Trojaner-Board - explorer.exe startet nicht richtig - TR/dldr zlob gen 2 /TR dropper gen und xpack

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - explorer.exe startet nicht richtig - TR/dldr zlob gen 2 /TR dropper gen und xpack (https://www.trojaner-board.de/78096-explorer-exe-startet-richtig-tr-dldr-zlob-gen-2-tr-dropper-gen-xpack.html)

explorer.exe startet nicht richtig - TR/dldr zlob gen 2 /TR dropper gen und xpack

folgendes ist mein Problem, ich fang mal vorne an:

Freitag lud ich einen WINMX Plugin sowie das Programm Peer Guardian 2 herunter
Erst lief alles super, aber am nächsten Tag fuhr der PC von selbst herunter. Ich weiß nicht ob es nen Zusammenhang gibt, aber ich halte es für wahrscheinlich.
Als ich wiederhochfuhr, lud explorer.exe nicht mehr richtig, folglich hatte ich keine Icons mehr und musste explorer manuell über task manager starten.
Der Pc ist seitdem auch sehr langsam
mein 1. schritt war ein online scan von kasperksy, der aber nicht beendet werden konnte weil meine verbleibenden 18 GB auf der Festplatte auf einmal komplett voll waren. Ich fand den ordner dokumente und einstellungen / HelpAssistant, der voll mit meinen eigenen Dateien war. Ich frage mich nun ob Kasperksy kurzfristig alle gescanten dateien in diesen ordner kopiert oder ob es das Werk des Trojaners ist ( hatte in dem Zusammenhang was mit Langzeitentpacker gelesen )
Auch Antivir ging mittendrin net weiter weil die 5 GB die ich extra freigeräumt hatte auch plötzlich voll waren, allerdings fand der die 3 Trojaner die oben stehen, ich packte sie in quarantäne und löschte sie aus dieser anschließend.
aber alles beim alten :( helft mir bitte ich möchte nicht das system neu draufspielen sondern meine daten retten :(
Hier das Hijackthis File, bitte um Hilfe!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:32:03, on 05.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\cFosNT\cFosDNT.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
C:\Programme\VIA\SETICON\winicon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\apps\ABoard\AOSD.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\SoftMaker Office 2005\Smash.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\M***\Eigene Dateien\Neuer Ordner (2)\Xnews\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.os-community.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT\cFosDNT.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [winicon] C:\Programme\VIA\SETICON\winicon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless N DWA-140] C:\Programme\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [Smash] "C:\Programme\SoftMaker Office 2005\Smash.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\Manu\Anwendungsdaten\Macromedia\Common\267b005e19.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1103472 -"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)" -"http://www.miniclip.com/games/save-the-sheriff/de/"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: GigaTribe.lnk = C:\Programme\GigaTribe\gigatribe.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\microsoft office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - h**p://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/M***/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 13423 bytes

Hallo und :hallo:

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\Dokumente und Einstellungen\Manu\Anwendungsdaten\Macromedia\Comm on\267b005e19.exe

Danach bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

ok danke ich hoffe dass ich das mit Virustotal richtig gemacht habe, hab jez einfach diese Datei die du mir da als Code angegeben hast auf meinem PC gesucht und analysieren lassen, ich hoffe das nun folgende ist das was dir hilft mir zu helfen ^_^

Datei 69e4801a19.exe empfangen 2009.10.04 16:48:51 (UTC)
Status: Beendet

Ergebnis: 2/41 (4.88%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.10.04 -
AhnLab-V3 5.0.0.2 2009.10.03 -
AntiVir 7.9.1.27 2009.10.02 -
Antiy-AVL 2.0.3.7 2009.10.04 -
Authentium 5.1.2.4 2009.10.04 -
Avast 4.8.1351.0 2009.10.04 -
AVG 8.5.0.420 2009.10.04 -
BitDefender 7.2 2009.10.04 -
CAT-QuickHeal 10.00 2009.10.03 -
ClamAV 0.94.1 2009.10.03 -
Comodo 2512 2009.10.04 -
DrWeb 5.0.0.12182 2009.10.04 -
eSafe 7.0.17.0 2009.10.04 -
eTrust-Vet None 2009.10.02 -
F-Prot 4.5.1.85 2009.10.04 -
F-Secure 8.0.14470.0 2009.10.03 -
Fortinet 3.120.0.0 2009.10.04 -
GData 19 2009.10.04 -
Ikarus T3.1.1.72.0 2009.10.04 -
Jiangmin 11.0.800 2009.10.04 -
K7AntiVirus 7.10.861 2009.10.03 -
Kaspersky 7.0.0.125 2009.10.04 -
McAfee 5761 2009.10.04 -
McAfee+Artemis 5761 2009.10.04 -
McAfee-GW-Edition 6.8.5 2009.10.04 -
Microsoft 1.5101 2009.10.04 -
NOD32 4479 2009.10.04 -
Norman 6.01.09 2009.10.04 -
nProtect 2009.1.8.0 2009.10.04 -
Panda 10.0.2.2 2009.10.04 Suspicious file
PCTools 4.4.2.0 2009.10.04 -
Prevx 3.0 2009.10.04 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.04 Troj/Riern-Fam
Sunbelt 3.2.1858.2 2009.10.04 -
Symantec 1.4.4.12 2009.10.04 -
TheHacker 6.5.0.2.028 2009.10.03 -
TrendMicro 8.950.0.1094 2009.10.04 -
VBA32 3.12.10.11 2009.10.03 -
ViRobot 2009.10.2.1968 2009.10.02 -
VirusBuster 4.6.5.0 2009.10.04 -
weitere Informationen
File size: 3584 bytes
MD5 : b48c65b40605f1b35e8d954934674de7
SHA1 : 5860d937fac4fb0795001a44c8984b46e5c4e114
SHA256: 4f4a7db5896308de9d8cf25cadbaf1558c01f9401077304e3c68159af993341a
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1185
timedatestamp.....: 0x4AC5CB4A (Fri Oct 2 11:43:38 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x38F 0x400 5.86 0146069596ec8c7a23c3b363c1a3718a
.rdata 0x2000 0x54 0x200 0.63 16b4ff9036790e407462d181731d53a4
.data 0x3000 0x2C4 0x400 4.98 80221002a91e83ebedad2a4ae4aeca7c

