Trojaner-Board - TR/Dropper.Gen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Dropper.Gen (https://www.trojaner-board.de/81542-tr-dropper-gen.html)

Hallo,

Ich hatte eben einen Fund "TR/Dropper.Gen"
Den habe ich gelöscht

Jetzt durchsuche mein System und es wurden wieder 3 gefunden (Habe gerade mal 40 % durch)

Was soll ich tun?

(Die vermehren sich scheinbar)

edit:
IST NICHT GELÖST

Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Habe die schritte bevolgt aber der Trojaner erstellt sich immer wieder neu...

Was kann ich jetzt noch machen?

Bitte die Logfile posten! Ich hab nirgends geschrieben, dass das Problem nur das das Abackern der ersten Schritte behoben ist! :D

Die vom AntiVir suchlauf?

Ich hab Dir ne Liste verlinkt :balla:
Poste die von RSIT und Malwarebytes

Dann werd ich den suchlauf nocheinmal starten...

Hoffe ich schaff das bsi 22:15 sonst poste ich morgen

:confused:

Ich dachte Du hättest die Schritte alle abgearbeitet, dann müssten die Logs doch schon alle vorhanden sein! Oder schon wieder voreilig gelöscht?

Hatte die Trojaner gelöscht und geschlossen...

Aber mache gerade ein suchlauf.

Ja, aber was hast Du mit dem ersten Log von malwarebytes gemacht? Bitte die verlinkten Anleitungen richtig lesen und ausführen!

SO fertig...

Es wurden keine Viren/Trojaner gefunden!
Soll ich trotzdem posten?

Morgen durchsuche ich nocheinmal

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:30:21, on 14.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Tagoria-Lobby\Auto-TG-Update.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\D-Link\AirPlusG+\AirPlus.exe
C:\Programme\Microsoft IntelliPoint\dpupdchk.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Firebird\Firebird_2_1\bin\fbguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Firebird\Firebird_2_1\bin\fbserver.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\Jan-Hendrik\Desktop\RSIT.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\trend micro\Jan-Hendrik.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [GUI] C:\D-Link\AirPlusG+\AirPlus.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [AutoTG-LobbyPatcher] C:\Programme\Tagoria-Lobby\Auto-TG-Update.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1151601.exe -Update -1151601 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_en-US)_AppleWebKit/532.3_(KHTML,_like_Gecko)_Iron/4.0.227.0_Chrome/4.0.227.0_Safari/532.3" -"http://sv2.rr-downtown.de/strecke.php?strecke=1&f&driverchoose=0"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: D-Link AirPlus G+ Wireless Utility.lnk = ?
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://s26.wurzelimperium.de
O15 - Trusted Zone: http://*.wurzelimperium.de
O16 - DPF: {D27CDB6E-AE6D-11CF-35B8-444553540000} - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - FirebirdSQL Project - C:\Programme\Firebird\Firebird_2_1\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - C:\Programme\Firebird\Firebird_2_1\bin\fbserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

--
End of file - 6039 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-11 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"GUI"=C:\D-Link\AirPlusG+\AirPlus.exe [2005-08-24 1474560]
"ATICCC"=C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe [2006-09-25 90112]
"AutoTG-LobbyPatcher"=C:\Programme\Tagoria-Lobby\Auto-TG-Update.exe [2009-05-17 228352]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-05-26 413696]
"IntelliPoint"=C:\Programme\Microsoft IntelliPoint\ipoint.exe [2009-01-07 1468296]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-10-03 35696]
"Adobe ARM"=C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [2009-09-04 935288]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-10-11 149280]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 25088]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Shockwave Updater"=C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1151601.exe [2009-07-21 468408]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoTG-LobbyPatcher]
C:\Programme\Tagoria-Lobby\Auto-TG-Update.exe [2009-05-17 228352]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe [2009-12-18 39424]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Jan-Hendrik^Startmenü^Programme^Autostart^ICQ-Tools.de Launcher.lnk]
C:\DOKUME~1\JAN-HE~1\ANWEND~1\MICROS~1\INSTAL~1\{95921~1\_303D9~1.EXE [2009-07-22 10134]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
D-Link AirPlus G+ Wireless Utility.lnk - C:\D-Link\AirPlusG+\AirPlus.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2006-11-29 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Valve\hl.exe"="C:\Programme\Valve\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Programme\Opera\opera.exe"="C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser"
"C:\Programme\Java\jre6\bin\java.exe"="C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:firefox"
"C:\Programme\Opera 10 Beta\opera.exe"="C:\Programme\Opera 10 Beta\opera.exe:*:Enabled:Opera Internet Browser"
"C:\Programme\Proxy1984\Proxy1984.exe"="C:\Programme\Proxy1984\Proxy1984.exe:*:Enabled:Proxy1984"
"C:\Programme\Proxy1984\Tor\Tor.exe"="C:\Programme\Proxy1984\Tor\Tor.exe:*:Enabled:Proxy1984_Helper"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\TeamViewer\Version4\TeamViewer.exe"="C:\Programme\TeamViewer\Version4\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\MSN Messenger\livecall.exe"="C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

