TR/Dropper.Gen

Kenshin · 29.04.2009, 14:44

Hallo, ich habe wie wohl auch viele andere hier ein Problem.

Ich habe mir offensichtlich einen Virus/Trojaner (TR/Dropper.Gen ) eingefangen und werde diesen nicht los (weiß auch nicht so recht wie). Habe Avira AntiVir Personal als AV und dieser hängt sich mittlerweile auch mal gerne auf beim Scannen. Vorher konnte ich aber diesen auch nicht löschen oder in quarantäne stecken, bei jedem neuen Scan tauchte dieser wieder auf.

Mir ist bekannt, dass es schon Leute vor mir mit diesem Problem gab, leider können mir diese Threads nicht weiterhelfen, da ich die besagten Tools etc. (escan, HJT etc.), nicht runterladen kann und auch bsw. auf die HP von escan über Google nicht gelange. Ich lande dann immer auf irgendwelchen Bild-Zeitung ähnlichen Seiten, apple etc. . Laut Tune Up starten auch einige dem Programm und mir unbekannte Dateien beim hochfahren: Lib, prnet.tmp und CLIStart.exe. Beim letzten habe ich durch googeln und lesen in diesem Forum erfahren, dass dies kein Virus o. ähnliches ist, die anderen beiden sagen mir weiterhin nix

Desweiteren geht der PC ohne das ich was mache zwischendurch mal aus und fährt automatisch wieder hoch als wäre nix gewesen (Seiten werden nicht gespeichert und Programme müssen neu gestartet werden).

Ich hoffe man kann mir (bzw. meinem PC noch irgendwie helfen. Sollte ich irgendwas vergssen haben oder irgendwelche Infos benötigt werden, ich bin totaler Depp was PCs angeht und brauche Hilfe/Ortsangaben wo ich welche Daten über meinen PC/Internet etc. erfragen und hier posten kann

Hier schon mal einige Daten zu meinem PC:

System: Microsoft XP Professional Version 2002 SP 2
Computer:
AMD Athlon(tm) 64 Processor
3000+
2,01 GHz, 1 GB RAM

Grafikkarte: Radeon X1300/X1550 Series
Radeon X1300/X1550 Series Secondary

Als Browser habe ich Firefox 3.0.8

Ich weiß, es ist nicht das neuste (war es für mich auch nie) aber ich bin eigentlich immer zufrieden damit gewesen was ich hatte.

Wäre euch sehr dankbar wenn mir jemand weiterhelfen kann.

Edit:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:51:43, on 29.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
\?\globalroot\C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: C:\WINDOWS\system32\yhs783ijfo3fe.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\648245428.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [autochk] rundll32.exe C:\DOKUME~1\LOCALS~1\protect.dll,_IWMPEvents@16 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [A00FEBBD9.exe] C:\WINDOWS\TEMP\_A00FEBBD9.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM')
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\barijatu.dll c:\windows\system32\ c:\windows\system32\sirifiwi.dll
O20 - Winlogon Notify: __c005EA76 - C:\WINDOWS\
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file)
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7037 bytes

Sollte noch irgendwo eine Adresse nicht richtig bearbeitet worden sein oder irgendwelche Daten von mir würde ich mich freuen, wenn man mir das mitteilen würde damit ich dies dann ändern kann.

Angel21 · 29.04.2009, 21:28

Hallo, lade diese drei Datein mal bitte gemäß dieser Anleitung: http://www.trojaner-board.de/54791-a...ner-board.html bei uns hoch.

Diese 3Datein zum Upload wäre diese hier

Zitat:

C:\WINDOWS\system32\yhs783ijfo3fe.dll

und diese hier

Zitat:

c:\windows\system32\sirifiwi.dll

und ebenso noch diese hier

Zitat:

C:\WINDOWS\system32\barijatu.dll

Nach dem Upload der Datein arbeitest du anschließen diese Anleitung ab: http://www.trojaner-board.de/69886-a...-beachten.html

1. CCleaner
2. MBAM
3. Uninstall list

Kenshin · 30.04.2009, 12:54

Ok, hat jetzt doch geklappt die Programme runterzuladen, auch wenn ich vorher immer auf eine andere Seite gelandet bin...

CCleaner: Hat alles geklappt (Scan+Reinigung) wie es auch in der Forumsanleitung steht.

Malwarebytes-Anti-Malware: Hat auch geklappt, Bericht hänge ich gleich dahinter.

