Einmal mehr: windows recovery
 

Hallo und guten Abend,

auch ich habe das Problem, dass ich mir den "windows recovery" eingefangen habe. Entsprechend der Anleitung aus diesem Forum habe ich zunächst "rkill.com" runtergeladen und gestartet. Das eigenmächtige Runterfahren des PC´s konnte damit gestoppt werden. Weiterhin habe ich anschließend malwarebytes runtergeladen und einen vollständigen Scan laufen lassen.

Die Log-Datei lautet:



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6540

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

09.05.2011 22:51:28
mbam-log-2011-05-09 (22-51-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 262481
Laufzeit: 46 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 3
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\programme\MyWaySA\SrchAsDe\deSrcAs.dll (Adware.MyWebSearch) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{4D25F926-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4D25F921-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D25F921-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4D25F921-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{4D25F920-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4D25F923-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MyWaySearchAssistantDE.Auxiliary (Adware.MyWaySearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MyWaySearchAssistantDE.Auxiliary.1 (Adware.MyWaySearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\H8SRTd.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\efHhjWihQgMsG (Trojan.FakeAlert) -> Value: efHhjWihQgMsG -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{4D25F926-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Value: {4D25F926-B9FE-4682-BF72-8AB8210D6D75} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{4D25F926-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Value: {4D25F926-B9FE-4682-BF72-8AB8210D6D75} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\***\startmenü\programme\windows recovery (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\programme\MyWaySA (Adware.MyWebSearch) -> Delete on reboot.
c:\programme\MyWaySA\SrchAsDe (Adware.MyWebSearch) -> Delete on reboot.

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\efhhjwihqgmsg.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\programme\MyWaySA\SrchAsDe\deSrcAs.dll (Adware.MyWebSearch) -> Delete on reboot.
c:\dokumente und einstellungen\all users\anwendungsdaten\18472756.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\Desktop\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\startmenü\programme\windows recovery\uninstall windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\startmenü\programme\windows recovery\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\sysreserve.ini (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\h8srtefyoeirxtn.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.



Es ist nach dem Scan leider so, dass offensichtlich noch nicht alles bereinigt ist. So fehlen z.B. die gespeicherten Favoriten, der Destop-Hintergrund, das Startmenü, die Linkliste im IE, die Taskleiste sind leer...

Wie kann ich weiter verfahren?
Ich bitte um Eure freundliche Hilfe. Falls weitere Angaben benötigt werden, bitte ich um einen Hinweis.


Vielen Dank schon jetzt für die Unterstützung!
Gruß

schaun wir mal.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Danke schon mal für die Hilfe!

Beim Hochfahren des PC ist mir folgende Fehlermeldung aufgefallen:

"Fehler beim Laden von CTMBHA.DLL
Unzulässiger Zugriff auf einen Speicherbereich"

Habe das Fenster weggeclickt.

OTL habe ich laufen lassen, hier die Reports:

OTL Logfile:
--- --- ---

Und hier der 2.:
OTL EXTRAS Logfile:
--- --- ---


Vielen Dank für die freundliche Hilfe!

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Danke, werde ich abends machen.
Kannst Du denn jetzt schon erkennen, wie gravierend das Problem ist bzw. wie stark sich der Trojaner eingenistet hat?

bisher hab ich noch nicht viel erkannt, deswegen schaun wir mal weiter.

Beim ursprünglichen Hochfahren des PC kam wieder diese Meldung:

"Fehler beim Laden von CTMBHA.DLL
Unzulässiger Zugriff auf einen Speicherbereich"

Hat das weiter was zu bedeuten?


So, dann schaun wir mal weiter ;-)

hier der log von Combofix:

Combofix Logfile:
--- --- ---

Vielen Dank für die Hilfe!

jo der gehts jetzt an den kragen:
start programme zubehör editor, reinkopieren:

killall::
Rootkit::
C:\WINDOWS\System32\CTMBHA.DLL


Datei speichern unter, ort wo sich combofix.exe befindet
typ alle dateien
name cfscript.txt
ziehe cfscript auf combofix programm startet log posten.

Der haben wir nun offensichtlich den Kragen umgedreht ;-)
Das Fenster mit der Meldung kam nun beim Hochfahren nicht mehr!

