Hallöchen,bitte verzeit mir wenn ich nicht alles Richtig mache.
Habe mir den Hijack geladen und einen Log für euch erstellt.
Was man nicht als Frau alles machen muss*tztz*

Zum Problem,ich habe vor 2 Wochen meinen Läpi Platt gemacht weil ich weder einen sicheren noch normalen Modus bekam.Es ging nixx mehr.
Am Freitag machte ich ihn wieder Platt,auf anraten habe ich mir dann den Avira Antivir geholt(noch vor dem ersten Online gehen Installiert,vorher auf USB geladen).
Jetzt sagt er mir Heute andauernd Fehler an.Habe nun aber schon 1 datei gelöscht,die ein Trojan war. keine Ahnung

Gelöschte Datei(finde sie auch nicht mehr da) ist

C:\WINDOWS\system32\msxml71.dll-Gelöscht

TR/BHOLamp.hei ist die letzte Malware die gefunden wurde

Erinnerungen an andere ist:b.exe die glaube ich auch gelöscht ist.

Die wurden mit dem Online scanner Jotti gefunden,durch die eine Datei oben.
TR/Dldr.Zlob.KH
Win32/Kryptik.BCX

Zudem Öffnet sich immer wieder der IE .

Ich hoffe ich habe genug Auskunft gegeben.
Nun möchte ich gern wissen ob da noch was Lungert oder alles weg ist...

Danke schon mal im vorraus.

Lg Mo*








Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:49, on 16.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\csrcs.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\msa.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\jodikav.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Dokumente und Einstellungen\******\Eigene Dateien\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ycomp/defaults/sb/*http://de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\system32\wuaucIt.exe
O4 - HKLM\..\Run: [louket] C:\WINDOWS\system32\jodikav.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MailBlocker] C:\DOKUME~1\Kathleen\LOKALE~1\Temp\b.exe
O4 - HKCU\..\Run: [Minisoft] C:\WINDOWS\msa.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 5109 bytes

Hallo,

dein Rechner scheint ja einige Schadprogramme zu besitzen.

1.
Beende mal im Task-Manager (Strg+Alt+Entf ... dann Task-Manager) folgende Prozesse

csrcs.exe (C:\WINDOWS\system32\csrcs.exe)
msa.exe (C:\WINDOWS\msa.exe)
und falls existiert dann auch
b.exe

Prozess anklicken, Rechte Maus: Prozess beenden.

2.
Um den Schadcode dauerhaft zu deaktivieren, lasse HijackThis folgende Einträge fixen

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKCU\..\Run: [MailBlocker] C:\DOKUME~1\Kathleen\LOKALE~1\Temp\b.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\system32\wuaucIt.exe

Wenn du Fragen hast, einfach melden.

Zur Sicherheit kannst du folgende Dateien zu Virustotal hochladen
VirusTotal - Kostenloser online Viren- und Malwarescanner
C:\WINDOWS\system32\wuaucIt.exe
C:\WINDOWS\system32\csrcs.exe
C:\WINDOWS\msa.exe

Dann noch mal HijackThis Log posten.

Danke für die Schnelle Antwort:



die b.exe datei war nicht dabei.

Habe auch gemerkt das die msa.exe im Manager viel ,wie sagt man Verbraucht.

Und ich Spiele doch nur meine On-Games...

Noch eine Frage wenn der Antiviren was meldet was muss ich da machen in Quarantäne schicken Löschen????

Mensch ich hab noch nichmal Schweinische Sachen drauf watt wollen die denn von mir???

Noch ne Frage was hatte ich denn drauf ,kannst du das auch erkennen??


Habe unten noch einen Viren Log mit dran gehangen,damit du siehst um was für ein DING es sich handelt.

