Trojaner-Board - Trojaner Tr/Crypt.FKm.Gen Wie kann man den entfernen?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner Tr/Crypt.FKm.Gen Wie kann man den entfernen? (https://www.trojaner-board.de/64491-trojaner-tr-crypt-fkm-gen-man-entfernen.html)

Trojaner Tr/Crypt.FKm.Gen Wie kann man den entfernen?

Hallo!
Ich hoffe sehr mir kann jemand helfen...!
Seit gestern Abend sagt mir Antivir das sich der Trojaner TR/Crypt.FKM.Gen auf meinem Rechner (Windows XP) befindet. Das selbe Fenster poppt mindestens 3 mal auf. Wenn ich auf löschen klicke tut sich gar nichts, geht nur bei in Qarantäne verschieben weg, ist aber beim nächsten hochfahren wieder da. Ich habe schon versucht was darüber nachzulesen bzw. rauszukriegen wie man den Trojaner wegkriegt, bin aber ein totaler Laie und habe Angst was falsch zu machen! Ich brauche echt Hilfe!
Außerdem hat der Desktop seit heute einen stark gelblichen Farbstich, keine Ahnung ob das was damit zu tun hat...? Hoffe mein Problem ist nicht ganz so groß wie es mir im Moment scheint!
Danke schonmal!

Hey,

hört sich stark nach Silentbanker an.
Führe mal bitte zwecks Analyse diese vier Tools aus:

1.)
IceSword

Hier gibt es das Tool => Klick
(Für Vista => Klick)

FileReg öffnet ein Kommandozeilenfenster, von dem aus man das Dateisystem und die Registry bearbeiten kann. Dazu gehört auch eine einfache Suchfunktion, die ähnlich wie Rootkit Revealer nach verstecken Dateien sucht . Damit lässt sich zum Beispiel Rustock-B (alias lzx32.sys) finden.

Kopiere den Text, der im Kommandozeilenfenster steht.
Gehe dazu wie folgt vor:

Oben rechts auf das "Schwert-Symbol" klicken => Edit => Select All => wieder auf das "Schwert-Symbol" klicken => Edit => Copy
Füge den Text bitte in Deine nächste Antwort mit ein:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

2.)
Blacklight scannen lassen

Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
Klick "I accept the agreement", "next", "Scan".
Wenn der Scan fertig ist beende Blacklight mit "Close".
Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

3.)
Random's System Information Tool

Lade dir die RSIT.exe von random/random herunter und speichere sie auf den Desktop.
Starte RSIT mit einem Doppelklick.
Klicke auf Continue um die Nutzungsbedingungen zu akzeptieren.
Nach dem Scan werden zwei Logfiles erstellt (log.txt und info.txt)
Poste den Inhalt der beiden Logfiles in [code]-Tags:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

4.)
BankerFix (by ***aDefensiva)

Lade Dir bankerfix.exe von hier und speichere es auf den Desktop ab.
(Die Website wird mögl. als attackierend gemeldet. Diese Meldung bitte ignorieren.)
Starte BankerFix mit einem Doppelklick.
Das Programm benötigt das Internet, es wird dich ggf. fragen, ob es eine Verbindung aufbauen darf. Beantworte dies mit Yes / Ok.
Es öffnet sich ein DOS Fenster, um fortzufahren, klicke eine beliebige Taste.
Wenn der Suchlauf beendet ist, wird ein Report-Log gespeichert.
Den findest du hier => C:\***aDefensiva\relatorio.txt
Poste bitte den kompletten Inhalt des Logs, bitte in [code]-Tags umschlossen:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

mfg

Vielen Dank für die Hilfe, aber ich kann schon den ersten Schritt nicht ausführen. Wenn ich auf öffnen klicke öffnet sich eine Word Datei mit lauter Seitenwechseln und Symbolen. Ich komme mir wirklich voll dämlich vor...

Lade dir das ZIP-Archiv auf den Desktop => entpacke es => Geh in den erstellten Ordner => Doppelklick auf die .exe

Hab es doch hingekriegt.... Sorry, war wohl zu panisch!
IceSword FileReg plugin [version 1.20]

Find out 1 disk.
>

Ergebnis von Blacklight:
11/14/08 22:13:10 [Info]: BlackLight Engine 2.2.1092 initialized
11/14/08 22:13:10 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/14/08 22:13:10 [Note]: 7019 4
11/14/08 22:13:10 [Note]: 7005 0

und
11/14/08 22:05:05 [Info]: BlackLight Engine 2.2.1092 initialized
11/14/08 22:05:05 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/14/08 22:05:06 [Note]: 7019 4
11/14/08 22:05:06 [Note]: 7005 0
11/14/08 22:05:17 [Note]: 7006 0
11/14/08 22:05:18 [Note]: 7011 1596
11/14/08 22:05:18 [Note]: 7035 0
11/14/08 22:05:18 [Note]: 7026 0
11/14/08 22:05:18 [Note]: 7026 0
11/14/08 22:05:32 [Note]: FSRAW library version 1.7.1024
11/14/08 22:12:55 [Note]: 7007 0

Code:

info.txt logfile of random's system information tool 1.04 2008-11-14 22:16:09
 

======Uninstall list======
 

-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2638924D-DC58-4C40-BB1C-48C2B24B7B1B}\Setup.exe" -L0x7

-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{52739387-B81C-4C55-9593-EB7A1044A657}\Setup.exe" -L0x7

-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{22EB2FA7-1BA0-4FFB-972F-353EC6ABA9D5}\setup.exe" -l0x7  -removeonly

-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{28B97CAB-828F-49D8-A30A-675476F9BA92}\setup.exe" -l0x7 /cont -removeonly

-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4E7DC12A-3597-4A94-9429-F6C6987361B1}\setup.exe" -l0x7  -removeonly

-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6813C983-427E-4511-8456-E98FCAA1A125}\setup.exe" -l0x7  -removeonly

-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7DADB304-AF20-48C3-A780-4B4133A08817}\setup.exe" -l0x7  -removeonly

-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9C423CF6-2DAA-4A37-94B8-59D7ECC7DB13}\setup.exe" -l0x7  -removeonly

-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{ACE66099-E18E-4037-83C8-9D182E5B9FA8}\setup.exe" -l0x7  -removeonly

-->RunDll32

Code:

Logfile of random's system information tool 1.04 (written by random/random)

Run by *** at 2008-11-14 22:15:43

Microsoft Windows XP Home Edition Service Pack 3

System drive C: has 10 GB (27%) free of 38 GB

Total RAM: 255 MB (25% free)
 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:16:05, on 14.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal
 

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\windows\system32\nvsvc32.exe

C:\windows\System32\svchost.exe

C:\windows\Explorer.EXE

C:\windows\SOUNDMAN.EXE

C:\Programme\ahead\InCD\InCD.exe

C:\windows\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\windows\system32\NOTEPAD.EXE