Hab combofix mit der Editor-Datei laufen lassen, hier der Log:


Combofix Logfile:
--- --- ---



Startmenü zeigt nun wieder die Programme an, Taskleiste offensichtlich auch wieder vollständig.

Was kannst du aus diesem und dem ersten Log rauslesen? Kann man noch irgendwo Plagegeister erkennen?

Nochmals vielen Dank für Deine Hilfe!!

Habe inzwischen noch Antivir laufen lassen, es meldet 8 Funde

Das wäre der Log dazu, vielleicht nützen die Ergebnisse etwas!?



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 13. Mai 2011 09:48

Es wird nach 2727309 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DHWPK82J

Versionsinformationen:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 09:59:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:49:20
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 16:22:04
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 06:43:31
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 06:43:33
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 06:43:33
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 06:43:34
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 06:43:34
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 06:43:34
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 06:43:34
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 06:43:34
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 06:43:34
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 06:43:34
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 20:48:58
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 06:53:25
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 06:53:25
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 09:02:17
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 09:02:15
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 19:57:10
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 18:57:45
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 18:57:46
VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 18:57:46
VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 18:57:46
VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 18:57:47
VBASE024.VDF : 7.11.7.218 133120 Bytes 11.05.2011 22:20:16
VBASE025.VDF : 7.11.7.234 139776 Bytes 11.05.2011 22:20:16
VBASE026.VDF : 7.11.7.235 2048 Bytes 11.05.2011 22:20:16
VBASE027.VDF : 7.11.7.236 2048 Bytes 11.05.2011 22:20:16
VBASE028.VDF : 7.11.7.237 2048 Bytes 11.05.2011 22:20:17
VBASE029.VDF : 7.11.7.238 2048 Bytes 11.05.2011 22:20:17
VBASE030.VDF : 7.11.7.239 2048 Bytes 11.05.2011 22:20:17
VBASE031.VDF : 7.11.8.2 93184 Bytes 13.05.2011 06:33:55
Engineversion : 8.2.4.228
AEVDF.DLL : 8.1.2.1 106868 Bytes 05.08.2010 07:51:57
AESCRIPT.DLL : 8.1.3.61 1253754 Bytes 09.05.2011 18:57:49
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 22:40:23
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 22:40:25
AERDL.DLL : 8.1.9.9 639347 Bytes 26.03.2011 09:45:18
AEPACK.DLL : 8.2.6.0 549237 Bytes 08.04.2011 06:44:38
AEOFFICE.DLL : 8.1.1.22 205178 Bytes 09.05.2011 18:57:48
AEHEUR.DLL : 8.1.2.113 3494263 Bytes 09.05.2011 18:57:48
AEHELP.DLL : 8.1.16.1 246134 Bytes 04.02.2011 07:50:07
AEGEN.DLL : 8.1.5.4 397684 Bytes 05.04.2011 16:49:36
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 22:40:19
AECORE.DLL : 8.1.20.2 196982 Bytes 08.04.2011 06:43:41
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 17:32:17
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 10.0.0.9 174120 Bytes 06.03.2011 21:19:44
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 13. Mai 2011 09:48

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '63546' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'remind32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ltsstart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTDetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MediaDetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CamService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CreativeLicensing.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'clclean.0001' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AndreaVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSysVol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DMXLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ELService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSVCCDA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '59' Prozesse mit '59' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '69' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\mario.jar-216038d6-74188b48.zip
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BO
--> advert/market_patch.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BO
--> search/market.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BP
--> search/parser.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BJ.3
--> search/searchers.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BK.3
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP981\A0079764.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP981\A0079765.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP981\A0079773.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\mario.jar-216038d6-74188b48.zip
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BO
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e3ef4b8.qua' verschoben!
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP981\A0079764.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dfcf487.qua' verschoben!
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP981\A0079765.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c8a18d8.qua' verschoben!
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP981\A0079773.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c8b0090.qua' verschoben!