UND HIER MEIN MALEWARE SCAN:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2061
Windows 5.1.2600 Service Pack 2

30.04.2009 12:57:24
mbam-log-2009-04-30 (12-57-24).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 224583
Laufzeit: 38 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 5
Infizierte Verzeichnisse: 4
Infizierte Dateien: 28

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\Temp\msb.dll (Worm.Autorun) -> Delete on reboot.
C:\WINDOWS\system32\autochk.dll (Worm.Autorun) -> Delete on reboot.
C:\WINDOWS\system32\yhs783ijfo3fe.dll (Roorkit.Agent) -> Delete on reboot.
C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Zlob.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Roorkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Roorkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c005ea76 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> Quarantined and deleted successfully.
KHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prnet (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Zlob.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Worm.Autorun) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Worm.Autorun) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\WebMediaPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\updates (Adware.EGDAccess) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\yhs783ijfo3fe.dll (Trojan.Zlob.H) -> Delete on reboot.
C:\WINDOWS\Temp\msb.dll (Worm.Autorun) -> Delete on reboot.
C:\WINDOWS\system32\autochk.dll (Worm.Autorun) -> Delete on reboot.
C:\Dokumente und Einstellungen\LocalService\protect.dll (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\protect.dll (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\protect.dll (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Startmenü\Programme\Autostart\ChkDisk.dll (Worm.Autorun) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-2025429265-1078081533-839522115-1003\Dc1281.exe (Adware.Navipromo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ak1.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lmppcsetup.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\prnet.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winglsetup.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\protect.dll (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\ChkDisk.dll (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\uninst.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\WebMediaPlayer.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources\wmp_translation_file.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins\classic.skn (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ftp_non_crp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temp\mousehook.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\p2hhr.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\win32hlp.cnf (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\Temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\loader49.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

HijackThis: Hier hab ich Probleme! Die 3 von dir angegebenen Dateien:

Zitat:
C:\WINDOWS\system32\yhs783ijfo3fe.dll

und diese hier

Zitat:
c:\windows\system32\sirifiwi.dll

und ebenso noch diese hier

Zitat:
C:\WINDOWS\system32\barijatu.dll

kann ich mit Hilfe des Uploaders nicht hochladen, da steht immer: Datei konnte nicht gefunden werden. Ich poste die 3 Logs jetzt so wie es hier steht: http://www.trojaner-board.de/51130-anleitung-hijackthis.html

Hoffe das ist auch richtig, ansonsten weiß ich nicht weiter! Bitte habt nachsicht, das ist alles für mich absolutes Neuland!

Evtl. lasse ich das ganze nochmal durch den HJT laufen, viellecht klappt das?

Hier erst mal meine erste Logfile in 3 Teile gepackt:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:51:43, on 29.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Code:

ATTFilter

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
\?\globalroot\C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

Code:

ATTFilter

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: C:\WINDOWS\system32\yhs783ijfo3fe.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\648245428.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [autochk] rundll32.exe C:\DOKUME~1\LOCALS~1\protect.dll,_IWMPEvents@16 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [A00FEBBD9.exe] C:\WINDOWS\TEMP\_A00FEBBD9.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM')
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\barijatu.dll c:\windows\system32\ c:\windows\system32\sirifiwi.dll
O20 - Winlogon Notify: __c005EA76 - C:\WINDOWS\
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file)
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\yhs783ijfo3fe.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

Auf der Hilfe für alle Hilfesuchenden steht:
Hinweis! Um dieses Ausführen zu können, muß HijackThis in einen eigenem Verzeichnis gestartet werden. Am besten: c:\Programme\HijackThis

Bei mir ist es so: C:\Programme\Trend Micro\HijackThis

Hoffe das ist auch OK???

Code:

