Trojaner TR/ADH.2.4490 in Quarantäne bei Avira

cosinus · 15.02.2012, 20:18

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Jenn7 · 15.02.2012, 22:08

1. Scan Gmer (restlichen folgen):
GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-02-15 22:06:08
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 SAMSUNG_MP0603H rev.UD100-14
Running: z6zjofs0.exe; Driver: C:\DOKUME~1\Home\LOKALE~1\Temp\kgldqpow.sys


---- System - GMER 1.0.15 ----

SSDT   F7BF3E14                                                                                                                                                                           ZwClose
SSDT   F7BF3DCE                                                                                                                                                                           ZwCreateKey
SSDT   F7BF3E1E                                                                                                                                                                           ZwCreateSection
SSDT   F7BF3DC4                                                                                                                                                                           ZwCreateThread
SSDT   F7BF3DD3                                                                                                                                                                           ZwDeleteKey
SSDT   F7BF3DDD                                                                                                                                                                           ZwDeleteValueKey
SSDT   F7BF3E0F                                                                                                                                                                           ZwDuplicateObject
SSDT   F7BF3DE2                                                                                                                                                                           ZwLoadKey
SSDT   F7BF3DB0                                                                                                                                                                           ZwOpenProcess
SSDT   F7BF3DB5                                                                                                                                                                           ZwOpenThread
SSDT   F7BF3DEC                                                                                                                                                                           ZwReplaceKey
SSDT   F7BF3DE7                                                                                                                                                                           ZwRestoreKey
SSDT   F7BF3E23                                                                                                                                                                           ZwSetContextThread
SSDT   F7BF3DD8                                                                                                                                                                           ZwSetValueKey
SSDT   F7BF3DBF                                                                                                                                                                           ZwTerminateProcess

Code   \??\C:\DOKUME~1\Home\LOKALE~1\Temp\catchme.sys                                                                                                                                     pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

?      C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                                                                                                         Das System kann die angegebene Datei nicht finden. !
?      C:\DOKUME~1\Home\LOKALE~1\Temp\catchme.sys                                                                                                                                         Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text  C:\Programme\Mozilla Firefox\plugin-container.exe[660] USER32.dll!GetWindowInfo                                                                                                    7E37C49C 5 Bytes  JMP 1045142A C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text  C:\Programme\Mozilla Firefox\plugin-container.exe[660] USER32.dll!TrackPopupMenu                                                                                                   7E3B531E 5 Bytes  JMP 104519DE C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text  C:\Programme\Mozilla Firefox\firefox.exe[2676] ntdll.dll!LdrLoadDll                                                                                                                7C92632D 5 Bytes  JMP 011D64D0 C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-1060284298-1682526488-682003330-1003\Extension-List\{00000000-0000-0000-0000-000000000000}@StartTimeLo  1085149506
Reg    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-1060284298-1682526488-682003330-1003\Extension-List\{00000000-0000-0000-0000-000000000000}@StartTimeHi  30206989
Reg    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-1060284298-1682526488-682003330-1003\Extension-List\{00000000-0000-0000-0000-000000000000}@EndTimeLo    1085149506
Reg    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-1060284298-1682526488-682003330-1003\Extension-List\{00000000-0000-0000-0000-000000000000}@EndTimeHi    30206989