C:\windows\system32\NOTEPAD.EXE

C:\windows\system32\NOTEPAD.EXE

C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe

C:\Programme\trend micro\***.exe
 

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [dmuxo.exe] C:\WINDOWS\system32\dmuxo.exe

O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU\..\Run: [Packard Bell Software Suite] C:\Programme\Packard Bell\Packard Bell Software Suite\Launcher.exe /run

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Secunia PSI (RC4).lnk = C:\Programme\Secunia\PSI (RC4)\psi.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.81\AMVConverter\grab.html

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 3.81\MediaManager\grab.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220348645687

O17 - HKLM\System\CCS\Services\Tcpip\..\{28956E88-B482-4AA8-B6E2-D707D190A7AB}: NameServer = 85.255.113.91 85.255.112.238

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.238

O17 - HKLM\System\CS1\Services\Tcpip\..\{28956E88-B482-4AA8-B6E2-D707D190A7AB}: NameServer = 85.255.113.91 85.255.112.238

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.238

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.238

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe

O23 - Service: Packard Bell Software Suite Service 1 (Service1) - Unknown owner - C:\Programme\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe (file missing)
 

--

End of file - 5396 bytes
 

======Registry dump======
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll []
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08BEC6AA-49FC-4379-3587-4B21E286C19E}]

SearchToolbar
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{08BEC6AA-49FC-4379-3587-4B21E286C19E} -  []
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"=C:\windows\SOUNDMAN.EXE [2002-06-18 46592]

"NvCplDaemon"=NvQTwk []

"nwiz"=nwiz.exe /install []

"NeroCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

"InCD"=C:\Programme\ahead\InCD\InCD.exe [2002-04-19 1003520]

"UserFaultCheck"=C:\windows\system32\dumprep 0 -u []

"AVGCtrl"=C:\Programme\AVPersonal\AVGNT.EXE /min []

"dmuxo.exe"=C:\WINDOWS\system32\dmuxo.exe []

"CanonMyPrinter"=C:\Programme\Canon\MyPrinter\BJMyPrt.exe [2007-09-13 1603152]
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=C:\windows\system32\ctfmon.exe [2008-04-14 15360]

"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]

"desktop"=C:\WINDOWS\system32\idemlog.exe []

"updateMgr"=C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [2006-03-30 313472]

"Packard Bell Software Suite"=C:\Programme\Packard Bell\Packard Bell Software Suite\Launcher.exe /run []
 

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
 

C:\Dokumente und Einstellungen\Anne\Startmenü\Programme\Autostart

Secunia PSI (RC4).lnk - C:\Programme\Secunia\PSI (RC4)\psi.exe
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

C:\windows\system32\WgaLogon.dll [2007-02-15 236928]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2008-04-14 239616]

WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=0

"NoBandCustomize"=1
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

"C:\Programme\WinMX\WinMX.exe"="C:\Programme\WinMX\WinMX.exe:*:Enabled:WinMX Application"

"C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe"="C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:Enabled:BlueSoleil"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\Programme\Last.fm\LastFM.exe"="C:\Programme\Last.fm\LastFM.exe:*:Enabled:Last.fm"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5cd93978-3064-11dc-a351-001167308c09}]

shell\Auto\command - vwpzwidxu.exe

shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vwpzwidxu.exe
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8399008-5ee0-11dd-a7ca-0020edb01b94}]

shell\AutoRun\command - F:\ClickMe.exe
 
 

======List of files/folders created in the last 1 months======
 

2008-11-14 22:15:46 ----D---- C:\Programme\trend micro

2008-11-14 22:15:43 ----D---- C:\rsit

2008-11-14 22:03:00 ----A---- C:\Programme\fsbl.exe

2008-11-14 11:07:04 ----D---- C:\Programme\Secunia

2008-11-14 10:59:33 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe

2008-11-14 10:46:40 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\WinRAR

2008-11-14 10:41:21 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Google

2008-11-14 10:37:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google

2008-11-14 10:37:10 ----D---- C:\Programme\Google

2008-11-02 14:00:07 ----A---- C:\windows\system32\1$.tmp

2008-11-02 12:16:32 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canon

2008-10-31 23:24:26 ----D---- C:\Programme\Packard Bell

2008-10-31 23:23:02 ----D---- C:\Programme\Packard Bell External HDD

2008-10-19 11:18:30 ----D---- C:\Programme\Gemeinsame Dateien\CANON

2008-10-19 11:15:42 ----HD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ

2008-10-19 11:15:12 ----A---- C:\windows\system32\CNMLM9I.DLL

2008-10-19 11:15:05 ----HD---- C:\windows\system32\CanonIJ Uninstaller Information

2008-10-19 11:14:52 ----A---- C:\windows\system32\CNC190O.DLL

2008-10-19 11:14:51 ----A---- C:\windows\system32\CNC190L.DLL

2008-10-19 11:14:51 ----A---- C:\windows\system32\CNC190I.DLL

2008-10-19 11:14:51 ----A---- C:\windows\system32\CNC190C.DLL

2008-10-19 11:14:35 ----HD---- C:\Programme\CanonBJ

2008-10-19 11:13:15 ----D---- C:\Programme\Canon

2008-10-19 11:10:10 ----HD---- C:\BJPrinter
 

======List of files/folders modified in the last 1 months======
 

2008-11-14 22:15:46 ----RD---- C:\Programme

2008-11-14 21:54:58 ----D---- C:\windows\system32\drivers

2008-11-14 20:21:16 ----D---- C:\Programme\Mozilla Firefox

2008-11-14 20:03:26 ----D---- C:\windows\Prefetch

2008-11-14 20:03:25 ----HD---- C:\windows\inf

2008-11-14 20:03:22 ----D---- C:\windows\system32

2008-11-14 20:02:58 ----SHD---- C:\windows\Installer

2008-11-14 20:01:25 ----D---- C:\windows\Temp

2008-11-14 19:59:03 ----D---- C:\windows\system32\CatRoot2

2008-11-14 17:17:02 ----A---- C:\windows\SchedLgU.Txt

2008-11-14 16:42:18 ----D---- C:\WINDOWS

2008-11-14 11:02:22 ----D---- C:\windows\system32\Macromed

2008-11-14 10:59:38 ----D---- C:\windows\WinSxS

2008-11-14 10:59:19 ----D---- C:\Programme\Gemeinsame Dateien\Adobe

2008-11-14 10:52:00 ----SD---- C:\windows\Downloaded Program Files

2008-11-14 10:45:41 ----D---- C:\Programme\WinRAR

2008-11-13 09:06:46 ----D---- C:\Programme\AntiVir PersonalEdition Classic

2008-11-12 21:26:01 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2008-11-02 12:13:39 ----D---- C:\windows\system32\Samsung_USB_Drivers

2008-11-01 14:22:26 ----RSHDC---- C:\windows\system32\dllcache

2008-11-01 14:17:34 ----HD---- C:\Programme\InstallShield Installation Information

