BKA-Virus: Offenbar relativ neue Version, Start im Abgesicherten Modus nicht möglich.

D-HOPF · 19.06.2012, 23:07

Hallo zusammen,

ich habe mir vorhin beim Surfen offenbar durch einen infizierten Werbebanner eine relativ neue Version des BKA-Viruses eingefangen. Plötzlich verschwanden alle meine Anwendungen und es öffnete ein Fenster auf dem ganz oben meine angebliche IP geschrieben steht und darunter das mein Computer aus den üblichen Gründen gesperrt wurde (incl. der 100 € Forderung).

Da ich schon einmal eine ältere Version des BKA-Viruses eingefangen hatte hab ich sofort die damals angewendete Methode versucht: Ohne Erfolg. Ein Neustart im Abgesichertenmodus ist nicht möglich. Und auch die Trennung vom Internet hilft diesmal nicht mehr.

Derzeit schreibe ich von meinem zweiten PC aus. Über diesen habe ich bereits den Ordner "AppData" durchforstet in dem sich der BKA-Virus das letzte mal befand. Leider auch ohne Erfolg. Auch "Trend Micro Internetsecurity 2012" konnte im Ordner "AppData" nichts verdächtiges feststellen. Konnte jedoch feststellen das bei jedem Neustart ein Adobe-Acrobat-Reader Logfile erstellt wird und außerdem kurzzeitig eine weitere Datei erscheint die offenbar eine .exe generiert. Die generierte RtkBtMnt.exe wird von "Trend Micro Internetsecurity 2012" auch nicht als Virus identifiziert.

Leider habe ich von der zweiten Maschine nur Zugriff auf die kompletten "Eigenen Dateien".

Nun noch ein paar Infos zu meinem System:
Acer Aspire 7738G
Windows Vista 32 Bit

Ich bedanke mich jetzt schon mal für eure hilfe.

Viele Grüße aus Nördlingen,

Dennis

Chris4You · 20.06.2012, 07:11

Hi,

dann brauchen wir eine Boot-CD...

System mit OTL-PE scannen

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.

Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.

Lege eine leere CD in Deinen Brenner.

ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.

Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".

Du kannst nun die Fenster des Brennprogramms schließen.

Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.

Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hierInstallation: Wie boote ich Windows von der CD?.

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.

Mache einen Doppelklick auf das OTLPE Icon.

Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.

Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.

Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.

OTLpe sollte nun starten.

Drücke Run Scan, um den Scan zu starten.

Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt gesichert und mit Notepad++ geöffnet.

Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.

Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt in diesen Thread.

chris

D-HOPF · 20.06.2012, 08:58

Guten morgen.

Zuerst mal danke für eure schnelle Hilfe!

