Trojaner-Board - MicroAV Wie bekomm ich das weg?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - MicroAV Wie bekomm ich das weg? (https://www.trojaner-board.de/60229-microav-bekomm-weg.html)

MicroAV Wie bekomm ich das weg?

Hallo Community, ich hoffe ihr könnt mir helfen. Ich hab hier schon einen Thread dazu gefunden, allerdings erschien mir die Problematik dort nicht ganz auf mich zuzutreffen.

ich hab mir diesen MicroAV eingefangen, was ich zunächst gar nicht gemerkt hatte, weil es so sehr nach windows aussieht :(

Ich habe nun ein schickes BioHazard zeichen als versteckten Link als Desktophintergrund, verschiedene Verknüpfungen zu pseudo-Virenschutz-Seiten, kann unter dem Hauptprofil den Taskmanager nicht starten ("Dienst wurde von Administrator unterbunden" oder so ähnlich) und verzweifele grad.
Hab nun erst mal das Profil gewechselt, damit ich überhaupt irgendwas machen kann. Im Browser springen ständig die Seiten rum... ach. *heul*

Habe Spybot drüber laufen lassen, einige verfolgende Cookies und Registryeinträge konnten behoben werden, allerdins nicht alle.

Hier ein Hijackthis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:47, on 19.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\pdf24\PDFBackend.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Opera\Opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php...MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://mediasportal--2008.com/phandl...=0&aid=0&pid=2
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: QXK Olive - {8B93A89B-7332-4B4B-830C-72EB6323D0DB} - C:\WINDOWS\vmgspntbvlw.dll
O3 - Toolbar: fqbewlna - {32678B97-2C98-4D22-A8F6-55C35572E946} - C:\WINDOWS\fqbewlna.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [\YUR153.exe] C:\Windows\system32\YUR153.exe
O4 - HKLM\..\Run: [\YUR157.exe] C:\Windows\system32\YUR157.exe
O4 - HKLM\..\Run: [\YUR159.exe] C:\Windows\system32\YUR159.exe
O4 - HKLM\..\Run: [\YUR15A.exe] C:\Windows\system32\YUR15A.exe
O4 - HKLM\..\Run: [ANTIVIRUS] C:\Programme\MicroAV\MicroAV.exe
O4 - HKLM\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe
O4 - HKLM\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe
O4 - HKLM\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe
O4 - HKLM\..\Run: [\YUR4.exe] C:\Windows\system32\YUR4.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [SpybotDeletingA6354] command /c del "C:\Programme\PCHealthCenter\0.gif"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2978] cmd /c del "C:\Programme\PCHealthCenter\0.gif"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9649] command /c del "C:\Programme\PCHealthCenter\1.gif"
O4 - HKLM\..\RunOnce: [SpybotDeletingC824] cmd /c del "C:\Programme\PCHealthCenter\1.gif"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1375] command /c del "C:\Programme\PCHealthCenter\1.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingC568] cmd /c del "C:\Programme\PCHealthCenter\1.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2351] command /c del "C:\Programme\PCHealthCenter\2.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7277] cmd /c del "C:\Programme\PCHealthCenter\2.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4140] command /c del "C:\Programme\PCHealthCenter\2.gif"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1224] cmd /c del "C:\Programme\PCHealthCenter\2.gif"
O4 - HKLM\..\RunOnce: [SpybotDeletingA840] command /c del "C:\Programme\PCHealthCenter\2.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6575] cmd /c del "C:\Programme\PCHealthCenter\2.ico"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3161] command /c del "C:\Programme\PCHealthCenter\3.gif"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7521] cmd /c del "C:\Programme\PCHealthCenter\3.gif"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6487] command /c del "C:\Programme\PCHealthCenter\0.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7711] cmd /c del "C:\Programme\PCHealthCenter\0.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7621] command /c del "C:\Programme\PCHealthCenter\1.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2482] cmd /c del "C:\Programme\PCHealthCenter\1.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9563] command /c del "C:\Programme\PCHealthCenter\3.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6834] cmd /c del "C:\Programme\PCHealthCenter\3.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6201] command /c del "C:\Programme\PCHealthCenter\4.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1370] cmd /c del "C:\Programme\PCHealthCenter\4.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6268] command /c del "C:\WINDOWS\system32\tdssadw.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6390] cmd /c del "C:\WINDOWS\system32\tdssadw.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5682] command /c del "C:\WINDOWS\system32\tdssl.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7495] cmd /c del "C:\WINDOWS\system32\tdssl.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2332] command /c del "C:\WINDOWS\system32\tdsslog.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3077] cmd /c del "C:\WINDOWS\system32\tdsslog.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4598] command /c del "C:\WINDOWS\system32\tdssmain.