======List of files/folders created in the last 1 months======

2010-01-14 20:30:08 ----D---- C:\rsit
2010-01-14 20:30:08 ----D---- C:\Programme\trend micro
2010-01-11 13:23:31 ----D---- C:\Dokumente und Einstellungen\Jan-Hendrik\Anwendungsdaten\Malwarebytes
2010-01-11 13:23:24 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-01-11 13:23:24 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-27 15:43:24 ----D---- C:\Programme\ICQ Self Remover
2009-12-20 13:26:48 ----D---- C:\Programme\SRWare Iron
2009-12-18 13:18:10 ----A---- C:\WINDOWS\system32\d3dx9_32.dll
2009-12-18 13:18:08 ----A---- C:\WINDOWS\system32\d3dx9_31.dll
2009-12-18 13:17:59 ----D---- C:\WINDOWS\Logs

======List of files/folders modified in the last 1 months======

2010-01-14 20:30:08 ----D---- C:\Programme
2010-01-14 20:29:54 ----D---- C:\WINDOWS\Prefetch
2010-01-14 20:29:06 ----D---- C:\WINDOWS\Temp
2010-01-14 20:29:05 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-14 20:29:03 ----D---- C:\WINDOWS
2010-01-14 20:27:58 ----D---- C:\WINDOWS\system32\drivers
2010-01-14 20:27:18 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-01-14 20:26:12 ----D---- C:\WINDOWS\msapps
2010-01-14 19:37:58 ----D---- C:\Programme\Mozilla Thunderbird
2010-01-14 14:38:11 ----D---- C:\Programme\Mozilla Firefox
2010-01-12 14:49:54 ----D---- C:\Dokumente und Einstellungen\Jan-Hendrik\Anwendungsdaten\ICQ
2010-01-11 14:54:26 ----HDC---- C:\WINDOWS\$NtUninstallKB901190$
2010-01-11 14:52:08 ----D---- C:\Dokumente und Einstellungen\Jan-Hendrik\Anwendungsdaten\Desktopicon
2010-01-10 20:28:36 ----D---- C:\WINDOWS\system32
2010-01-06 02:53:47 ----D---- C:\Dokumente und Einstellungen\Jan-Hendrik\Anwendungsdaten\DivX
2010-01-01 23:38:47 ----A---- C:\WINDOWS\3Gsauron.INI
2009-12-27 19:19:57 ----D---- C:\Dokumente und Einstellungen\Jan-Hendrik\Anwendungsdaten\Winamp
2009-12-19 11:03:03 ----HD---- C:\WINDOWS\inf
2009-12-18 21:38:46 ----D---- C:\Programme\SpacialAudio
2009-12-18 13:18:24 ----D---- C:\Programme\Winamp
2009-12-18 13:18:11 ----D---- C:\WINDOWS\system32\DirectX