ATTFilter

Adobe Flash Player Plugin
Adobe Reader 8 - Deutsch
AnyDVD
ArcSoft PhotoStudio 5.5
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
Audiograbber 1.83 SE 
Avira AntiVir Personal - Free Antivirus
Azureus
Battlefield 2(TM)
Call of Duty(R) 2
Canon MP Navigator 2.0
Canon MP170
Canon Utilities Easy-PhotoPrint
CCleaner (remove only)
CloneDVD
Deinstallation der Arcor Online Software
DivX Codec
DivX Content Uploader
DivX Converter
DivX Player
DivX Web Player
DVD Player Trial Version 7.0
DVD Shrink 3.2 deutsch
DVDx
Easy-WebPrint
Express Rip Uninstall
Favorit
Free FLV Converter V 6.0.0
HijackThis 2.0.2
Hotfix for Windows XP (KB915865)
Hotfix für Windows XP (KB897338)
Hotfix für Windows XP (KB898900)
Hotfix für Windows XP (KB899271)
Hotfix für Windows XP (KB903234)
Hotfix für Windows XP (KB904412)
Hotfix für Windows XP (KB906569)
Hotfix für Windows XP (KB907865)
Hotfix für Windows XP (KB912817)
Hotfix für Windows XP (KB913296)
Hotfix für Windows XP (KB913538)
Hotfix für Windows XP (KB914440)
Hotfix für Windows XP (KB914841)
Hotfix für Windows XP (KB917021)
Hotfix für Windows XP (KB917730)
Hotfix für Windows XP (KB918005)
Hotfix für Windows XP (KB924867)
Hotfix für Windows XP (KB924941)
Hotfix für Windows XP (KB929120)
Hotfix für Windows XP (KB952287)
ICQ6
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 5
J2SE Runtime Environment 5.0 Update 6
J2SE Runtime Environment 5.0 Update 9
Java(TM) 6 Update 2
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Macromedia Flash Player 8
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office XP Professional mit FrontPage
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
miss_maerz_07 Screen Saver
Mozilla Firefox (3.0.8)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Nero OEM
NVIDIA Drivers
Odyssey Client
OmniPage SE 2.0
PowerDVD
Realtek AC'97 Audio
SAMSUNG CDMA Modem Driver Set
SAMSUNG Mobile Composite Device Software
Samsung Mobile phone USB driver Software
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Samsung PC Studio
Samsung PC Studio 3 USB Driver Installer
SCR33xx USB Smartcard Reader
screen7 ScreenSaver
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows XP (KB890046)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896424)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899589)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901190)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB912919)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920214)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923694)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924191)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925486)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB937894)
Sicherheitsupdate für Windows XP (KB938127)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB941693)
Sicherheitsupdate für Windows XP (KB943055)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB944338)
Sicherheitsupdate für Windows XP (KB944653)
Sicherheitsupdate für Windows XP (KB945553)
Sicherheitsupdate für Windows XP (KB946026)
Sicherheitsupdate für Windows XP (KB947864)
Sicherheitsupdate für Windows XP (KB948590)
Sicherheitsupdate für Windows XP (KB948881)
Sicherheitsupdate für Windows XP (KB950749)
Sicherheitsupdate für Windows XP (KB950759)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Skype™ 4.0
SpeechRedist
Spybot - Search & Destroy
Switch Uninstall
TuneUp Utilities 2008
Unreal Tournament 2004
Update für Windows XP (KB894391)
Update für Windows XP (KB896256)
Update für Windows XP (KB897663)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB904942)
Update für Windows XP (KB907265)
Update für Windows XP (KB908521)
Update für Windows XP (KB908531)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB916846)
Update für Windows XP (KB920342)
Update für Windows XP (KB920872)
Update für Windows XP (KB922120)
Update für Windows XP (KB922582)
Update für Windows XP (KB925720)
Update für Windows XP (KB927891)
Update für Windows XP (KB930916)
Update für Windows XP (KB932823-v3)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
Update für Windows XP (KB951072-v2)
VideoLAN VLC media player 0.8.6d
Winamp
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Media Format Runtime
Windows Media Player 10
Windows XP-Hotfix - KB319740
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB884883
Windows XP-Hotfix - KB885222
Windows XP-Hotfix - KB885626
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB885884
Windows XP-Hotfix - KB885894
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB886677
Windows XP-Hotfix - KB886716
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB889016
Windows XP-Hotfix - KB889673
Windows XP-Hotfix - KB890831
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
Windows XP-Hotfix - KB896626
WinRAR
WLAN Monitor
WLAN Quick-Starter

Hoffe das Hilft euch und im nachhinein auch mir weiter, ich versuche auch möglichst alles richtig zu machen

Danke schon mal für die Mühen

iblis · 01.05.2009, 21:24

@ Kenshin:
Ich hatte den auch, aber nach 5 Stunden sinnlosem rumgeaddel (Scans mit diversen Scannern im abgesicherten etc. nur um festzustellen, dass der scheiß immernoch drauf is...) bin ich dann in den Registrierungseditor, hab dort alle Dateien dich mit TR/Dropper.Gen zu tun haben, gelöscht.
Dann schließt du den regedit. und öffnest ihn wieder und machst das ganze so lange, bis er nach erneutem öffnen nix mehr findet...
und seitdem isser bei mir weg (frag mich net warum...isso.)

MfG

Angel21 · 01.05.2009, 21:29

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Kenshin · 02.05.2009, 12:25

OK, habe jetzt den CCleaner und anschließend das ComboFix durchlaufen lassen und alles so gemacht wie das Programm es von mir verlangt hat, leider habe ich auf Wunsch des Programmes die Systemwiederherstellungskonsole auch gemacht, und erst jetzt festgestellt, dass es das war was veraltet ist. Ich hoffe es ist nicht so schlimm. Irgendwas aber ist immer noch nicht richtig, als ich über Google auf diese Seite gehen wollte, kam ich wie die Tage vorher auf irgendeine Nachrichtenseite. Meine Lesezeichen im Firefox Browser sind leider auch alle weg :-(

Was muss ich jetzt machen?