LG



Hier der Log


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:57:56, on 16.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\jodikav.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Kathleen\Eigene Dateien\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ycomp/defaults/sb/*http://de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [louket] C:\WINDOWS\system32\jodikav.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\system32\wuaucIt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Minisoft] C:\WINDOWS\msa.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 4809 bytes






Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 16. November 2009 17:45

Es wird nach 1909235 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : KLEENE

Versionsinformationen:
BUILD.DAT : 9.0.0.410 18074 Bytes 25.09.2009 11:51:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 13:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 09:21:42
ANTIVIR2.VDF : 7.1.6.222 5998592 Bytes 11.11.2009 16:58:13
ANTIVIR3.VDF : 7.1.6.240 202752 Bytes 16.11.2009 15:54:39
Engineversion : 8.2.1.65
AEVDF.DLL : 8.1.1.2 106867 Bytes 14.11.2009 16:59:19
AESCRIPT.DLL : 8.1.2.44 586107 Bytes 14.11.2009 16:59:17
AESCN.DLL : 8.1.2.5 127346 Bytes 14.11.2009 16:59:09
AERDL.DLL : 8.1.3.2 479604 Bytes 14.11.2009 16:59:05
AEPACK.DLL : 8.2.0.3 422261 Bytes 14.11.2009 16:58:56
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 09:59:39
AEHEUR.DLL : 8.1.0.180 2093432 Bytes 14.11.2009 16:58:51
AEHELP.DLL : 8.1.7.0 237940 Bytes 14.11.2009 16:58:29
AEGEN.DLL : 8.1.1.74 364917 Bytes 14.11.2009 16:58:26
AEEMU.DLL : 8.1.1.0 393587 Bytes 14.11.2009 16:58:22
AECORE.DLL : 8.1.8.2 184694 Bytes 14.11.2009 16:58:16
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 14.11.2009 16:59:20
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 14:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 10:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,

Beginn des Suchlaufs: Montag, 16. November 2009 17:45

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\wuaucit.exe
[INFO] Der Prozess ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b628339.qua erstellt ( QUARANTÄNE )
Es wurden '35813' Objekte überprüft, '1' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YahooAUService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lizocopo.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lizocopo.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lizocopo.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lizocopo.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jodikav.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'b.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\DOKUME~1\Kathleen\LOKALE~1\Temp\b.exe'
Durchsuche Prozess 'jodikav.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YahooMessenger.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Keyhook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'b.exe' wird beendet
C:\DOKUME~1\Kathleen\LOKALE~1\Temp\b.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.aaft
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b66830e.qua' verschoben!

Es wurden '38' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '52' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{EEE7558B-6EFE-4424-A1DA-A4E0BEBA3EEF}\RP11\A0001871.dll
[FUND] Ist das Trojanische Pferd TR/BHOLamp.hei

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{EEE7558B-6EFE-4424-A1DA-A4E0BEBA3EEF}\RP11\A0001871.dll
[FUND] Ist das Trojanische Pferd TR/BHOLamp.hei
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Montag, 16. November 2009 18:19
Benötigte Zeit: 27:10 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

2826 Verzeichnisse wurden überprüft
100729 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
100725 Dateien ohne Befall
893 Archive wurden durchsucht
2 Warnungen
3 Hinweise
35813 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

Ich gehe unter,und weiß immernoch nichts genaueres!!??

LG

Bitte Helft mir ich bekomme immer wieder neue Viren-Trojaner rauf.

Hier wieder ein LOG

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:41:07, on 18.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\system32\1edb7c.exe
C:\WINDOWS\system32\jodikav.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Kathleen\Eigene Dateien\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ycomp/defaults/sb/*http://de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [louket] C:\WINDOWS\system32\jodikav.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\system32\wuaucIt.exe
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\1edb7c.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Minisoft] C:\WINDOWS\msa.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: PowerUtility TV Recording Reservation (xivsiyemyixi) - Unknown owner - C:\WINDOWS\system32\lizocopo.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 5218 bytes

Der neue nach dem Neuinstall:

Ich habe jetzt aber meine Externe nicht angeschlossen....

Soll ich.?????

Coverflow



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:39:03, on 19.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 2964 bytes

Hallo und Herzlich Willkommen!

- noch nicht anschließen!