Ende des Suchlaufs: Freitag, 13. Mai 2011 11:05
Benötigte Zeit: 1:07:36 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

11271 Verzeichnisse wurden überprüft
336098 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
336088 Dateien ohne Befall
4544 Archive wurden durchsucht
2 Warnungen
6 Hinweise
63546 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

sieht gut aus soweit.

lade den ccleaner slim:
Piriform - Builds
falls der ccleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

puh, dann bin ich fürs Erste mal erleichert.
In anderen Threads habe ich manchmal deine Empfehlung gelesen, das Konto bei Online-Banking sperren zu lassen. Bei mir besteht da kein Grund?

ok, hab ich gemacht, hier die kommentierte Liste:

3D Designer Software Haus und Wohnung zdynamix Informationstechnologie GmbH nicht notwendig
Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 10.1.85.3 notwendig
Adobe Reader 9.1 - Deutsch Adobe Systems Incorporated 9.1.0 notwendig
Andrea VoiceCenter unbekannt
Apple Application Support Apple Inc. 1.5.0 notwendig
Apple Mobile Device Support Apple Inc. 3.4.0.25 notwendig
Apple Software Update Apple Inc. 2.1.2.120 notwendig
ARTEuro Dell 1.00.0000 unbekannt
Avira AntiVir Personal - Free Antivirus Avira GmbH notwendig
Bonjour Apple Inc. 2.0.4.0 unbekannt
CCleaner Piriform 3.06 notwendig
Corel Paint Shop Pro X Corel Inc 10.0 notwendig
Corel Photo Album 6 Corel, Inc. 6.33 notwendig
Creative MediaSource 3.00 unbekannt
Dell CinePlayer Dell 3.0 unbekannt
Dell Driver Reset Tool Dell Inc. 1.02.0000 unbekannt
Dell System Restore Ihr Firmenname 2.00.0000 unbekannt
ElsterFormular 2006/2007 Steuerverwaltung des Bundes und der Länder 8.2.1.0 notwendig
ElsterFormular 2007/2008 Steuerverwaltung des Bundes und der Länder 9.1.0.0 notwendig
ElsterFormular 2008/2009 Steuerverwaltung des Bundes und der Länder 10.0.0.0 notwendig
ElsterFormular für Privatanwender Landesfinanzdirektion Thüringen 12.0.0.5880p notwendig
Falk Navi-Manager Falk Navigation GmbH 2.6.1 notwendig
GemMaster Mystic unbekannt
Google Earth Plug-in Google 5.2.1.1588 notwendig
Google Toolbar for Internet Explorer notwendig
Hercules DualPix HD Webcam Hercules 1.00.0000 notwendig
High Definition Audio Driver Package - KB835221 Microsoft Corporation 20040219.000000 unbekannt
IKEA HomePlanner Bedroom IKEA IT 1.9.6 nicht notwendig
Intel Matrix Storage Manager unbekannt
Intel(R) PRO Network Connections Drivers unbekannt
Intel(R) PROSet for Wired Connections Dell 9.30.0000 unbekannt
Intel(R) Quick Resume Technology Drivers Intel Corporation 1.0.0.1093 unbekannt
Intel® Viiv™ Intel Corporation 1.0.1.2012 unbekannt
iTunes Apple Inc. 10.2.1.1 notwendig
J2SE Runtime Environment 5.0 Update 6 Sun Microsystems, Inc. 1.5.0.60 unbekannt
J2SE Runtime Environment 5.0 Update 9 Sun Microsystems, Inc. 1.5.0.90 unbekannt
Java 2 Runtime Environment, SE v1.4.2_03 Sun Microsystems, Inc. 1.4.2_03 unbekannt
Lotus SmartSuite 97 notwendig
Malwarebytes' Anti-Malware Malwarebytes Corporation notwendig
Microsoft .NET Framework 1.0 Hotfix (KB953295) Microsoft Corporation unbekannt
Microsoft .NET Framework 1.0 Hotfix (KB979904) Microsoft Corporation unbekannt
Microsoft .NET Framework 1.1 unbekannt
Microsoft .NET Framework 1.1 German Language Pack Microsoft 1.1.4322 unbekannt
Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 2.2.30729 unbekannt
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU Microsoft Corporation 2.2.30729 unbekannt
Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 3.2.30729 unbekannt
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU Microsoft Corporation 3.2.30729 unbekannt
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft Corporation unbekannt
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation unbekannt
Microsoft ActiveSync Microsoft Corporation 4.5.5096.0 unbekannt
Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 1 unbekannt
Microsoft Office PowerPoint Viewer 2007 (German) Microsoft Corporation 12.0.6425.1000 notwendig
Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation unbekannt
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 Microsoft Corporation 9.0.30729 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 9.0.30729 unbekannt
Microsoft Works 7.0 Microsoft Corporation 07.02.0702 notwendig
MSXML 4.0 SP2 (KB927978) Microsoft Corporation 4.20.9841.0 unbekannt
MSXML 4.0 SP2 (KB936181) Microsoft Corporation 4.20.9848.0 unbekannt
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 4.20.9870.0 unbekannt
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 4.20.9876.0 unbekannt
My Way Search Assistant MyWay 1.0.1 unbekannt
MyPhoneExplorer F.J. Wechselberger 1.6.3 notwendig
NVIDIA Drivers unbekannt
Octoshape Streaming Services unbekannt
Otto unbekannt
Paint.NET v3.5.8 dotPDN LLC 3.58.0 notwendig
QuickTime Apple Inc. 7.69.80.9 notwendig
Roxio DLA Roxio 5.2.0 notwendig
Roxio MyDVD LE Roxio 6.1.6 notwendig
Roxio RecordNow Audio Roxio 2.0.4 notwendig
Roxio RecordNow Copy Roxio 2.0.4 notwendig
Roxio RecordNow Data Roxio 2.0.4 notwendig
Sonic Advanced Decoder unbekannt
Sonic Encoders Sonic Solutions 1.00 unbekannt
Sonic Update Manager Sonic Solutions 3.0.0 unbekannt
Sound Blaster Audigy ADVANCED MB 1.0 unbekannt
Sound Blaster Audigy ADVANCED MB Produktregistrierung unbekannt
streamWriter unbekannt
Windows Installer 3.1 (KB893803) Microsoft Corporation notwendig
Windows Internet Explorer 7 Microsoft Corporation 20061107.210142 notwendig
Windows Live Anmelde-Assistent Microsoft Corporation 5.000.818.5 notwendig
Windows Live Essentials Microsoft Corporation 14.0.8089.0726 notwendig
Windows Live-Uploadtool Microsoft Corporation 14.0.8014.1029 notwendig
Windows Media Format 11 runtime notwendig
Windows Media Player 11 notwendig
Windows XP Service Pack 3 Microsoft Corporation 20080414.031514 notwendig