Angel21 · 02.05.2009, 12:29

Sind die Lesezeichen schon vor dem Combofix Scan weggewesen?
Bitte poste das Combofix Log hier rein.

Zu finden unter C oder dem jeweiligen Pfad den du angegeben hattest.

Kenshin · 02.05.2009, 12:53

Hallo, ne ich war noch ein paar Min. vorher im Internet und da waren noch alle Lesezeichen vorhanden. Vielleicht hat sie der CCleaner gelöscht. Oder macht der Combofix sowas evtl. auch mal?
Was mach ich mit dem Combofix jetzt? Kann ich es wieder löschen? in einen anderen Ordner verschieben kann ich es anscheinend nicht (da erstellt er nur eine Verknüpfung in dem gewünschten Ordner)!

Hier der Log

Code:

ATTFilter

ComboFix 09-05-02.4 - ** 02.05.2009 13:09.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\**\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\kyiwm.dat
c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\kyiwm.exe
c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\kyiwm_nav.dat
c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\kyiwm_navps.dat
c:\windows\system32\drivers\npf.sys
c:\windows\system32\lmppcsetup.exe
c:\windows\system32\norupeze.exe
c:\windows\system32\Packet.dll
c:\windows\system32\plugin1.dat
c:\windows\system32\WanPacket.dll
c:\windows\system32\win32hlp.cnf
c:\windows\system32\wpcap.dll

Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert 
Kopie von - c:\qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir wurde wiederhergestellt

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


(((((((((((((((((((((((   Dateien erstellt von 2009-04-02 bis 2009-05-02  ))))))))))))))))))))))))))))))
.

2009-04-30 10:16 . 2009-04-30 10:16	--------	d-----w	c:\dokumente und einstellungen\**\Anwendungsdaten\Malwarebytes
2009-04-30 10:16 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-04-30 10:16 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-30 10:16 . 2009-04-30 10:16	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-30 10:16 . 2009-04-30 10:16	--------	d-----w	c:\programme\Malwarebytes' Anti-Malware
2009-04-30 09:59 . 2009-04-30 09:59	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\wmp
2009-04-29 13:49 . 2009-04-29 13:49	--------	d-----w	c:\programme\Trend Micro
2009-04-29 10:54 . 2009-04-29 10:54	306432	----a-w	c:\windows\system32\TuneUpDefragService.exe
2009-04-29 10:54 . 2007-12-20 08:41	29440	----a-w	c:\windows\system32\uxtuneup.dll
2009-04-29 10:54 . 2009-04-29 10:54	--------	d-----w	c:\programme\TuneUp Utilities 2008
2009-04-29 10:53 . 2009-04-29 10:53	--------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-26 08:31 . 2009-04-28 09:15	55640	----a-w	c:\windows\system32\drivers\avgntflt.sys
2009-04-26 08:31 . 2009-04-26 08:31	--------	d-----w	c:\programme\Avira

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-02 11:12 . 2006-03-14 14:10	--------	d-----w	c:\programme\WLAN Quick-Starter
2009-05-02 11:12 . 2006-03-14 14:10	--------	d-----w	c:\programme\WLAN Monitor
2009-05-02 11:12 . 2006-03-12 19:02	6	---ha-w	c:\windows\Tasks\SA.DAT
2009-04-30 09:38 . 2007-12-27 13:02	--------	d-----w	c:\programme\CCleaner
2009-04-29 10:55 . 2008-08-03 14:37	392	----a-w	c:\windows\Tasks\1-Klick-Wartung.job
2009-04-26 09:34 . 2008-07-30 11:58	--------	d-----w	c:\programme\Spybot - Search & Destroy
2009-04-15 07:10 . 2006-03-20 15:13	--------	d-----w	c:\programme\Azureus
2009-03-29 09:33 . 2001-08-18 12:00	74996	----a-w	c:\windows\system32\perfc007.dat
2009-03-29 09:33 . 2001-08-18 12:00	415470	----a-w	c:\windows\system32\perfh007.dat
2009-03-26 16:02 . 2008-07-19 13:52	--------	d-----w	c:\programme\ICQ6
2009-03-08 09:06 . 2008-06-13 22:07	--------	d-----w	c:\programme\Free FLV Converter
2009-02-11 16:51 . 2009-02-11 16:51	56	---ha-w	c:\windows\system32\ezsidmv.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"WLAN Quick-Starter"="c:\programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" [2005-10-10 1318912]
"wlconfig"="c:\programme\WLAN Monitor\wlconfig.exe" [2005-09-28 1347584]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2005-09-22 90112]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-10-10 1519616]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\**\Startmen\Programme\Autostart\
ChkDisk.lnk - c:\windows\system32\rundll32.exe  [2004-8-4 33792]