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du die Logs bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

2.
Master Boot Record überprüfen:

• Lade Dir die MBR.exe von GMER herunter
• Speichere auf deinem Desktop
• Per Doppelklick starten.
• wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

3.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

4.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

5.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

So gemacht getan.

Ich muss dazu sagen das ich noch nicht alles was ich benötige Installiert habe,das heist keine Ton-Video Driver ect.Das wollte ich heute alles noch machen.
Natürlich alles Original von CD.


Hier sind die LOGS-als Links wie
du es haben wolltest.

Bei dem einen wo alle 6 Monate Stand habe ich zur Sicherheit die von 2004 drinn gelassen.Auch wenns vielleicht nicht nötig ist.Ist aber nicht lang,der log.

GMER

File-Upload.net - gmer-log.rtf


MBR

File-Upload.net - mbr-log.txt


Ccleaner

File-Upload.net - install.txt-ccleaner.txt

Ich hoffe ich habe alles nach Anweisung getan.

Und kannst du mir vielleicht auch Verraten wieso ich 5x Svchost.exe im Taskmanager laufen habe???



LG und gespannt bin

bis jetzt passt, bis auf:

- Punkt 4. fehlt noch:-> http://www.trojaner-board.de/79469-t...tml#post481306

1.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...

2.
Jedes Speichermedium (wie USB-Sticks/Platten usw ) bitte anschließen und dabei die [SHIFT]-Taste gedrückt halten!
Lade dir FindyKill.exe von hier herunter und speichere die Datei auf dem Desktop.

• Doppelklick auf die Datei, um FindyKill -> installieren
• akzeptiere die Nutzungsbedingungen (I agree with the above terms and conditions anhaken) und installiere das Programm in den vorgegebenen Pfad (C:\Programme\FindyKill).
• Beantworte die Frage, ob dort der Ordner FindyKill angelegt werden soll mit Ja und starte die Installation.
• Doppelklicke das FindyKill-Icon auf dem Desktop.
• Vista-User starten mit Rechtsklick und als Administrator!
• Es öffnet sich ein DOS-Fenster.
• Wähle "F" + Entertaste,
• im nächsten Screen die "2" + Entertaste, um die Bereinigung der Infektionen zu starten.
• Wenn der Scan beginnt, wird FindyKill eine Warnung anzeigen, dass Windows evtl. neu gestartet werden muss, akzeptiere das mit OK.
• Es wird eine Datenträgerbereinigung durchgeführt.
• Wenn der Suchlauf beendet ist, siehst Du (ggfs. nach Neustart) im DOS-Fenster den Hinweis "Nettoyage effetuee!".
• Das Fenster schließen.
• Poste den Bericht, der unter C:\FindyKill.txt zu finden ist, hier in den Thread.

3.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

[QUOTE=Coverflow;481475]bis jetzt passt, bis auf:

- Punkt 4. fehlt noch:-> http://www.trojaner-board.de/79469-t...tml#post481306


Die gibts nicht mehr da ich meinen Läppi gestern Neu Installiert habe.Und ich einfach die Sch..... voll hatte wegen den Warnungen.


So before ich irgendwas Falsch mache welche Shift Taste???

ich habe 2 die mit dem Pfeil nach unten ,wo ich auf GROß Schreibung gehe oder die mit dem Pfeil nach UNTEN??

Sorry aber bei mir steht da nicht Shift drauf.(wie bei manchen)

LG

Zitat:

Zitat von MoEsHa

wo ich auf GROß Schreibung gehe oder die mit dem Pfeil nach UNTEN??

Sorry aber bei mir steht da nicht Shift drauf.

ja, genau-> http://de.wikipedia.org/wiki/Tastatu...staturbelegung

So alles gemacht

hatte schon Angst das da mehr raus kommt
Hält sich ja noch in Grenzen.

http://www.file-upload.net/download-2024187/FindyKill.txt.html


http://www.file-upload.net/download-2024188/filelist.txt-log.txt.html
(ich glaube die hatte ich schon mal Hochgeladen.Sehe hier nicht mehr durch.

