0.14470.0        2009.09.18        -
Fortinet        3.120.0.0        2009.09.19        -
GData        19        2009.09.19        -
Ikarus        T3.1.1.72.0        2009.09.19        -
Jiangmin        11.0.800        2009.09.19        -
K7AntiVirus        7.10.848        2009.09.18        -
Kaspersky        7.0.0.125        2009.09.19        -
McAfee        5745        2009.09.18        -
McAfee+Artemis        5745        2009.09.18        -
McAfee-GW-Edition        6.8.5        2009.09.18        -
Microsoft        1.5005        2009.09.19        -
NOD32        4439        2009.09.19        -
Norman        6.01.09        2009.09.18        -
nProtect        2009.1.8.0        2009.09.19        -
Panda        10.0.2.2        2009.09.18        -
PCTools        4.4.2.0        2009.09.18        -
Prevx        3.0        2009.09.19        -
Rising        21.47.52.00        2009.09.19        -
Sophos        4.45.0        2009.09.19        -
Sunbelt        3.2.1858.2        2009.09.19        -
Symantec        1.4.4.12        2009.09.19        -
TheHacker        6.5.0.2.012        2009.09.18        -
TrendMicro        8.950.0.1094        2009.09.18        -
VBA32        3.12.10.10        2009.09.18        -
ViRobot        2009.9.18.1943        2009.09.18        -
VirusBuster        4.6.5.0        2009.09.18        -
weitere Informationen
File size: 225280 bytes
MD5...: bc9046b00b7aa0e2d21e7ca96f4e635d
SHA1..: 1b5e7455289177e515b5aa6324a8de754a7629e1
SHA256: 79eac809839df8c984e9045204bebcc313995dbd062e705d98b465f64658e14d
ssdeep: 3072:e53qp6G8lSQ5B3h36PCZqGOlyXqpw8a7Fps1RK65eLoWzt0Gn/q6p6PU32A
5RSvV:j6GMB0uVKTPByiGn/d6P8zRSvD
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1abcb
timedatestamp.....: 0x4aa50b9f (Mon Sep 07 13:33:19 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x21640 0x22000 6.35 69c074fc999249e254c4d91d467e6021
.rdata 0x23000 0x9f10 0xa000 5.42 f6eb95c1d38a098c6c9edb10c484dcfd
.data 0x2d000 0x498e1c 0x3000 3.57 63fac173f0dde23631c6c8394900e434
.rsrc 0x4c6000 0xa60 0x1000 2.50 2fa13863cba46a0a206cb97dc45b8632
.reloc 0x4c7000 0x5450 0x6000 2.75 1f97d50df1ad28c2d2edf32e4673cc70

( 10 imports )
> WININET.dll: InternetCheckConnectionA
> urlmon.dll: CoInternetCompareUrl, UrlMkSetSessionOption
> KERNEL32.dll: GetThreadLocale, InitializeCriticalSection, DeleteCriticalSection, LeaveCriticalSection, InterlockedIncrement, EnterCriticalSection, InterlockedDecrement, MultiByteToWideChar, GetModuleFileNameA, GetLastError, WideCharToMultiByte, lstrlenW, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, lstrcmpiA, lstrcpynA, IsDBCSLeadByte, GetModuleHandleA, lstrcatA, lstrcmpiW, ExitProcess, lstrcatW, lstrcpyW, GetVolumeInformationA, CreateProcessA, CloseHandle, TerminateThread, WaitForSingleObject, CreateThread, SetFileTime, WriteFile, GetFileTime, CreateFileA, Process32Next, Module32First, FlushFileBuffers, SetStdHandle, VirtualQuery, GetLocaleInfoA, VirtualProtect, LCMapStringW, LCMapStringA, SetFilePointer, GetStringTypeW, GetStringTypeA, IsBadCodePtr, IsBadReadPtr, GetCPInfo, GetOEMCP, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, IsBadWritePtr, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, SetUnhandledExceptionFilter, TlsAlloc, GetACP, GetVersionExA, InterlockedExchange, RaiseException, Sleep, LoadLibraryA, GetProcAddress, FreeLibrary, lstrlenA, lstrcpyA, DisableThreadLibraryCalls, HeapFree, TlsGetValue, SetLastError, TlsFree, HeapSize, GetCurrentProcess, TerminateProcess, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetCommandLineA, RtlUnwind, LocalFree, HeapReAlloc, HeapAlloc, GetSystemInfo, GetCurrentThreadId, TlsSetValue, GetSystemTimeAsFileTime
> USER32.dll: GetActiveWindow, OpenIcon, CloseWindow, GetKBCodePage, LoadStringA, GetMenuItemCount, EndDialog, CreateMenu, DestroyMenu, GetFocus, GetDoubleClickTime, FindWindowA, CreateDialogParamA, wsprintfA, UpdateWindow, IsDlgButtonChecked, GetParent, EnableWindow, GetMenu, GetInputState, IsWindowEnabled, KillTimer, GetCapture, GetKeyboardLayout, GetScrollPos, wsprintfW, GetKeyboardType, GetSubMenu, CallMsgFilterA, GetMenuCheckMarkDimensions, IsWindowVisible, CharNextA, SetCaretBlinkTime, FlashWindow, EnumWindows, SetTimer
> ADVAPI32.dll: RegCloseKey, RegSetValueExA, RegDeleteKeyA, RegOpenKeyA, RegQueryInfoKeyA, RegEnumKeyExA, RegCreateKeyExA, RegDeleteValueA, RegCreateKeyA, RegEnumKeyA, RegOpenKeyExA, RegQueryValueExA
> SHELL32.dll: SHGetSpecialFolderPathA, ShellExecuteA
> ole32.dll: CoTaskMemRealloc, StringFromCLSID, StringFromGUID2, CoTaskMemAlloc, CoTaskMemFree, CoCreateInstance
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> SHLWAPI.dll: PathFindExtensionA
> COMCTL32.dll: GetMUILanguage, InitCommonControlsEx

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: DirectShow filter (52.6%)
Windows OCX File (32.2%)
Win32 Executable MS Visual C++ (generic) (9.8%)
Win32 Executable Generic (2.2%)
Win32 Dynamic Link Library (generic) (1.9%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: Copyright 2008
product......: XML parser library
description..: XML parser library
original name: xml2w32.dll
internal name: libxml2
file version.: 1.0.352.7
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

---

• Drücke nun auf den Button "Send File"
• **Damit wir mit dem nächsten Schritt fortfahren können, teile uns mit, ob es dir gelungen ist, die Datei/en hochzuladen.
  .

So viel Stress um eine Datei, kann man die nich einfach löschen?^^

Hab sie hochgeladen.

hi

werden wir ja machen, keine Sorge;)

1.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

2.
- den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.

• Start → ausführen "cleanmgr" reinschreiben ohne "" → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
• `Start → ausführen `→ %temp% reinschreiben ohne ""→ "Ok" - Ordnerinhalt markieren und löschen
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

5.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Ich habe es noch nicht geschafft die letzten Sachen zu machen, aber heute morgen hat der AntiVir zum ersten Mal auf die Datei reagiert und zwar hat er darin die Signatur von

TR/Dldr.Bandload.ajem

erkannt. Die Datei scheint sich von allein wieder reinzukopieren alle 10 Minuten oder so. Wo liegt der Ursprung? In dllcache war sie nicht.

Hab auch gestern den AntiVirus durchlaufen lassen und er hat in System Volume Information 3 Viren gefunden. Das macht mir jetzt noch zusätzlich Sorgen.