Malwarebefall

TrojanerHunterNEW · 27.07.2011, 22:26

Das letzte Log von Malwarebytes' Anti-Malware scheint auch "clean" zu sein.

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Datenbank Version: 7299
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
27.07.2011 23:21:13
mbam-log-2011-07-27 (23-21-13).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|)
Durchsuchte Objekte: 224490
Laufzeit: 48 Minute(n), 16 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ein versuch zu starten mit SAS ?

cosinus · 28.07.2011, 10:48

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=17241"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Facemoods Search"
FF - prefs.js..browser.startup.homepage: "http://start.facemoods.com/?a=ddr"
FF - prefs.js..extensions.enabledItems: adapter@babylontc.com:1.0.0.1
FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.3
FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.2.1
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&AF=17241&q="
[2011.04.22 15:48:48 | 000,000,000 | ---D | M] (Babylon) -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\b7k82og4.default\extensions\ffxtlbr@babylon.com
O2 - BHO: (no name) - {CF070CB8-F02F-4af4-A7B7-8D45CAD4BB54} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.05.21 10:38:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[2011.07.27 02:02:46 | 000,075,726 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\lay5.jpg
[2011.07.27 02:02:46 | 000,030,615 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\ga.js
[2011.07.27 02:02:46 | 000,021,870 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys.html
[2011.07.27 02:02:46 | 000,015,258 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\a_script.php
[2011.07.27 02:02:46 | 000,008,381 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\show.html
[2011.07.27 02:02:46 | 000,008,138 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\style.css
[2011.07.27 02:02:46 | 000,006,335 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\show(1).html
[2011.07.27 02:02:46 | 000,001,991 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\popup.js
[2011.07.27 02:02:46 | 000,001,983 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\i6.gif
[2011.07.27 02:02:46 | 000,001,803 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\lg.png
[2011.07.27 02:02:46 | 000,001,466 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\i4.gif
[2011.07.27 02:02:46 | 000,001,347 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\n_9701.jpg
[2011.07.27 02:02:46 | 000,001,285 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\i5.gif
[2011.07.27 02:02:46 | 000,001,261 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\i3.gif
[2011.07.27 02:02:46 | 000,001,194 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\go.js
[2011.07.27 02:02:46 | 000,001,192 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\go(1).js
[2011.07.27 02:02:46 | 000,000,823 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\i2.gif
[2011.07.27 02:02:46 | 000,000,780 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\i1.gif
[2011.07.27 02:02:46 | 000,000,557 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\rotate.html
[2011.07.27 02:02:46 | 000,000,490 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\f1.gif
[2011.07.27 02:02:46 | 000,000,376 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\head-2.png
[2011.07.27 02:02:46 | 000,000,350 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\script.php
[2011.07.27 02:02:46 | 000,000,214 | ---- | M] () -- C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\19a8953c644a828761cfb553a36c34d9.html
[2011.07.26 23:08:21 | 000,042,112 | ---- | M] () -- C:\WINDOWS\System32\drivers\imapi.sys.vir
[2011.07.26 22:48:24 | 000,042,112 | ---- | M] () -- C:\WINDOWS\System32\drivers\imapi.sys.vir2
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

TrojanerHunterNEW · 28.07.2011, 11:24

So nun hier das Log:

========== OTL ==========
Prefs.js: "Facemoods Search" removed from browser.search.defaultenginename
Prefs.js: "Babylon Search" removed from browser.search.defaulturl
Prefs.js: "Search the web (Babylon)" removed from browser.search.order.1
Prefs.js: "Facemoods Search" removed from browser.search.selectedEngine
Prefs.js: "Facemoods Search" removed from browser.startup.homepage
Prefs.js: adapter@babylontc.com:1.0.0.1 removed from extensions.enabledItems
Prefs.js: ffxtlbr@babylon.com:1.1.3 removed from extensions.enabledItems
Prefs.js: ffxtlbr@Facemoods.com:1.2.1 removed from extensions.enabledItems
Prefs.js: "Babylon Search=" removed from keyword.URL
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\b7k82og4.default\extensions\ffxtlbr@babylon.com\defaults\preferences folder moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\b7k82og4.default\extensions\ffxtlbr@babylon.com\defaults folder moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\b7k82og4.default\extensions\ffxtlbr@babylon.com\content\imgs\mnRadio folder moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\b7k82og4.default\extensions\ffxtlbr@babylon.com\content\imgs\flgs folder moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\b7k82og4.default\extensions\ffxtlbr@babylon.com\content\imgs folder moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\b7k82og4.default\extensions\ffxtlbr@babylon.com\content folder moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\b7k82og4.default\extensions\ffxtlbr@babylon.com\components folder moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\b7k82og4.default\extensions\ffxtlbr@babylon.com\chrome folder moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\b7k82og4.default\extensions\ffxtlbr@babylon.com folder moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CF070CB8-F02F-4af4-A7B7-8D45CAD4BB54}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF070CB8-F02F-4af4-A7B7-8D45CAD4BB54}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CF070CB8-F02F-4af4-A7B7-8D45CAD4BB54}\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
C:\WINDOWS\system32\drivers\File-Upload.net - imapi.sys_files\lay5.jpg moved successfully.
C:\WINDOWS\system32\drivers\File-Upload.net - imapi.sys_files\ga.js moved successfully.
C:\WINDOWS\system32\drivers\File-Upload.net - imapi.sys.html moved successfully.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\a_script.php not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\show.html not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\style.css not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\show(1).html not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\popup.js not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\i6.gif not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\lg.png not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\i4.gif not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\n_9701.jpg not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\i5.gif not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\i3.gif not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\go.js not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\go(1).js not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\i2.gif not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\i1.gif not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\rotate.html not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\f1.gif not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\head-2.png not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\script.php not found.
File C:\WINDOWS\System32\drivers\File-Upload.net - imapi.sys_files\19a8953c644a828761cfb553a36c34d9.html not found.
C:\WINDOWS\system32\drivers\imapi.sys.vir moved successfully.
C:\WINDOWS\system32\drivers\imapi.sys.vir2 moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 07282011_122249

cosinus · 28.07.2011, 12:10

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

TrojanerHunterNEW · 28.07.2011, 18:47

1. GMER, ging nach den 2 ten Anlauf nicht.

2. OSAM Log,
OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
Online Solutions. Complex Protection for Information Systems
Saved at 19:27:57 on 28.07.2011
OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702
Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures
Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries

[Common]
-----( %SystemRoot%\Tasks )-----
"GlaryInitialize.job" - "Glarysoft Ltd" - C:\Programme\Glary Utilities\initialize.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"acedrv11" (acedrv11) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\acedrv11.sys
"BrPar" (BrPar) - "Brother Industries Ltd." - C:\WINDOWS\System32\drivers\BrPar.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Besitzer\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Filtertreiber für CD-Brennen" (Imapi) - ? - C:\WINDOWS\System32\DRIVERS\imapi.sys  (File not found)
"HWiNFO32/64 Kernel Driver" (HWiNFO32) - "REALiX(tm)" - C:\Programme\HWiNFO32\HWiNFO32.SYS
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MpKsl4ddbf866" (MpKsl4ddbf866) - ? - c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{3BD67CDF-851B-495F-96B5-22DFB5D1DA94}\MpKsl4ddbf866.sys  (File not found)
"MpKslb0ae6f0f" (MpKslb0ae6f0f) - ? - c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{BA88F73A-5A6E-41D2-B8A9-5DFD1786F2D1}\MpKslb0ae6f0f.sys  (File not found)
"MpKslc382eb50" (MpKslc382eb50) - ? - c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{A2D41DB4-63C8-4942-A191-279982425BCE}\MpKslc382eb50.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"SASDIFSV" (SASDIFSV) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS
"SASKUTIL" (SASKUTIL) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} "SABShellExecuteHook Class" - "SuperAdBlocker.com" - C:\Programme\SUPERAntiSpyware\SASSEH.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{A155339D-CCCD-4714-85EB-3754B804C9DF} "a-squared Free Shell Extension" - ? -   (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{72923739-5A47-40A3-9895-25AF0DFBB9E4} "Glary Utilities Context Menu Shell Extension" - "Glarysoft Ltd" - C:\PROGRA~1\GLARYU~1\CONTEX~1.DLL
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{F1C0FD6C-A6A0-49a7-A932-71A56461867F} "PDF Download" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
DirectAnimation Java Classes "DirectAnimation Java Classes" - ? -   (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\dajava.cab
{BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} "Emsisoft Web Malware Scan" - "Emsi Software GmbH" - C:\WINDOWS\DOWNLO~1\EMSISO~1.OCX / http://ax.emsisoft.com/emsisoft_webscan.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / http://java.sun.com/update/1.6.0/jin...ndows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / http://java.sun.com/update/1.6.0/jin...ndows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / http://java.sun.com/update/1.6.0/jin...ndows-i586.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -   (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab
{74DBCB52-F298-4110-951D-AD2FF67BC8AB} "NVIDIA Smart Scan" - "NVIDIA" - C:\WINDOWS\DOWNLO~1\NVIDIA~1.OCX / http://www.nvidia.com/content/Driver...aSmartScan.cab
{7530BFB8-7293-4D34-9923-61A11451AFC5} "OnlineScanner Control" - "ESET" - C:\PROGRA~1\ESET\ESETON~1\ONLINE~1.OCX / http://download.eset.com/special/eos/OnlineScanner.cab
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} "QuickTime Plugin Control" - "Apple Inc." - C:\Programme\QuickTime\QTPlugin.ocx / http://appldnld.apple.com.edgesuite....x/qtplugin.cab
{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} "Symantec AntiVirus scanner" - "Symantec Corporation" - C:\WINDOWS\Downloaded Program Files\avsniff.dll / http://security.symantec.com/sscv6/S...in/AvSniff.cab
{644E432F-49D3-41A1-8DD5-E099162EEEC5} "Symantec RuFSI Utility Class" - "Symantec Corporation" - C:\WINDOWS\Downloaded Program Files\rufsi.dll / http://security.symantec.com/sscv6/S.../bin/cabsa.cab
{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\LegitCheckControl.DLL / http://download.microsoft.com/downlo...eckControl.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{DC6169B9-3397-4D01-8639-07F1A34BAF99} "ClsidExtension" - ? -   (File not found | COM-object registry key not found)
{FF5073C0-28A0-4223-9BDF-59FF020FE77C} "ClsidExtension" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Printkey2000.lnk" - "Fred's Software" - C:\Programme\PrintKey2000\Printkey2000.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\desktop.ini
"setup_9.0.0.722_20.06.2011_06-11.lnk" - ? - C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\setup_9.0.0.722_20.06.2011_06-11.lnk  (Shortcut exists | File not found)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"SUPERAntiSpyware" - "SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"NVMixerTray" - "NVIDIA Corporation" - "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"THGuard" - "Mischel Internet Security" - "C:\Programme\TrojanHunter 5.3\THGuard.exe"
[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"DATA BECKER Update Service" (DBService) - ? - C:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe  (File not found)
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"HASP License Manager" (hasplms) - ? - C:\WINDOWS\system32\hasplms.exe  -run  (File not found)
"Java Quick Starter" (JavaQuickStarterService) - ? - "C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf"  (File not found)
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{B587E2B1-4D59-4e7e-AED9-22B9DF11D053} "802.3 Group Policy" - "Microsoft Corporation" - C:\WINDOWS\system32\dot3gpclnt.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A} "EFS recovery" - "Microsoft Corporation" - C:\WINDOWS\system32\scecli.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B} "Internet Explorer Branding" - "Microsoft Corporation" - C:\WINDOWS\system32\iedkcs32.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D} "Internet Explorer Machine Accelerators" - "Microsoft Corporation" - C:\WINDOWS\system32\iedkcs32.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
{7B849a69-220F-451E-B3FE-2CB811AF94AE} "Internet Explorer User Accelerators" - "Microsoft Corporation" - C:\WINDOWS\system32\iedkcs32.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3} "Internet Explorer Zonemapping" - "Microsoft Corporation" - C:\WINDOWS\system32\iedkcs32.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
{C631DF4C-088F-4156-B058-4375F0853CD8} "Microsoft Offline Files" - "Microsoft Corporation" - C:\WINDOWS\System32\cscui.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
{3610eda5-77ef-11d2-8dc5-00c04fa31a66} "Microsoft-Datenträgerkontingent" - "Microsoft Corporation" - C:\WINDOWS\system32\dskquota.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
{827D319E-6EAC-11D2-A4EA-00C04F79F83A} "Security" - "Microsoft Corporation" - C:\WINDOWS\system32\scecli.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (Hidden registry entry, rootkit activity | File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"!SASWinLogon" - "SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL  (Hidden registry entry, rootkit activity)
"dimsntfy" - "Microsoft Corporation" - C:\WINDOWS\System32\dimsntfy.dll  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"klogon" - ? - C:\WINDOWS\system32\klogon.dll  (File not found)
===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---
If You have questions or want to get some help, You can visit Online Solutions :: Index