Code: Alles auswählenAufklappen

ATTFilter

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
 Friday, November 20, 2009
 Operating system: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
 Kaspersky Online Scanner version: 7.0.26.13
 Last database update: Friday, November 20, 2009 11:10:48
 Records in database: 3250081
--------------------------------------------------------------------------------

Scan settings:
	scan using the following database: extended
	Scan archives: yes
	Scan e-mail databases: yes

Scan area - My Computer:
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\
	I:\

Scan statistics:
	Objects scanned: 31425
	Threats found: 6
	Infected objects found: 8
	Suspicious objects found: 0
	Scan duration: 01:17:05


File name / Threat / Threats count
F:\RECYCLER\S-1-5-21-1004336348-1417001333-839522115-1005\De10.zip	Infected: not-a-virus:AdWare.Win32.Agent.dva	1
I:\My Music\iMesh\07 Track 7.wma	Infected: Trojan-Downloader.WMA.Wimad.l	1
I:\My Music\iMesh\Eighties classic (love).wma	Infected: Trojan-Downloader.WMA.Wimad.l	1
I:\My Music\iMesh\moonlight shaddow sexy girl has shaking orgasm during sex.mp3	Infected: Trojan-Downloader.WMA.Wimad.o	1
I:\My Music\iMesh\osadebe.mp3	Infected: Trojan-Downloader.WMA.GetCodec.c	1
I:\My Music\iMesh\paul nwaokeoha .mp3	Infected: Trojan-Downloader.WMA.GetCodec.n	1
I:\My Music\iMesh\paul nwaokeoha .wma	Infected: Trojan-Downloader.WMA.Wimad.n	1
I:\My Music\iMesh\triple j - earthcore - LUCKY DUBE - House of Exile.mp3	Infected: Trojan-Downloader.WMA.GetCodec.c	1

Selected area has been scanned.
         

Und nein ich wollte keinen Porno downloaden.
Das ist Music die ich mal früher geladen habe.
Jetzt Nehme ich solche Programme nicht mehr.


Ist das eingentlich ein BÖser BÖser Trojaner??

PS:Mein Mauszeiger bewegt sich,wenn ich nicht am Läppi sitze von allein,die rennt über den ganzen Bilschirm.Das geht jetzt schon seit ein paar tagen so.Wenn ich mit der Maus was mache ,ist sie manchmal an einer ganz anderen stelle als ich ähm sie abgelegt habt,also der zeiger.ZB Zeiger war vorher unten Rechts ist er auf einmal oben LINKS.

hi

1.
das hier bitte v. Hand löschen:

Code: Alles auswählenAufklappen

ATTFilter

I:\My Music\iMesh\07 Track 7.wma	Infected: Trojan-Downloader.WMA.Wimad.l	1
I:\My Music\iMesh\Eighties classic (love).wma	Infected: Trojan-Downloader.WMA.Wimad.l	1
I:\My Music\iMesh\moonlight shaddow sexy girl has shaking orgasm during sex.mp3	Infected: Trojan-Downloader.WMA.Wimad.o	1
I:\My Music\iMesh\osadebe.mp3	Infected: Trojan-Downloader.WMA.GetCodec.c	1
I:\My Music\iMesh\paul nwaokeoha .mp3	Infected: Trojan-Downloader.WMA.GetCodec.n	1
I:\My Music\iMesh\paul nwaokeoha .wma	Infected: Trojan-Downloader.WMA.Wimad.n	1
I:\My Music\iMesh\triple j - earthcore - LUCKY DUBE - House of Exile.mp3	Infected: Trojan-Downloader.WMA.GetCodec.c	1
         

2.
- Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen - Halte aber beim einstecken des Sticks die Shift-Taste gedrückt! Dadurch wird der Autostart des Datenträgers deaktiviert.