Vielen Dank!!!!

du hattest keine zusätzliche malware die das nötig macht.

deinstaliere:
3D Designer


Adobe Reader 9
Adobe - Adobe Reader herunterladen - Alle Versionen
nimm den haken bei mcafee security scan raus.
öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus,
internet, ebenfalls alle haken raus.
so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden.
unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken.
unter update, auf instalieren stellen.
klicke übernehmen /ok

deinstaliere.
Andrea VoiceCenter
Bonjour
ElsterFormular brauchst du alle versionen?
GemMaster
Google Toolbar zusätzliches risiko, weg damit.
J2SE alle
Java 2
Java SE Downloads
klicke download jre lade offline installer für dein system.

My Way
Octoshape
Otto

bereinige mit dem ccleaner.
rechtsklick arbeitsplatz eigenschaften systemwiederherstellung.
deaktiviere auf allen laufwerken.
übernehmen ok.
5 min warten, wieder einschalten

Danke für deine Tipps! Echt unglaublich, was Du dir für Mühe gibst!

Hab soweit alles hinbekommen. Unsicher bzw. ohne Plan bin ich mir bei:

-"Java SE Downloads
klicke download jre lade offline installer für dein system."

habe hier geclickt und installiert:
"Product/File Description: Windows x86 Offline
Download: jre-6u25-windows-i586.exe"

Hoffe, das war so ok!?

- mit dem CCleaner wurden offensichtlich alle Cookies gelöscht. Soll ich zukünftig keine mehr speichern? Manche erleichtern ja schon die Arbeit ;-)

-"rechtsklick arbeitsplatz eigenschaften systemwiederherstellung.
deaktiviere auf allen laufwerken."