---- Files - GMER 1.0.15 ----

File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich                                                                                                                          0 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_1_0915.jpg.$e_                                                                                                     1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_3_031.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\Desktop.ini                                                                                                              76 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\Desktop.ini.$e_                                                                                                          1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_1_0424.jpg                                                                                                         3128742 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_1_0424.jpg.$e_                                                                                                     1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_1_0523.jpg                                                                                                         3266096 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_1_0523.jpg.$e_                                                                                                     1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_1_0619.jpg                                                                                                         3316210 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_1_0619.jpg.$e_                                                                                                     1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_1_0717.jpg                                                                                                         3272350 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_1_0717.jpg.$e_                                                                                                     1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_1_0816.jpg                                                                                                         3332722 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_1_0816.jpg.$e_                                                                                                     1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_1_0915.jpg                                                                                                         3171146 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_2_032.jpg                                                                                                          2676759 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_2_032.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_2_033.jpg                                                                                                          2428148 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_2_033.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_2_034.jpg                                                                                                          3182397 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_2_034.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_2_035.jpg                                                                                                          2472476 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_2_035.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_3_023.jpg                                                                                                          2478648 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_3_023.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_3_024.jpg                                                                                                          2423694 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_3_024.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_3_028.jpg                                                                                                          2501793 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_3_028.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_3_030.jpg                                                                                                          2350147 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_3_030.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_3_031.jpg                                                                                                          1296271 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_4_002.jpg                                                                                                          1924214 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_4_002.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_4_004.jpg                                                                                                          2123720 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_4_004.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_4_007.jpg                                                                                                          2347522 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_4_007.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_4_009.jpg                                                                                                          1949319 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_4_009.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_4_011.jpg                                                                                                          2012793 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_4_011.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_4_012.jpg                                                                                                          2098335 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_4_012.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_4_013.jpg                                                                                                          1720910 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_4_013.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_5_029.jpg                                                                                                          817718 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_5_029.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_5_032 - Kopie.jpg                                                                                                  1967728 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_5_032 - Kopie.jpg.$e_                                                                                              1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_5_032.jpg                                                                                                          1967728 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_5_032.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_5_033.jpg                                                                                                          2238725 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\dg141_5_033.jpg.$e_                                                                                                      1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\ich                                                                                                                      0 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\ich\dg141_5_032.jpg                                                                                                      903739 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\ich\dg141_5_032.jpg.$e_                                                                                                  1024 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\ich\Thumbs.db                                                                                                            9728 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\ich\Thumbs.db.$e_                                                                                                        512 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\Thumbs.db                                                                                                                335360 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\Ich\Thumbs.db.$e_                                                                                                            512 bytes
File   C:\Dokumente und Einstellungen\Home\My Private Folder\prvflder.dat                                                                                                                 512 bytes

---- EOF - GMER 1.0.15 ----

--- --- ---

Jenn7 · 16.02.2012, 01:35

Hier Nr. 2 von OSAM. Leider habe ich dabei nicht so wiklich Ahnung, ob das richtig war. Ich hatte Probleme mit Entpacken, weil ich das noch nie gemacht habe. Ich hoffe, dass das jetzt korrekt ist?!:

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 01:32:22 on 16.02.2012

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Norton Security Scan for Home.job" - "Symantec Corporation" - C:\PROGRA~1\NORTON~2\Engine\351~1.8\Nss.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"alsndmgr.cpl" - ? - C:\WINDOWS\system32\alsndmgr.cpl  (File signed by Microsoft | File found, but it contains no detailed information)
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Home\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"kgldqpow" (kgldqpow) - ? - C:\DOKUME~1\Home\LOKALE~1\Temp\kgldqpow.sys  (Hidden registry entry, rootkit activity | File not found)
"Lavalys EVEREST Kernel Driver" (EverestDriver) - ? - C:\Programme\Lavalys\EVEREST Home Edition\kerneld.wnt  (File found, but it contains no detailed information)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MBAMSwissArmy" (MBAMSwissArmy) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbamswissarmy.sys
"mbr" (mbr) - ? - C:\ComboFix\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -   (File not found | COM-object registry key not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{78237F62-8EC8-438C-83B0-1DECB4303076} "My Private Folder" - "Microsoft Corporation" - C:\Programme\Microsoft Private Folder 1.0\ShellExt.dll
{B0FAF2DA-13EA-41CA-A62F-850DC01D1C01} "My Private Folder" - "Microsoft Corporation" - C:\Programme\Microsoft Private Folder 1.0\ShellExt.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{3B153CB3-A551-4fe6-A68B-F5C96650FF39} "Private Folder" - "Microsoft Corporation" - C:\Programme\Microsoft Private Folder 1.0\ShellExt.dll
{A02DEEEB-DD87-4a4f-8F2E-B633A59BA18A} "Private Folder" - "Microsoft Corporation" - C:\Programme\Microsoft Private Folder 1.0\ShellExt.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Dokumente und Einstellungen\Home\Desktop\rarext.dll  (File not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Grab Pro" - ? - C:\Programme\Orbitdownloader\GrabPro.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{D27CDB6E-AE6D-11CF-96B8-444553540000} "{D27CDB6E-AE6D-11CF-96B8-444553540000}" - ? -   (File not found | COM-object registry key not found) / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Grab Pro" - ? - C:\Programme\Orbitdownloader\GrabPro.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{000123B4-9B42-4900-B3F7-F4B073EFC214} "Octh Class" - "Orbitdownloader.com" - C:\Programme\Orbitdownloader\orbitcth.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Home\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"Google Software Updater" (gusvc) - ? - "C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"  (File not found)
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GtDetectSc" (GtDetectSc) - "OptionNV" - C:\Programme\Option\GlobeTrotter Connect\GtDetectSc.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Private Folder Service" (prfldsvc) - ? - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe  (File found, but it contains no detailed information)
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---
If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
[/code]