Habe gleich heute morgen alle morgen alle Schritte durchgeführt und hier nun der Inhalt des OTL.txt und Extras.txt:OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 6/20/2012 10:50:01 AM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Windows Vista (TM) Home Premium Service Pack 2 (Version = 6.0.6002) - Type = System
Internet Explorer (Version = 7.0.6002.18005)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 91.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 452.99 Gb Total Space | 208.90 Gb Free Space | 46.12% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet003
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012/05/30 03:13:01 | 003,417,376 | ---- | M] () [Auto] -- C:\program files\common files\akamai/netsession_win_80c2ffa.dll -- (Akamai)
SRV - [2011/11/20 20:03:59 | 000,200,632 | ---- | M] (Trend Micro Inc.) [Auto] -- C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe -- (Amsp)
SRV - [2011/08/07 17:40:00 | 003,804,120 | ---- | M] (INCA Internet Co., Ltd.) [On_Demand] -- C:\Windows\System32\GameMon.des -- (npggsvc)
SRV - [2009/04/15 11:17:58 | 000,703,008 | ---- | M] (Acer Incorporated) [Auto] -- C:\Program Files\Acer\Acer PowerSmart Manager\ePowerSvc.exe -- (ePowerSvc)
SRV - [2009/04/11 14:32:00 | 000,061,184 | ---- | M] (NewTech Infosystems, Inc.) [Auto] -- C:\Program Files\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe -- (NTI IScheduleSvc)
SRV - [2008/12/18 08:51:34 | 000,075,048 | ---- | M] () [Auto] -- C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe -- (CLHNService)
SRV - [2008/11/27 06:00:58 | 000,237,568 | ---- | M] (Acer Incorporated) [Auto] -- C:\Program Files\Acer\Acer VCM\RS_Service.exe -- (RS_Service)
SRV - [2008/10/27 07:05:28 | 000,306,736 | ---- | M] () [Auto] -- C:\Program Files\EgisTec\MyWinLocker 3\x86\\MWLService.exe -- (MWLService)
SRV - [2008/03/18 15:27:12 | 000,013,312 | ---- | M] (Agere Systems) [Auto] -- C:\Windows\System32\agrsmsvc.exe -- (AgereModemAudio)
SRV - [2008/01/20 22:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand] --  -- (IpInIp)
DRV - File not found [Kernel | Auto] --  -- (int15)
DRV - [2011/11/20 20:04:01 | 000,205,072 | ---- | M] (Trend Micro Inc.) [Kernel | System] -- C:\Windows\System32\drivers\tmcomm.sys -- (tmcomm)
DRV - [2011/11/20 20:04:01 | 000,092,432 | ---- | M] (Trend Micro Inc.) [Kernel | System] -- C:\Windows\System32\drivers\tmtdi.sys -- (tmtdi)
DRV - [2011/11/20 20:04:01 | 000,081,168 | ---- | M] (Trend Micro Inc.) [Kernel | System] -- C:\Windows\System32\drivers\tmactmon.sys -- (tmactmon)
DRV - [2011/11/20 20:04:01 | 000,068,368 | ---- | M] (Trend Micro Inc.) [Kernel | System] -- C:\Windows\System32\drivers\tmevtmgr.sys -- (tmevtmgr)
DRV - [2009/04/10 16:42:54 | 000,031,616 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\winusb.sys -- (WinUSB)
DRV - [2009/02/10 09:01:00 | 007,545,120 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2009/01/22 18:43:54 | 000,052,768 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nvhda32v.sys -- (NVHDA)
DRV - [2008/12/24 09:57:00 | 000,026,928 | ---- | M] (Egis) [Kernel | Auto] -- C:\Windows\System32\drivers\FPSensor.sys -- (FPSensor) EgisTech-Corp Fingerprint Reader Driver (FPSensor.sys)
DRV - [2008/10/09 11:47:12 | 000,059,952 | ---- | M] (Egis Incorporated.) [Kernel | Auto] -- C:\Windows\System32\drivers\mwlPSDVDisk.sys -- (mwlPSDVDisk)
DRV - [2008/10/09 11:47:12 | 000,019,504 | ---- | M] (Egis Incorporated.) [File_System | Auto] -- C:\Windows\System32\drivers\mwlPSDFilter.sys -- (mwlPSDFilter)
DRV - [2008/10/09 11:47:12 | 000,016,432 | ---- | M] (Egis Incorporated.) [Kernel | Auto] -- C:\Windows\System32\drivers\mwlPSDNserv.sys -- (mwlPSDNServ)
DRV - [2008/10/08 05:43:08 | 000,005,632 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\Windows\System32\drivers\hidshim.sys -- (hidshim)
DRV - [2008/10/08 05:43:06 | 000,022,528 | ---- | M] (Nuvoton Technology Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nuvotonhidgeneric.sys -- (nuvotonhidgeneric)
DRV - [2008/09/25 11:37:40 | 003,666,432 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\NETw5v32.sys -- (NETw5v32) Intel(R)
DRV - [2008/09/04 00:12:56 | 000,223,232 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\k57nd60x.sys -- (k57nd60x) Broadcom NetLink (TM)
DRV - [2008/02/29 19:13:38 | 001,202,560 | ---- | M] (Agere Systems) [Kernel | On_Demand] -- C:\Windows\System32\drivers\AGRSM.sys -- (AgereSoftModem)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1111&m=aspire_7738
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1111&m=aspire_7738
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
IE - HKU\Dennis-H_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1111&m=aspire_7738
IE - HKU\Dennis-H_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://global.acer.com [binary data]
IE - HKU\Dennis-H_ON_C\Software\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\Dennis-H_ON_C\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://global.acer.com [binary data]
IE - HKU\Dennis-H_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1111&m=aspire_7738
IE - HKU\Dennis-H_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "www.google.de"
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\System32\Macromed\Flash\NPSWF32_11_3_300_257.dll ()