c:\dokumente und einstellungen\**\Startmen\Programme\Autostart\
ChkDisk.lnk - c:\windows\system32\rundll32.exe  [2004-8-4 33792]

c:\dokumente und einstellungen\**\Startmen\Programme\Autostart\
ChkDisk.lnk - c:\windows\system32\rundll32.exe  [2004-8-4 33792]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ICQ"="c:\programme\ICQ6\ICQ.exe" silent
"autochk"=rundll32.exe c:\dokume~1\NETWOR~1\protect.dll,_IWMPEvents@16
"prnet"="c:\windows\system32\prnet.tmp"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
"RemoteControl"=c:\programme\CyberLink\PowerDVD\PDVDServ.exe
"wlconfig"="c:\programme\WLAN Monitor\wlconfig.exe" -autostart
"WLAN Quick-Starter"="c:\programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
"CloneDVDElbyDelay"="c:\programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
"ElbyCheckAnyDVD"="c:\programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
"StartCCC"=c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
"autochk"=rundll32.exe c:\windows\system32\autochk.dll,_IWMPEvents@16
"prnet"="c:\windows\system32\prnet.tmp"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"c:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\UT2004\\System\\UT2004.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 SCR33x USB Smart Card Reader;SCR33x USB Smart Card Reader;c:\windows\system32\DRIVERS\SCR33X2K.sys [2005-08-25 45568]
R3 STC2DFU;STCII DFU Adapter;c:\windows\system32\DRIVERS\Stc2Dfu.SYS [2004-10-24 7796]
S2 accsvc;AccSys WiFi Component;c:\programme\Gemeinsame Dateien\AccSys\accsvc.exe [2005-09-14 147456]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-04-28 108289]


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a69e3d73-0369-11de-ba0c-00138f782a17}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2009-04-29 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-21 13:09]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-kyiwm - c:\dokumente und einstellungen\**\lokale einstellungen\anwendungsdaten\kyiwm.exe
HKU-Default-Run-Windows Resurections - c:\windows\TEMP\yv55aapr5.exe
HKU-Default-Run-Diagnostic Manager - c:\windows\TEMP\648245428.exe
HKU-Default-Run-A00FEBBD9.exe - c:\windows\TEMP\_A00FEBBD9.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = h**p://www.arcor.de
mWindow Title = Arcor AG & Co. KG
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\**\Anwendungsdaten\Mozilla\Firefox\Profiles\97eclocm.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - h**p://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-05-02 13:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 


c:\windows\system32\drivers\ovfsthlvbwukhrmowqjnpxeuthxroppiemygea.sys 83968 bytes executable
c:\dokume~1\TERMIN~1\LOKALE~1\Temp\ovfsthhpftkgbcfv.tmp 133632 bytes executable
c:\dokume~1\TERMIN~1\LOKALE~1\Temp\ovfsthiirbxqynxq.tmp 107520 bytes executable
c:\dokume~1\TERMIN~1\LOKALE~1\Temp\ovfsthpwmdbxxhlo.tmp 343040 bytes executable
c:\dokume~1\TERMIN~1\LOKALE~1\Temp\ovfsthx000 0 bytes
c:\windows\system32\ovfsthfhlyepdyyhipxxukhupvssrkaqqxsojx.dll 18432 bytes executable
c:\windows\system32\ovfsthfhlyepdyyhipxxukhupvssrkaqqxsojx.dll 18432 bytes executable
c:\windows\system32\ovfsthftqsfbqthjcgwpinubfqhpbdqkouflxl.dat 43 bytes
c:\windows\system32\ovfsthnuowodnalooxmgmxjoirxwtlxicevmyl.dat 95841 bytes
c:\windows\system32\ovfsthuiblcfrqsyllanbdhfeijykpfolujiyr.dll 18944 bytes executable
c:\windows\system32\ovfsthwciametbbmuwejfpfyqxhlttwkimxqpx.dll 60928 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 11

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(884)
c:\windows\system32\Ati2evxx.dll
c:\programme\Funk Software\Odyssey Client\odLogin.dll

- - - - - - - > 'explorer.exe'(620)
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\1031\owci10.dll
c:\windows\system32\msls31.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\scardsvr.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-02 13:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-05-02 11:15

Vor Suchlauf: 19 Verzeichnis(se), 25.642.270.720 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 26.310.201.344 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

200	--- E O F ---	2008-11-13 11:03

Habe alles 2x durchgesehen und alle Links verändert und auch meinen Namen verändert, hoffe ich habe nix übersehen.

