Trojaner-Board - Hier nochmal nach Löschung TR/Hijacker.gen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hier nochmal nach Löschung TR/Hijacker.gen (https://www.trojaner-board.de/55456-nochmal-loeschung-tr-hijacker-gen.html)

Hier nochmal nach Löschung TR/Hijacker.gen

Hallo zusammen, nachdem das letzte Thema leider gelöscht wurde

http://www.trojaner-board.de/55088-t...t-logfile.html

und ich diese ganzen Sachen die da geraten wurden hier nochmal ein aktuelles Logfile.

Leider macht der Rechner immer noch dieselben mucken wie vorher.
Deshalb wäre ich dankbar wenn Ihr mir weitere Tips geben könntet was ich machen soll, oder wo ich einen Fehler gemacht haben könnte.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:28, on 2008-07-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Acer\Acer eConsole\MediaServerService.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Acer\Acer eMode Management\AspireService.exe
C:\Programme\Acer\Acer eConsole\MediaSync.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_05\bin\jucheck.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\ZyXEL Technology Corporation\ZyAIR G-220 Utility\ZDWlan.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Privat\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]h**p://go.mi*rosoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]h**p://go.*******/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]h**p://go.mi*rosoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Programme\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZDWlan.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]h**p://update.mic*osoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153835482703
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [url]h**p://update.mic*osoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153835470015
O23 - Service: Acer Media Server - Acer Inc. - C:\Programme\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6485 bytes

Hoffe das passt dann so, weil aktive Links seh ich jetzt keine mehr, sollte also auch keinen Grund mehr das zu löschen, und mich zu verwarnen.

Kann mir keiner was dazu sagen?

Kommt schon Leute lasst mich nicht hängen

Hi PowerPack :hallo:

Dann fangen wir eben nochmals von vorne an:daumenhoc
Bitte lass als erstes Malwarebytes laufen, lass alles löschen und poste das Logfile:daumenhoc
Bitte erstelle mit RunScanner ein Log und poste es:daumenhoc

So hier mal das Ergebnis von Malwarebytes

Rechner neu gestartet und Antivir spricht wieder auf

C:\Windows\system32\32202522361.CPX an ???

Malwarebytes' Anti-Malware 1.19
Datenbank Version: 912
Windows 5.1.2600 Service Pack 2

16:33:41 2008-07-12
mbam-log-7-12-2008 (16-33-41).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 84349
Scan Dauer: 7 minute(s), 42 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\322025223621.CPX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\322025223612.CPX (Trojan.Agent) -> Quarantined and deleted successfully.

So und hier mal noch das Logfile von Runscanner

Runscanner logfile http://www.runscanner.net

* = signed file
- = file not found

000 General info
----------------
Computer name : ACER-3E334666C0
Creation time : 2008-07-12 17:07:01
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 6.0.2900.2180
OS : Microsoft Windows XP
OS Build : 2600
OS SP : Service Pack 2
RunScanner Version : 1.6.3.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\WINDOWS