Wichtig!:
Datenträger "F" und "I" unbedingt anschließen

- Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware

- [u][b]Wichtig!: Wichtig!: Vor dem Speichern, benenne ComboFix.exe um in "cflauf.exe" - dann installiere auf den Desktop
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann

Zitat:

Achtung! Während ComboFix läuft: Ab sofort die Maus nicht mehr bewegen oder/und auf dem PC irgendetwas machen!!
** Für alle die das Tool benutzen, eine gewisse Vorsicht geboten, also die Reihenfolge und Anweisungen gründlich lesen und streng einhalten!!

- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten
** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung
**Danach nicht vergessen die Schutzprogramme wieder aktivieren!!

- Hast Du MP3 ?

Gemacht getan

Ja das waren Mp3 Datein.
Ist nicht schlimm darum.
Waren ja ``NUR`` ein paar.

Und ich glaube ich habe einen kleinen Fehler gemacht,und zwar als ich die Daten Gelöscht habe wollte ich sie aus dem Papierkorb löschen,der sich ``meine dummheit``dann öffnete und gleich wieder der Alarm anging.

Habe dann eine Datei in Quarantäne gemacht und von dort gelöscht.Den Inhalt im Papierkorb habe ich dann auch gelöscht.(war das falsch)Mache gleich nochmal einen Scan.

Achso F und I sind die Partitionen meiner Externen Platte.Da habe ich auch noch einen Recycler drauf den ich nicht gelöscht bekomme da Schreibgeschützt,habe es schon weggemacht trotzdem sagt er mir das es nicht geht.

Soll ich nochmal scan mit Kaspersky machen?? Ich will echt auf Nummer sicher gehen das auf der Externen nixx mehr drauf ist.

Und was ist mit den Proggs die ich vorher Installiert habe,Gmr,Findykill,hijack....lassen deinstall???

Warte auf Anweisungen

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 09-11-20.05 - Kati 21.11.2009 19:20.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.383.222 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Kati\Desktop\Cflauf.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2009-10-21 bis 2009-11-21  ))))))))))))))))))))))))))))))
.

2009-11-21 08:35 . 2009-11-21 08:35	--------	d-----w-	c:\programme\MSXML 4.0
2009-11-20 11:40 . 2009-11-20 18:02	664	----a-w-	c:\windows\system32\d3d9caps.dat
2009-11-20 11:25 . 2009-11-20 11:36	--------	d-----w-	C:\FindyKill
2009-11-20 11:18 . 2009-11-20 11:20	--------	d-----w-	c:\programme\Microsoft Works
2009-11-19 19:33 . 2009-11-19 19:32	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-11-19 19:31 . 2009-11-19 19:31	152576	----a-w-	c:\dokumente und einstellungen\Kati\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-19 19:26 . 2009-11-19 19:26	79488	----a-w-	c:\dokumente und einstellungen\Kati\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-19 10:37 . 2009-11-19 10:37	--------	d-----w-	c:\windows\ServicePackFiles
2009-11-19 09:30 . 2009-11-19 09:30	--------	d-----w-	c:\programme\CCleaner
2009-11-19 08:28 . 2009-11-19 08:28	--------	d-----w-	c:\programme\7-Zip
2009-11-19 07:39 . 2009-11-19 08:02	--------	d-----w-	c:\windows\system32\CatRoot_bak
2009-11-19 07:36 . 2008-06-14 17:57	273024	-c----w-	c:\windows\system32\dllcache\bthport.sys
2009-11-19 07:36 . 2008-06-14 17:57	273024	------w-	c:\windows\system32\drivers\bthport.sys
2009-11-19 07:35 . 2008-10-24 11:10	453632	-c----w-	c:\windows\system32\dllcache\mrxsmb.sys
2009-11-19 07:31 . 2009-08-04 17:03	2060032	-c----w-	c:\windows\system32\dllcache\ntkrnlpa.exe
2009-11-19 07:31 . 2009-08-04 17:03	2138624	-c----w-	c:\windows\system32\dllcache\ntkrnlmp.exe
2009-11-19 07:31 . 2009-08-04 17:03	2182656	-c----w-	c:\windows\system32\dllcache\ntoskrnl.exe
2009-11-19 07:31 . 2009-08-04 17:03	2018304	-c----w-	c:\windows\system32\dllcache\ntkrpamp.exe
2009-11-19 07:24 . 2008-07-09 07:37	26488	----a-w-	c:\windows\system32\spupdsvc.exe
2009-11-19 07:24 . 2009-11-19 13:54	--------	d--h--w-	c:\windows\$hf_mig$
2009-11-18 22:40 . 2009-11-18 22:40	--------	d-----w-	c:\windows\Sun
2009-11-18 21:25 . 2009-11-18 21:25	--------	d-----w-	c:\programme\Trend Micro