Soll ich das Kästchen "Systemwiederherstellung deaktivieren" ankreuzen, also aktivieren? (verwirrend ;-))
Bekomme dann folgendes Fenster:
"Sie haben sich entschlossen, die Systemwiederherstellung zu deaktivieren. Falls Sie diesen Vorgang fortsetzen, werden alle bestehenden Wiederherstellungspunkte gelöscht und Computeränderungen können nicht mehr nachverfolgt oder rückgängig gemacht werden.
Sind Sie sicher, dass Sie die Systemwiederherstellung deaktivieren wollen?"

Habe vorerst "Nein" geclickt. Soll ich also die alten Wiederherstellungspunkte löschen?

Vielen Dank!

java löschung ist ok.
kookies speichern ist prinzipiell auch ok.
klicke ja bei der systemwiederherstellung, warte ein paar minuten und und dann das kästchen deaktivieren.

Ok, Systemwiederherstellung kurz deaktiviert, nach ein paar Minuten Haken wieder raus.
Bin bereit für weitere Anweisungen :-)

Vielen Dank!

letzter scan und dann sichern wir das system ab.
erst mal öffne otl klicke bereinigung, alle tools werden gelöscht mit denen wir bereinigt haben.
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig.
den update auftrag auf 1x pro tag einstellen.
und "nachhohlen falls zeit überschritten" auswählen
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Ok, hab ich soweit erledigt.
Der Link zur Deinstallation vom Avira 9 ist offensichtlich nicht mehr aktuell. Habe es einfach über Systemsteuerung, Software, entfernen gemacht.

Avira 10 ist installiert und gelaufen, hier der Log:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 15. Mai 2011 09:52

Es wird nach 2730903 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : ***
Computername : DHWPK82J

Versionsinformationen:
BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 01.04.2011 15:07:08
AVSCAN.DLL : 10.0.3.0 56168 Bytes 01.04.2011 15:07:22
LUKE.DLL : 10.0.3.2 104296 Bytes 01.04.2011 15:07:16
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:15:11
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 14:15:12
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 23:55:11
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 23:55:11
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 23:55:11
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 23:55:11
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 23:55:11
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 23:55:11
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 23:55:11
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 23:55:11
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 23:55:11
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 23:55:11
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 23:55:11
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 23:55:11
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 23:55:11
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 23:55:12
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 23:55:12
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 23:55:12
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 23:55:12
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 23:55:12
VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 23:55:12
VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 23:55:13
VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 23:55:13
VBASE024.VDF : 7.11.7.218 133120 Bytes 11.05.2011 23:55:13
VBASE025.VDF : 7.11.7.234 139776 Bytes 11.05.2011 23:55:13
VBASE026.VDF : 7.11.8.16 147456 Bytes 13.05.2011 23:55:13
VBASE027.VDF : 7.11.8.17 2048 Bytes 13.05.2011 23:55:13
VBASE028.VDF : 7.11.8.18 2048 Bytes 13.05.2011 23:55:13
VBASE029.VDF : 7.11.8.19 2048 Bytes 13.05.2011 23:55:13
VBASE030.VDF : 7.11.8.20 2048 Bytes 13.05.2011 23:55:13
VBASE031.VDF : 7.11.8.21 2048 Bytes 13.05.2011 23:55:13
Engineversion : 8.2.4.228
AEVDF.DLL : 8.1.2.1 106868 Bytes 28.03.2011 14:14:53
AESCRIPT.DLL : 8.1.3.61 1253754 Bytes 14.05.2011 23:55:16
AESCN.DLL : 8.1.7.2 127349 Bytes 28.03.2011 14:14:53
AESBX.DLL : 8.1.3.2 254324 Bytes 28.03.2011 14:14:53
AERDL.DLL : 8.1.9.9 639347 Bytes 25.03.2011 10:21:38
AEPACK.DLL : 8.2.6.0 549237 Bytes 14.05.2011 23:55:15
AEOFFICE.DLL : 8.1.1.22 205178 Bytes 14.05.2011 23:55:15
AEHEUR.DLL : 8.1.2.113 3494263 Bytes 14.05.2011 23:55:15
AEHELP.DLL : 8.1.16.1 246134 Bytes 28.03.2011 14:14:46
AEGEN.DLL : 8.1.5.4 397684 Bytes 14.05.2011 23:55:14
AEEMU.DLL : 8.1.3.0 393589 Bytes 28.03.2011 14:14:45
AECORE.DLL : 8.1.20.2 196982 Bytes 14.05.2011 23:55:14
AEBB.DLL : 8.1.1.0 53618 Bytes 28.03.2011 14:14:44
AVWINLL.DLL : 10.0.0.0 19304 Bytes 28.03.2011 14:14:57
AVPREF.DLL : 10.0.0.0 44904 Bytes 01.04.2011 15:07:07
AVREP.DLL : 10.0.0.9 174120 Bytes 14.05.2011 23:55:16
AVREG.DLL : 10.0.3.2 53096 Bytes 01.04.2011 15:07:07
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 01.04.2011 15:07:08
AVARKT.DLL : 10.0.22.6 231784 Bytes 01.04.2011 15:07:04
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 01.04.2011 15:07:06
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 28.03.2011 14:14:57
NETNT.DLL : 10.0.0.0 11624 Bytes 28.03.2011 14:15:04
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 01.04.2011 15:07:24
RCTEXT.DLL : 10.0.58.0 98152 Bytes 28.03.2011 14:15:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, F:, G:, H:, I:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 15. Mai 2011 09:52