Danke fürs schnelle antworten :-)

Angel21 · 02.05.2009, 12:57

Nein, bitte Combofix drauflassen.

Kenshin · 02.05.2009, 13:05

OK, mach ich. Was soll ich als nächstes machen?

Angel21 · 03.05.2009, 10:02

Deinstalliere bitte Azureus das ist eine Virenschleuder.
Wahrscheinlich hast du dir da so ziemlich vieles von dem geholt, was Du auf Deinem Pc nun hast.

Kenshin · 03.05.2009, 10:52

OK, hab ich grade gelöscht. Aber ich glaube nicht, dass es davon kam. Habe Azureus schon länger nicht genutzt. Ich glaube ich habe mir vor ca. 5-6 Tagen durch 1-2 falsche Klicks irgend einen Mist runtergeladen und dieser hat sich bei mir eingenisstet. Habe gestern meinen PC mit AV nochmal durchgecheckt und er findet den tr immer noch. Als ich dann im angegebenen Ordner war, fand ich die Datei aber nicht. Daten sind aber alle sichtbar gemacht worden, also nix verstecktes mehr. Der PC macht auch noch immer die gleichen Faxen, schmiert ab und zu mal ab. braucht 2-3 Anläufe um hochzufahren. Das hochfahren dauert auch deutlich länger)! Und: Wenn ich den PC herunterfahre, macht er dies und auch der Monitor wird schwarz, aber der Rechner selbst läuft noch. Muss immer hinten den Schalter (stromzufuhr) betätigen um den Rechner wirklich auszumachen. Hoffe ihr/du werdet mit diesen Infos schlauer :-)

Angel21 · 03.05.2009, 11:04

Deinstalliere VORHER Spybot, Azureus und Tune up.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a69e3d73-0369-11de-ba0c-00138f782a17}]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Azureus\\Azureus.exe"=-
"c:\\Programme\\uTorrent\\uTorrent.exe"=-
"c:\\Programme\\ICQ6\\ICQ.exe"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=-
"nwiz"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
"SpybotSD TeaTimer"=-

NetSvc::
UxTuneUp

Folder::
c:\programme\TuneUp Utilities 2008
c:\programme\Spybot - Search & Destroy
c:\programme\Azureus

File::
c:\windows\system32\uxtuneup.dll
c:\windows\system32\TuneUpDefragService.exe
c:\windows\Tasks\1-Klick-Wartung.job
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat

Rootkit::
c:\dokume~1\TERMIN~1\LOKALE~1\Temp\ovfsthhpftkgbcfv.tmp
c:\dokume~1\TERMIN~1\LOKALE~1\Temp\ovfsthiirbxqynxq.tmp
c:\dokume~1\TERMIN~1\LOKALE~1\Temp\ovfsthpwmdbxxhlo.tmp
c:\dokume~1\TERMIN~1\LOKALE~1\Temp\ovfsthx000
c:\windows\system32\ovfsthfhlyepdyyhipxxukhupvssrkaqqxsojx.dll
c:\windows\system32\ovfsthftqsfbqthjcgwpinubfqhpbdqkouflxl.dat
c:\windows\system32\ovfsthnuowodnalooxmgmxjoirxwtlxicevmyl.dat
c:\windows\system32\ovfsthuiblcfrqsyllanbdhfeijykpfolujiyr.dll
c:\windows\system32\ovfsthwciametbbmuwejfpfyqxhlttwkimxqpx.dll

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

Kenshin · 03.05.2009, 12:07

Ok, habe alles (hoffentlich richtig) gemacht. Av hat sich nach dem ersten mal wieder eingeschaltet gehabt, wurde aber von Cf erkannt und hat mich aufgefordert dies vorher zu schließen. Hoffe das ist nicht so schlimm :-(

Hier der neue Log

Code:

ATTFilter

ComboFix 09-05-02.4 - Kenshin 03.05.2009 12:44.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.706 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Kenshin\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Kenshin\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated)

