Trojaner-Board - C:\Users\***\AppData\Roaming\AF36.exe - Trotz neuem System & Fortmation der Festplatte...

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - C:\Users\***\AppData\Roaming\AF36.exe - Trotz neuem System & Fortmation der Festplatte... (https://www.trojaner-board.de/108629-c-users-appdata-roaming-af36-exe-trotz-neuem-system-fortmation-festplatte.html)

C:\Users\***\AppData\Roaming\AF36.exe - Trotz neuem System & Fortmation der Festplatte...

Guten Tag,
ich möchte bevor ich anfange vorrab sagen, dass ich gestern abend plötzlich oft Virus Meldungen (Avira) bekam.
Daraufhin begann ich normal diese Viren per Avira zu löschen bzw in quarantäne zu verschieben,
jedoch kam die Meldung nach & nach immer wieder.
Daraufhin wurde mein Pc sehr langsam, sprich:
öffnen von fenstern & ordnern dauerte sehr lange...
naja letzendlich begann ich ein neues System draufzupacken
(Windows 7 64 Bit Ultimate),
hatte bevor das System drauf war wie es sich gehört natürlich die betroffene Festplatte formatiert.

Heute dann grade eben wieder (Avira Virus Meldung) -
ich habe echt keine Ahnung was / woher dieser Virus ist, aber für die,
die mir helfen möchten habe ich bei Avira die Erreignisse von Heute Kopiert und füge sie jetzt hier ein.

Die Datei 'C:\Users\***\AppData\Roaming\AF36.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Agent.417792' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a87d581.qua' verschoben!

Die Datei 'C:\Users\***\AppData\Roaming\EA28.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.anpx.9' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae6d3ef.qua' verschoben!

Die Datei 'C:\Users\***\AppData\Roaming\F4D3.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.anpx.5' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5247fc5b.qua' verschoben!

Die Datei 'C:\Users\Ali\AppData\Roaming\BCFC.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Graftor.3530.1' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aedd66b.qua' verschoben!

Die Datei 'C:\Users\***\AppData\Roaming\D761.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Graftor.3530.4' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '524af9d8.qua' verschoben!

In der Datei 'C:\Users\***\AppData\Roaming\F4D3.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.anpx.5' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\***\AppData\Roaming\F4D3.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.anpx.5' [trojan] gefunden.
Ausgeführte Aktion: Übergeben an Scanner

In der Datei 'C:\Users\***\AppData\Roaming\EA28.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.anpx.9' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\***\AppData\Roaming\EA28.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.anpx.9' [trojan] gefunden.
Ausgeführte Aktion: Übergeben an Scanner

In der Datei 'C:\Users\***\AppData\Roaming\D761.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Graftor.3530.4' [trojan] gefunden.
Ausgeführte Aktion: Übergeben an Scanner

In der Datei 'C:\Users\***\AppData\Roaming\BCFC.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Graftor.3530.1' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\***\AppData\Roaming\BCFC.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Graftor.3530.1' [trojan] gefunden.
Ausgeführte Aktion: Übergeben an Scanner

In der Datei 'C:\Users\***\AppData\Roaming\AF36.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Agent.417792' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\***\AppData\Roaming\AF36.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Agent.417792' [trojan] gefunden.
Ausgeführte Aktion: Übergeben an Scanner

In der Datei 'C:\Users\***\Desktop\acoustica.mixcraft.5.2.build.151-MPT.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Offend.7081580.1' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\***\Desktop\acoustica.mixcraft.5.2.build.151-MPT.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Offend.7081580.1' [trojan] gefunden.
Ausgeführte Aktion: Übergeben an Scanner

In der Datei 'C:\Users\***\Desktop\acoustica.mixcraft.5.2.build.151-MPT.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Offend.7081580.1' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\***\AppData\Local\Temp\Rar$DRa0.398\acoustica.mixcraft.5.2.build.151-MPT.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Offend.7081580.1' [trojan] gefunden.
Ausgeführte Aktion: Übergeben an Scanner

Avira zeigt mir diese Ereignisse an. Ich habe alles nochmal mit
Malwarebytes gescannt jedoch ohne Fund.

Gruß

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:11:51, on 26.01.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\ICQ7.7\ICQ.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Guard-ICQ\GuardICQ.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Ali\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Guard.Mail.ru.gui] "C:\Program Files (x86)\Guard-ICQ\GuardICQ.exe" /gui
O4 - HKCU\..\Run: [ICQ] "C:\Program Files (x86)\ICQ7.7\ICQ.exe" silent loginmode=4
O4 - HKCU\..\Run: [Rlhghx] C:\Users\Ali\AppData\Roaming\Rlhghx.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-3076785725-1109084349-1769524527-1004\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-3076785725-1109084349-1769524527-1004\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O9 - Extra button: ICQ7.7 - {77F665FD-3F60-4B0A-AE14-EC124B7A7FCE} - C:\Program Files (x86)\ICQ7.7\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.7 - {77F665FD-3F60-4B0A-AE14-EC124B7A7FCE} - C:\Program Files (x86)\ICQ7.7\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Guard.Mail.ru - Unknown owner - C:\Program Files (x86)\Guard-ICQ\GuardICQ.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--