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8959] cmd /c del "C:\WINDOWS\system32\tdssmain.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9552] command /c del "C:\WINDOWS\system32\tdssserf.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4271] cmd /c del "C:\WINDOWS\system32\tdssserf.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6055] command /c del "C:\WINDOWS\dtseqrxk.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3222] cmd /c del "C:\WINDOWS\dtseqrxk.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1706] command /c del "C:\WINDOWS\mgxfebsq.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8179] cmd /c del "C:\WINDOWS\mgxfebsq.dll_old"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ANTIVIRUS] C:\Programme\MicroAV\MicroAV.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB7682] command /c del "C:\Programme\PCHealthCenter\0.gif"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1700] cmd /c del "C:\Programme\PCHealthCenter\0.gif"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8583] command /c del "C:\Programme\PCHealthCenter\1.gif"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3699] cmd /c del "C:\Programme\PCHealthCenter\1.gif"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9951] command /c del "C:\Programme\PCHealthCenter\1.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingD516] cmd /c del "C:\Programme\PCHealthCenter\1.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7710] command /c del "C:\Programme\PCHealthCenter\2.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3785] cmd /c del "C:\Programme\PCHealthCenter\2.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6676] command /c del "C:\Programme\PCHealthCenter\2.gif"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6619] cmd /c del "C:\Programme\PCHealthCenter\2.gif"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1126] command /c del "C:\Programme\PCHealthCenter\2.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingD521] cmd /c del "C:\Programme\PCHealthCenter\2.ico"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9114] command /c del "C:\Programme\PCHealthCenter\3.gif"
O4 - HKCU\..\RunOnce: [SpybotDeletingD779] cmd /c del "C:\Programme\PCHealthCenter\3.gif"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3230] command /c del "C:\Programme\PCHealthCenter\0.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8148] cmd /c del "C:\Programme\PCHealthCenter\0.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4533] command /c del "C:\Programme\PCHealthCenter\1.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3771] cmd /c del "C:\Programme\PCHealthCenter\1.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8352] command /c del "C:\Programme\PCHealthCenter\3.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7974] cmd /c del "C:\Programme\PCHealthCenter\3.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6323] command /c del "C:\Programme\PCHealthCenter\4.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD366] cmd /c del "C:\Programme\PCHealthCenter\4.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5394] command /c del "C:\WINDOWS\system32\tdssadw.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3792] cmd /c del "C:\WINDOWS\system32\tdssadw.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3817] command /c del "C:\WINDOWS\system32\tdssl.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5326] cmd /c del "C:\WINDOWS\system32\tdssl.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2086] command /c del "C:\WINDOWS\system32\tdsslog.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD80] cmd /c del "C:\WINDOWS\system32\tdsslog.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3963] command /c del "C:\WINDOWS\system32\tdssmain.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8350] cmd /c del "C:\WINDOWS\system32\tdssmain.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB397] command /c del "C:\WINDOWS\system32\tdssserf.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4700] cmd /c del "C:\WINDOWS\system32\tdssserf.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8926] command /c del "C:\WINDOWS\dtseqrxk.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7181] cmd /c del "C:\WINDOWS\dtseqrxk.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB810] command /c del "C:\WINDOWS\mgxfebsq.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6607] cmd /c del "C:\WINDOWS\mgxfebsq.dll_old"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://gamenextde.oberon-media.com/G...onGameHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{558EA432-A849-4D7E-B2D4-95D65E81C342}: NameServer = 192.168.100.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{558EA432-A849-4D7E-B2D4-95D65E81C342}: NameServer = 192.168.100.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{558EA432-A849-4D7E-B2D4-95D65E81C342}: NameServer = 192.168.100.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: mgxfebsq - {EC075CF8-E7E2-4F82-9855-47286C7F172A} - C:\WINDOWS\mgxfebsq.dll (file missing)
O21 - SSODL: dtseqrxk - {F90DE08D-16E4-4759-B1F3-8F646CB69407} - C:\WINDOWS\dtseqrxk.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 12921 bytes

ich würd mich sehr über Hilfe freuen. Wenns geht eine halbe DAU Anleitung, ich komm zwar klar mit PCs, aber wenns um Registry und sonstiges geht, versteh ich nur Bahnhof.