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8051.1204: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.11: C:\Program Files\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{38783831-6098-4faa-A9C9-1EE1E343F4D2}: C:\Program Files\Trend Micro\AMSP\Module\20002\7.1.1102\7.1.1102\firefoxextension [2012/04/19 06:55:42 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{22C7F6C6-8D67-4534-92B5-529A0EC09405}: C:\Program Files\Trend Micro\AMSP\module\20004\FxExt\firefoxextension\ [2012/04/19 06:57:52 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012/06/18 14:32:13 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2012/06/13 15:16:56 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012/06/18 14:32:13 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 12.0\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2012/06/13 15:16:56 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 12.0\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2011/11/20 18:42:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Dennis-H\AppData\Roaming\Mozilla\Extensions
[2012/05/02 22:47:18 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Dennis-H\AppData\Roaming\Mozilla\Firefox\Profiles\nn1uvfk9.default\extensions
[2012/03/26 19:45:25 | 000,000,000 | ---D | M] (Battlefield Heroes Updater) -- C:\Users\Dennis-H\AppData\Roaming\Mozilla\Firefox\Profiles\nn1uvfk9.default\extensions\battlefieldheroespatcher@ea.com
[2012/04/19 07:06:56 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
File not found (No name found) -- 
[2012/06/18 14:32:12 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012/06/18 14:32:09 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/06/18 14:32:09 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012/06/18 14:32:09 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012/06/18 14:32:09 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/06/18 14:32:09 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/06/18 14:32:09 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006/09/18 17:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (TmIEPlugInBHO Class) - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Program Files\Trend Micro\AMSP\module\20004\2.0.1313\6.8.1078\TmIEPlg.dll (Trend Micro Inc.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll (Google Inc.)
O2 - BHO: (TmBpIeBHO Class) - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - C:\Program Files\Trend Micro\AMSP\module\20002\7.1.1102\7.1.1102\TmBpIe32.dll (Trend Micro Inc.)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O4 - HKLM..\Run: [Acer ePower Management] C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTrayLauncher.exe (Acer Incorporated)
O4 - HKLM..\Run: [AmIcoSinglun] C:\Program Files\AmIcoSingLun\AmIcoSinglun.exe (AlcorMicro Co., Ltd.)
O4 - HKLM..\Run: [ArcadeDeluxeAgent] C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe (CyberLink Corp.)
O4 - HKLM..\Run: [BackupManagerTray] C:\Program Files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe (NewTech Infosystems, Inc.)
O4 - HKLM..\Run: [CLMLServer] C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe (CyberLink)
O4 - HKLM..\Run: [EgisTecLiveUpdate] C:\Program Files\EgisTec Egis Software Update\EgisUpdate.exe (EgisTec Inc.)
O4 - HKLM..\Run: [LManager] C:\Program Files\Launch Manager\LManager.exe (Dritek System Inc.)
O4 - HKLM..\Run: [mwlDaemon] C:\Program Files\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe (EgisTec Inc.)
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [PLFSetI] C:\Windows\PLFSetI.exe ()
O4 - HKLM..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\SkyTel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [Trend Micro Client Framework] C:\Program Files\Trend Micro\UniClient\UiFrmWrk\UIWatchDog.exe (Trend Micro Inc.)
O4 - HKLM..\Run: [Trend Micro Titanium] C:\Program Files\Trend Micro\Titanium\UIFramework\uiWinMgr.exe (Trend Micro Inc.)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKU\Dennis-H_ON_C..\Run: [hodzmhiyyeaaced] C:\ProgramData\hodzmhiy.exe ()
O4 - HKU\LocalService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\NetworkService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O9 - Extra Button: ICQ7.7 - {77F665FD-3F60-4B0A-AE14-EC124B7A7FCE} - C:\Program Files\ICQ7.7\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.7 - {77F665FD-3F60-4B0A-AE14-EC124B7A7FCE} - C:\Program Files\ICQ7.7\ICQ.exe (ICQ, LLC.)
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Acer\Acer VCM\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\tmbp {1A77E7DC-C9A0-4110-8A37-2F36BAE71ECF} - C:\Program Files\Trend Micro\AMSP\module\20002\7.1.1102\7.1.1102\TmBpIe32.dll (Trend Micro Inc.)
O18 - Protocol\Handler\tmpx {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Program Files\Trend Micro\AMSP\module\20004\2.0.1313\6.8.1078\TmIEPlg.dll (Trend Micro Inc.)
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL) - C:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/09/18 17:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/06/19 14:47:28 | 000,000,000 | ---D | C] -- C:\ProgramData\srzhwlrdtzxhmfd
[2012/06/13 04:08:10 | 000,498,688 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2012/06/13 04:08:08 | 000,671,232 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mstime.dll
[2012/06/13 04:08:08 | 000,389,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\html.iec
[2012/06/13 04:08:08 | 000,193,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iepeers.dll
[2012/06/13 04:08:08 | 000,180,736 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2012/06/13 04:08:08 | 000,106,496 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2012/06/13 04:08:08 | 000,027,648 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2012/06/13 04:08:07 | 001,383,424 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2012/06/13 04:08:07 | 000,380,928 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieapfltr.dll
[2012/06/13 04:07:22 | 002,045,440 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2012/06/12 15:25:12 | 000,000,000 | ---D | C] -- C:\Users\Dennis-H\AppData\Local\Macromedia
[2011/11/20 07:22:50 | 000,049,152 | ---- | C] ( ) -- C:\Windows\Interop.IWshRuntimeLibrary.dll
 