( 1 imports )

> kernel32.dll: ExitProcess

( 0 exports )

TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 48:quYXk+a5cyYpVn97MyTo/3LgBAVmBkHC4ciBO:dYU+aqhpV9wAG3LgGGkHNci
PEiD : -
RDS : NSRL Reference Data Set

nun folge ich den anderen schritten

ok, um es mal auf den neusten Stand zu bringen
Ccleaner hab ich so installiert und ausgeführt wie in der Beschreibung, da hab ich alles was da so rumlag entfernt.
aber dann kam schon das Problem bei Malwarebytes :(
ich lies den komplettscan durchlaufen und er fand auch 30 infizierte Dateien, aber leider trat auf einmal der Fehler 721 (0,14) auf und ich konnte die Viren nicht in Quarantäne setzen weil angeblich zu wenig Speicher da war.
als ich bei Arbeitsplatz nachsah, war von den ursprunglichen 3 GB nur noch 1.6 GB übrig :(
ist das der Trojaner der das vollpackt oder benutzt Malwarebytes den Platz während des Scans? Bitte helft mir
jetzt brenn ich grad was um Platz zu schaffen, dann versuche ich noch einen Malwarebytes Scan, und was dabei rauskommt poste ich dann :(

Wie siehts aus, schon Platz geschaffen?
Wenn's klappt: Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

ja cosinus ich hab jez wieder 5 GB frei
ok, ich befolge mal deine Rat
mittlerweile klappt auch das Scannen mit Malwarebytes wenn man nicht alles aufeinmal scant sondern die optionen nach jedem Mal ändert
allerdings hab ich das Problem dass er mir ständig sagt, infizierte Dateien gefunden und erfolgreich gelöscht, aber nach dem Neustart und einer neuen Durchsuchung ist die gleiche Meldung in der gleichen Datei wieder da -.-
ich schreib euch mal, wo bei mir angeblich der Trojaner sitzt

HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/rundll32.exe

HKEY_CURRENT_USER/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Drivers32/aux1
(und auch aux2)

und in

C:/Dokumente und Einstellungen/****/Anwendungsdaten/Macromedia/Common/267b005e1.dll