2008-11-01 14:17:34 ----D---- C:\Programme\InterVideo

2008-10-26 02:03:45 ----AC---- C:\windows\system32\PerfStringBackup.INI

2008-10-19 11:21:18 ----D---- C:\windows\Media

2008-10-19 11:18:30 ----D---- C:\Programme\Gemeinsame Dateien

2008-10-19 11:15:04 ----D---- C:\windows\twain_32
 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys []

R1 Cdr4_xp;Cdr4_xp; C:\windows\system32\drivers\Cdr4_xp.sys [2006-08-28 2432]

R1 Cdralw2k;Cdralw2k; C:\windows\system32\drivers\Cdralw2k.sys [2006-08-28 2560]

R1 intelppm;Intel-Prozessortreiber; C:\windows\System32\DRIVERS\intelppm.sys [2008-04-14 40448]

R1 StarOpen;StarOpen; C:\windows\system32\drivers\StarOpen.sys [2006-07-24 5632]

R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\windows\System32\drivers\ws2ifsl.sys [2001-08-18 12032]

R2 BsUDF;InCD UDF Driver; C:\windows\system32\drivers\BsUDF.sys [2002-04-19 329728]

R3 actser;actser; C:\windows\system32\drivers\actser.sys [2005-09-12 29440]

R3 ALCXWDM;Service for Avance AC97 Audio (WDM); C:\windows\system32\drivers\ALCXWDM.SYS [2002-06-21 655596]

R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys []

R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\windows\system32\drivers\msmpu401.sys [2001-08-17 2944]

R3 nv;nv; C:\windows\System32\DRIVERS\nv4_mini.sys [2002-05-03 931882]

R3 rtl8139;Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver; C:\windows\system32\DRIVERS\R8139n51.SYS [2002-06-13 45568]

R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\windows\system32\DRIVERS\usbehci.sys [2008-04-13 30208]

R3 usbhub;Microsoft USB-Standardhubtreiber; C:\windows\System32\DRIVERS\usbhub.sys [2008-04-13 59520]

R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\windows\System32\DRIVERS\usbohci.sys [2008-04-13 17152]

S1 kbdhid;Tastatur-HID-Treiber; C:\windows\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]

S2 ZPMODEMSYSNTDRVNT;ZPMODEMSYSNTDRVNT; \??\C:\WINDOWS\system32\drivers\zpmodemnt.sys []

S3 BlueletAudio;Bluetooth Audio Service; C:\windows\system32\DRIVERS\blueletaudio.sys []

S3 BlueletSCOAudio;Bluetooth SCO Audio Service; C:\windows\system32\DRIVERS\BlueletSCOAudio.sys []

S3 BT;Bluetooth PAN Network Adapter; C:\windows\system32\DRIVERS\btnetdrv.sys []

S3 Btcsrusb;Bluetooth USB For Bluetooth Service; C:\windows\System32\Drivers\btcusb.sys []

S3 BTHidEnum;Bluetooth HID Enumerator; C:\windows\system32\DRIVERS\vbtenum.sys []

S3 CCDECODE;Untertiteldecoder; C:\windows\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]

S3 MIINPazX;MIINPazX NDIS Protocol Driver; \??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS []

S3 mouhid;Maus-HID-Treiber; C:\windows\System32\DRIVERS\mouhid.sys [2001-08-18 12288]

S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\windows\system32\drivers\MSTEE.sys [2008-04-13 5504]

S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\windows\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]

S3 NdisIP;Microsoft TV-/Videoverbindung; C:\windows\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]

S3 nm;Netzwerkmonitortreiber; C:\windows\system32\DRIVERS\NMnt.sys [2008-04-13 40320]

S3 OxUSBTIMOUT;OxUSBTIMOUT; C:\windows\system32\DRIVERS\OxUSBTIMOUT.sys [2007-06-07 34152]

S3 PSI;PSI; C:\windows\system32\DRIVERS\psi_mf.sys [2008-10-27 7808]

S3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\windows\System32\Drivers\RootMdm.sys [2001-08-18 5888]

S3 SLIP;BDA Slip De-Framer; C:\windows\system32\DRIVERS\SLIP.sys [2008-04-13 11136]

S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\windows\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]

S3 streamip;BDA-IPSink; C:\windows\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]

S3 T5100_usb;LGE USB driver; C:\windows\System32\Drivers\T5100.sys [2004-10-20 29568]

S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\windows\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]

S3 usbprint;Microsoft USB-Druckerklasse; C:\windows\system32\DRIVERS\usbprint.sys [2008-04-13 25856]

S3 usbscan;USB-Scannertreiber; C:\windows\system32\DRIVERS\usbscan.sys [2008-04-13 15104]

S3 USBSTOR;USB-Massenspeichertreiber; C:\windows\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

S3 VComm;Virtual Serial port driver; C:\windows\system32\DRIVERS\VComm.sys []

S3 VcommMgr;Bluetooth VComm Manager Service; C:\windows\System32\Drivers\VcommMgr.sys []

S3 VHidMinidrv;Bluetooth HID Device Service; C:\windows\system32\drivers\VHIDMini.sys []

S3 vsbus;Virtual Serial Bus Enumerator; C:\windows\system32\DRIVERS\vsb.sys [2005-09-12 15264]

S3 vserial;ELTIMA Virtual Serial Ports Driver; C:\windows\System32\DRIVERS\vserial.sys [2005-09-12 47744]

S3 WSTCODEC;World Standard Teletext-Codec; C:\windows\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]

S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\windows\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]

S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\windows\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

S4 IntelIde;IntelIde; C:\windows\system32\drivers\IntelIde.sys []
 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-10-23 68865]

R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-10-23 151297]

R2 NVSvc;NVIDIA Driver Helper Service; C:\windows\system32\nvsvc32.exe [2002-05-03 61440]

S2 Service1;Packard Bell Software Suite Service 1; C:\Programme\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe []

S3 aspnet_state;ASP.NET State Service; C:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]

S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]

S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\windows\system32\svchost.exe [2008-04-14 14336]
 

-----------------EOF-----------------

Code:

BankerFix 3.0 VALKYRIE - Banker Trojan Remover

***a Defensiva | http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

-------------------------------------------------------

Date: 2008-11-14 - 22:31

-------------------------------------------------------

Version: 2008-10-08-1 | CORE: 2008-09-30-2

=======================================================
 

Infected file detected: C:\WINDOWS\system32\process.exe

Infected file successfully removed.
 
 
 

----- End -------------------------

Hoffe ich hab alles richtig gemacht?!

Ja sieht gut aus. ;)

Poste mal bitte den Avira Fund.

In der Datei 'C:\WINDOWS\system32\c_774380.nls'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

So, jetzt gehen wir mal radikaler ran:

1.)
Dateipfad finden:

Klicke auf Start => Ausführen
Kopiere das unten stehende Skript hinein
Drücke Enter

Code:

cmd /c dir /s /a "c:\*~*.*" > c:\find.txt & notepad c:\find.txt

Der Editor wird sich mit der Datei c:\find.txt öffnen. Bitte poste den Inhalt hier in den Thread.

