Hallo,

habe seit ein paar Tagen folgendes Problem.
Avira hat den Virus bzw. Trojanisches Pferd TR/Sirefef.BV.2 mehrmals gefunden und in Quarantäne verschoben.
Mit Zugang zum Internet und besuchen von Webseiten, tat sich immer mal ein neuer Tab auf mit Werbung.

Danach wurde über Malwarebytes Scan kein weiterer Fund berichtet.
Hierzu habe ich leider keinen Bericht.

Dann wurde festgestellt, dass die Firewall deaktiviert wurde und ich sie nicht mehr aktivieren kann.
Nach Systemprüfung mit Avira wurde folgendes getan:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 18. März 2012 16:23

Es wird nach 3569307 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : GANDALF-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 31.01.2012 07:55:52
AVSCAN.DLL : 12.1.0.18 65744 Bytes 31.01.2012 07:56:29
LUKE.DLL : 12.1.0.19 68304 Bytes 31.01.2012 07:56:01
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 31.01.2012 07:55:52
AVREG.DLL : 12.1.0.29 228048 Bytes 31.01.2012 07:55:51
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 12:51:57
VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 12:51:57
VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 12:51:57
VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 12:51:57
VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 12:51:57
VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 12:51:58
VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 12:51:58
VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 12:51:58
VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 12:51:58
VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 12:51:58
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 12:52:03
VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 12:52:05
VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 12:52:06
VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 12:52:06
VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 12:52:07
VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 12:52:07
VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 12:52:08
VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 12:52:08
VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 12:52:09
VBASE022.VDF : 7.11.24.52 219648 Bytes 28.02.2012 12:52:09
VBASE023.VDF : 7.11.24.152 165888 Bytes 05.03.2012 12:52:10
VBASE024.VDF : 7.11.24.204 177664 Bytes 07.03.2012 12:52:11
VBASE025.VDF : 7.11.25.30 245248 Bytes 12.03.2012 12:52:12
VBASE026.VDF : 7.11.25.121 252416 Bytes 15.03.2012 12:52:13
VBASE027.VDF : 7.11.25.122 2048 Bytes 15.03.2012 12:52:13
VBASE028.VDF : 7.11.25.123 2048 Bytes 15.03.2012 12:52:13
VBASE029.VDF : 7.11.25.124 2048 Bytes 15.03.2012 12:52:13
VBASE030.VDF : 7.11.25.125 2048 Bytes 15.03.2012 12:52:13
VBASE031.VDF : 7.11.25.142 71680 Bytes 16.03.2012 12:52:13
Engineversion : 8.2.10.24
AEVDF.DLL : 8.1.2.2 106868 Bytes 31.01.2012 07:55:38
AESCRIPT.DLL : 8.1.4.10 455035 Bytes 18.03.2012 12:52:26
AESCN.DLL : 8.1.8.2 131444 Bytes 18.03.2012 12:52:25
AESBX.DLL : 8.2.5.5 606579 Bytes 18.03.2012 12:52:27
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 07:55:37
AEPACK.DLL : 8.2.16.5 803190 Bytes 18.03.2012 12:52:25
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 31.01.2012 07:55:36
AEHEUR.DLL : 8.1.4.7 4501878 Bytes 18.03.2012 12:52:23
AEHELP.DLL : 8.1.19.0 254327 Bytes 18.03.2012 12:52:16
AEGEN.DLL : 8.1.5.23 409973 Bytes 18.03.2012 12:52:15
AEEXP.DLL : 8.1.0.25 74101 Bytes 18.03.2012 12:52:27
AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 07:55:34
AECORE.DLL : 8.1.25.6 201078 Bytes 18.03.2012 12:52:15
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 07:55:33
AVWINLL.DLL : 12.1.0.17 27344 Bytes 31.01.2012 07:55:54
AVPREF.DLL : 12.1.0.17 51920 Bytes 31.01.2012 07:55:51
AVREP.DLL : 12.1.0.17 179408 Bytes 31.01.2012 07:55:51
AVARKT.DLL : 12.1.0.23 209360 Bytes 31.01.2012 07:55:46
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 31.01.2012 07:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 31.01.2012 07:56:07
AVSMTP.DLL : 12.1.0.17 62928 Bytes 31.01.2012 07:55:52
NETNT.DLL : 12.1.0.17 17104 Bytes 31.01.2012 07:56:02
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 31.01.2012 07:56:32
RCTEXT.DLL : 12.1.0.16 98512 Bytes 31.01.2012 07:56:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 18. März 2012 16:23