so und hier mal das Lop Log
--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3400+ )
BIOS : Award Medallion BIOS v6.00PG
USER : Manu ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)
C:\ (Local Disk) - NTFS - Total:186 Go (Free:4 Go)
D:\ (Local Disk) - NTFS - Total:186 Go (Free:9 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 06.10.2009|19:57 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[15.03.2005|11:10] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[01.06.2005|17:27] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AOL
[22.09.2007|08:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
[02.06.2005|16:22] C:\DOKUME~1\ALLUSE~1\ANWEND~1\BVRP Software
[22.06.2006|16:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Hewlett-Packard
[10.08.2009|16:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ICQ
[05.10.2009|15:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab
[06.10.2009|08:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[16.09.2009|12:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[21.02.2009|17:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help
[26.10.2005|16:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\PopCap
[10.07.2005|14:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\QuickTime
[11.08.2004|20:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SBSI
[21.02.2009|17:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SBT
[06.10.2009|09:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
[06.10.2009|15:06] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
[03.10.2009|18:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
[02.12.2007|09:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Viewpoint
[21.02.2007|21:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[23.07.2008|14:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo!
[23.07.2008|14:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo! Companion
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[23|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[11.08.2004|20:11] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Identities
[11.08.2004|19:56] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[15.03.2005|11:16] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Real
[15.03.2005|11:07] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Sun
[15.03.2005|11:13] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Symantec
[15.03.2005|11:12] C:\DOKUME~1\DEFAUL~1\ANWEND~1\You've Got Pictures Screensaver
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[8|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[03.10.2009|08:31] C:\DOKUME~1\HELPAS~1\ANWEND~1\Adobe
[03.10.2009|08:31] C:\DOKUME~1\HELPAS~1\ANWEND~1\AdobeUM
[03.10.2009|08:31] C:\DOKUME~1\HELPAS~1\ANWEND~1\ConvertTemp
[03.10.2009|08:31] C:\DOKUME~1\HELPAS~1\ANWEND~1\CyberLink
[03.10.2009|08:31] C:\DOKUME~1\HELPAS~1\ANWEND~1\DivX
[03.10.2009|08:31] C:\DOKUME~1\HELPAS~1\ANWEND~1\GigaTribe
[03.10.2009|08:31] C:\DOKUME~1\HELPAS~1\ANWEND~1\Help
[03.10.2009|08:32] C:\DOKUME~1\HELPAS~1\ANWEND~1\ICQ
[03.10.2009|08:32] C:\DOKUME~1\HELPAS~1\ANWEND~1\ICQ Toolbar
[03.10.2009|08:48] C:\DOKUME~1\HELPAS~1\ANWEND~1\ICQLite
[03.10.2009|08:48] C:\DOKUME~1\HELPAS~1\ANWEND~1\Identities
[03.10.2009|08:48] C:\DOKUME~1\HELPAS~1\ANWEND~1\InstallShield
[03.10.2009|08:48] C:\DOKUME~1\HELPAS~1\ANWEND~1\IrfanView
[03.10.2009|20:02] C:\DOKUME~1\HELPAS~1\ANWEND~1\JAM Software
[03.10.2009|08:48] C:\DOKUME~1\HELPAS~1\ANWEND~1\kikin
[03.10.2009|08:48] C:\DOKUME~1\HELPAS~1\ANWEND~1\Lavasoft
[03.10.2009|08:48] C:\DOKUME~1\HELPAS~1\ANWEND~1\Leadertech
[03.10.2009|08:48] C:\DOKUME~1\HELPAS~1\ANWEND~1\Macromedia
[06.10.2009|09:45] C:\DOKUME~1\HELPAS~1\ANWEND~1\Malwarebytes
[03.10.2009|08:49] C:\DOKUME~1\HELPAS~1\ANWEND~1\McLoad
[03.10.2009|08:49] C:\DOKUME~1\HELPAS~1\ANWEND~1\Media Player Classic
[03.10.2009|08:50] C:\DOKUME~1\HELPAS~1\ANWEND~1\Microsoft
[03.10.2009|08:50] C:\DOKUME~1\HELPAS~1\ANWEND~1\Microsoft Web Folders
[03.10.2009|08:50] C:\DOKUME~1\HELPAS~1\ANWEND~1\Move Networks
[03.10.2009|08:52] C:\DOKUME~1\HELPAS~1\ANWEND~1\Mozilla
[03.10.2009|18:15] C:\DOKUME~1\HELPAS~1\ANWEND~1\Real
[03.10.2009|08:53] C:\DOKUME~1\HELPAS~1\ANWEND~1\Samsung
[03.10.2009|08:53] C:\DOKUME~1\HELPAS~1\ANWEND~1\Sonic
[03.10.2009|08:53] C:\DOKUME~1\HELPAS~1\ANWEND~1\SPAMfighter
[15.03.2005|11:07] C:\DOKUME~1\HELPAS~1\ANWEND~1\Sun
[15.03.2005|11:13] C:\DOKUME~1\HELPAS~1\ANWEND~1\Symantec
[03.10.2009|08:53] C:\DOKUME~1\HELPAS~1\ANWEND~1\Talkback
[03.10.2009|08:53] C:\DOKUME~1\HELPAS~1\ANWEND~1\Temporary
[03.10.2009|08:53] C:\DOKUME~1\HELPAS~1\ANWEND~1\tor
[03.10.2009|08:53] C:\DOKUME~1\HELPAS~1\ANWEND~1\TransRender
[03.10.2009|08:53] C:\DOKUME~1\HELPAS~1\ANWEND~1\uTorrent
[03.10.2009|08:53] C:\DOKUME~1\HELPAS~1\ANWEND~1\Vidalia
[03.10.2009|08:53] C:\DOKUME~1\HELPAS~1\ANWEND~1\Viewpoint
[03.10.2009|08:53] C:\DOKUME~1\HELPAS~1\ANWEND~1\vlc
[03.10.2009|08:53] C:\DOKUME~1\HELPAS~1\ANWEND~1\Yahoo!
[15.03.2005|11:12] C:\DOKUME~1\HELPAS~1\ANWEND~1\You've Got Pictures Screensaver
[0|Datei(en)] C:\DOKUME~1\HELPAS~1\ANWEND~1\Bytes
[43|Verzeichnis(se),] C:\DOKUME~1\HELPAS~1\ANWEND~1\Bytes frei