2.)
ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

3.)
Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
(Wichtig: "Show all" darf nicht angehakt sein)

Starte den Durchlauf mit "Scan".

Mache nichts am Computer während der Scan läuft.

Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.

Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Sooo...
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 149C-455F

Verzeichnis von c:\

19.10.2008 11:10 <DIR> BJPrinter
11.10.2008 14:13 <DIR> Dokumente und Einstellungen
15.08.2008 11:29 <DIR> Downloads
30.04.2008 18:37 <DIR> DVDVideoSoft
14.11.2008 22:31 <DIR> ***aDefensiva
14.11.2008 22:15 <DIR> Programme
15.08.2008 11:32 <DIR> Program Files
07.07.2005 15:14 <DIR> System Volume Information
14.05.2007 15:11 161 TO_InstallLog.txt
25.09.2006 10:10 824.853 WS2006-P2.zip
2 Datei(en) 825.014 Bytes

Verzeichnis von c:\Bio_Rad

15.08.2008 11:26 <DIR> ChromKeeper
0 Datei(en) 0 Bytes

Verzeichnis von c:\Bio_Rad\ChromKeeper

19.01.2006 18:46 2.332 ChromKeeper.bcg
1 Datei(en) 2.332 Bytes

Verzeichnis von c:\Dokumente und Einstellungen

24.07.2005 10:01 <DIR> All Users
24.07.2005 10:01 <DIR> Default User
07.07.2005 15:16 <DIR> LocalService
13.03.2007 17:55 <DIR> ***
07.07.2005 14:49 <DIR> NetworkService
0 Datei(en) 0 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\All Users

14.11.2008 10:59 <DIR> Anwendungsdaten
25.08.2008 10:47 <DIR> Dokumente

Soll ich Antivir und die Firewall deaktivieren, meinst du das mit schließen? Habe ich sonst noch Hintergrundwächter?

Ja genau, den AntiVir Guard und die Firewall ausschalten. ;)

ComboFix 08-11-12.02 - *** 2008-11-14 23:35:48.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.87 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Downloaded Program Files\setup.inf
c:\windows\system32\pppcgm.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-14 bis 2008-11-14 ))))))))))))))))))))))))))))))
.

2008-11-14 23:25 . 2008-11-14 23:25 <DIR> d-------- c:\programme\CCleaner
2008-11-14 22:30 . 2008-11-14 22:31 <DIR> d-------- C:\***aDefensiva
2008-11-14 22:15 . 2008-11-14 22:16 <DIR> d-------- C:\rsit
2008-11-14 22:15 . 2008-11-14 22:16 <DIR> d-------- c:\programme\trend micro
2008-11-14 22:03 . 2008-11-14 22:03 1,137,360 --a------ c:\programme\fsbl.exe
2008-11-14 11:07 . 2008-11-14 11:07 <DIR> d-------- c:\programme\Secunia
2008-11-14 10:37 . 2008-11-14 20:02 <DIR> d-------- c:\programme\Google
2008-11-02 14:00 . 2008-11-02 14:00 153,088 --a------ c:\windows\system32\1$.tmp
2008-11-02 12:16 . 2008-11-02 12:16 <DIR> d-------- c:\dokumente und einstellungen\Anne\Anwendungsdaten\Canon
2008-10-31 23:46 . 2008-10-31 23:46 664 --a------ c:\windows\system32\d3d9caps.dat
2008-10-31 23:24 . 2008-11-01 00:03 <DIR> d-------- c:\programme\Packard Bell
2008-10-31 23:23 . 2008-11-12 20:03 <DIR> d-------- c:\programme\Packard Bell External HDD
2008-10-27 09:04 . 2008-10-27 09:04 7,808 --a------ c:\windows\system32\drivers\psi_mf.sys
2008-10-19 11:21 . 2008-04-13 19:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-10-19 11:21 . 2008-04-13 19:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-10-19 11:18 . 2008-10-19 11:18 <DIR> d-------- c:\programme\Gemeinsame Dateien\CANON
2008-10-19 11:15 . 2008-10-19 11:15 <DIR> d--h----- c:\windows\system32\CanonIJ Uninstaller Information
2008-10-19 11:15 . 2008-10-19 11:15 <DIR> d--h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-10-19 11:15 . 2008-02-25 21:00 230,912 --a------ c:\windows\system32\CNMLM9I.DLL
2008-10-19 11:14 . 2008-10-19 11:14 <DIR> d--h----- c:\programme\CanonBJ
2008-10-19 11:14 . 2007-11-09 03:59 1,323,008 --a------ c:\windows\system32\CNC190C.DLL
2008-10-19 11:14 . 2008-02-08 07:38 200,704 --a------ c:\windows\system32\CNC190L.DLL
2008-10-19 11:14 . 2007-03-15 06:12 188,416 --a------ c:\windows\system32\CNC190O.DLL
2008-10-19 11:14 . 2007-11-09 03:58 98,304 --a------ c:\windows\system32\CNC190I.DLL
2008-10-19 11:13 . 2008-10-31 21:52 <DIR> d-------- c:\programme\Canon
2008-10-19 11:10 . 2008-10-19 11:10 <DIR> d--h----- C:\BJPrinter

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-14 21:13 464 ----a-w c:\programme\fsbl-20081114211310.log
2008-11-14 21:12 926 ----a-w c:\programme\fsbl-20081114210505.log
2008-11-14 09:59 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-12 20:26 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-01 13:17 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-01 13:17 --------- d-----w c:\programme\InterVideo
2008-10-03 17:49 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\Samsung
2008-09-25 21:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\ahead\InCD\InCD.exe" [2002-04-19 1003520]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-09-13 1603152]
"SoundMan"="SOUNDMAN.EXE" [2002-06-18 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2002-05-03 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Secunia PSI (RC4).lnk - c:\programme\Secunia\PSI (RC4)\psi.exe [2008-11-12 728408]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"= c_774380.nls
"aux2"= c_774380.nls
"wave2"= c_774380.nls
"mixer1"= c_774380.nls
"midi2"= c_774380.nls
"aux1"= c_774380.nls
"wave1"= c_774380.nls
"mixer2"= c_774380.nls

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 BsStor;InCD Storage Helper Driver;c:\windows\system32\DRIVERS\bsstor.sys [2002-04-14 9088]
R2 BsUDF;InCD UDF Driver;c:\windows\system32\drivers\BsUDF.sys [2002-04-19 329728]
S2 ZPMODEMSYSNTDRVNT;ZPMODEMSYSNTDRVNT;c:\windows\system32\drivers\zpmodemnt.sys [2005-12-11 1792]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 17152]
S3 OxUSBTIMOUT;OxUSBTIMOUT;c:\windows\system32\DRIVERS\OxUSBTIMOUT.sys [2007-06-07 34152]
S3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2008-10-27 7808]
S3 T5100_usb;LGE USB driver;c:\windows\system32\Drivers\T5100.sys [2004-10-20 29568]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5cd93978-3064-11dc-a351-001167308c09}]
\Shell\Auto\command - vwpzwidxu.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vwpzwidxu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8399008-5ee0-11dd-a7ca-0020edb01b94}]
\Shell\AutoRun\command - F:\ClickMe.exe

*Newly Created Service* - ISDRV122
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\fi6rqeai.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://start.mozilla.org/firefox?client=firefox-a&rls=org.mozilla:de-DE:official
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-14 23:37:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Oh weia... es nimmt kein Ende ;-) Aber schon mal Danke für die Mühe!
Soll ich Antivir usw wieder aktivieren bevor ich den nächsten Schritt mache? Wie komme ich eigentlich an die Zwischenablage dran?