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\$ntuninstallkb41285$:summaryinformation
c:\windows\$ntuninstallkb41285$:summaryinformation
[HINWEIS] Der Stream ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'taskeng.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '82' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '60' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'GoogleDesktop.exe' - '47' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'OSDUtility.exe' - '69' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'igfxpers.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '128' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '94' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'Dwm.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'FSCWBaseUpdaterService.exe' - '87' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '40' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '40' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'avguard.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'setup.exe' - '54' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'sched.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'LEXPPS.EXE' - '35' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'LEXBCES.EXE' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '88' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'svchost.exe' - '84' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '140' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'svchost.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '70' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'services.exe' - '42' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '39' Modul(e) wurden durchsucht
Modul ist OK -> <\\.\globalroot\systemroot\system32\mswsock.dll>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Windows\System32\RTLE8023xp.dll
[FUND] Ist das Trojanische Pferd TR/Sirefef.BV.2

Die Registry wurde durchsucht ( '1172' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\Windows\System32\RTLE8023xp.dll
[FUND] Ist das Trojanische Pferd TR/Sirefef.BV.2
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lxct_device\Parameters> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lxct_device\Parameters> wurde erfolgreich entfernt.
C:\Windows\System32\RTLE8023xp.dll
[FUND] Ist das Trojanische Pferd TR/Sirefef.BV.2
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lxct_device\Parameters\ServiceDll> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lxct_device\Parameters\ServiceDll> wurde erfolgreich repariert.


Ende des Suchlaufs: Sonntag, 18. März 2012 17:54
Benötigte Zeit: 1:29:02 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

28983 Verzeichnisse wurden überprüft
496066 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
19 Dateien konnten nicht durchsucht werden
496045 Dateien ohne Befall
6314 Archive wurden durchsucht
19 Warnungen
2 Hinweise
506966 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden




Nachdem ich die von euch angegebenen Downloads durchgeführt und die Scans übers System laufen ließ,
wurde folgendes Berichtet:

DDS.txt:

.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 7.0.6002.18005 BrowserJavaVersion: 1.6.0_29
Run by Gandalf at 21:45:32 on 2012-03-22
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2936.1891 [GMT 1:00]
.
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\LEXBCES.EXE
C:\Windows\System32\LEXPPS.EXE
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\TEMP\lomelc\setup.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\system32\IoctlSvc.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\TeamViewer\Version4\TeamViewer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\FSC OSD Utility\OSDUtility.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.de/firefox
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
uInternet Settings,ProxyOverride = *.local
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun
uRun: [ehTray.exe] c:\windows\ehome\ehTray.exe
uRun: [{0CFEE880-0826-2F71-3446-46EC31EDB3A4}] c:\users\gandalf\appdata\roaming\zaecyl\agybdoo.exe
mRun: [RtHDVCpl] RtHDVCpl.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [FSC OSD Utility] c:\progra~1\fscosd~1\OSDUTI~1.EXE
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Google Desktop Search] "c:\program files\google\google desktop search\GoogleDesktop.exe" /startup
mRun: [FSCRecovery] c:\program files\fujitsu siemens computers\fujitsu siemens computers recovery\FSCRecoveryReminder.exe
mRun: [NPCTray] c:\program files\norman\npc\bin\npc_tray.exe /LOAD
mRun: [Google EULA Launcher] c:\program files\google\google eula\GoogleEULALauncher.exe IE PA
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
mRun: [Skytel] Skytel.exe
mRun: [Lexmark X6100 Series] "c:\program files\lexmark x6100 series\lxbfbmgr.exe"
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
dRun: [Picasa Media Detector] c:\program files\picasa2\PicasaMediaDetector.exe
dRun: [fsc-reg] c:\fsc-reg\fscreg.exe
StartupFolder: c:\users\gandalf\appdata\roaming\micros~1\windows\startm~1\programs\startup\openof~1.lnk - c:\program files\openoffice.org 3\program\quickstart.exe
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Google Sidewiki... - c:\program files\google\google toolbar\component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
LSP: mswsock.dll
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
TCP: DhcpNameServer = 192.168.1.1 193.189.244.194 193.189.244.202
TCP: Interfaces\{1CBCFD11-E818-43B0-B559-B1218B3299E8} : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{5B427B96-D381-4272-A732-7AA8475F4F07} : DhcpNameServer = 192.168.1.1 193.189.244.194 193.189.244.202
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
Notify: igfxcui - igfxdev.dll
AppInit_DLLs: c:\progra~1\google\google~2\GOEC62~1.DLL
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\gandalf\appdata\roaming\mozilla\firefox\profiles\ywcwjveh.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\microsoft silverlight\4.1.10111.0\npctrlui.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\users\gandalf\appdata\roaming\mozilla\firefox\profiles\ywcwjveh.default\extensions\2020player@2020technologies.com\plugins\NP2020Player.dll
.
---- FIREFOX POLICIES ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
============= SERVICES / DRIVERS ===============
.
R?2 AMService;AMService;c:\windows\temp\lomelc\setup.exe run --> c:\windows\temp\lomelc\setup.exe run [?]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2012-3-18 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2012-3-18 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\program files\avira\antivir desktop\avguard.exe [2012-3-18 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2012-3-18 74640]
R2 FontCache;Windows-Dienst für Schriftartencache;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2008-1-21 21504]
R2 FSCLBaseUpdaterService;FSCLBaseUpdaterService;c:\program files\fujitsu siemens computers\fsclounge\fscwbaseupdaterservice\2\FSCWBaseUpdaterService.exe [2007-6-4 65536]
R2 TeamViewer4;TeamViewer 4;c:\program files\teamviewer\version4\TeamViewer_Service.exe [2009-8-24 185640]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187B.sys [2008-10-10 337920]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;c:\program files\google\google desktop search\GoogleDesktop.exe [2009-6-12 29744]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
.
=============== Created Last 30 ================
.
2012-03-18 19:28:34 592824 ----a-w- c:\program files\mozilla firefox\gkmedias.dll
2012-03-18 19:28:34 44472 ----a-w- c:\program files\mozilla firefox\mozglue.dll
2012-03-18 12:53:20 -------- d-----w- c:\users\gandalf\appdata\roaming\Avira
2012-03-18 12:50:53 74640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-03-18 12:50:53 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2012-03-18 12:50:48 -------- d-----w- c:\programdata\Avira
2012-03-18 12:50:48 -------- d-----w- c:\program files\Avira
2012-03-16 21:53:47 0 --sha-w- c:\windows\system32\dds_trash_log.cmd
2012-03-16 10:45:58 6552120 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{d9b50d52-572e-4e23-9d34-458a297d25ac}\mpengine.dll
2012-03-14 19:58:36 2044416 ----a-w- c:\windows\system32\win32k.sys
2012-03-14 19:58:34 683008 ----a-w- c:\windows\system32\d2d1.dll
2012-03-14 19:58:34 219648 ----a-w- c:\windows\system32\d3d10_1core.dll
2012-03-14 19:58:34 160768 ----a-w- c:\windows\system32\d3d10_1.dll
2012-03-14 19:58:34 1172480 ----a-w- c:\windows\system32\d3d10warp.dll
2012-03-14 19:58:34 1068544 ----a-w- c:\windows\system32\DWrite.dll
2012-03-14 19:58:20 613376 ----a-w- c:\windows\system32\rdpencom.dll
2012-03-14 19:58:20 180736 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-03-14 19:58:18 2409784 ----a-w- c:\program files\windows mail\OESpamFilter.dat
2012-02-27 12:54:49 -------- d-----w- c:\users\gandalf\appdata\roaming\Zaecyl
2012-02-27 12:54:49 -------- d-----w- c:\users\gandalf\appdata\roaming\Lasa
.
==================== Find3M ====================
.
2012-03-16 21:52:49 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-23 08:18:36 237072 ------w- c:\windows\system32\MpSigStub.exe
2006-05-03 10:06:54 163328 --sha-r- c:\windows\system32\flvDX.dll
2007-02-21 11:47:16 31232 --sha-r- c:\windows\system32\msfDX.dll
2008-03-16 13:30:52 216064 --sha-r- c:\windows\system32\nbDX.dll
.
============= FINISH: 21:46:54,39 ===============




Während ich die Berichte in eurer Forum stellen wollte, hat sich mein System aufgehangen.