[25.07.2005|09:14] C:\DOKUME~1\LOCALS~1\ANWEND~1\Help
[04.10.2009|21:21] C:\DOKUME~1\LOCALS~1\ANWEND~1\Macromedia
[11.08.2004|19:56] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[5|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[03.06.2009|11:56] C:\DOKUME~1\Manu\ANWEND~1\Adobe
[03.09.2009|12:43] C:\DOKUME~1\Manu\ANWEND~1\AdobeUM
[27.12.2008|22:49] C:\DOKUME~1\Manu\ANWEND~1\ConvertTemp
[06.06.2005|18:27] C:\DOKUME~1\Manu\ANWEND~1\CyberLink
[21.06.2009|16:21] C:\DOKUME~1\Manu\ANWEND~1\DivX
[03.11.2008|21:03] C:\DOKUME~1\Manu\ANWEND~1\GigaTribe
[02.06.2005|16:25] C:\DOKUME~1\Manu\ANWEND~1\Help
[16.12.2008|15:24] C:\DOKUME~1\Manu\ANWEND~1\ICQ
[02.07.2008|07:23] C:\DOKUME~1\Manu\ANWEND~1\ICQ Toolbar
[16.10.2006|11:26] C:\DOKUME~1\Manu\ANWEND~1\ICQLite
[27.07.2005|20:45] C:\DOKUME~1\Manu\ANWEND~1\Identities
[29.11.2008|11:59] C:\DOKUME~1\Manu\ANWEND~1\InstallShield
[25.07.2006|18:32] C:\DOKUME~1\Manu\ANWEND~1\IrfanView
[03.10.2009|19:05] C:\DOKUME~1\Manu\ANWEND~1\JAM Software
[10.08.2009|20:10] C:\DOKUME~1\Manu\ANWEND~1\kikin
[25.12.2005|22:02] C:\DOKUME~1\Manu\ANWEND~1\Lavasoft
[01.06.2005|17:58] C:\DOKUME~1\Manu\ANWEND~1\Leadertech
[03.10.2009|08:11] C:\DOKUME~1\Manu\ANWEND~1\Macromedia
[06.10.2009|08:21] C:\DOKUME~1\Manu\ANWEND~1\Malwarebytes
[25.07.2009|12:47] C:\DOKUME~1\Manu\ANWEND~1\McLoad
[04.04.2006|16:48] C:\DOKUME~1\Manu\ANWEND~1\Media Player Classic
[10.11.2008|22:50] C:\DOKUME~1\Manu\ANWEND~1\Microsoft
[03.09.2005|20:08] C:\DOKUME~1\Manu\ANWEND~1\Microsoft Web Folders
[13.05.2009|16:19] C:\DOKUME~1\Manu\ANWEND~1\Move Networks
[12.03.2006|09:53] C:\DOKUME~1\Manu\ANWEND~1\Mozilla
[03.10.2009|11:41] C:\DOKUME~1\Manu\ANWEND~1\Real
[27.12.2008|22:49] C:\DOKUME~1\Manu\ANWEND~1\Samsung
[01.06.2005|17:59] C:\DOKUME~1\Manu\ANWEND~1\Sonic
[15.12.2007|21:38] C:\DOKUME~1\Manu\ANWEND~1\SPAMfighter
[15.03.2005|11:07] C:\DOKUME~1\Manu\ANWEND~1\Sun
[15.03.2005|11:13] C:\DOKUME~1\Manu\ANWEND~1\Symantec
[12.03.2006|09:54] C:\DOKUME~1\Manu\ANWEND~1\Talkback
[27.12.2008|23:20] C:\DOKUME~1\Manu\ANWEND~1\Temporary
[30.12.2008|10:42] C:\DOKUME~1\Manu\ANWEND~1\TransRender
[01.10.2008|17:56] C:\DOKUME~1\Manu\ANWEND~1\uTorrent
[02.12.2007|09:53] C:\DOKUME~1\Manu\ANWEND~1\Viewpoint
[30.07.2005|18:56] C:\DOKUME~1\Manu\ANWEND~1\vlc
[15.03.2009|15:33] C:\DOKUME~1\Manu\ANWEND~1\Yahoo!
[15.03.2005|11:12] C:\DOKUME~1\Manu\ANWEND~1\You've Got Pictures Screensaver
[0|Datei(en)] C:\DOKUME~1\Manu\ANWEND~1\Bytes
[41|Verzeichnis(se),] C:\DOKUME~1\Manu\ANWEND~1\Bytes frei