001 Running processes
---------------------
c:\programme\hp\digital imaging\bin\hpqgalry.exe (Hewlett-Packard Co.)
c:\programme\acer\acer econsole\mediaserverservice.exe (Acer Inc.)
c:\programme\antivir personaledition classic\avguard.exe (Avira GmbH)
c:\programme\antivir personaledition classic\sched.exe (Avira GmbH)
c:\programme\antivir personaledition classic\avgnt.exe (Avira GmbH)
* c:\windows\system32\services.exe (Microsoft Corporation)
* c:\windows\system32\alg.exe (Microsoft Corporation)
* c:\windows\system32\ati2evxx.exe (ATI Technologies Inc.)
* c:\windows\system32\ati2evxx.exe (ATI Technologies Inc.)
* c:\windows\system32\csrss.exe (Microsoft Corporation)
* c:\windows\system32\ctfmon.exe (Microsoft Corporation)
c:\programme\mozilla firefox\firefox.exe (Mozilla Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
c:\programme\hp\digital imaging\bin\hpqtra08.exe (Hewlett-Packard Co.)
c:\programme\hp\hp software update\hpwuschd2.exe (Hewlett-Packard Company)
* c:\programme\ipod\bin\ipodservice.exe (Apple Computer, Inc.)
* c:\programme\itunes\ituneshelper.exe (Apple Computer, Inc.)
c:\programme\java\jre1.5.0_05\bin\jusched.exe (Sun Microsystems, Inc.)
c:\programme\java\jre1.5.0_05\bin\jucheck.exe (Sun Microsystems, Inc.)
* c:\windows\system32\lsass.exe (Microsoft Corporation)
c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe (Microsoft Corporation)
c:\programme\acer\acer econsole\mediasync.exe (Acer Inc.)
c:\acer\empowering technology\erecovery\monitor.exe (acer Inc.)
c:\programme\cyberlink\powerdvd\pdvdserv.exe (Cyberlink Corp.)
c:\programme\quicktime\qttask.exe (Apple Computer, Inc.)
* c:\windows\soundman.exe (Realtek Semiconductor Corp.)
* c:\dokume~1\privat\lokale~1\temp\temporäres verzeichnis 1 für runscanner.zip\runscanner.exe (Runscanner.net)
* c:\windows\system32\spoolsv.exe (Microsoft Corporation)
c:\programme\acer\acer emode management\aspireservice.exe (Acer Inc.)
c:\programme\winamp\winampa.exe
* c:\windows\explorer.exe (Microsoft Corporation)
* c:\windows\system32\winlogon.exe (Microsoft Corporation)
* c:\windows\system32\smss.exe (Microsoft Corporation)
* c:\windows\system32\wuauclt.exe (Microsoft Corporation)
* c:\windows\system32\msiexec.exe (Microsoft Corporation)
c:\programme\zyxel technology corporation\zyair g-220 utility\zdwlan.exe

002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
c:\programme\acer\acer emode management\aspireservice.exe (Acer Inc.)
c:\programme\antivir personaledition classic\avgnt.exe (Avira GmbH)
c:\acer\empowering technology\erecovery\monitor.exe (acer Inc.)
c:\programme\hp\hp software update\hpwuschd2.exe (Hewlett-Packard Company)
C:\WINDOWS\alaunch.exe (Acer Inc.)
c:\programme\acer\acer econsole\mediasync.exe (Acer Inc.)
c:\programme\newtech infosystems\nti cd & dvd-maker 7\ntimui.exe
c:\programme\quicktime\qttask.exe (Apple Computer, Inc.)
c:\programme\cyberlink\powerdvd\pdvdserv.exe (Cyberlink Corp.)
c:\programme\java\jre1.5.0_05\bin\jusched.exe (Sun Microsystems, Inc.)
c:\programme\winamp\winampa.exe

005 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
--------------------------------------------------------------------------
c:\progra~1\adobe\acroba~1.0\reader\reader~1.exe (Adobe Systems Incorporated)
c:\progra~1\hp\digita~1\bin\hpqtra08.exe (Hewlett-Packard Co.)
c:\progra~1\hp\digita~1\bin\hpqthb08.exe (Hewlett-Packard Co.)
c:\progra~1\zyxelt~1\zyairg~1\zdwlan.exe

010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
-----------------------------------------------------
c:\programme\acer\acer econsole\mediaserverservice.exe (Acer Media Server)
c:\programme\antivir personaledition classic\avguard.exe (AntiVir PersonalEdition Classic Guard)
c:\programme\antivir personaledition classic\sched.exe (AntiVir PersonalEdition Classic Planer)
C:\WINDOWS\microsoft.net\framework\v1.1.4322\aspnet_state.exe (ASP.NET-Statusdienst)
- c:\programme\gemeinsame dateien\avm\de_serv.exe (AVM FRITZ!web Routing Service)
c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe (Machine Debug Manager)
c:\windows\system32\hpzipm12.exe (Pml Driver HPZ12)