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2004-08-04 14848]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-07 56816]
R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2006-11-29 2830336]
R3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\System32\DRIVERS\fetnd5.sys [2001-08-17 27165]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-18 9600]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-07-03 4745216]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NuidFltr;NUID filter driver; C:\WINDOWS\system32\DRIVERS\NuidFltr.sys [2008-12-03 18856]
R3 PCANDIS5;PCANDIS5 Protocol Driver; \??\C:\D-Link\AIRPLU~1\PCANDIS5.SYS []
R3 Point32;Microsoft IntelliPoint Filter Driver; C:\WINDOWS\system32\DRIVERS\point32.sys [2008-12-20 27784]
R3 TNET1130;D-Link AirPlus G+ Wireless Adapter; C:\WINDOWS\System32\DRIVERS\GPLUS_XP.sys [2004-10-25 439296]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000]
S3 AIDA32Driver;AIDA32Driver; \??\C:\DOKUME~1\JAN-HE~1\LOKALE~1\Temp\Rar$EX00.156\aida32.sys []
S3 GMSIPCI;GMSIPCI; \??\F:\INSTALL\GMSIPCI.SYS []
S3 MSICPL;MSICPL; \??\F:\install4\MSICPL.sys []
S3 NPPTNT2;NPPTNT2; \??\C:\WINDOWS\system32\npptNT2.sys []
S3 NTACCESS;NTACCESS; \??\F:\NTACCESS.sys []
S3 SetupNTGLM7X;SetupNTGLM7X; \??\F:\NTGLM7X.sys []
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-18 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\System32\Ati2evxx.exe [2006-11-29 430080]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance; C:\Programme\Firebird\Firebird_2_1\bin\fbguard.exe [2007-10-16 81920]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-10-11 153376]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance; C:\Programme\Firebird\Firebird_2_1\bin\fbserver.exe [2007-10-16 2711552]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2006-11-28 520192]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 npggsvc;nProtect GameGuard Service; C:\WINDOWS\system32\GameMon.des [2009-09-21 3474384]
S3 usprserv;User Privilege Service; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Bitte mal den Avenger anwenden - diesmal aber gleich vernünftig lesen, sonst verhaust Du Dir da was! :balla:

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

registry keys to delete:

HKLM\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Jan-Hendrik^Startmenü^Programme^Autostart^ICQ-Tools.de Launcher.lnk
 

files to delete:

C:\DOKUME~1\JAN-HE~1\ANWEND~1\MICROS~1\INSTAL~1\{95921~1\_303D9~1.EXE

C:\WINDOWS\3Gsauron.INI

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

a) Also AntiVir Guard deaktivieren?
b) wie ist das gemeint?

Sry kenn mich bei sowas nicht so aus...

a) Ja den Guard deaktiviern - Regenschirm schließem
b) Falls Du externe Laufwerke dran hast wie Usb-Sticks oder USB-Festplatten - diese vorher abklemmen

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\DOKUME~1\JAN-HE~1\ANWEND~1\MICROS~1\INSTAL~1\{95921~1\_303D9~1.EXE" deleted successfully.
File "C:\WINDOWS\3Gsauron.INI" deleted successfully.
Registry key "HKLM\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Jan-Hendrik^Startmenü^Programme^Autostart^ICQ-Tools.de Launcher.lnk" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Na also geht doch mit dem Lesen! :daumenhoc
Einmal bitte noch den Gripskasten anstrengen und aufmerksam lesen: ;)

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ComboFix 10-01-14.01 - Jan-Hendrik 14.01.2010 21:10:23.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1022.575 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Jan-Hendrik\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\sysdm.exe

c:\windows\system32\midimap.dll . . . ist infiziert!!

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-14 bis 2010-01-14 ))))))))))))))))))))))))))))))
.

2010-01-14 19:30 . 2010-01-14 19:30 -------- d-----w- C:\rsit
2010-01-14 19:30 . 2010-01-14 19:30 -------- d-----w- c:\programme\trend micro
2010-01-11 12:23 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-11 12:23 . 2010-01-12 19:23 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-11 12:23 . 2010-01-11 12:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-11 12:23 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-27 14:43 . 2009-12-27 14:46 -------- d-----w- c:\programme\ICQ Self Remover
2009-12-20 12:26 . 2010-01-07 15:44 -------- d-----w- c:\programme\SRWare Iron
2009-12-18 12:18 . 2006-11-29 12:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll
2009-12-18 12:18 . 2006-09-28 15:05 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll
2009-12-18 12:17 . 2009-12-18 12:17 -------- d-----w- c:\windows\Logs