[03.10.2009|09:54] C:\DOKUME~1\NETWOR~1\ANWEND~1\Macromedia
[11.08.2004|19:56] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[20.08.2005|11:00] C:\DOKUME~1\NETWOR~1\ANWEND~1\Symantec
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[5|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[06.10.2009 19:04][--ah-----] C:\WINDOWS\tasks\SA.DAT
[04.08.2004 15:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[15.03.2005|11:10] C:\Programme\Adobe
[18.06.2005|12:38] C:\Programme\AIPTEK
[15.03.2005|11:04] C:\Programme\AMD
[29.11.2008|12:00] C:\Programme\ANI
[01.08.2007|17:56] C:\Programme\Ant Renamer
[01.06.2005|17:27] C:\Programme\AOL 9.0
[10.07.2008|08:10] C:\Programme\Ashampoo
[22.09.2007|08:37] C:\Programme\Avira
[23.02.2008|17:10] C:\Programme\BearShare
[04.07.2009|06:53] C:\Programme\CamStudio
[01.06.2005|16:48] C:\Programme\Canon
[06.10.2009|07:43] C:\Programme\CCleaner
[09.02.2007|22:13] C:\Programme\Cognaxon
[11.08.2004|20:03] C:\Programme\ComPlus Applications
[10.05.2008|17:57] C:\Programme\Convar
[15.03.2005|11:15] C:\Programme\CyberLink
[21.06.2009|16:19] C:\Programme\DivX
[29.11.2008|12:00] C:\Programme\D-Link
[02.07.2009|10:10] C:\Programme\EjoyStudio
[06.10.2009|19:18] C:\Programme\Eraser
[02.06.2005|16:22] C:\Programme\FaxTools
[18.05.2009|19:58] C:\Programme\FLVPlayer
[01.06.2005|18:28] C:\Programme\foobar2000
[03.10.2009|11:09] C:\Programme\Free Window Registry Repair
[06.10.2009|19:05] C:\Programme\Gemeinsame Dateien
[03.11.2008|21:01] C:\Programme\GigaTribe
[02.06.2005|06:56] C:\Programme\Google
[22.06.2006|16:32] C:\Programme\Hewlett-Packard
[22.06.2006|16:32] C:\Programme\HP
[10.08.2009|20:10] C:\Programme\ICQ Update Patch
[10.08.2009|16:28] C:\Programme\ICQ6
[10.08.2009|16:34] C:\Programme\ICQ6.5
[10.08.2009|16:31] C:\Programme\ICQ6Toolbar
[29.09.2009|15:02] C:\Programme\ICQLite
[10.08.2009|16:31] C:\Programme\ICQToolbar
[30.12.2008|10:18] C:\Programme\InstallShield Installation Information
[05.10.2009|10:37] C:\Programme\Internet Explorer
[01.04.2007|11:51] C:\Programme\IrfanView
[03.10.2009|19:05] C:\Programme\JAM Software
[03.03.2009|07:20] C:\Programme\Java
[10.08.2009|20:10] C:\Programme\kikin
[25.12.2005|22:01] C:\Programme\Lavasoft
[15.03.2005|11:12] C:\Programme\Learn2.com
[18.06.2005|16:09] C:\Programme\LexmarkX84-X85
[01.05.2007|11:36] C:\Programme\Mach5 Software
[06.10.2009|14:02] C:\Programme\Malwarebytes' Anti-Malware
[15.08.2008|07:41] C:\Programme\Messenger
[18.06.2006|22:09] C:\Programme\MGI
[16.09.2009|13:00] C:\Programme\Microsoft
[05.10.2009|09:43] C:\Programme\Microsoft CAPICOM 2.1.0.2
[27.05.2006|01:14] C:\Programme\microsoft frontpage
[21.02.2009|17:30] C:\Programme\microsoft office
[05.10.2009|10:47] C:\Programme\Microsoft Silverlight
[16.09.2009|12:55] C:\Programme\Microsoft SQL Server Compact Edition
[21.02.2009|17:31] C:\Programme\Microsoft Visual Studio
[21.02.2009|17:29] C:\Programme\Microsoft Works
[27.05.2006|01:02] C:\Programme\Microsoft Works Suite 2000
[21.02.2009|17:32] C:\Programme\Microsoft.NET
[11.08.2004|20:04] C:\Programme\Movie Maker
[06.10.2009|19:53] C:\Programme\Mozilla Firefox
[05.10.2009|10:04] C:\Programme\MSBuild
[15.01.2006|08:52] C:\Programme\MSN
[11.08.2004|20:02] C:\Programme\MSN Gaming Zone
[18.03.2008|13:44] C:\Programme\MSN Webcam Recorder
[17.11.2006|23:11] C:\Programme\MSXML 4.0
[05.10.2009|09:48] C:\Programme\MSXML 6.0
[02.10.2009|08:12] C:\Programme\MXpie Patch
[11.08.2004|20:03] C:\Programme\NetMeeting