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-20 12:40 . 2009-11-18 19:41	29536	----a-w-	c:\dokumente und einstellungen\Kati\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-20 11:44 . 2009-11-18 20:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-11-19 19:32 . 2009-11-18 19:28	--------	d-----w-	c:\programme\Java
2009-11-19 13:25 . 2004-08-04 12:00	63778	----a-w-	c:\windows\system32\perfc007.dat
2009-11-19 13:25 . 2004-08-04 12:00	391244	----a-w-	c:\windows\system32\perfh007.dat
2009-11-19 09:01 . 2009-11-18 19:24	76487	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-11-19 07:28 . 2009-11-18 20:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-11-18 20:17 . 2009-11-18 20:15	--------	d-----w-	c:\dokumente und einstellungen\Kati\Anwendungsdaten\Yahoo!
2009-11-18 20:15 . 2009-11-18 20:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2009-11-18 20:15 . 2009-11-18 20:13	--------	d-----w-	c:\programme\Yahoo!
2009-11-18 20:04 . 2009-11-18 20:04	0	----a-w-	c:\windows\nsreg.dat
2009-11-18 19:39 . 2009-11-18 19:39	--------	d-----w-	c:\programme\Avira
2009-11-18 19:39 . 2009-11-18 19:39	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-11-18 19:29 . 2009-11-18 19:29	--------	d-----w-	c:\programme\microsoft frontpage
2009-11-18 19:28 . 2009-11-18 19:28	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2009-11-18 19:23 . 2009-11-18 19:23	--------	d-----w-	c:\programme\Online-Dienste
2009-11-18 19:22 . 2009-11-18 19:22	--------	d-----w-	c:\programme\Gemeinsame Dateien\Dienste
2009-11-18 19:22 . 2009-11-18 19:22	21740	----a-w-	c:\windows\system32\emptyregdb.dat
2009-11-10 14:47 . 2009-11-18 20:15	607544	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!\YUpdater\yupdater.exe
2009-09-25 05:55 . 2004-08-04 12:00	667648	----a-w-	c:\windows\system32\wininet.dll
2009-09-25 05:55 . 2004-08-04 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2009-09-11 14:31 . 2004-08-04 12:00	133632	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-04 20:45 . 2004-08-04 12:00	58880	----a-w-	c:\windows\system32\msasn1.dll
2009-08-26 08:14 . 2004-08-04 12:00	247326	----a-w-	c:\windows\system32\strmdll.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Messenger (Yahoo!)"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2009-11-10 5244216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-11-19 149280]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.11.2009 20:39 108289]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\Kati\Anwendungsdaten\Mozilla\Firefox\Profiles\8qp4wl4e.default\
FF - plugin: c:\dokumente und einstellungen\Kati\Lokale Einstellungen\Anwendungsdaten\Yahoo!\BrowserPlus\2.4.17\Plugins\npybrowserplus_2.4.17.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.ytff.general.dontshowhpoffer - truec:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-21 19:25
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3388)
c:\windows\system32\msi.dll
.
Zeit der Fertigstellung: 2009-11-21 19:27
ComboFix-quarantined-files.txt  2009-11-21 18:27

Vor Suchlauf: 6 Verzeichnis(se), 35.155.001.344 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 35.264.864.256 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 399F0A3FBD5E6057AB9434B549550CAC