Zudem hat sich Avira aufgetan und von folgendem Virus berichtet und in Quarantäne verschoben.
TR/Rootkit.Gen in c:windows/system32/drivers/netbt.sys

Zudem stellt sich das Problem, dass ich keine Sicherungskopien vom System gemacht habe..
Ich hoffe, dass ihr mir trotzdem helfend könnt und vor allem, dass ich das hier alles richtig gemacht habe...


Verzweifelte Grüße

Nicole

hi,
nutzt du den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

Hallo,

ja, habe mit dem Rechner Onlinebanking und dergleichen getätigt. Habe dahingehend auch alle meine Passwörter geändert und als mir das so komisch vorkam gar nicht erst genutzt. Zur Zeit mache ich mit dem Rechner garkeine Internetaktivitäten, sondern nutze das Internet über einen zweiten Rechner.

hi
ich hoffe du hast die passwörter nicht von dem infiziertem pc aus geendert, denn das wäre sinnlos :-)
da du damit onlinebanking machst, und du ein rootkit hast:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf einen externen Datenträger (USB-Platte): http://www.trojaner-board.de/82533-d...ted-magic.html
  Bider, Dokumente, Musik, Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neuinstallieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• Recovery CD oder Recovery Partition?
• falls dies ein Fertig-PC ist, nenne Hersteller + Typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Hallo und danke erstmal für die Antwort.
Die Passwörter habe ich über einen anderen Rechner geändert
Ich habe überhaupt keine Ahnung wie formatiert wird. Problem ist auch, dass ich kein Betriebssystem auf CD besitze und die Hersteller CD nicht auffindbar ist (im Moment). Kann jetzt erstmal nur die Daten sichern und dann weiß ich auch nicht weiter ...

wie heißt das gerät genau? hersteller und geräte typ

Fujitsu Siemens Amilo Notebook Li 3710

Ich hoffe, dass ist mit Hersteller und Typ gemeint

wenn ich das richtig sehe, muss man dvds selbst erstellen, hattest du das gemacht?

Nein, leider nicht. Dass ist ja das blöde

hast du noch nen handbuch zu dem gerät, häufig gibts ja recovery funktionen, falls man keine cds erstellt hatt.

Derzeit leider nicht auffindbar. Stelle gerade die ganze Wohnung auf den Kopf, aber leider ohne Erfolg. Muss ich mir ein neues Betriebssystem kaufen?

ja, sieht leider so aus.
ich würd aber dann eher auf windows 7 setzen.
Windows 7 Upgrade Advisor - Download - Microsoft Windows
teste mal mit diesem tool, ob der pc windows 7 tauglich ist.

Ok..das könnte jetzt aber erstmal 1-3 Tage dauern. Ich hoffe, dass ist kein Problem, wenn ich mich nicht gleich wieder melde. Wieviel würde denn das neue Betriebssystem dann kosten, wenn es auf dem Rechner laufen würde?
Muss ich noch etwas beachten, wenn ich mir die Datei downloade, wegen dem Virus..

nein, musst du nicht.
aber vor dem kauf das tool nutzen.
da muss man vergleichen, über google shopping ergebnisse kann man windows 7 für 60 € rund bekommen

Es ist vollbracht. Extern hat mir ein Freund geholfen den Rechner frei vom Befall zu bekommen und ich wollte mich auf diesem Wege nochmal für dein Unterstützung bedanken und natürlich auch ein Danke, dass du dir die Zeit genommen hattest, mir zu antworten.

Erleichternde Grüße

Nicole-Yvonne