[11.08.2004|20:02] C:\Programme\Online Services
[11.08.2004|20:04] C:\Programme\Online-Dienste
[05.10.2009|11:11] C:\Programme\OpenOffice.org1.1.4
[13.08.2005|09:11] C:\Programme\OpenVideoConverter
[05.10.2009|09:34] C:\Programme\Outlook Express
[10.05.2008|17:58] C:\Programme\PC Inspector File Recovery
[10.05.2008|18:49] C:\Programme\PhotoRescue Wizard PC 3.1.4.10864
[11.08.2006|11:12] C:\Programme\QuickPar
[15.03.2005|11:12] C:\Programme\QuickTime
[10.05.2009|07:53] C:\Programme\RAM Defrag
[15.03.2005|11:11] C:\Programme\Real
[05.10.2009|10:03] C:\Programme\Reference Assemblies
[24.08.2007|13:15] C:\Programme\Riva
[30.12.2008|10:15] C:\Programme\Samsung
[27.07.2009|07:52] C:\Programme\Security Task Manager
[21.02.2009|17:31] C:\Programme\Snapshot Viewer
[27.09.2005|12:24] C:\Programme\SoftMaker Office 2005
[15.03.2005|11:20] C:\Programme\Sonic
[04.10.2009|05:52] C:\Programme\Spybot - Search & Destroy
[06.09.2007|19:16] C:\Programme\SuperSoaker Championship
[06.05.2007|10:25] C:\Programme\Symantec
[03.06.2005|18:39] C:\Programme\SymNetDrv
[11.08.2004|20:11] C:\Programme\Uninstall Information
[27.09.2007|17:46] C:\Programme\uTorrent
[13.07.2005|06:43] C:\Programme\VIA
[05.10.2009|07:08] C:\Programme\Vidalia Bundle
[30.07.2005|18:52] C:\Programme\VideoLAN
[15.03.2005|11:12] C:\Programme\Viewpoint
[16.09.2009|13:00] C:\Programme\Windows Live
[16.09.2009|12:53] C:\Programme\Windows Live SkyDrive
[18.03.2008|13:43] C:\Programme\Windows Media Components
[21.02.2007|21:28] C:\Programme\Windows Media Connect 2
[21.02.2007|21:29] C:\Programme\Windows Media Player
[11.08.2004|20:02] C:\Programme\Windows NT
[11.08.2004|20:04] C:\Programme\WindowsUpdate
[24.07.2005|13:56] C:\Programme\WinMX
[20.06.2005|18:07] C:\Programme\WinRAR
[01.06.2005|17:11] C:\Programme\WinZip
[11.08.2004|20:06] C:\Programme\xerox
[23.07.2008|14:47] C:\Programme\Yahoo!
[13.05.2008|17:59] C:\Programme\ZAR
[0|Datei(en)] C:\Programme\Bytes
[111|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[23.06.2005|15:02] C:\Programme\Gemeinsame Dateien\Adobe
[15.03.2005|11:12] C:\Programme\Gemeinsame Dateien\aol
[01.12.2008|17:02] C:\Programme\Gemeinsame Dateien\aolshare
[21.02.2009|17:31] C:\Programme\Gemeinsame Dateien\Designer
[01.12.2008|17:02] C:\Programme\Gemeinsame Dateien\Dienste
[21.06.2009|16:19] C:\Programme\Gemeinsame Dateien\DivX Shared
[22.06.2006|16:30] C:\Programme\Gemeinsame Dateien\Hewlett-Packard
[22.06.2006|16:34] C:\Programme\Gemeinsame Dateien\HP
[01.06.2005|16:45] C:\Programme\Gemeinsame Dateien\InstallShield
[15.03.2005|11:07] C:\Programme\Gemeinsame Dateien\Java
[05.10.2009|09:23] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[11.08.2004|20:04] C:\Programme\Gemeinsame Dateien\MSSoap
[15.03.2005|11:11] C:\Programme\Gemeinsame Dateien\Nullsoft
[11.08.2004|19:57] C:\Programme\Gemeinsame Dateien\ODBC
[15.03.2005|11:16] C:\Programme\Gemeinsame Dateien\Real
[15.03.2005|11:20] C:\Programme\Gemeinsame Dateien\Sonic Shared
[11.08.2004|19:57] C:\Programme\Gemeinsame Dateien\SpeechEngines
[15.02.2009|20:35] C:\Programme\Gemeinsame Dateien\SureThing Shared
[06.05.2007|11:11] C:\Programme\Gemeinsame Dateien\Symantec Shared
[21.02.2009|17:31] C:\Programme\Gemeinsame Dateien\System
[16.09.2009|12:38] C:\Programme\Gemeinsame Dateien\Windows Live
[15.03.2005|11:16] C:\Programme\Gemeinsame Dateien\xing shared
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[24|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 53 Processes )