========== Files - Modified Within 30 Days ==========
 
[2012/06/20 03:08:14 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012/06/20 03:07:54 | 000,123,876 | ---- | M] () -- C:\ProgramData\nvModes.001
[2012/06/20 03:07:51 | 000,003,616 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012/06/20 03:07:51 | 000,003,616 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012/06/20 03:07:43 | 3215,814,656 | -HS- | M] () -- C:\hiberfil.sys
[2012/06/20 02:29:01 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012/06/20 02:29:00 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012/06/19 17:33:08 | 000,629,854 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012/06/19 17:33:08 | 000,598,590 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012/06/19 17:33:08 | 000,126,594 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012/06/19 17:33:08 | 000,105,002 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012/06/19 17:13:15 | 000,123,876 | ---- | M] () -- C:\ProgramData\nvModes.dat
[2012/06/19 17:13:09 | 000,007,592 | ---- | M] () -- C:\Users\Dennis-H\AppData\Local\d3d9caps.dat
[2012/06/19 14:47:31 | 000,000,052 | ---- | M] () -- C:\ProgramData\ylzsxlkufnjqypr
[2012/06/19 14:47:17 | 000,073,728 | ---- | M] () -- C:\ProgramData\hwsbbfbg.exe
[2012/06/19 14:47:17 | 000,073,728 | ---- | M] () -- C:\ProgramData\hodzmhiy.exe
[2012/06/13 09:42:36 | 000,295,920 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012/06/12 15:24:57 | 000,426,184 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2012/06/12 15:24:57 | 000,070,344 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2012/06/07 01:45:00 | 000,000,694 | ---- | M] () -- C:\Users\Dennis-H\Desktop\FSX AS332L2 OPERATIONS MANUAL - Verknüpfung.lnk
[2012/06/02 04:55:33 | 000,202,240 | ---- | M] () -- C:\Users\Dennis-H\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== Files Created - No Company Name ==========
 