ComboFix 08-11-12.02 - Anne 2008-11-14 23:35:48.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.87 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Downloaded Program Files\setup.inf
c:\windows\system32\pppcgm.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-14 bis 2008-11-14 ))))))))))))))))))))))))))))))
.

2008-11-14 23:25 . 2008-11-14 23:25 <DIR> d-------- c:\programme\CCleaner
2008-11-14 22:30 . 2008-11-14 22:31 <DIR> d-------- C:\***aDefensiva
2008-11-14 22:15 . 2008-11-14 22:16 <DIR> d-------- C:\rsit
2008-11-14 22:15 . 2008-11-14 22:16 <DIR> d-------- c:\programme\trend micro
2008-11-14 22:03 . 2008-11-14 22:03 1,137,360 --a------ c:\programme\fsbl.exe
2008-11-14 11:07 . 2008-11-14 11:07 <DIR> d-------- c:\programme\Secunia
2008-11-14 10:37 . 2008-11-14 20:02 <DIR> d-------- c:\programme\Google
2008-11-02 14:00 . 2008-11-02 14:00 153,088 --a------ c:\windows\system32\1$.tmp
2008-11-02 12:16 . 2008-11-02 12:16 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Canon
2008-10-31 23:46 . 2008-10-31 23:46 664 --a------ c:\windows\system32\d3d9caps.dat
2008-10-31 23:24 . 2008-11-01 00:03 <DIR> d-------- c:\programme\Packard Bell
2008-10-31 23:23 . 2008-11-12 20:03 <DIR> d-------- c:\programme\Packard Bell External HDD
2008-10-27 09:04 . 2008-10-27 09:04 7,808 --a------ c:\windows\system32\drivers\psi_mf.sys
2008-10-19 11:21 . 2008-04-13 19:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-10-19 11:21 . 2008-04-13 19:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-10-19 11:18 . 2008-10-19 11:18 <DIR> d-------- c:\programme\Gemeinsame Dateien\CANON
2008-10-19 11:15 . 2008-10-19 11:15 <DIR> d--h----- c:\windows\system32\CanonIJ Uninstaller Information
2008-10-19 11:15 . 2008-10-19 11:15 <DIR> d--h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-10-19 11:15 . 2008-02-25 21:00 230,912 --a------ c:\windows\system32\CNMLM9I.DLL
2008-10-19 11:14 . 2008-10-19 11:14 <DIR> d--h----- c:\programme\CanonBJ
2008-10-19 11:14 . 2007-11-09 03:59 1,323,008 --a------ c:\windows\system32\CNC190C.DLL
2008-10-19 11:14 . 2008-02-08 07:38 200,704 --a------ c:\windows\system32\CNC190L.DLL
2008-10-19 11:14 . 2007-03-15 06:12 188,416 --a------ c:\windows\system32\CNC190O.DLL
2008-10-19 11:14 . 2007-11-09 03:58 98,304 --a------ c:\windows\system32\CNC190I.DLL
2008-10-19 11:13 . 2008-10-31 21:52 <DIR> d-------- c:\programme\Canon
2008-10-19 11:10 . 2008-10-19 11:10 <DIR> d--h----- C:\BJPrinter

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-14 21:13 464 ----a-w c:\programme\fsbl-20081114211310.log
2008-11-14 21:12 926 ----a-w c:\programme\fsbl-20081114210505.log
2008-11-14 09:59 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-12 20:26 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-01 13:17 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-01 13:17 --------- d-----w c:\programme\InterVideo
2008-10-03 17:49 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\Samsung
2008-09-25 21:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\ahead\InCD\InCD.exe" [2002-04-19 1003520]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-09-13 1603152]
"SoundMan"="SOUNDMAN.EXE" [2002-06-18 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2002-05-03 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Secunia PSI (RC4).lnk - c:\programme\Secunia\PSI (RC4)\psi.exe [2008-11-12 728408]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"= c_774380.nls
"aux2"= c_774380.nls
"wave2"= c_774380.nls
"mixer1"= c_774380.nls
"midi2"= c_774380.nls
"aux1"= c_774380.nls
"wave1"= c_774380.nls
"mixer2"= c_774380.nls

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 BsStor;InCD Storage Helper Driver;c:\windows\system32\DRIVERS\bsstor.sys [2002-04-14 9088]
R2 BsUDF;InCD UDF Driver;c:\windows\system32\drivers\BsUDF.sys [2002-04-19 329728]
S2 ZPMODEMSYSNTDRVNT;ZPMODEMSYSNTDRVNT;c:\windows\system32\drivers\zpmodemnt.sys [2005-12-11 1792]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 17152]
S3 OxUSBTIMOUT;OxUSBTIMOUT;c:\windows\system32\DRIVERS\OxUSBTIMOUT.sys [2007-06-07 34152]
S3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2008-10-27 7808]
S3 T5100_usb;LGE USB driver;c:\windows\system32\Drivers\T5100.sys [2004-10-20 29568]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5cd93978-3064-11dc-a351-001167308c09}]
\Shell\Auto\command - vwpzwidxu.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vwpzwidxu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8399008-5ee0-11dd-a7ca-0020edb01b94}]
\Shell\AutoRun\command - F:\ClickMe.exe

*Newly Created Service* - ISDRV122
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\fi6rqeai.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://start.mozilla.org/firefox?client=firefox-a&rls=org.mozilla:de-DE:official
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-14 23:37:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Aber vielen dank schon mal für die Mühe! Hoffe trotzdem es hat bald ein Ende ;-) Kann ich Antivir usw. wieder aktivieren? Wo finde ich denn die Zwischenablage?

So, bei Gmer bitte auch deaktiviert lassen.

Kannst du bitte die C:\QooBox an silent_shark@gmx.de senden?
Danke. ;)

Achja, was ich vergaß:

Überprüfe bitte, wie groß die C:\WINDOWS\system32\c_774380.nls ist.