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-14 19:40 . 2009-08-17 12:31 -------- d-----w- c:\programme\Mozilla Thunderbird
2009-12-18 20:38 . 2009-01-05 18:30 -------- d-----w- c:\programme\SpacialAudio
2009-12-18 12:18 . 2009-07-09 15:58 -------- d-----w- c:\programme\Winamp
2009-12-09 19:09 . 2008-11-07 16:33 -------- d-----w- c:\programme\Gameforge4D
2009-12-07 19:23 . 2009-05-15 19:03 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-07 14:19 . 2009-04-14 15:22 -------- d-----w- c:\programme\SpeedFan
2009-12-06 20:55 . 2009-12-06 20:55 -------- d-----w- c:\programme\mathepower.de
2009-12-06 12:15 . 2008-11-09 15:09 -------- d-----w- c:\programme\Java
2009-11-28 13:04 . 2009-11-28 13:04 1166286 ----a-w- c:\windows\system32\SpongeBob.scr
2009-11-25 14:45 . 2008-11-28 18:28 -------- d-----w- c:\programme\Opera
2009-11-20 16:41 . 2009-10-18 15:51 -------- d-----w- c:\programme\Safari
2009-11-04 12:46 . 2001-08-18 12:00 79910 ----a-w- c:\windows\system32\perfc007.dat
2009-11-04 12:46 . 2001-08-18 12:00 448470 ----a-w- c:\windows\system32\perfh007.dat
2009-10-18 16:16 . 2009-06-13 21:58 22672 ---ha-w- c:\windows\system32\mlfcache.dat
2009-02-17 10:34 . 2009-02-17 10:34 28672 ----a-w- c:\programme\LaMaster - Autostarter.exe
2009-02-02 13:23 . 2009-02-02 13:23 4286 ----a-w- c:\programme\lamaster icon3 32.ico
2009-02-02 13:20 . 2009-02-02 13:20 1150 ----a-w- c:\programme\lamaster icon3 16.ico
2009-02-02 11:48 . 2009-02-02 11:48 35775 ----a-w- c:\programme\lamaster setup.jpg
2009-02-02 09:53 . 2009-02-02 09:53 23462 ----a-w- c:\programme\LaMaster.de-licence.rtf
2008-11-13 18:04 . 2008-11-13 18:04 41582 ----a-w- c:\programme\setup.jpg
2009-09-25 16:41 . 2009-09-25 16:41 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

------- Sigcheck -------

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\winlogon.exe
[-] 2004-08-03 . CAEF653D55CC8D7A173E4E63BC58D7F2 . 546816 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2004-08-03 . CAEF653D55CC8D7A173E4E63BC58D7F2 . 546816 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
[-] 2001-08-18 . 4414F832E52F6E9E1BBB021E8A4323C5 . 474624 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\winlogon.exe

[-] 2008-04-14 . AD28671D1B83A386B070DC451A113C13 . 617472 . . [5.82] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\comctl32.dll
[-] 2008-04-14 . 3C93CE6C6985C55952B7BE6673E9FD15 . 1054208 . . [6.0] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\asms\60\msft\windows\common\controls\comctl32.dll
[-] 2004-08-03 . 78CB6A557486D498264BF3E6728AF81A . 718848 . . [5.82] . . c:\windows\ServicePackFiles\i386\comctl32.dll
[-] 2004-08-03 . 78CB6A557486D498264BF3E6728AF81A . 718848 . . [5.82] . . c:\windows\system32\comctl32.dll
[-] 2001-08-18 . 69683B517350C9C0CC20E78FD7EDC877 . 665088 . . [5.82] . . c:\windows\$NtServicePackUninstall$\comctl32.dll

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\explorer.exe
[-] 2004-08-03 . E8535CD4313DBAF191BA7945665126C3 . 4921344 . . [6.00.2900.2180] . . c:\windows\explorer.exe
[-] 2004-08-03 . E8535CD4313DBAF191BA7945665126C3 . 4921344 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2004-08-03 . E74DD582DF778B6B4725F09815109749 . 1553920 . . [6.00.2900.2180] . . c:\windows\VCP_SAVE\explorer.exe
[-] 2001-08-18 . E64373470C8B85C75BCBDDEB7656DBCD . 1522688 . . [6.00.2600.0000] . . c:\windows\$NtServicePackUninstall$\explorer.exe