[2012/06/19 15:22:29 | 3215,814,656 | -HS- | C] () -- C:\hiberfil.sys
[2012/06/19 14:47:31 | 000,073,728 | ---- | C] () -- C:\ProgramData\hwsbbfbg.exe
[2012/06/19 14:47:30 | 000,073,728 | ---- | C] () -- C:\ProgramData\hodzmhiy.exe
[2012/06/19 14:47:19 | 000,000,052 | ---- | C] () -- C:\ProgramData\ylzsxlkufnjqypr
[2012/06/07 01:45:00 | 000,000,694 | ---- | C] () -- C:\Users\Dennis-H\Desktop\FSX AS332L2 OPERATIONS MANUAL - Verknüpfung.lnk
[2012/03/26 19:59:12 | 000,139,080 | ---- | C] () -- C:\Windows\System32\drivers\PnkBstrK.sys
[2012/03/26 19:59:11 | 000,138,056 | ---- | C] () -- C:\Users\Dennis-H\AppData\Roaming\PnkBstrK.sys
[2012/03/26 19:59:00 | 000,270,240 | ---- | C] () -- C:\Windows\System32\PnkBstrB.exe
[2012/03/26 19:58:59 | 000,075,136 | ---- | C] () -- C:\Windows\System32\PnkBstrA.exe
[2011/11/20 20:22:12 | 000,202,240 | ---- | C] () -- C:\Users\Dennis-H\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/11/20 20:05:49 | 000,000,056 | ---- | C] () -- C:\Windows\System32\SupportTool.exe.bat
[2011/11/20 19:14:24 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2011/11/20 19:14:02 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2011/11/20 04:17:29 | 000,007,592 | ---- | C] () -- C:\Users\Dennis-H\AppData\Local\d3d9caps.dat
[2011/11/20 04:14:44 | 000,000,000 | ---- | C] () -- C:\Windows\setup.INI
[2011/11/20 04:05:10 | 000,200,704 | ---- | C] () -- C:\Windows\PLFSetI.exe
[2011/11/20 04:05:10 | 000,106,496 | ---- | C] () -- C:\Windows\FixUVC.exe
[2011/11/20 04:05:10 | 000,000,074 | ---- | C] () -- C:\Windows\PidList.ini
[2011/11/20 04:03:19 | 000,090,772 | ---- | C] () -- C:\Windows\System32\drivers\RtConvEQ.DAT
[2011/11/20 04:03:19 | 000,000,536 | ---- | C] () -- C:\Windows\System32\drivers\RtHdatEx.dat
[2011/11/20 04:03:19 | 000,000,520 | ---- | C] () -- C:\Windows\System32\drivers\RTEQEX2.dat
[2011/11/20 04:03:19 | 000,000,520 | ---- | C] () -- C:\Windows\System32\drivers\RTEQEX1.dat
[2011/11/20 04:03:19 | 000,000,520 | ---- | C] () -- C:\Windows\System32\drivers\RTEQEX0.dat
[2011/11/20 04:03:19 | 000,000,008 | ---- | C] () -- C:\Windows\System32\drivers\rtkhdaud.dat
[2011/11/20 03:54:03 | 000,123,876 | ---- | C] () -- C:\ProgramData\nvModes.001
[2011/11/20 03:53:33 | 000,123,876 | ---- | C] () -- C:\ProgramData\nvModes.dat
[2009/03/12 06:47:51 | 000,629,854 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2009/03/12 06:47:51 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2009/03/12 06:47:51 | 000,126,594 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2009/03/12 06:47:51 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2009/03/12 06:32:52 | 000,000,028 | ---- | C] () -- C:\Windows\WisLangCode.ini
[2009/03/11 22:09:35 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2009/02/11 16:03:58 | 000,872,448 | ---- | C] () -- C:\Windows\iconv.dll
[2009/02/11 16:03:58 | 000,743,424 | ---- | C] () -- C:\Windows\libxml2.dll
[2009/02/11 16:03:57 | 000,000,060 | ---- | C] () -- C:\Windows\Prelaunch.ini
[2008/10/07 04:13:30 | 000,197,912 | ---- | C] () -- C:\Windows\System32\physxcudart_20.dll
[2008/10/07 04:13:22 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelTraditionalChinese.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSwedish.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSpanish.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSimplifiedChinese.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelPortugese.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelKorean.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelJapanese.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelGerman.dll
[2008/10/07 04:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelFrench.dll
[2006/11/02 08:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006/11/02 08:47:37 | 000,295,920 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006/11/02 08:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006/11/02 06:33:01 | 000,598,590 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006/11/02 06:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006/11/02 06:33:01 | 000,105,002 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006/11/02 06:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006/11/02 06:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006/11/02 04:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006/11/02 04:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006/11/02 03:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006/11/02 03:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
 