011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
----------------------------------------------------
c:\windows\system32\drivers\acedrv06.sys (ACEDRV06)
* c:\programme\antivir personaledition classic\avgio.sys (avgio)
* c:\programme\antivir personaledition classic\avgntflt.sys (avgntflt)
- c:\windows\system32\drivers\changer.sys (Changer)
- c:\windows\system32\drivers\i2omgmt.sys (i2omgmt)
c:\acer\empowering technology\erecovery\int15.sys (int15.sys)
- c:\windows\system32\drivers\lbrtfdc.sys (lbrtfdc)
- c:\windows\system32\drivers\pcidump.sys (PCIDump)
- c:\windows\system32\drivers\pdcomp.sys (PDCOMP)
- c:\windows\system32\drivers\pdframe.sys (PDFRAME)
- c:\windows\system32\drivers\pdreli.sys (PDRELI)
- c:\windows\system32\drivers\pdrframe.sys (PDRFRAME)
C:\WINDOWS\system32\drivers\afc.sys (PPdus ASPI Shell)
C:\WINDOWS\system32\drivers\pxhelp20.sys (PxHelp20)
c:\windows\system32\drivers\sshdrv86.sys (SSHDRV86)
c:\windows\system32\drivers\ubhelper.sys (UBHelper)
C:\WINDOWS\system32\drivers\ntidrvr.sys (Upper Class Filter Driver)
- c:\windows\system32\drivers\wdica.sys (WDICA)
c:\windows\system32\zdpndis5.sys (ZDPNDIS5 NDIS Protocol Driver)

030 HKLM\SOFTWARE\Classes\PROTOCOLS\Filter
------------------------------------------
c:\windows\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
c:\windows\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
c:\windows\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}

031 HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
-------------------------------------------
c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}
c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}
c:\programme\gemeinsame dateien\microsoft shared\web folders\pkmcdo.dll (Microsoft Corporation) {CD00020A-8B95-11D1-82DB-00C04FB1625D}
c:\programme\gemeinsame dateien\microsoft shared\information retrieval\msitss.dll (Microsoft Corporation) {0A9007C0-4076-11D3-8789-0000F8105754}
c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (Microsoft Corporation) {E1D2BF40-A96B-11d1-9C6B-0000F875AC61}

035 HKLM-HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
------------------------------------------------------------------
c:\windows\system32\mscories.dll (Microsoft Corporation) {89B4C1CD-B018-4511-B0A1-5476DBF70820}

042 HKLM\Software\Microsoft\Internet Explorer\Extensions
--------------------------------------------------------
- c:\programme\partygaming\partypoker\runapp.exe {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}

043 HKCU\Software\Microsoft\Internet Explorer\Extensions
--------------------------------------------------------
c:\programme\xp-antispy\sponsoring\sponsor.html {0e921e80-267a-42aa-aee4-60b9a1222a44}

047 Trusted zones
-----------------
Zone: fritz.box : *.fritz.box

061 HKLM-HCKU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
---------------------------------------------------------------------------------
- deskpan.dll {42071714-76d4-11d1-8b24-00a0c9068ff3}
c:\windows\system32\mscoree.dll (Microsoft Corporation) {1D2680C9-0E2A-469d-B787-065558BC7D43}
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\progra~1\gemein~1\micros~1\webfol~1\msonsext.dll (Microsoft Corporation) {BDEADF00-C265-11D0-BCED-00A0C90AB50F}

062 HKLM-HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
------------------------------------------------------------
c:\programme\adobe\acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}

073 %windir%\Tasks
------------------
HPpromotions journeysoftware.job : c:\programme\hp\digital imaging\bin\hp promotions\journeysoftware\hppromo.exe (hp)