Schau auch bitte nach (wenn du mehrere c_%ZahlenKombination%.nls in system32 hast), ob eine davon ca. 130-135 KByte groß ist. Wenn ja, teile mir bitte mit, welche es ist.

mfg

Hi! Mein Problem besteht immer noch. Die Antivir Popups existieren immer noch wenn ich den Rechner hochfahre. Erst wenn ich auf in Quarantäne verschieben klicke wird alles richtig geladen... Hab gestern noch das mit dem Combofix gemacht, bin mir aber nicht sicher ob alles richtig war. hHabe zwar Antivir und die Firewall deaktiviert aber angeblich habe ich noch andere Virenprogramme. Hätten die nicht auch ausgeschaltet werden müssen, aber wie? Hier jedenfalls das Ergebnis von Combofix... Macht mir auch etwas Sorgen das da steht ich hätte keine Wiederherstellungskonsole?! Dachte die hätte ich?!
ComboFix 08-11-12.02 - Anne 2008-11-14 23:35:48.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.87 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Downloaded Program Files\setup.inf
c:\windows\system32\pppcgm.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-14 bis 2008-11-14 ))))))))))))))))))))))))))))))
.

2008-11-14 23:25 . 2008-11-14 23:25 <DIR> d-------- c:\programme\CCleaner
2008-11-14 22:30 . 2008-11-14 22:31 <DIR> d-------- C:\***aDefensiva
2008-11-14 22:15 . 2008-11-14 22:16 <DIR> d-------- C:\rsit
2008-11-14 22:15 . 2008-11-14 22:16 <DIR> d-------- c:\programme\trend micro
2008-11-14 22:03 . 2008-11-14 22:03 1,137,360 --a------ c:\programme\fsbl.exe
2008-11-14 11:07 . 2008-11-14 11:07 <DIR> d-------- c:\programme\Secunia
2008-11-14 10:37 . 2008-11-14 20:02 <DIR> d-------- c:\programme\Google
2008-11-02 14:00 . 2008-11-02 14:00 153,088 --a------ c:\windows\system32\1$.tmp
2008-11-02 12:16 . 2008-11-02 12:16 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Canon
2008-10-31 23:46 . 2008-10-31 23:46 664 --a------ c:\windows\system32\d3d9caps.dat
2008-10-31 23:24 . 2008-11-01 00:03 <DIR> d-------- c:\programme\Packard Bell
2008-10-31 23:23 . 2008-11-12 20:03 <DIR> d-------- c:\programme\Packard Bell External HDD
2008-10-27 09:04 . 2008-10-27 09:04 7,808 --a------ c:\windows\system32\drivers\psi_mf.sys
2008-10-19 11:21 . 2008-04-13 19:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-10-19 11:21 . 2008-04-13 19:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-10-19 11:18 . 2008-10-19 11:18 <DIR> d-------- c:\programme\Gemeinsame Dateien\CANON
2008-10-19 11:15 . 2008-10-19 11:15 <DIR> d--h----- c:\windows\system32\CanonIJ Uninstaller Information
2008-10-19 11:15 . 2008-10-19 11:15 <DIR> d--h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-10-19 11:15 . 2008-02-25 21:00 230,912 --a------ c:\windows\system32\CNMLM9I.DLL
2008-10-19 11:14 . 2008-10-19 11:14 <DIR> d--h----- c:\programme\CanonBJ
2008-10-19 11:14 . 2007-11-09 03:59 1,323,008 --a------ c:\windows\system32\CNC190C.DLL
2008-10-19 11:14 . 2008-02-08 07:38 200,704 --a------ c:\windows\system32\CNC190L.DLL
2008-10-19 11:14 . 2007-03-15 06:12 188,416 --a------ c:\windows\system32\CNC190O.DLL
2008-10-19 11:14 . 2007-11-09 03:58 98,304 --a------ c:\windows\system32\CNC190I.DLL
2008-10-19 11:13 . 2008-10-31 21:52 <DIR> d-------- c:\programme\Canon
2008-10-19 11:10 . 2008-10-19 11:10 <DIR> d--h----- C:\BJPrinter

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-14 21:13 464 ----a-w c:\programme\fsbl-20081114211310.log
2008-11-14 21:12 926 ----a-w c:\programme\fsbl-20081114210505.log
2008-11-14 09:59 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-12 20:26 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-01 13:17 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-01 13:17 --------- d-----w c:\programme\InterVideo
2008-10-03 17:49 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\Samsung
2008-09-25 21:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\ahead\InCD\InCD.exe" [2002-04-19 1003520]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-09-13 1603152]
"SoundMan"="SOUNDMAN.EXE" [2002-06-18 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2002-05-03 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
Secunia PSI (RC4).lnk - c:\programme\Secunia\PSI (RC4)\psi.exe [2008-11-12 728408]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"= c_774380.nls
"aux2"= c_774380.nls
"wave2"= c_774380.nls
"mixer1"= c_774380.nls
"midi2"= c_774380.nls
"aux1"= c_774380.nls
"wave1"= c_774380.nls
"mixer2"= c_774380.nls

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 BsStor;InCD Storage Helper Driver;c:\windows\system32\DRIVERS\bsstor.sys [2002-04-14 9088]
R2 BsUDF;InCD UDF Driver;c:\windows\system32\drivers\BsUDF.sys [2002-04-19 329728]
S2 ZPMODEMSYSNTDRVNT;ZPMODEMSYSNTDRVNT;c:\windows\system32\drivers\zpmodemnt.sys [2005-12-11 1792]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 17152]
S3 OxUSBTIMOUT;OxUSBTIMOUT;c:\windows\system32\DRIVERS\OxUSBTIMOUT.sys [2007-06-07 34152]
S3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2008-10-27 7808]
S3 T5100_usb;LGE USB driver;c:\windows\system32\Drivers\T5100.sys [2004-10-20 29568]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5cd93978-3064-11dc-a351-001167308c09}]
\Shell\Auto\command - vwpzwidxu.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vwpzwidxu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8399008-5ee0-11dd-a7ca-0020edb01b94}]
\Shell\AutoRun\command - F:\ClickMe.exe

*Newly Created Service* - ISDRV122
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\fi6rqeai.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://start.mozilla.org/firefox?client=firefox-a&rls=org.mozilla:de-DE:official
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-14 23:37:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-14 23:40:36
ComboFix-quarantined-files.txt 2008-11-14 22:39:33

Vor Suchlauf: 17 Verzeichnis(se), 10.927.042.560 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 10,929,123,328 Bytes frei

131 --- E O F --- 2008-09-22 17:11:10

Ohh.. seh gerad ich hab das gestern schon reingesetzt....irgendwie dachte ich das hätte gestern nicht funktioniert...! Mache dann jetzt das mit Gmer...

