Hallo zusammen,
seit ein paar Tagen geistern wohl Viren auf meinem System herum. Ich kenn mich in der Sache absolut nicht aus und hoffe auf eure Hilfe.
Mir sind im Taskmanager obengenannte Prozesse aufgefallen, deren Dateipfad ich auch nicht zurückverfolgen kann.

Außerdem hat Antivir seit einigen Tagen immer wieder Trojaner Meldungen herausgehauen. Meist traten Fundmeldungen im Stil von: TR/Spy.Agent.bvud oder TR/Spy.Agent.bvua oder TR/Spy.Agent.bvpz.2 oder Spy.Banker.Gen2 auf. Ich hatte auch schon den Bundespolizei Trojaner drauf hxxp://blog.botfrei.de/wp-content/uploads/2011/08/bundespolizei.jpg den ich aber nach einer Anleitung entfernt habe..

Was kann ich nun tun damit alles wieder gut wird? CCleaner habe ich drüber laufen lassen und sowohl Registry als auch den Cleaner drüber laufen lassen.. zusätzlich laut einem anderen Forum schon in der Systemwiederherstellung den schutz ausgestellt -> neugestartet -> schutz wieder angestellt und avira drüberlaufen lassen..

mittlerweile bin ich ratlos.

1. öffne avira, berichte, scan bericht posten.
2. öffne avira, ereignisse, poste die ereignisse.
aber bitte falls möglich, darauf achten nichts doppelt zu posten, also wenn datei xy mehrmals gefunden wurde reicht es auch die fundmeldung nur einmal zu posten.
3.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

hab das ganze mal hier hochgeladen:

hxxp://www.megaupload.com/?d=MALOZFDP

hänge es dann bitte hier lieber als anhang an, falls zu groß mit winrar oder zip packen

texttexttext

kein anhang angekommen

kann die datei nicht anhängen..

würdest dus dir grad da runterladen..? weiß sonst nicht was ich machen soll..

hab jetzt grade noch gesehn dass ich dateien auf dem desktop hab die als versteckte objekte angezeigt werden die ich nicht dorthin kopiert hab.. unter anderem

~WRL1758.tmp und weitere die gleich aussehen
desktop.ini 2 mal
und wort dateien von mir mit einem "~S" vor dem eigentlichen namen

was ist das denn jetzt? wenn ich sie löschen will steht da folgendes:

"Wenn sie die datei verschieben wird windows oder andere programme möglicherweise nicht mehr richtig angezeigt..

hänge die dateien hier an, die logs.
packe sie mit winrar oder zip dann auf antworten, anhänge verwalten, dateien auswählen und dann anhängen, nen antwort text schreiben und antworten.

die text dateien sind zu lang und die winrar und winzip dateien sagt er mir nur "ungültige datei"

kann also nichts machen.. die upload seite sind doch auch nur 2 klicks :/

dann teile die dateien auf.
ich speichere mir doch nicht alle logs auf meinem pc ab und hab auch keine lust da jedes mal zu warten, wenn das jeder so machen würde, würde mich das für jedes log jedes mal ne gute minute zeit kosten.
logs gehören ins forum.

mach weiter hiermit, in zukunft dann die logs hier ins forum
hi
1. deinstaliere spybot, nicht mehr zeitgemäß stört außerdem die reinigung.
2. torrent software:
wird häufig zum illegalem download von programmen filmen etc genutzt und ist daher einfalls tor für malware.
wer sich filme ansehen will oder die games will, muss sie halt bezahlen.
nichts gibts umsonst, auch nicht in den torrent netzen, da gibts malware und die krimminellen verdienen an dir oder mit deinem pc und du machst dich strafbar.
wenn du das torrent netzwerk für anderes nutzt, vergiss punkt2
3.
achtung!
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [Userinit] C:\Users\EICHI\AppData\Roaming\appconf32.exe ()
[2011.11.28 22:00:36 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5051
[2011.11.25 20:26:26 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5050
[2011.11.24 09:51:07 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5049
[2011.11.23 19:36:49 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5048
[2011.11.22 20:27:29 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5047
[2011.11.21 15:27:27 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5045
[2011.11.20 22:44:57 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5044
[2011.11.19 04:48:06 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5043
[2011.11.18 00:59:15 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\5042
[2011.11.18 00:59:02 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\xmldm
[2011.11.18 00:58:57 | 000,000,000 | ---D | C] -- C:\Users\EICHI\AppData\Roaming\kock
:Files
C:\Users\EICHI\AppData\Roaming\appconf32.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

Gesagt, getan:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Userinit deleted successfully.
C:\Users\EICHI\AppData\Roaming\appconf32.exe moved successfully.
C:\Users\EICHI\AppData\Roaming\5051\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5051 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5050\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5050 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5049\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5049 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5048\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5048 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5047\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5047 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5045\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5045 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5044\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5044 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5043\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5043 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5042\components folder moved successfully.
C:\Users\EICHI\AppData\Roaming\5042 folder moved successfully.
C:\Users\EICHI\AppData\Roaming\xmldm folder moved successfully.
C:\Users\EICHI\AppData\Roaming\kock folder moved successfully.
========== FILES ==========
File\Folder C:\Users\EICHI\AppData\Roaming\appconf32.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: EICHI
->Flash cache emptied: 6224327 bytes

User: Public

Total Flash Files Cleaned = 6,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: EICHI
->Temp folder emptied: 25836010 bytes
->Temporary Internet Files folder emptied: 2604613 bytes
->Java cache emptied: 1783779 bytes
->FireFox cache emptied: 53657175 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 531320 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 102427 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 81,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 12012011_181515

Files\Folders moved on Reboot...
C:\Users\EICHI\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

hat das geklappt?