iexplore.exe ~ [PID:1084]

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER

--------------------\\ Suche nach verborgenen Dateien mit Catchme

Ist das alles oder kommt da noch was? Bitte große Logfile immer bei file-upload.net hochladen und hier verlinken.

ok lad ich nächstes mal hoch
weiß nich ob da noch wa skommt da steht seit 20 minuten
Suche nach verborgenen Dateien mit Catchme....
ist das normal?

kann mir mal jemand sagen, was das hier sein könnte?
C:\Dokumente und Einstellungen\HelpAssistant\Anwendungsdaten\Macromedia\Common\267b005e1.dll

das ist laut Malwarebytes nämlich ne infizierte datei

Guten Morgen!

Code:

Panda 10.0.2.2 2009.10.04 Suspicious file

[...]

Sophos 4.45.0 2009.10.04 Troj/Riern-Fam

Sehr schwache Erkennungsleistungen der Scanner insgesamt.

Zitat:

Zitat von Silbervieh (Beitrag 471307)

kann mir mal jemand sagen, was das hier sein könnte?
C:\Dokumente und Einstellungen\HelpAssistant\Anwendungsdaten\Macromedia\Common\267b005e1.dll

Riern/Silentbanker. Aufgrund der schlechten Erkennung durch Virenscanner eine Bitte: Pack die Dateien aus dem "Common"-Ordner bitte einmal passwortgeschützt in ein Archiv (Passwort: infected), und sende mir dieses Archiv an die hier abrufbare Mailadresse. Merci.

Wie sieht es aus mit Onlinebanking? Nutzt Du sowas? Falls ja -> sperren lassen.

hi mmk
nein online banking mache ich garnicht
wie kommst du da denn drauf?

ja im moment kann ich diese dll datei net finden weil mein malwarebytes sie eben beim heuristik scan (was auch immer das ist) gelöscht hat, jetzt mach ich grad einen komplett scan was wohl einige stunden dauern kann
wenn ich den pc neu starte ist die dll datei wieder da, was war gestern auch mehrdach so
sobald ich sie dann finde, sende ich sie dir
ist zip format dann ok?

mmk ich kann die datei nicht finden :(
also in dem angegebenen ordner
was mach ich jetzt?
obwohl malwarebytes sagte dass sie sie nicht entfernen konnte und nach dem neustart kann ich nichtmal mehr explorer.exe manuell starten die icons bleiben weg :(
hilfeeeeeeee

h**p://www.file-upload.net/download-1930891/lopR1.txt.html

hier mal das komplette Lop Log für dich Cosinus ich hoffe du kannst damit was anfangen

Die Datei hab ich zwar gesehen, aber ich konnte sie nicht (mehr) als mögliche Silentbanker-Banker Infektion einstufen :o Darauf ha Angel21 mich schon gestern hingewiesen und nun bestätigt auch Markus/mmk (übrigens: welcome back! http://politik-forum.eu/images/smilies/hat.gif ) das mit dem Silentbanker.

@Sielbervieh, wenn Du weißt was der Silentbanker macht, möchtest Du da lieber neuaufsetzen. => Online-Bankraub in aller Stille: Silentbanker

wieso neu aufsetzen? ich benutzre doch überhaupt kein online banking ich habs noch nie gemacht
ich würde gern meinen pc retten ohne neu aufzusetzen :(
hast du nicht noch paar tips für mich?
und weißt du zufällig was der ordner dokumente und einstellungen/helpassistant
ist?
es kommt mir so vor als wären dort meine eigenen datein nochmal reinkopiert worden

Wenn Du unbedingt bereinigen willst :rolleyes: Empfehlen würde ich das nicht.
Dann poste bitte den richtigen Link zum LopS&D-Logile, das war nur der Löschlink.

Reiche auch bitte das RSIT-Logfile nach.

h**p://www.file-upload.net/download-1930891/lopR1.txt.html

der hier müsste es doch sein ich hatte aus versehen erst den löschlink angegeben aber dann editiert
viel erfolg damit

Ok, jetzt noch bitte das von RSIT.

bittesehr
Log
http://www.file-upload.net/download-1930927/log.txt.html

Info
http://www.file-upload.net/download-1930928/info.txt.html

Dann mal los:

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E601996F-E400-41CA-804B-CD6373A7EEE2}
 

registry values to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar | {855F3B16-6D32-4fe6-8A56-BBB695989046}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar | {EF99BD32-C1FB-11D2-892F-0090271D4F88}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | QuickTime Task
 

folders to delete:

C:\Dokumente und Einstellungen\Manu\Anwendungsdaten\Macromedia\Common

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Dokumente und Einstellungen\Manu\Anwendungsdaten\Macromedia\Common" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D}" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897}" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E601996F-E400-41CA-804B-CD6373A7EEE2}" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{855F3B16-6D32-4fe6-8A56-BBB695989046}" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{EF99BD32-C1FB-11D2-892F-0090271D4F88}" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run|QuickTime Task" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

leider besteht das problem, dass ich keine icons mehr sehen kann selbst wenn ich explorer.exe manuell starte, weiterhin :(

Wir sind ja auch noch nicht fertig :rolleyes:
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

http://www.file-upload.net/download-1931065/ComboFix.txt.html

ok hier ist es

Deinstalliere bitte diese Ashampoo Firewall und verwende die Windows-Firewall!
Grund ist, dass Personal Firewalls sich in den TCP-IP-Stack von Windows einklinken und den netzwerkrelevanten Code erheblich vergrößern. Das erhöht die Komplexität und Angriffsfläche des Systems.
Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern.

Danach:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:

Folder::

c:\programme\ICQToolbar

c:\programme\ICQ6Toolbar
 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"=-
 

File::

C:\WINDOWS\system32\FM20ENU.DLL

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

ok mal ne frage wie kann man antivir dnen abschalten? da steht immer zugriff verweigert wenn ichs im task mamager abschalten will

Es reicht, wenn Du den Hintergrundwächter deaktivierst (Regenschirm schließen ;))

http://www.file-upload.net/download-1931445/log123.txt.html

hier bitte ich hoffe ich habs alles richtig gemacht

*(un)geduldig auf Hilfe wart* :Boogie::confused::party:

Das Logfile sieht wieder okay aus, eine garantie auf ein tatsächlich sauberes System hast Du so aber nicht. Meld Dich nochmal bei Problemen.