Jenn7 · 16.02.2012, 12:06

Ich habe eine kurze Zwischenfrage: Seit gestern oder vorgestern meldet sich immer nach Einschalten mein Avira. Ich habe mal kurz einen Screenshot gemacht, kann ihn aber nicht einfügen? Wie mache ich das denn am besten? Es wird nach dem Link gefragt. Muss ich es erst irgendwo hochladen?

Mein Notebook läuft auch ziemlich langsam mittlerweile... Vielleicht von den ganzen Programmen? Danke

Jenn7 · 16.02.2012, 13:47

So, jetzt moniert Avira in regelmäßigem Rhythmus und fragt, ob ich "die" Datei (tdsskiller.exe) in Quarantäne verschieben möchte? Auch hierzu habe ich einen Screenshot. Was soll ich tun? Danke vorab.

cosinus · 16.02.2012, 14:08

Das ist ein Fehlalarm!

Jenn7 · 16.02.2012, 14:11

Das ist sehr gut. Aber wie beseitige ich den? Avira ist streng hartnäckig und fragt mich ständig..

cosinus · 16.02.2012, 14:51

Avira deaktivieren!

Jenn7 · 16.02.2012, 15:25

So, auch der 3. Scan erledigt. Wie ist denn die Zwischenbilanz? Danke!

Code:

ATTFilter

aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-16 14:37:30
-----------------------------
14:37:30.937    OS Version: Windows 5.1.2600 Service Pack 3
14:37:30.937    Number of processors: 1 586 0xD08
14:37:30.953    ComputerName: NB-TBJH  UserName: Home
14:37:32.250    Initialize success
14:48:00.000    AVAST engine defs: 12021600
15:00:36.390    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
15:00:36.390    Disk 0 Vendor: SAMSUNG_MP0603H UD100-14 Size: 57277MB BusType: 3
15:00:36.421    Disk 0 MBR read successfully
15:00:36.437    Disk 0 MBR scan
15:00:36.859    Disk 0 Windows XP default MBR code
15:00:36.875    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        57262 MB offset 63
15:00:37.140    Disk 0 scanning sectors +117274500
15:00:37.531    Disk 0 scanning C:\WINDOWS\system32\drivers
15:01:02.765    Service scanning
15:01:04.890    Modules scanning
15:01:13.531    Disk 0 trace - called modules:
15:01:13.578    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
15:01:13.593    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84f87308]
15:01:14.625    3 CLASSPNP.SYS[f7525fd7] -> nt!IofCallDriver -> \Device\00000079[0x84f88650]
15:01:14.671    5 ACPI.sys[f739b620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x84f07d98]
15:01:15.500    AVAST engine scan C:\WINDOWS
15:01:25.031    AVAST engine scan C:\WINDOWS\system32
15:04:56.515    AVAST engine scan C:\WINDOWS\system32\drivers
15:05:17.250    AVAST engine scan C:\Dokumente und Einstellungen\Home
15:21:58.984    AVAST engine scan C:\Dokumente und Einstellungen\All Users
15:22:52.453    Scan finished successfully
15:23:12.781    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Home\Desktop\MBR.dat"
15:23:12.828    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Home\Desktop\aswMBR.txt"


aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-16 14:37:30
-----------------------------
14:37:30.937    OS Version: Windows 5.1.2600 Service Pack 3
14:37:30.937    Number of processors: 1 586 0xD08
14:37:30.953    ComputerName: NB-TBJH  UserName: Home
14:37:32.250    Initialize success
14:48:00.000    AVAST engine defs: 12021600
15:00:36.390    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
15:00:36.390    Disk 0 Vendor: SAMSUNG_MP0603H UD100-14 Size: 57277MB BusType: 3
15:00:36.421    Disk 0 MBR read successfully
15:00:36.437    Disk 0 MBR scan
15:00:36.859    Disk 0 Windows XP default MBR code
15:00:36.875    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        57262 MB offset 63
15:00:37.140    Disk 0 scanning sectors +117274500
15:00:37.531    Disk 0 scanning C:\WINDOWS\system32\drivers
15:01:02.765    Service scanning
15:01:04.890    Modules scanning
15:01:13.531    Disk 0 trace - called modules:
15:01:13.578    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
15:01:13.593    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84f87308]
15:01:14.625    3 CLASSPNP.SYS[f7525fd7] -> nt!IofCallDriver -> \Device\00000079[0x84f88650]
15:01:14.671    5 ACPI.sys[f739b620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x84f07d98]
15:01:15.500    AVAST engine scan C:\WINDOWS
15:01:25.031    AVAST engine scan C:\WINDOWS\system32
15:04:56.515    AVAST engine scan C:\WINDOWS\system32\drivers
15:05:17.250    AVAST engine scan C:\Dokumente und Einstellungen\Home
15:21:58.984    AVAST engine scan C:\Dokumente und Einstellungen\All Users
15:22:52.453    Scan finished successfully
15:23:12.781    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Home\Desktop\MBR.dat"
15:23:12.828    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Home\Desktop\aswMBR.txt"
15:23:28.953    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Home\Desktop\MBR.dat"
15:23:28.968    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Home\Desktop\aswMBR.txt"

cosinus · 16.02.2012, 15:35

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Jenn7 · 17.02.2012, 19:01

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.17.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Home :: NB-TBJH [Administrator]

17.02.2012 18:10:02
mbam-log-2012-02-17 (18-10-02).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 261262
Laufzeit: 48 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

cosinus · 17.02.2012, 19:45

Fehlt noch das Log von SASW

Jenn7 · 17.02.2012, 22:53

Ja, hier der letzte Log, der noch gefehlt hat. Dabei ist etwas aufgetaucht. Soll ich das in Quarantäne verschieben? Danke!

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/17/2012 at 09:08 PM

Application Version : 5.0.1144

Core Rules Database Version : 8259
Trace Rules Database Version: 6071

Scan type       : Complete Scan
Total Scan Time : 01:59:24

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 440
Memory threats detected   : 0
Registry items scanned    : 32914
Registry threats detected : 0
File items scanned        : 31231
File threats detected     : 1

Trojan.Agent/Gen-SoftonicDownloader
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{250E6648-32DE-4E1C-A19F-DF7BDD817B36}\RP151\A0022738.EXE

cosinus · 19.02.2012, 18:22

In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Rechner soweit wieder ok?

Jenn7 · 20.02.2012, 13:02

Dankeschön! Ich habe es jetzt deaktiviert. Gestern hat Norton automatisch einen Scan gemacht und 5 Dateien angemeckert. 3 x davon Trojaner?!

Ist mein Notebook denn jetzt wieder gesund? Ich weiß, ist sicher eine komische Frage. Aber nach all den hilfreichen Tipps von Dir und Programmdownloads und Scans habe ich den Faden verloren bzw. habe eigentlich keine Ahnung, was ich gemacht habe? (Bin leider kein Spezi, daher sehr froh über Hilfe)

Kannst Du mich bitte kurz aufklären? Kann ich die ganzen Programme wieder deinstallieren (Ressorcen-Problem)? Wenn nein, welche sinnvoll weiter zu benutzen? Was mache ich jetzt mit den Dateien, die in Quarantäne liegen bei Avira? Sorry für die ganzen Fragen, aber bin überfordert.

vielen Dank!!

16.02.2012, 14:08	#21
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner TR/ADH.2.4490 in Quarantäne bei Avira Das ist ein Fehlalarm! __________________ --> Trojaner TR/ADH.2.4490 in Quarantäne bei Avira

16.02.2012, 14:51	#23
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner TR/ADH.2.4490 in Quarantäne bei Avira Avira deaktivieren! __________________ Logfiles bitte immer in CODE-Tags posten

16.02.2012, 15:35	#25
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner TR/ADH.2.4490 in Quarantäne bei Avira Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

17.02.2012, 19:45	#27
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner TR/ADH.2.4490 in Quarantäne bei Avira Fehlt noch das Log von SASW __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner TR/ADH.2.4490 in Quarantäne bei Avira

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/ADH.2.4490 in Quarantäne bei Avira