3. aswMBR.txt,

aswMBR version 0.9.8.977 Copyright(c) 2011 AVAST Software
Run date: 2011-07-28 19:29:02
-----------------------------
19:29:02.171 OS Version: Windows 5.1.2600 Service Pack 3
19:29:02.171 Number of processors: 1 586 0x801
19:29:02.171 ComputerName: YOUR-MWNJZUZON0 UserName: Besitzer
19:29:02.531 Initialize success
19:32:40.937 AVAST engine defs: 11072800
19:32:54.125 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000005e
19:32:54.125 Disk 0 Vendor: ST3160022ACE 9.51 Size: 152627MB BusType: 3
19:32:54.125 Disk 1 \Device\Harddisk1\DR1 -> \Device\0000005f
19:32:54.125 Disk 1 Vendor: WDC_WD800BB-00CAA1 17.07W17 Size: 76319MB BusType: 3
19:32:54.140 Disk 0 MBR read successfully
19:32:54.140 Disk 0 MBR scan
19:32:54.171 Disk 0 Windows XP default MBR code
19:32:54.171 Disk 0 scanning sectors +312560640
19:32:54.250 Disk 0 scanning C:\WINDOWS\system32\drivers
19:33:07.250 Service scanning
19:33:08.140 Modules scanning
19:33:15.687 Disk 0 trace - called modules:
19:33:15.718 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll nvatabus.sys
19:33:16.218 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x866e8ab8]
19:33:16.218 3 CLASSPNP.SYS[f788ffd7] -> nt!IofCallDriver -> \Device\00000062[0x866e9358]
19:33:16.218 5 ACPI.sys[f77e5620] -> nt!IofCallDriver -> \Device\0000005e[0x8676a040]
19:33:16.640 AVAST engine scan C:\WINDOWS
19:33:21.765 AVAST engine scan C:\WINDOWS\system32
19:35:41.500 AVAST engine scan C:\WINDOWS\system32\drivers
19:36:01.703 AVAST engine scan C:\Dokumente und Einstellungen\Besitzer
19:40:41.218 AVAST engine scan C:\Dokumente und Einstellungen\All Users
19:40:58.484 Scan finished successfully
19:42:53.203 Disk 0 MBR has been saved successfully to "C:\A\MBR.dat"
19:42:53.203 The log file has been saved successfully to "C:\A\aswMBR.txt"