[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\ctfmon.exe
[-] 2004-08-03 . 99203E789DA6E756EA34A8F836F4E99E . 25088 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2004-08-03 . 99203E789DA6E756EA34A8F836F4E99E . 25088 . . [5.1.2600.2180] . . c:\windows\system32\ctfmon.exe
[-] 2001-08-18 . 98036FF9094FB1E5A6AC56568D9B9B15 . 23040 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Shockwave Updater"="c:\windows\system32\Adobe\Shockwave 11\SwHelper_1151601.exe" [2009-07-21 468408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GUI"="c:\d-link\AirPlusG+\AirPlus.exe" [2005-08-24 1474560]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"AutoTG-LobbyPatcher"="c:\programme\Tagoria-Lobby\Auto-TG-Update.exe" [2009-05-17 228352]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2009-01-07 1468296]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 25088]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
D-Link AirPlus G+ Wireless Utility.lnk - c:\d-link\AirPlusG+\AirPlus.exe [2008-11-6 1474560]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoTG-LobbyPatcher]
2009-05-17 13:27 228352 ----a-w- c:\programme\Tagoria-Lobby\Auto-TG-Update.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2009-12-18 00:30 39424 ----a-w- c:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Valve\\hl.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Proxy1984\\Tor\\Tor.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [06.11.2008 18:59 17920]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.10.2009 18:19 108289]
R3 TNET1130;D-Link AirPlus G+ Wireless Adapter;c:\windows\system32\drivers\GPlus_XP.sys [06.11.2008 18:50 439296]
S2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\programme\Firebird\Firebird_2_1\bin\fbguard.exe -s DefaultInstance --> c:\programme\Firebird\Firebird_2_1\bin\fbguard.exe -s DefaultInstance [?]
S3 AIDA32Driver;AIDA32Driver;\??\c:\dokume~1\JAN-HE~1\LOKALE~1\Temp\Rar$EX00.156\aida32.sys --> c:\dokume~1\JAN-HE~1\LOKALE~1\Temp\Rar$EX00.156\aida32.sys [?]
S3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance --> c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\f:\ntglm7x.sys --> f:\NTGLM7X.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2009-11-14 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
Trusted Zone: google.de
Trusted Zone: wurzelimperium.de
Trusted Zone: wurzelimperium.de\s26
FF - ProfilePath - c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\a77c3p90.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.de/search?q=
FF - prefs.js: browser.search.selectedEngine - Google (Language: DE)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
FF - plugin: c:\programme\Opera 10 Beta\program\plugins\npqtplugin.dll
FF - plugin: c:\programme\Opera 10 Beta\program\plugins\npqtplugin2.dll
FF - plugin: c:\programme\Opera 10 Beta\program\plugins\npqtplugin3.dll
FF - plugin: c:\programme\Opera 10 Beta\program\plugins\npqtplugin4.dll
FF - plugin: c:\programme\Opera 10 Beta\program\plugins\npqtplugin5.dll
FF - plugin: c:\programme\Opera 10 Beta\program\plugins\npqtplugin6.dll
FF - plugin: c:\programme\Opera 10 Beta\program\plugins\npqtplugin7.dll
FF - plugin: c:\programme\Unity\WebPlayer\loader\npUnity3D32.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-14 21:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1275210071-1580818891-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CCC0E570-66F6-46B7-095B-665D60DA70F3}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iaobiibejjdedgnfil"=hex:69,61,70,6b,68,6f,70,64,6e,6a,63,65,62,6d,67,64,6e,6e,
00,00
"haedooaookmokggo"=hex:6b,61,6c,6b,66,69,68,67,61,69,66,6c,6a,61,70,6a,64,62,
68,6a,64,68,00,00
"iakaamdlkclioealpj"=hex:63,61,6d,6b,63,6f,00,7c
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(828)
c:\windows\system32\sfc_os.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll
.
Zeit der Fertigstellung: 2010-01-14 21:17:11
ComboFix-quarantined-files.txt 2010-01-14 20:16

Vor Suchlauf: 5.628.547.072 Bytes frei
Nach Suchlauf: 5.609.750.528 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - F04AD5B751001587FCDB35D8FF6E39B1

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

KILLALL::
 

File::

c:\windows\system32\midimap.dll
 

RegNull::

[HKEY_USERS\S-1-5-21-1275210071-1580818891-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CCC0E570-66F6-46B7-095B-665D60DA70F3}*]
 

Driver::

AIDA32Driver

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7.) Falls Windows meckert er vermisse die Datei midimap.dll, dann bitte diese Datei von hier nach c:\windows\system32 kopieren

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Funktioniert nicht.

Wenn ich dass da rauf ziehe dann macht er das selbe wie eben noch einmal!

Ja, das ist auch Sinn und Zweck das Ganzen :balla:
Weil Combofix damit neu gestartet wird aber mit speziellen Parametern!

ComboFix 10-01-14.01 - Jan-Hendrik 14.01.2010 21:37:00.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1022.555 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Jan-Hendrik\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Jan-Hendrik\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\midimap.dll"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\midimap.dll . . . ist infiziert!!