Lies dir bitte nochmal das durch:

http://www.trojaner-board.de/64491-t...tml#post392361

:)

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-15 22:30:31
Windows 5.1.2600 Service Pack 3

---- User code sections - GMER 1.0.14 ----

.text C:\windows\system32\winlogon.exe[572] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 017A0000
.text C:\windows\system32\winlogon.exe[572] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 01790000
.text C:\windows\system32\winlogon.exe[572] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 017B0000
.text C:\windows\system32\winlogon.exe[572] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 017D0000
.text C:\windows\system32\winlogon.exe[572] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 017E0000
.text C:\windows\system32\winlogon.exe[572] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 017F0000
.text C:\windows\system32\winlogon.exe[572] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 01930000
.text C:\windows\system32\winlogon.exe[572] WS2_32.dll!send 71A14C27 5 Bytes JMP 017C0000
.text C:\windows\system32\lsass.exe[628] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 00FE0000
.text C:\windows\system32\lsass.exe[628] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 00FD0000
.text C:\windows\system32\lsass.exe[628] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 00FF0000
.text C:\windows\system32\lsass.exe[628] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 010D0000
.text C:\windows\system32\lsass.exe[628] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 010E0000
.text C:\windows\system32\lsass.exe[628] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 010F0000
.text C:\windows\system32\lsass.exe[628] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 01230000
.text C:\windows\system32\lsass.exe[628] WS2_32.dll!send 71A14C27 5 Bytes JMP 010C0000
.text C:\windows\system32\svchost.exe[860] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 00FD0000
.text C:\windows\system32\svchost.exe[860] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 009B0000
.text C:\windows\system32\svchost.exe[860] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 00FE0000
.text C:\windows\system32\svchost.exe[860] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 01170000
.text C:\windows\system32\svchost.exe[860] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 01180000
.text C:\windows\system32\svchost.exe[860] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 01190000
.text C:\windows\system32\svchost.exe[860] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 012D0000
.text C:\windows\system32\svchost.exe[860] ws2_32.dll!send 71A14C27 5 Bytes JMP 00FF0000
.text C:\windows\system32\svchost.exe[924] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 00FF0000
.text C:\windows\system32\svchost.exe[924] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 00E50000
.text C:\windows\system32\svchost.exe[924] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 012C0000
.text C:\windows\system32\svchost.exe[924] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 012E0000
.text C:\windows\system32\svchost.exe[924] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 012F0000
.text C:\windows\system32\svchost.exe[924] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 01300000
.text C:\windows\system32\svchost.exe[924] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 01440000
.text C:\windows\system32\svchost.exe[924] ws2_32.dll!send 71A14C27 3 Bytes JMP 012D0000
.text C:\windows\system32\svchost.exe[924] ws2_32.dll!send + 4 71A14C2B 1 Byte [ 8F ]
.text C:\windows\System32\svchost.exe[996] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 02990000
.text C:\windows\System32\svchost.exe[996] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 01C40000
.text C:\windows\System32\svchost.exe[996] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 029A0000
.text C:\windows\System32\svchost.exe[996] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 3 Bytes JMP 02D40000
.text C:\windows\System32\svchost.exe[996] ADVAPI32.dll!CryptDeriveKey + 4 77DB9FE1 1 Byte [ 8A ]
.text C:\windows\System32\svchost.exe[996] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 03290000
.text C:\windows\System32\svchost.exe[996] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 032A0000
.text C:\windows\System32\svchost.exe[996] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 033E0000
.text C:\windows\System32\svchost.exe[996] ws2_32.dll!send 71A14C27 5 Bytes JMP 029B0000
.text C:\windows\System32\svchost.exe[1060] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 00E20000
.text C:\windows\System32\svchost.exe[1060] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 00E10000
.text C:\windows\System32\svchost.exe[1060] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 00E30000
.text C:\windows\System32\svchost.exe[1060] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 00E50000
.text C:\windows\System32\svchost.exe[1060] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 00E60000
.text C:\windows\System32\svchost.exe[1060] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 00E70000
.text C:\windows\System32\svchost.exe[1060] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 00FB0000
.text C:\windows\System32\svchost.exe[1060] ws2_32.dll!send 71A14C27 5 Bytes JMP 00E40000
.text C:\windows\system32\svchost.exe[1128] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 00FF0000
.text C:\windows\system32\svchost.exe[1128] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 00D30000
.text C:\windows\system32\svchost.exe[1128] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 011D0000
.text C:\windows\system32\svchost.exe[1128] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 011F0000
.text C:\windows\system32\svchost.exe[1128] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 01200000
.text C:\windows\system32\svchost.exe[1128] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 01210000
.text C:\windows\system32\svchost.exe[1128] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 01350000
.text C:\windows\system32\svchost.exe[1128] ws2_32.dll!send 71A14C27 5 Bytes JMP 011E0000
.text C:\windows\system32\spoolsv.exe[1320] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 01020000
.text C:\windows\system32\spoolsv.exe[1320] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 01010000
.text C:\windows\system32\spoolsv.exe[1320] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 01030000
.text C:\windows\system32\spoolsv.exe[1320] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 01050000
.text C:\windows\system32\spoolsv.exe[1320] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 01060000
.text C:\windows\system32\spoolsv.exe[1320] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 01070000
.text C:\windows\system32\spoolsv.exe[1320] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 011B0000
.text C:\windows\system32\spoolsv.exe[1320] ws2_32.dll!send 71A14C27 5 Bytes JMP 01040000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 01680000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 01670000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 01690000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 01810000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 016B0000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 016C0000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 016D0000
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1428] WS2_32.dll!send 71A14C27 5 Bytes JMP 016A0000
.text C:\windows\System32\svchost.exe[1576] kernel32.dll!FindNextFileW 7C80EFCA 5 Bytes JMP 012A0000
.text C:\windows\System32\svchost.exe[1576] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 00E80000
.text C:\windows\System32\svchost.exe[1576] kernel32.dll!FindNextFileA 7C834EC9 5 Bytes JMP 012B0000
.text C:\windows\System32\svchost.exe[1576] ADVAPI32.dll!CryptDeriveKey 77DB9FDD 5 Bytes JMP 012D0000
.text C:\windows\System32\svchost.exe[1576] ADVAPI32.dll!CryptImportKey 77DBA1D1 5 Bytes JMP 012E0000
.text C:\windows\System32\svchost.exe[1576] ADVAPI32.dll!CryptGenKey 77DE17D9 5 Bytes JMP 012F0000
.text C:\windows\System32\svchost.exe[1576] USER32.dll!DispatchMessageW 7E368A01 5 Bytes JMP 01430000
.text C:\windows\System32\svchost.exe[1576] ws2_32.dll!send 71A14C27 5 Bytes JMP 012C0000

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Udfs \UdfsCdRom BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)
Device \FileSystem\Udfs \UdfsDisk BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)
Device \FileSystem\Cdfs \Cdfs BsUDF.SYS (UDF File System Driver (WindowsXP)/ahead software)

---- EOF - GMER 1.0.14 ----

Danke das du mir immer noch hilfst!