FILE ::
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\system32\TuneUpDefragService.exe
c:\windows\system32\uxtuneup.dll
c:\windows\Tasks\1-Klick-Wartung.job
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\TERMIN~1\LOKALE~1\Temp\ovfsthhpftkgbcfv.tmp
c:\dokume~1\TERMIN~1\LOKALE~1\Temp\ovfsthiirbxqynxq.tmp
c:\dokume~1\TERMIN~1\LOKALE~1\Temp\ovfsthpwmdbxxhlo.tmp
c:\dokume~1\TERMIN~1\LOKALE~1\Temp\ovfsthx000
c:\programme\Azureus
c:\programme\Azureus\AzureusUpdater.exe
c:\programme\Azureus\msvcr71.dll
c:\programme\Azureus\plugins\azplugins\azplugins_1.9.1.jar
c:\programme\Azureus\plugins\azplugins\azplugins_2.0.jar
c:\programme\Azureus\plugins\azplugins\azplugins_2.1.1.jar
c:\programme\Azureus\plugins\azplugins\azplugins_2.1.4.jar
c:\programme\Azureus\plugins\azrating\azrating_1.3.1.jar
c:\programme\Azureus\plugins\azrating\azrating_1.3.jar
c:\programme\Azureus\plugins\azupdater\azupdater_1.8.5.zip
c:\programme\Azureus\plugins\azupdater\azupdater_1.8.8.zip
c:\programme\Azureus\plugins\azupdater\azupdaterpatcher_1.8.3.jar
c:\programme\Azureus\plugins\azupdater\azupdaterpatcher_1.8.5.jar
c:\programme\Azureus\plugins\azupdater\azupdaterpatcher_1.8.8.jar
c:\programme\Azureus\plugins\azupdater\plugin.properties
c:\programme\Azureus\plugins\azupdater\plugin.properties_1.8.5
c:\programme\Azureus\plugins\azupdater\plugin.properties_1.8.8
c:\programme\Azureus\plugins\azupdater\Updater.jar
c:\programme\Azureus\plugins\azupdater\Updater.jar.bak
c:\programme\Azureus\swt-awt-win32-3232.dll
c:\programme\Azureus\swt-awt-win32-3318.dll
c:\programme\Azureus\swt-gdip-win32-3232.dll
c:\programme\Azureus\swt-gdip-win32-3318.dll
c:\programme\Azureus\swt-wgl-win32-3232.dll
c:\programme\Azureus\swt-wgl-win32-3318.dll
c:\programme\Azureus\swt-win32-3232.dll
c:\programme\Azureus\swt-win32-3318.dll
c:\programme\Azureus\Uninstall.exe
c:\programme\Spybot - Search & Destroy
c:\programme\Spybot - Search & Destroy\advcheck.dll
c:\programme\Spybot - Search & Destroy\is-CLNU6.tmp
c:\windows\system32\lmppcsetup.exe
c:\windows\system32\ovfsthfhlyepdyyhipxxukhupvssrkaqqxsojx.dll
c:\windows\system32\ovfsthftqsfbqthjcgwpinubfqhpbdqkouflxl.dat
c:\windows\system32\ovfsthnuowodnalooxmgmxjoirxwtlxicevmyl.dat
c:\windows\system32\ovfsthuiblcfrqsyllanbdhfeijykpfolujiyr.dll
c:\windows\system32\ovfsthwciametbbmuwejfpfyqxhlttwkimxqpx.dll
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\Tasks\1-Klick-Wartung.job

.
(((((((((((((((((((((((   Dateien erstellt von 2009-04-03 bis 2009-05-03  ))))))))))))))))))))))))))))))
.

2009-04-30 10:16 . 2009-04-30 10:16	--------	d-----w	c:\dokumente und einstellungen\Terminator\Anwendungsdaten\Malwarebytes
2009-04-30 10:16 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-04-30 10:16 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-30 10:16 . 2009-04-30 10:16	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-30 10:16 . 2009-04-30 10:16	--------	d-----w	c:\programme\Malwarebytes' Anti-Malware
2009-04-30 09:59 . 2009-04-30 09:59	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\wmp
2009-04-29 13:49 . 2009-04-29 13:49	--------	d-----w	c:\programme\Trend Micro
2009-04-26 08:31 . 2009-04-28 09:15	55640	----a-w	c:\windows\system32\drivers\avgntflt.sys
2009-04-26 08:31 . 2009-04-26 08:31	--------	d-----w	c:\programme\Avira

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-03 10:47 . 2006-03-14 14:10	--------	d-----w	c:\programme\WLAN Quick-Starter
2009-05-03 10:47 . 2006-03-14 14:10	--------	d-----w	c:\programme\WLAN Monitor
2009-05-03 10:47 . 2006-03-12 19:02	6	---ha-w	c:\windows\Tasks\SA.DAT
2009-05-03 10:39 . 2006-03-14 14:11	81920	-c--a-w	c:\dokumente und einstellungen\Kenshin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-30 09:38 . 2007-12-27 13:02	--------	d-----w	c:\programme\CCleaner
2009-03-26 16:02 . 2008-07-19 13:52	--------	d-----w	c:\programme\ICQ6
2009-03-08 09:06 . 2008-06-13 22:07	--------	d-----w	c:\programme\Free FLV Converter
2009-02-11 16:51 . 2009-02-11 16:51	56	---ha-w	c:\windows\system32\ezsidmv.dat
.