104 HKLM\Software\Microsoft\Code Store Database\Distribution Units
------------------------------------------------------------------
c:\windows\opuc.dll (Microsoft Corporation) {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE}
c:\programme\java\jre1.5.0_05\bin\npjpi150_05.dll (Sun Microsystems, Inc.) {8AD9C840-044E-11D1-B3E9-00805F499D93}
c:\programme\java\jre1.5.0_05\bin\npjpi150_05.dll (Sun Microsystems, Inc.) {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA}

105 HKCU\Software\Microsoft\Internet Explorer\MenuExt
-----------------------------------------------------
Nach Microsoft &Excel exportieren : res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

147 HKLM\System\CurrentControlSet\Control\SecurityProviders\SecurityProviders
-----------------------------------------------------------------------------
- ntoskrnl.dll

173 HKCR\*\shellex\ContextMenuHandlers
--------------------------------------
GUID / CLSID not found
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

221 HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
-------------------------------------------------------
GUID / CLSID not found
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

223 HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
--------------------------------------------------------------------------
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}

225 HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
------------------------------------------------------------
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

227 HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
---------------------------------------------------------------
GUID / CLSID not found

231 HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
-------------------------------------------------------
c:\programme\adobe\acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) PDF Column Info

Zitat:

Zitat von Powerpack (Beitrag 353442)

Rechner neu gestartet und Antivir spricht wieder auf
C:\Windows\system32\32202522361.CPX an ???

Was heisst hier wieder??
Bitte hol dir das Tool The Avenger (Signatur)
Lade es auf den Desktop und starte es. Nun gibst du im weissen Feld folgenden Text ein:

Zitat:

files to delete:
C:\Windows\system32\32202522361.CPX

Drückst execute und lässt dann wenn du gefragt wirst unverzüglich Neustarten und postest den Inhalt der C:\Avenger text Datei:daumenhoc

Hallo Trojan Death,

das funktioniert irgendwie nicht so wie gedacht.

The Avenger gibt als Antwort immer:

Error: Invalid Script. A velid Script musst begin with a command directive.

Aborting Execution

Keine Ahnung was der von mir will.

Langsam krieg ich echt zuviel davon.
Die Dateien finde ich komischerweise auch nicht mehr im Explorer, trotzdem geht das geheule von Antivir weiter.

Vorallem was ist das hier? Das meldet mir Malwarebytes im Logfile

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2

Zitat:

Zitat von Powerpack (Beitrag 355168)

Hast du mein Textfeld mit copy/paste eingefügt?? Versuchs nochmal:daumenhoc
Die Fehlermeldung meint mein eingegebenes Script sei falsch, was auf keinen Fall so ist:daumenhoc

Zitat:

Zitat von Powerpack (Beitrag 355168)

Die Dateien finde ich komischerweise auch nicht mehr im Explorer, trotzdem geht das geheule von Antivir weiter.

Welche Dateien findest du nicht?
Welches geheule? Was bringt er für eine Meldung?
Ist es wieder diese hier?:

Zitat:

C:\Windows\system32\32202522361.CPX

Zitat:

Zitat von Powerpack (Beitrag 355168)

Vorallem was ist das hier? Das meldet mir Malwarebytes im Logfile
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2

Was meinst du damit?
Das ist/war ein infizierter Registrierungswert.

Wenn das mit The Avenger wirklich nicht funzt, dann hol dir KillBox und löscht die Datei damit:aplaus: Dass ganze "on reboot" wie in der Anleitung beschrieben.

Nun holst du dir auf jeden Fall das Tool SmitfraudFix, machst genau die Anleitung durch (ich würde sie ausdrucken:daumenhoc) und postest dann den Inhalt der C:\rapport.txt Datei:daumenhoc Beachte dabei das du Wächter und Firewall abschalten solltest da das Programm oftmals als Malware eingestuft wird.