Schlecht das Gmer nichts findet.
Mach nun bitte die Überprüfung von den nls-Dateien weiter. ;)

Also C_774380.nls habe ich nicht gefunden :-(
C_20261 ist 136kb groß. Die meißten sind so 64-65kb groß und 3 sind 192kb groß, eine 108kb, eine 354kb und eine 159kb. Hoffe das hilft!

Silentbanker hat genau 133.120 bytes.

Komisch, dass du die eine nicht findest.
Versuch es mal so:

Dateipfad finden:

Klicke auf Start => Ausführen
Kopiere das unten stehende Skript hinein
Drücke Enter

Code:

cmd /c dir /s /a "c:\*c_774380*.*" > c:\find.txt & notepad c:\find.txt

Der Editor wird sich mit der Datei c:\find.txt öffnen. Bitte poste den Inhalt hier in den Thread.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 149C-455F

Hm, das gibts doch nicht. :headbang:

Hast du die Datei denn noch in der Quarantäne von Avira?
Wenn ja, erstell einen Ordner auf den Desktop namens "infected".
Stell den Avira Guard ab und tu die besagte Datei in den Ordner "infected" wiederherstellen.

Prüf die Größe der Datei.

Die Größe beträgt 121kb

Kannst du die Datei bitte in ein Passwortgeschütztes ZIP-Archiv packen (PW: infected) und an meine Emailaddresse silent_shark@gmx.de senden?

Wie packe ich die denn in so ein Passwortgeschütztes ZIP Archiv?

Hast du WinRAR installiert?
Wenn ja, dann gehe so vor:

Rechtsklick auf die Datei => "Zum Archiv hinzufügen" (Es erscheint jetzt ein Fenster) => Gehe auf "Erweitert" => "Passwort festlegen" => (Passwort eingeben, 2x => Ok) => Ok

Btw. findest du folgende Datei?
vwpzwidxu.exe

Hab dir die Zip Datei geschickt... Die andere Datei gibts laut meinem Suchergebnis nicht!

Ok, das ist die infizierte Datei. In dem Fall hat Avira mal saubere Arbeit geleistet.

Da du die Datei in system32 nicht mehr findest, kommt die Fundmeldung trotzdem noch?

Lass mal MBAM laufen..

MalwareBytes Anti-Malware:

Lade dir MalwareBytes Anti-Malware
Folge den Anweisungen der Anleitung
Lösche alles in der Quarantäne:

http://saved.im/ndc5njj4d2lr/entfernen.png

poste das entstandene Logfile

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1401
Windows 5.1.2600 Service Pack 3

16.11.2008 00:55:02
mbam-log-2008-11-16 (00-55-02).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|)
Durchsuchte Objekte: 95441
Laufzeit: 1 hour(s), 2 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{28956e88-b482-4aa8-b6e2-d707d190a7ab}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91 85.255.112.238 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{28956e88-b482-4aa8-b6e2-d707d190a7ab}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.91 85.255.112.238 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ok,
jetzt noch einen Scan hiermit:

SUPERAntiSpyware:

Lade dir SUPERAntiSpyware und installiere es
Folge den Anweisungen und poste das entstandene Logfile

Hast du mal SmitfraudFix angewendet?

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 11/16/2008 at 08:35 PM

Application Version : 4.21.1004

Core Rules Database Version : 3555
Trace Rules Database Version: 1543

Scan type : Complete Scan
Total Scan Time : 01:10:43

Memory items scanned : 311
Memory threats detected : 0
Registry items scanned : 4267
Registry threats detected : 2
File items scanned : 52233
File threats detected : 13

Adware.SBSoft
HKU\S-1-5-21-2025429265-1220945662-682003330-1004\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser#{08BEC6AA-49FC-4379-3587-4B21E286C19E}

Trojan.DNS-Changer (Hi-Jacked DNS)
HKLM\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{28956E88-B482-4AA8-B6E2-D707D190A7AB}#NAMESERVER

Adware.Tracking Cookie
as1.falkag.de [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\3suu40q2.default\cookies.txt ]
as1.falkag.de [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\3suu40q2.default\cookies.txt ]
as1.falkag.de [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\3suu40q2.default\cookies.txt ]
as1.falkag.de [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\3suu40q2.default\cookies.txt ]
as1.falkag.de [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\3suu40q2.default\cookies.txt ]
as1.falkag.de [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\3suu40q2.default\cookies.txt ]
.komtrack.com [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\3suu40q2.default\cookies.txt ]
.komtrack.com [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\3suu40q2.default\cookies.txt ]
.doubleclick.net [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\3suu40q2.default\cookies.txt ]

Trojan.Unknown Origin
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\PPPCGM.EXE.VIR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{AF5320A3-040E-4B66-9481-B1D6EF85915F}\RP909\A0311571.EXE
C:\WINDOWS\SYSTEM32\FILESAFER23.EXE

Trojan.idesk
C:\WINDOWS\SYSTEM32\IDEMLOG.0XE

Hi! Sieht nicht gut aus oder?! Smitfraudfix habe ich noch nicht ausprobiert!

Ok, das mit SmitfraudFix wollte ich nur wissen, wegen der process.exe

Hast du noch Probleme mit dem Rechner?

Leider ist alles beim Alten... Antivir zeigt mir immer noch die Trojaner Warnungen Popups.. :-( Auf der Seite mit dem Link zum download von Superantispyware stand, man sollte nach dem Durchlauf noch einmal im abgesicherten Modus suchen lassen. Soll ich das auch machen? Wie macht man das?

Naja, SASW wird da nicht viel bringen...

Suchen wir mal nach dem Ursprung des Bankers.
Seit wann hast du die Avira Meldungen?
Hast du davor was bestimmtes heruntergeladen? Wenn ja, was?

Mach bitte noch ein Listing mit diesem Script.

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Lade die listing.txt bei File-Upload.net hoch und poste den Downloadlink.

h**p://w*w.file-upload.net/download-1258378/listing.txt.html
Die Meldungen kommen seit letzten Freitag 14.11. Kann mich nicht dran erinnern was bestimmtes runtergeladen zu haben...

Zitat:

Kann mich nicht dran erinnern was bestimmtes runtergeladen zu haben...

Hm, das ist schlecht..
Emailanhänge geöffnet?

Und hier haben wir evtl. die Übeltäter:

Zitat:

18.04.2008 05:22 108 c_774391.nls
15.04.2008 07:22 354 c_774400.nls

Aber um ehrlich zu sein, ich würde das System plattmachen.
Nur das ganz allein bringt dein System wieder in den vertrauenswürdigen Zustand.

Na prima! Was für einen Schaden richtet der Trojaner denn eigentlich an? Und wie kann ich sicher sein das sich der Trojaner nicht irgendwo in meinen Dateien befindet und danach gleich wieder drauf ist? Hab keine Ahnung wie man das macht...?! Jedenfalls vielen Dank Silent shark für deine Hilfe soweit!

Der Schaden ist ziemlich hoch.
Hier hast du Stoff zum nachlesen:
Silent Banker: Online-Bankraub in aller Stille - PC-WELT