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '123w.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'calc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msimn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CreativeLicensing.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'remind32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ltsstart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTDetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MediaDetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CamService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'clclean.0001' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSysVol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DMXLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iaanotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ELService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iaantmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTsvcCDA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[INFO] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
[INFO] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
[INFO] Im Laufwerk 'I:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1787' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'D:\' <Audio CD>
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Sonntag, 15. Mai 2011 10:53
Benötigte Zeit: 1:01:12 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

9030 Verzeichnisse wurden überprüft
296168 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
296168 Dateien ohne Befall
4499 Archive wurden durchsucht
0 Warnungen
0 Hinweise
59800 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Fällt noch irgendetwas auf?

Vielen Dank!!

nö sieht gut aus, wenn von deiner seite nichts mehr ist, können wir noch den pc absichern für die zukunft.

Ich bin soweit auch sehr zufrieden, nur eines klappt nicht bzw. ist neu: wenn ich Handy per USB an den Pc stecken und zur Übertragung der Fotos in den Datenübertragungsmodus gehe, stürzt es dauernd ab. 5 mal versucht, immer abgeschmiert. Vor dem Trojaner gabs nie diese Probleme.
Was meinst du dazu?

du nutzt da ja sicher ne software für, kannst du diese mal deinstalieren, neustarten und neu instalieren?

Nö, dazu nutz ich keine spezielle Software. Kopiere die Fotos
einfach im Explorer vom Handy auf Festplatte. Jetzt erkennt der Explorer nicht mehr, dass Wechseldatenträger angeschlossen ist und Handy stürzt dabei ab.

wird das handy auch nciht unter arbeitsplatz angezeigt?

Nach 5 erfolglosen Versuchen hatte ich es Vormittag aufgegeben. Da wurde das Handy nicht unter Arbeitsplatz angezeigt.
Jetzt nochmals versucht, nun gings wie gewohnt. Keine Ahnung, woran es lag!?
(offtopic: könntest du ne Software empfehlen, die das Foto runterladen und verwalten einfacher macht? .... möglichst günstig bzw. sogar kostenlos)

Dieses Problem sollte also geklärt sein und wir können mit der Absicherung weitermachen.

sorry kann ich leider nicht.
kannst ja mal im bereich windows nachfragen evtl. kennt ja jemand was.

pc absichern:
http://www.trojaner-board.de/96344-a...-rechners.html
alle xp tipps außer sp3 und eingeschrenktes konto, allgemeine tipps, außer antivirus, aber für firefox noch noscript und adblock+
dann
Maßnahmen für ALLE Windows-Versionen abarbeiten.
adblock filter:
hier gibt es noch filterlisten:
Bekannte Filterlisten fr Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.


um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
geht auch unter
c:\windows\sandboxie.ini
unter dem eintrag defauld box
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
klicke ab sofort zum surfen nur auf sandboxed web browser.
keine angst, es wird sich nichts weiter verendern für dich beim surfen.