Bei Bedarf kann ich auch noch einen Screenshot vom aktuellen Spybot Suchlauf anhängen (also, der zweite dann sozusagen).

moah, heul piens, das is doch echt moah!

EDIT: lasse grad noch Malwarebytes drüberlaufen, stelle dann - falls es einen log gibt - diesen hier rein.

Hier der Malwarebytes Log nachm Neustart und dem button zum Entfernen:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1172
Windows 5.1.2600 Service Pack 2

19.09.2008 13:30:46
mbam-log-2008-09-19 (13-30-46).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 89333
Laufzeit: 21 minute(s), 40 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 10
Infizierte Dateiobjekte der Registrierung: 8
Infizierte Verzeichnisse: 3
Infizierte Dateien: 19

Infizierte Speicherprozesse:
C:\Programme\MicroAV\MicroAV.exe (Rogue.MicroAntivirus) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{cb367c75-6190-4ce0-a255-7c1199f0358e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2f9b1a90-1e69-41eb-ad33-6202aad9a554} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{3a412635-30fd-42d0-a704-c9493be88b9c} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\fqbewlna.bemv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\fqbewlna.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MicroAV (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antivirus (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antivirus (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur153.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur157.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur159.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur15a.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur3.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\yur4.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\privacy_danger (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\privacy_danger\images (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\MicroAV (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004430.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004425.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004426.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004428.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004431.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004432.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004433.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004438.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6EC4655D-E21C-4DAE-B19D-9CDF9D3BE14F}\RP60\A0004442.sys (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\MicroAV\MicroAV.cpl (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.
C:\Programme\MicroAV\MicroAV.exe (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.
C:\Programme\MicroAV\MicroAV.ooo (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.
C:\Programme\MicroAV\MicroAV0.dat (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.
C:\Programme\MicroAV\MicroAV1.dat (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\mqgldfvo.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\vmgspntbvlw.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\MicroAV.cpl (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***user***\Desktop\QUALITY PORN.url (Rogue.Link) -> Quarantined and deleted successfully.

Hi,
mach bitte mal das:

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Dankeschön für deine Hilfe. Habe CCleaner und Combofix laut Anleitung durchlaufen lassen, mit folgendem Ergebnis:

ComboFix 08-09-16.05 - **user** 2008-09-19 14:13:56.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1522 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\**user**\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\eflx.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-19 bis 2008-09-19 ))))))))))))))))))))))))))))))
.

2008-09-19 14:08 . 2008-09-19 14:08 <DIR> d-------- C:\Programme\CCleaner
2008-09-19 13:11 . 2008-09-19 13:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-19 13:10 . 2008-09-19 13:10 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-09-19 13:10 . 2008-09-19 13:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-19 13:10 . 2008-09-19 13:10 <DIR> d-------- C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-19 12:00 . 2008-09-19 12:01 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-19 12:00 . 2008-09-19 12:00 <DIR> d-------- C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\Malwarebytes
2008-09-19 12:00 . 2008-09-19 12:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-19 12:00 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-19 12:00 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-19 11:36 . 2008-09-19 11:36 <DIR> d-------- C:\Programme\Trend Micro
2008-09-19 11:33 . 2008-09-19 11:34 1,002 --a------ C:\WINDOWS\wininit.ini
2008-09-19 11:14 . 2008-09-19 11:14 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-09-19 11:08 . 2008-09-19 11:08 <DIR> d-------- C:\Programme\Avira
2008-09-19 11:08 . 2008-09-19 11:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-19 11:02 . 2008-09-19 11:03 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-09-19 11:02 . 2008-09-19 14:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-19 10:56 . 2008-09-19 10:56 <DIR> d-------- C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\TmpRecentIcons
2008-09-19 10:45 . 2008-09-19 10:45 <DIR> d-------- C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\TmpRecentIcons
2008-09-19 09:58 . 2008-09-19 10:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy2
2008-09-18 11:02 . 2008-09-18 11:02 <DIR> d-------- C:\Programme\uTorrent
2008-09-18 11:01 . 2008-09-19 10:42 <DIR> d-------- C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\uTorrent
2008-09-11 13:51 . 2008-09-11 13:51 <DIR> d-------- C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\Apple Computer
2008-09-11 13:42 . 2008-09-11 13:43 <DIR> d-------- C:\Programme\QuickTime
2008-09-11 13:42 . 2008-09-11 13:42 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-09-11 13:42 . 2008-09-11 13:42 <DIR> d-------- C:\Programme\Apple Software Update
2008-09-11 13:42 . 2008-09-11 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-09-11 13:42 . 2008-09-11 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-09-04 10:40 . 2008-09-04 10:41 <DIR> d-------- C:\Programme\pdf24
2008-08-27 12:01 . 2008-08-27 12:01 <DIR> d-------- C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\IrfanView
2008-08-22 15:20 . 2008-08-22 15:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FireGlow