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AIDA32DRIVER
-------\Service_AIDA32Driver

((((((((((((((((((((((( Dateien erstellt von 2009-12-14 bis 2010-01-14 ))))))))))))))))))))))))))))))
.

2010-01-14 19:30 . 2010-01-14 19:30 -------- d-----w- C:\rsit
2010-01-14 19:30 . 2010-01-14 19:30 -------- d-----w- c:\programme\trend micro
2010-01-11 12:23 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-11 12:23 . 2010-01-12 19:23 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-11 12:23 . 2010-01-11 12:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-11 12:23 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-27 14:43 . 2009-12-27 14:46 -------- d-----w- c:\programme\ICQ Self Remover
2009-12-20 12:26 . 2010-01-07 15:44 -------- d-----w- c:\programme\SRWare Iron
2009-12-18 12:18 . 2006-11-29 12:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll
2009-12-18 12:18 . 2006-09-28 15:05 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll
2009-12-18 12:17 . 2009-12-18 12:17 -------- d-----w- c:\windows\Logs

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-14 19:40 . 2009-08-17 12:31 -------- d-----w- c:\programme\Mozilla Thunderbird
2009-12-18 20:38 . 2009-01-05 18:30 -------- d-----w- c:\programme\SpacialAudio
2009-12-18 12:18 . 2009-07-09 15:58 -------- d-----w- c:\programme\Winamp
2009-12-09 19:09 . 2008-11-07 16:33 -------- d-----w- c:\programme\Gameforge4D
2009-12-07 19:23 . 2009-05-15 19:03 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-07 14:19 . 2009-04-14 15:22 -------- d-----w- c:\programme\SpeedFan
2009-12-06 20:55 . 2009-12-06 20:55 -------- d-----w- c:\programme\mathepower.de
2009-12-06 12:15 . 2008-11-09 15:09 -------- d-----w- c:\programme\Java
2009-11-28 13:04 . 2009-11-28 13:04 1166286 ----a-w- c:\windows\system32\SpongeBob.scr
2009-11-25 14:45 . 2008-11-28 18:28 -------- d-----w- c:\programme\Opera
2009-11-20 16:41 . 2009-10-18 15:51 -------- d-----w- c:\programme\Safari
2009-11-04 12:46 . 2001-08-18 12:00 79910 ----a-w- c:\windows\system32\perfc007.dat
2009-11-04 12:46 . 2001-08-18 12:00 448470 ----a-w- c:\windows\system32\perfh007.dat
2009-10-18 16:16 . 2009-06-13 21:58 22672 ---ha-w- c:\windows\system32\mlfcache.dat
2009-02-17 10:34 . 2009-02-17 10:34 28672 ----a-w- c:\programme\LaMaster - Autostarter.exe
2009-02-02 13:23 . 2009-02-02 13:23 4286 ----a-w- c:\programme\lamaster icon3 32.ico
2009-02-02 13:20 . 2009-02-02 13:20 1150 ----a-w- c:\programme\lamaster icon3 16.ico
2009-02-02 11:48 . 2009-02-02 11:48 35775 ----a-w- c:\programme\lamaster setup.jpg
2009-02-02 09:53 . 2009-02-02 09:53 23462 ----a-w- c:\programme\LaMaster.de-licence.rtf
2008-11-13 18:04 . 2008-11-13 18:04 41582 ----a-w- c:\programme\setup.jpg
2009-09-25 16:41 . 2009-09-25 16:41 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

------- Sigcheck -------

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\winlogon.exe
[-] 2004-08-03 . CAEF653D55CC8D7A173E4E63BC58D7F2 . 546816 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2004-08-03 . CAEF653D55CC8D7A173E4E63BC58D7F2 . 546816 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
[-] 2001-08-18 . 4414F832E52F6E9E1BBB021E8A4323C5 . 474624 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\winlogon.exe

[-] 2008-04-14 . AD28671D1B83A386B070DC451A113C13 . 617472 . . [5.82] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\comctl32.dll
[-] 2008-04-14 . 3C93CE6C6985C55952B7BE6673E9FD15 . 1054208 . . [6.0] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\asms\60\msft\windows\common\controls\comctl32.dll
[-] 2004-08-03 . 78CB6A557486D498264BF3E6728AF81A . 718848 . . [5.82] . . c:\windows\ServicePackFiles\i386\comctl32.dll
[-] 2004-08-03 . 78CB6A557486D498264BF3E6728AF81A . 718848 . . [5.82] . . c:\windows\system32\comctl32.dll
[-] 2001-08-18 . 69683B517350C9C0CC20E78FD7EDC877 . 665088 . . [5.82] . . c:\windows\$NtServicePackUninstall$\comctl32.dll