TrojanerHunterNEW · 28.07.2011, 20:58

Habe ich wieder alles falsch gemacht

cosinus · 28.07.2011, 21:38

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

TrojanerHunterNEW · 29.07.2011, 19:32

Hier die gewünschten Log´s:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Datenbank Version: 7318
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
29.07.2011 16:12:42
mbam-log-2011-07-29 (16-12-42).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|)
Durchsuchte Objekte: 226317
Laufzeit: 49 Minute(n), 3 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!
Generated 07/29/2011 at 05:19 PM
Application Version : 4.55.1000
Core Rules Database Version : 7484
Trace Rules Database Version: 5296
Scan type : Complete Scan
Total Scan Time : 00:58:16
Memory items scanned : 333
Memory threats detected : 0
Registry items scanned : 6984
Registry threats detected : 0
File items scanned : 24174
File threats detected : 34
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad2.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad3.adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atdmt[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad2.adfarm1.adition[3].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@doubleclick[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ads.carocean.co[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@serving-sys[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@revsci[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@doubleclick[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@apmebf[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.burstnet[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@xiti[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@invitemedia[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@media.antenne-bayern[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad.360yield[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adfarm1.adition[5].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@kontera[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@traffictrack[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@media6degrees[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ads.bleepingcomputer[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad4.adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@imrworldwide[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adxpansion[3].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@2o7[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@eas.apm.emediate[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@mediaplex[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@surveymonkey.122.2o7[1].txt

# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=04d20e2d230f0747b2aff2e1b8e5f800
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-29 06:12:06
# local_time=2011-07-29 08:12:06 (+0100, Zentraleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 681659 681659 0 0
# scanned=66049
# found=28
# cleaned=0
# scan_time=10063
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0226900.sys Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0227892.sys Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0227893.ini Variante von Win32/Sirefef.CH Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0228892.sys Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0228893.ini Variante von Win32/Sirefef.CH Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0228901.sys Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0228902.ini Variante von Win32/Sirefef.CH Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0229901.sys Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0229902.ini Variante von Win32/Sirefef.CH Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0230901.sys Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0230902.ini Variante von Win32/Sirefef.CH Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0230909.sys Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0230910.ini Variante von Win32/Sirefef.CH Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0231909.sys Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0231910.ini Variante von Win32/Sirefef.CH Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0231918.sys Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0231919.ini Variante von Win32/Sirefef.CH Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0232918.sys Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP404\A0232919.ini Variante von Win32/Sirefef.CH Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP405\A0233958.sys Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{0102AD5B-DCC9-49C2-B7D1-11C730D52C94}\RP405\A0233959.sys Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\07282011_122249\C_WINDOWS\system32\drivers\imapi.sys.vir Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\07282011_122249\C_WINDOWS\system32\drivers\imapi.sys.vir2 Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
I:\200\SweetImSetup.exe Variante von Win32/SweetIM.B Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I
I:\Downloads\Adwaresample.zip Mehrere Bedrohungen (Säubern nicht möglich) 00000000000000000000000000000000 I
I:\Downloads\registrybooster.exe Win32/RegistryBooster Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I
I:\X\registrybooster.exe Win32/RegistryBooster Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I
I:\X\registrybooster.rar Win32/RegistryBooster Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I

Mußte mein posting editieren, weil ich einen falschen, bzw. alten Eset Log hier rein gesetzt hatte.

cosinus · 30.07.2011, 18:49

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

SASW hat nur Cookies gefunden. Die anderen Funde von ESET werden durch das das Deaktivieren der SWH gelöscht.
Diese hier bitte manuell löschen.

Code:

ATTFilter

C:\_OTL\MovedFiles\07282011_122249\C_WINDOWS\system32\drivers\imapi.sys.vir Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\07282011_122249\C_WINDOWS\system32\drivers\imapi.sys.vir2 Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
I:\200\SweetImSetup.exe Variante von Win32/SweetIM.B Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I
I:\Downloads\Adwaresample.zip Mehrere Bedrohungen (Säubern nicht möglich) 00000000000000000000000000000000 I
I:\Downloads\registrybooster.exe Win32/RegistryBooster Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I
I:\X\registrybooster.exe Win32/RegistryBooster Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I
I:\X\registrybooster.rar Win32/RegistryBooster Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I

Rechner nun wieder im Lot?