(((((((((((((((((((((((((((((   SnapShot@2009-05-02_11.12.25   )))))))))))))))))))))))))))))))))))))))))
.
- 2006-03-12 19:02 . 2009-05-02 11:11	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2006-03-12 19:02 . 2009-05-03 10:43	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2006-03-12 19:02 . 2009-05-02 11:11	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2006-03-12 19:02 . 2009-05-03 10:43	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2006-03-12 19:02 . 2009-05-02 11:11	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2006-03-12 19:02 . 2009-05-03 10:43	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2006-03-12 18:52 . 2009-05-02 20:25	256656              c:\windows\system32\FNTCACHE.DAT
- 2006-03-12 18:52 . 2008-10-16 11:02	256656              c:\windows\system32\FNTCACHE.DAT
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"WLAN Quick-Starter"="c:\programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" [2005-10-10 1318912]
"wlconfig"="c:\programme\WLAN Monitor\wlconfig.exe" [2005-09-28 1347584]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\dokumente und einstellungen\Kenshin\Startmen\Programme\Autostart\
ChkDisk.lnk - c:\windows\system32\rundll32.exe  [2004-8-4 33792]

c:\dokumente und einstellungen\Kenshin\Startmen\Programme\Autostart\
ChkDisk.lnk - c:\windows\system32\rundll32.exe  [2004-8-4 33792]

c:\dokumente und einstellungen\Kenshin\Startmen\Programme\Autostart\
ChkDisk.lnk - c:\windows\system32\rundll32.exe  [2004-8-4 33792]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\UT2004\\System\\UT2004.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 SCR33x USB Smart Card Reader;SCR33x USB Smart Card Reader;c:\windows\system32\DRIVERS\SCR33X2K.sys [2005-08-25 45568]
R3 STC2DFU;STCII DFU Adapter;c:\windows\system32\DRIVERS\Stc2Dfu.SYS [2004-10-24 7796]
S2 accsvc;AccSys WiFi Component;c:\programme\Gemeinsame Dateien\AccSys\accsvc.exe [2005-09-14 147456]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-04-28 108289]

.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = h**p://www.arcor.de
mWindow Title = Arcor AG & Co. KG
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Terminator\Anwendungsdaten\Mozilla\Firefox\Profiles\97eclocm.default\

---- FIREFOX Richtlinien ----
FF - user.js: network.h**p.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-05-03 12:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 


c:\windows\system32\drivers\ovfsthlvbwukhrmowqjnpxeuthxroppiemygea.sys 83968 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(884)
c:\windows\system32\Ati2evxx.dll
c:\programme\Funk Software\Odyssey Client\odLogin.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\scardsvr.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-03 12:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-05-03 10:51
ComboFix2.txt  2009-05-02 11:15

Vor Suchlauf: 19 Verzeichnis(se), 26.423.418.880 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 26.419.064.832 Bytes frei

174	--- E O F ---	2008-11-13 11:03

So, hoffe jetzt ist der Trojaner/Virus weg! Wenn ich das ganze richtig deute war es ja folgende Datei: ovfsthlvbwukhrmowqjnpxeuthxroppiemygea.sys

oder nicht? Was aber nach über 2,5 Jahren endlich wieder funktioniert ist der Mülleimer, der konnte nie vollständig gelehrt werden. Von außen war imme was drin und wenn ich öffnete war er leer... komisch, ging auch mit dem TuneUp Shredder nicht!

Was soll ich als nächstes machen?

Angel21 · 03.05.2009, 12:21

Noch ist der nicht ganz weg. Da fehlt noch etwas

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
c:\windows\system32\drivers\ovfsthlvbwukhrmowqjnpxeuthxroppiemygea.sys

Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

TR/Dropper.Gen

Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

Ähnliche Themen: TR/Dropper.Gen

02.05.2009, 12:29	#7
Angel21	TR/Dropper.Gen Sind die Lesezeichen schon vor dem Combofix Scan weggewesen? Bitte poste das Combofix Log hier rein. Zu finden unter C oder dem jeweiligen Pfad den du angegeben hattest. __________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!

02.05.2009, 12:57	#9
Angel21	TR/Dropper.Gen Nein, bitte Combofix drauflassen. __________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!

02.05.2009, 13:05	#10
Kenshin	TR/Dropper.Gen OK, mach ich. Was soll ich als nächstes machen?

03.05.2009, 10:02	#11
Angel21	TR/Dropper.Gen Deinstalliere bitte Azureus das ist eine Virenschleuder. Wahrscheinlich hast du dir da so ziemlich vieles von dem geholt, was Du auf Deinem Pc nun hast. __________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!