Hallo nochmal,

nun ja, goldene Regeln, tut mir leid da war ich vorhin wohl etwas zu schnell.
Gegoogelt hatte ich vorher schon, aber nur verschiedene Dinge gefunden, denselben Trojaner in verschiedenen Dateien, mit Lösungen von einfach Löschen bis format C:.......dann dacht ich mir eben ich brauche speziell hilfe

also, inzwischen habe ich weiterer scanns laufen lassen und wieder etwas gefunden


mein system is winxp mit allen servicepacks und updates von ms

avg (aktuell) hat vorhin in der datei C:windows\system32\dll cache\wupdmgr.dll

den Trojaner "Backdoor Generic 10.TDZ" gefunden

die Datei wurde inzwischen mit der Windowsdateischutzfunktion neu gemacht. Nachdem mit AVG gelöscht. Mein System ist aber generll selstam, jeder neue scan (Spybot, AVG) findet einen neuen Spywarebefall, den es davor nicht gefunden hatte...obwohl ich nicht mehr in Internet war....

ich wäre sehr froh wenn mir jmd helfen würde....dankeschön

schreibt mir einfach jmd bitte welche scans ich machen soll und welche logs posten?

Hallo mausidavid und

Normalerweise sollte die "gutartige" Systemdatei hier liegen -> %system%wupdmgr.exe


Versuch mal folgendes:



SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.



Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)

danke für die Hilfe
also hier das SDfix ergebniss


#
SDFix: Version 1.237
Run by david on 24.10.2008 at 17:45

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\david\Desktop\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, ww.gmer.net
Rootkit scan 2008-10-24 17:57:25
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Opera\\opera.exe"="C:\\Programme\\Opera\\opera.exe:*:Enabled:Opera Internet Browser"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\AVG\\AVG8\\avgemc.exe"="C:\\Programme\\AVG\\AVG8\\avgemc.exe:*:Enabled:avgemc.exe"
"C:\\Programme\\AVG\\AVG8\\avgupd.exe"="C:\\Programme\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Sat 1 Sep 2007 1,572,864 A..H. --- "C:\Dokumente und Einstellungen\david\NTUSER.DAT.bak_jv16pt"
Mon 14 Apr 2008 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Thu 16 Oct 2008 6,108,728 A..H. --- "C:\Programme\Picasa2\setup.exe"
Sat 1 Sep 2007 23 A.SH. --- "C:\WINDOWS\system32\cfcffcff_g.dll"
Sat 1 Sep 2007 23 A.SH. --- "C:\WINDOWS\system32\cfcffcff_r.dll"
Sat 1 Sep 2007 262,144 A..H. --- "C:\Dokumente und Einstellungen\david\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.bak_jv16pt"
Fri 31 Aug 2007 262,144 A..H. --- "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.bak_jv16pt"
Fri 31 Aug 2007 262,144 A..H. --- "C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.bak_jv16pt"

Finished!
#

und hier das hijackfile

#
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:10:16, on 24.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\notepad.exe
C:\WZShutdown\P_zero.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Kerkia\Minimem\minimem1.2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\Digsby\lib\digsby-app.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\david\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [WZShutdown] C:\WZShutdown\P_zero.exe -hide
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [Minimem] C:\Programme\Kerkia\Minimem\minimem1.2.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: digsby.lnk = C:\Programme\Digsby\digsby.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - ://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 4500 bytes
#

so erstmal das, bevor es verlorengeht, malwarebytes lasse ich jetzt durchlaufen, poste dann sofort. Was mir noch aufgefallen ist, das ich den Pc nicht mehr herunterfahren kann.....ich klicke, warte 2min nichts passiert, geht nur noch mit langem Drücken auf den Aus/An schalter....und insgesamt ist er auch langsamer die letze Zeit, bleibt zwischendurch 10sec, hängen...

bis dann
danke

ps das mit dem code, verstehe ich nicht ganz...habe doch # gemacht? aber es hat sich nichts verändert....

so hier noch das malwarebiteslog

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1313
Windows 5.1.2600 Service Pack 3

24.10.2008 22:35:31
mbam-log-2008-10-24 (22-35-31).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 124611
Laufzeit: 3 hour(s), 53 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


hat lange gebraucht, und einwas gefunden....

gute nacht schonmal...

Also, wie sich gerade herausgestellt hat in einem anderen Thread, handelt es sich bei der bemängelten Datei um einen Fehlalarm seitens AVG!

Dein System sollte somit also clean sein..

das klingt super..... dann kann ich beruhigt, schlafen, und weiss wo ich mich bei ernsten Problemen hinwenden kann...

danke für die Hilfe...!

hoffentlich nerve ich nicht...aber was ist deiner Meinung nach die beste kostenlose Sicherheitsvariante? Also Virenscanner, Malware Spywarescanner usw?