Weitere Hinweise:

Code:

C:\Programme\Ashampoo\Ashampoo FireWall

Solltest Du deinstallieren und stattdessen die Windows-Firewall verwenden.
Grund ist, dass Personal Firewalls sich in den TCP-IP-Stack von Windows einklinken und den netzwerkrelevanten Code erheblich vergrößern. Das erhöht die Komplexität und Angriffsfläche des Systems.
Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern.

Und überprüf die Updates:

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update
Es geht v.a. um das SP3 für Windows XP und den IE8, auch wenn Du ihn nicht nutzt.

Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.

Java-Update
Deine derzeitig installierte Version von Java ist veraltet, was ebenfalls ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alten Versionen zu löschen und auf die neuste zu aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

ääähm ja das problem dass beim start des pcs der desktop net erscheint sondern nur dessen hintergrund besteht ja weiterhin wieso is das so? :(

Das ist immer noch? Direkt beim Hochfahren oder erst nach dem Einloggen mit Deinem Windows-Benutzerkonto?

ich werd nochma versuchen den pc zu starten und dann sag ichs dir nchma
ich muss mich mit keinem benutzerkonto anmelden weil ich der einzige user dieses pcs bin und somit automatisch angemeldet bin

ok neu gesrtartet und nix gutes :(
desktop läd keinen icon, man kann dort nichtmal rechtsclick machen so dass was passiert..... das ist doch echt zum haare raufen was nun? :(

außerdem ist es so dass wenn ich unten uf start clicke und dann systemsteuerung, eigene dateien oder sonstwas anclicken will immer ne fehlermeldung kommt "null" wurde nicht gefunden überprüfen sie ob der pfad richtig ist :(
was soll denn das?
ich kann alles nur über den explorer erreichen also alle dateien

Erstell mal bitte ein neues Benutzerkonto, ruhig mit Adminrechten.
Starte Windows neu und log Dich mit diesem neuen Konto ein. Was passiert?

wie erstellt man sowas denn wenn man keinen zugriff auf den desktop hat? :confused:

übrigens seh ich grad dass ich plötzlich schon wieder nur noch 900 MB speichetr auf C hab

Du kommst aber mit STRG+ALT+ANTF in den Taskmanager rein?!
Wenn ja => Taskmanager => neuer Task (ausführen) => control userpasswords2 eintippen => ok => Dort einen neues Benutzerkonto mit Adminrechen erstellen

ok hab eins gemacht
und hier KANN ICH DEN DESKTOP SEHEN UND NORMAL BENUTZEN
das blöde ist nur, ich komme von diesem benutzerkonto nicht an meine bilder und dateien ran :(
was nun?

ah ich komm doch ran^^
soll ich jez immer diesen account nutzen oder wie?

Dachte ich es mir. Wahrscheinlich ist das Benutzerprofil Deines Standardkonto im Ar..gen ;)
Deine Daten und Einstellungen müssten in diesem Pfad sein:

c:\dokumente und einstellungen\Manu

Da drin gibt es jew. wieder verschiedene Ordner u.a. auch den für die Eigenen Dateien und Bilder.

ok hab alle dateien gefunden wie soll ich nun weiter vorgehen?
soll ichs mir in meinem neuen benutzerkonto gemütlich machen?
und was soll mit dem alten benutzerkonto passieren?

Kopier die eigenen Dateien und Bilder ins neue Benutzerprofil. Ich glaub es lohnt kaum, da solange dran zu reparieren, bis es zufällig wieder vernünftig läuft. Mit dem anderen Benutzer hast Du auf jeden Fall ein frisches Profil.

was genau meinst du mit ins neue benutzerprofil kopieren?
also einfach aufm desktop verlinken?
weil wenn ich es kopiere ist ja das laufwerk doppelt so voll
oder hab ich das falsch verstanden?
und muss das alte profil gelöscht werden oder soll es bestehen bleiben?

Ja, Du kannst es aufm Desktop oder gleich nach Eigene Dateien Kopieren. Hinterher kannst Du die Dateien vom alten (defekten) Profil ja löschen. Nicht die Dateien verschieben, denn falls ein Fehler beim Kopieren/Verschieben auftaucht, bricht Windows den Vorgang einfach ab und Du hast halb die Daten drüben und halb noch im alten Ordner => Chaos, will man nicht! :mad:

hi ich bins nochmal^^
also, das neue benutzerkonto funktioniert soweit gut
aber ich hab noch probleme mit dem windows live messenger
wenn ich mich einloggen will kommt das fenster in das ich benutzeradresse und PW eingebe aber sobald ich auf anmelden clicke friert es ein und die meldung kommt dass es probleme festgestellt hat und beendet werden muss
wie kann man das beheben?