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\explorer.exe
[-] 2004-08-03 . E8535CD4313DBAF191BA7945665126C3 . 4921344 . . [6.00.2900.2180] . . c:\windows\explorer.exe
[-] 2004-08-03 . E8535CD4313DBAF191BA7945665126C3 . 4921344 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2004-08-03 . E74DD582DF778B6B4725F09815109749 . 1553920 . . [6.00.2900.2180] . . c:\windows\VCP_SAVE\explorer.exe
[-] 2001-08-18 . E64373470C8B85C75BCBDDEB7656DBCD . 1522688 . . [6.00.2600.0000] . . c:\windows\$NtServicePackUninstall$\explorer.exe

[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\ctfmon.exe
[-] 2004-08-03 . 99203E789DA6E756EA34A8F836F4E99E . 25088 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2004-08-03 . 99203E789DA6E756EA34A8F836F4E99E . 25088 . . [5.1.2600.2180] . . c:\windows\system32\ctfmon.exe
[-] 2001-08-18 . 98036FF9094FB1E5A6AC56568D9B9B15 . 23040 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Shockwave Updater"="c:\windows\system32\Adobe\Shockwave 11\SwHelper_1151601.exe" [2009-07-21 468408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GUI"="c:\d-link\AirPlusG+\AirPlus.exe" [2005-08-24 1474560]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"AutoTG-LobbyPatcher"="c:\programme\Tagoria-Lobby\Auto-TG-Update.exe" [2009-05-17 228352]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2009-01-07 1468296]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 25088]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
D-Link AirPlus G+ Wireless Utility.lnk - c:\d-link\AirPlusG+\AirPlus.exe [2008-11-6 1474560]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoTG-LobbyPatcher]
2009-05-17 13:27 228352 ----a-w- c:\programme\Tagoria-Lobby\Auto-TG-Update.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2009-12-18 00:30 39424 ----a-w- c:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Valve\\hl.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Proxy1984\\Tor\\Tor.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [06.11.2008 18:59 17920]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.10.2009 18:19 108289]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\programme\Firebird\Firebird_2_1\bin\fbguard.exe -s DefaultInstance --> c:\programme\Firebird\Firebird_2_1\bin\fbguard.exe -s DefaultInstance [?]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance --> c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance [?]
R3 TNET1130;D-Link AirPlus G+ Wireless Adapter;c:\windows\system32\drivers\GPlus_XP.sys [06.11.2008 18:50 439296]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\f:\ntglm7x.sys --> f:\NTGLM7X.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2009-11-14 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
Trusted Zone: google.de
Trusted Zone: wurzelimperium.de
Trusted Zone: wurzelimperium.de\s26
FF - ProfilePath - c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\a77c3p90.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.de/search?q=
FF - prefs.js: browser.search.selectedEngine - Google (Language: DE)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
FF - plugin: c:\programme\Unity\WebPlayer\loader\npUnity3D32.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-14 21:44
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(828)
c:\windows\system32\sfc_os.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'explorer.exe'(2912)
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\LINKINFO.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\stobject.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\ATI Technologies\ATI.ACE\CLI.EXE
c:\programme\Microsoft IntelliPoint\dpupdchk.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Firebird\Firebird_2_1\bin\fbguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe
c:\programme\ATI Technologies\ATI.ACE\cli.exe
c:\programme\ATI Technologies\ATI.ACE\cli.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-14 21:48:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-14 20:48
ComboFix2.txt 2010-01-14 20:17

Vor Suchlauf: 5.668.016.128 Bytes frei
Nach Suchlauf: 5.582.077.952 Bytes frei

- - End Of File - - 0D77960D657C3F10D8DC2B6F810A5EFF

Bin nun erstmal bis morgen weg!
Was sind die weiteren schritte?

Vielen Dank schonmal für deine Hilfe

Mach nun bitte einen Kontrollscan mit Malwarebytes - Malwarebytes bitte vorher aktualisieren!