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-19 08:52 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-19 08:50 --------- d-----w C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\Skype
2008-09-19 07:58 --------- d-----w C:\Programme\GamesBar
2008-09-19 07:57 --------- d-----w C:\Programme\Gamenext
2008-09-19 07:41 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-09-19 07:39 --------- d-----w C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\skypePM
2008-09-18 09:16 --------- d-----w C:\Programme\Mozilla Sunbird
2008-07-29 07:37 --------- d-----w C:\Dokumente und Einstellungen\**user**\Anwendungsdaten\WEB.DE
2008-07-29 07:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEB.DE
2008-07-09 09:09 0 ----a-w C:\Programme\temp01
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"PDFPrint"="C:\Programme\pdf24\PDFBackend.exe" [2008-01-31 134144]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-19 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SSODL-mgxfebsq-{EC075CF8-E7E2-4F82-9855-47286C7F172A} - (no file)
SSODL-dtseqrxk-{F90DE08D-16E4-4759-B1F3-8F646CB69407} - (no file)

.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = about:blank
R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://mediasportal--2008.com/phandler.php?sid=0&pn=&said=0&aid=0&pid=2
O17 -: HKLM\CCS\Interface\{558EA432-A849-4D7E-B2D4-95D65E81C342}: NameServer = 192.168.100.1

O16 -: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game03.zylom.com/activex/zylomgamesplayer.cab
C:\WINDOWS\Downloaded Program Files\ZylomGamesPlayer.inf
C:\WINDOWS\Downloaded Program Files\zylomgamesplayer.dll

O16 -: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} - hxxp://gamenextde.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
C:\WINDOWS\Downloaded Program Files\OberonGameHost_dbg.inf
C:\WINDOWS\Downloaded Program Files\OberonGameHost.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-19 14:15:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-19 14:15:29
ComboFix-quarantined-files.txt 2008-09-19 12:15:27

Vor Suchlauf: 6 Verzeichnis(se), 201,502,883,840 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 201,827,348,480 Bytes frei

122 --- E O F --- 2008-09-19 09:14:15

Soll ich einen neuen Hijackthis Log posten, oder muss nun erst mal noch differential Diagnose betrieben werden? :)
(es ist schon viel viel besser geworden, normaler hintergrund, keine popups... <3 )

Sieht gut aus, bis auf Spybot eben. ;)
Noch Probleme mit dem Rechner?

Zitat:

Zitat von Silent sharK (Beitrag 375057)

Sieht gut aus, bis auf Spybot eben. ;)
Noch Probleme mit dem Rechner?

Was ist mit Spybot? habe bisher nur gute erfahrungen gemacht, aber ich hab ja auch keine Ahnung :heilig:

Nein, augenscheinlich momentan keine Probleme mehr :aplaus:

Oh ich bin so froh, ich bin so froh!! HURRA! :dankeschoen:

Spybot ist einfach nicht befriedigend in dem Sinne, was er eigentlich leisten sollte.
Der TeaTimer bereitet mehr Probleme, als er verhindern sollte.

Als Alternative würde ich SUPERAntiSpyware oder MalwareBytes empfehlen und damit gelegentliche Scans durchführen.

Ich muss den Thread noch mal hochholen, habe noch eine Frage. Hoffe das passt noch hier dazu.

Dieser MicroAV Virus scheint ja ziemliche Runden gemacht zu haben, ich sehe hier unglaublich viele Themen zu ihm. Weiß jemand genaueres wo er herkommt, oder hat sonst jemand mehr Informationen zu dem? Ich frage mich nur, ob alle Leute auf den gleichen Scheiß geklickt haben, oder gemacht haben oder sonst was, oder ob der sich einfach schon so massiv verbreitet haben kann. Ich bin so planlos, ich hoffe ihr wisst, was ich meine :rolleyes:

Ich finds beängstigend.

Man fängt sich das ein, indem man heiter auf alle blinkenden und kunterbunten Popups klickt. ;)