TrojanerHunterNEW · 30.07.2011, 20:54

Wie meinst du das diese manuell löschen, also per Hand , also liegen die bedrohungen nur in gepachter Form vor, oder wie meinst du das ?

TrojanerHunterNEW · 30.07.2011, 21:05

...also getahn, wie geht es weiter ?

cosinus · 30.07.2011, 21:18

Ja Überreste sind nun gelöscht. Ist der der Rechner nun wieder im Lot oder nicht?

TrojanerHunterNEW · 30.07.2011, 21:20

Nein die übereste, abe ich noch nicht gelöscht, als muß ich das per hand tuhn, so meinst du das , oder ?!

TrojanerHunterNEW · 30.07.2011, 21:26

Das werde ich jetzt, per Hand löschen:

C:\_OTL\MovedFiles\07282011_122249\C_WINDOWS\system32\drivers\imapi.sys.vir Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\07282011_122249\C_WINDOWS\system32\drivers\imapi.sys.vir2 Variante von Win32/Sirefef.CL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
I:\200\SweetImSetup.exe Variante von Win32/SweetIM.B Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I
I:\Downloads\Adwaresample.zip Mehrere Bedrohungen (Säubern nicht möglich) 00000000000000000000000000000000 I
I:\Downloads\registrybooster.exe Win32/RegistryBooster Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I
I:\X\registrybooster.exe Win32/RegistryBooster Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I
I:\X\registrybooster.rar Win32/RegistryBooster Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I

Oder habe ich dich jetzt misverstanden, wen ich richtig liege, mit meiner vermutung muß ich dan wieder die Systemwiederherslung aktevieren, oder ?

cosinus · 30.07.2011, 21:32

Ja wo ist denn jetzt das Problem die von ESET angezeigten Dateien manuell zu löschen??

Und ja die SWH kannst du nachher wieder aktivieren.

30.07.2011, 21:18	#72
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Malwarebefall Ja Überreste sind nun gelöscht. Ist der der Rechner nun wieder im Lot oder nicht? __________________ Logfiles bitte immer in CODE-Tags posten

30.07.2011, 21:32	#75
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Malwarebefall Ja wo ist denn jetzt das Problem die von ESET angezeigten Dateien manuell zu löschen?? Und ja die SWH kannst du nachher wieder aktivieren. __________________ Logfiles bitte immer in CODE-Tags posten

Malwarebefall

Plagegeister aller Art und deren Bekämpfung: Malwarebefall

Malwarebefall

Malwarebefall

Malwarebefall

Malwarebefall

Malwarebefall

Malwarebefall

Malwarebefall

Malwarebefall

Malwarebefall

Malwarebefall

Malwarebefall

Malwarebefall

Malwarebefall

Malwarebefall

Malwarebefall

Ähnliche Themen: Malwarebefall

28.07.2011, 20:58	#66
TrojanerHunterNEW	Malwarebefall Habe ich wieder alles falsch gemacht __________________ --> Malwarebefall

30.07.2011, 20:54	#70
TrojanerHunterNEW	Malwarebefall Wie meinst du das diese manuell löschen, also per Hand , also liegen die bedrohungen nur in gepachter Form vor, oder wie meinst du das ? __________________ Wer auf den Kopf geht, hat den Himmel als Abgrund.

30.07.2011, 21:05	#71
TrojanerHunterNEW	Malwarebefall ...also getahn, wie geht es weiter ? __________________ Wer auf den Kopf geht, hat den Himmel als Abgrund.

30.07.2011, 21:20	#73
TrojanerHunterNEW	Malwarebefall Nein die übereste, abe ich noch nicht gelöscht, als muß ich das per hand tuhn, so meinst du das , oder ?! __________________ Wer auf den Kopf geht, hat den Himmel als Abgrund.