Noch net ganz fertig und infizierte objekte: 6

Toll. Damit kann ich nichts anfangen => Log posten!! :balla:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3568
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

15.01.2010 16:09:21
mbam-log-2010-01-15 (16-09-21).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 176616
Laufzeit: 1 hour(s), 33 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{1504B304-2D9F-41F7-9B07-C512A1DF4D43}\RP199\A0031826.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1504B304-2D9F-41F7-9B07-C512A1DF4D43}\RP199\A0031857.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1504B304-2D9F-41F7-9B07-C512A1DF4D43}\RP199\A0031904.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1504B304-2D9F-41F7-9B07-C512A1DF4D43}\RP199\A0031956.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1504B304-2D9F-41F7-9B07-C512A1DF4D43}\RP199\A0032027.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1504B304-2D9F-41F7-9B07-C512A1DF4D43}\RP199\A0032180.sys (Malware.Trace) -> Quarantined and deleted successfully.

___
Hat dass überhaupt ein Sinn?
Die erstellen sich doch immer wieder neu oder nicht?!

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Der Haken ist drinne und ich hab auf übernehmen geklickt...

Jetzt wieder rausnehmen und wieder auf übernehmen oder?

PC Neustarten und neuen Suchlauf machen?:D

Wurden keine gefunden.
Ich hoffe das bleibt jetzt so... Sonst meld ich mich nochmal

Kann ich avenger und cofi vom PC entfernen? (Oder nehmen die garnicht so viel Speicherplatz weg?)

Avenger kannst Du lassen, das Tool besteht nur aus der avenger.exe (auf Desktop bei Dir?). Combofix solltest Du wenn Du löschen willst so entfernen - Start, Auführen und das eintippen:
combofix /U und anschließend eben ausführen.

Dann wird wieder dieser Scan gemacht...

Kann man das nicht umgehen?

Dann lass es einfach und lösch einfach nur c:\Qoobox

Habe ich gemacht :)

Vielen Dank für deine Hilfe

Das gibts doch nicht...
Schon wieder 1 infiziertes objekt...
Und gerade mal angefangen zu suchen...

Ich glaube es hat kein sinn
Die erstellen sich immer neu...

Also...:balla:
Ich hab Dir schonmal gesagt dass Du die Logs posten musst!

Was bringt das noch?
Die Viren erstellen sich immer wieder neu

Der rechner ist wohl im Arsch :pukeface:

Hallo? :balla:
Wie soll ich Aussagen machen wenn Du mir die Infos nicht gibts? :pfui:

Alles klar...

Poste ich wieder wenn es fertig ist...

Aber er hat doch was gefunden und das wo?

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3570
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

15.01.2010 21:43:13
mbam-log-2010-01-15 (21-43-13).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 174093
Laufzeit: 1 hour(s), 21 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\cofi\Combo-Fix.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1504B304-2D9F-41F7-9B07-C512A1DF4D43}\RP201\A0032315.sys (Malware.Trace) -> Quarantined and deleted successfully.

Der entdeckt das was in den Combofix-Bestandteilen :pfui: ...Combofix ist gutartig, sonst hätte ich Dir das nicht aufgegeben! Dein Rechner dürfte sauber sein.

puh...
Dann lösch ich das mal aus der quarantäne :daumenhoc

Scanne morgen noch einmal... Und hoffe er ist clean^^

Genau _deswegen_ können Virenscanner auch gefährlich sein - Du musst lernen die Meldungen zu interpretieren und wissen, dass ein Virenscanner auch daneben liegen kann - NICHT gleich hysterisch glauben, der PC sei hinüber, nur weil ein Scanner was gemeldet hat.

Ein Fund ist erstmal nur ein Anhaltspunkt, rel. wahrscheinlich aber, dass es ein Schädling ist. Wenn man sich die Funde aber mal genauer ansieht, merkt man auch bei einigen schnell, dass es nur Fehlalarme sein können - und genau deswegen ist es hier so wichtig, dass Du vollständige Pfafangaben postest, ich kann weder auf Deinen Rechner zugreifen noch ne Glaskugel bedienen :D

Danke nochmal :)

Wie gesagt wenn wieder was ist meld ich mich :daumenhoc

TR/Trash.Gen wurde von Avira gefunden... Kam eine Meldung, war kein Scan

Der ist wohl doch nicht clean...
Ich glaub man kann es aufgeben!

Wie oft soll ich Dir denn noch schreiben, dass Du die kompetten Pfade posten musst! :headbang:

In der Datei 'C:\System Volume Information\_restore{1504B304-2D9F-41F7-9B07-C512A1DF4D43}\RP201\A0032371.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Habe ich!

Werde nachher nochmal Scannen...