========== LOP Check ==========
 
[2011/11/20 04:08:10 | 000,000,000 | ---D | M] -- C:\Users\Dennis-H\AppData\Roaming\Acer
[2009/03/11 23:07:02 | 000,000,000 | ---D | M] -- C:\Users\Dennis-H\AppData\Roaming\Acer GameZone Console
[2011/12/20 00:49:00 | 000,000,000 | ---D | M] -- C:\Users\Dennis-H\AppData\Roaming\Auslogics
[2011/11/20 04:25:49 | 000,000,000 | ---D | M] -- C:\Users\Dennis-H\AppData\Roaming\eSobi
[2012/04/03 06:21:37 | 000,000,000 | ---D | M] -- C:\Users\Dennis-H\AppData\Roaming\ICQ
[2011/11/20 04:03:26 | 000,000,000 | ---D | M] -- C:\Users\Dennis-H\AppData\Roaming\PowerCinema
[2011/11/20 04:03:46 | 000,000,000 | ---D | M] -- C:\Users\Dennis-H\AppData\Roaming\SoftDMA
[2011/12/12 10:33:36 | 000,000,000 | ---D | M] -- C:\Users\Dennis-H\AppData\Roaming\Spyware Remover Pro
[2011/11/22 06:37:48 | 000,000,000 | ---D | M] -- C:\Users\Dennis-H\AppData\Roaming\Thunderbird
[2011/11/20 03:51:27 | 000,000,000 | -HSD | M] -- C:\ProgramData\Anwendungsdaten
[2011/11/20 03:51:27 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2011/11/20 03:51:27 | 000,000,000 | -HSD | M] -- C:\ProgramData\Dokumente
[2011/11/20 04:17:47 | 000,000,000 | ---D | M] -- C:\ProgramData\EgisTec
[2011/11/20 04:13:12 | 000,000,000 | ---D | M] -- C:\ProgramData\eSobi
[2011/11/20 03:51:27 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoriten
[2011/12/12 02:27:46 | 000,000,000 | ---D | M] -- C:\ProgramData\InstallMate
[2011/12/12 02:27:44 | 000,000,000 | ---D | M] -- C:\ProgramData\Premium
[2011/12/12 12:33:07 | 000,000,000 | ---D | M] -- C:\ProgramData\SecTaskMan
[2011/12/12 10:41:35 | 000,000,000 | ---D | M] -- C:\ProgramData\SP1Data
[2012/06/19 14:47:29 | 000,000,000 | ---D | M] -- C:\ProgramData\srzhwlrdtzxhmfd
[2011/11/20 03:51:27 | 000,000,000 | -HSD | M] -- C:\ProgramData\Startmenü
[2009/03/11 23:26:55 | 000,000,000 | ---D | M] -- C:\ProgramData\Temp
[2011/11/20 03:51:27 | 000,000,000 | -HSD | M] -- C:\ProgramData\Vorlagen
[2011/11/22 10:12:34 | 000,000,000 | ---D | M] -- C:\ProgramData\WindowsSearch
[2012/06/20 03:08:03 | 000,032,530 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
< End of report >

--- --- ---

Chris4You · 20.06.2012, 09:59

Hi,

got'em...

Script auf einen USB-Stick kopieren, wieder von CD booten und OTLPe das Script ausführen lassen.

Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:

ATTFilter

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O4 - HKU\Dennis-H_ON_C..\Run: [hodzmhiyyeaaced] C:\ProgramData\hodzmhiy.exe ()
[2012/06/19 14:47:28 | 000,000,000 | ---D | C] -- C:\ProgramData\srzhwlrdtzxhmfd
[2012/06/19 14:47:31 | 000,000,052 | ---- | M] () -- C:\ProgramData\ylzsxlkufnjqypr
[2012/06/19 14:47:17 | 000,073,728 | ---- | M] () -- C:\ProgramData\hwsbbfbg.exe

:Commands
[emptytemp]
[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Der Rechner sollte jetzt wieder normal booten...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

D-HOPF · 20.06.2012, 10:16

Gut, also rein mit dem Code und anschließend "Run Fix". Wenn alles ausgeführt ist wieder neu starten..?

Sehr gut danke!

System läuft wieder und "Malwarebytes Anti Malware" Suchlauf läuft.

Anbei die Frage: Kann ich mich irgendwie gezielt vor infizierten Werbebannern schützen? Denn schon zum zweiten mal konnte sich der Virus offenbar am Virenscanner vorbeimogeln.

Chris4You · 20.06.2012, 10:32

Hi,

er sollte alleine neu starten, wenn nicht startest Du.
Aber die CD rechzeitig rausnehmen ;o)..

chris

Chris4You · 20.06.2012, 10:35

Hi,

das übliche:

Guest-Account zum Surfen (oder Sandbox), Firefox mit NoScript und WOT - Addons...

Die Dinger sind aber darauf ausgelegt, ganz verhindern lässt sich das nicht...

chris

D-HOPF · 20.06.2012, 13:00

So, alle bisherigen Arbeitsschritte sind nun ausgeführt.

Hier noch das Logfile von " Malwarebytes Anti-Malware ":

Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.06.20.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
Dennis-H :: D-HOPF [Administrator]

Schutz: Deaktiviert

20.06.2012 12:29:21
mbam-log-2012-06-20 (12-29-21).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 441356
Laufzeit: 2 Stunde(n), 12 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Dennis-H\Downloads\VideoToMp3Setup.exe (Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Chris4You · 20.06.2012, 13:28

Hi,

sieh an, MAM hat das Teil nicht erkannt (es steht jetzt von OTL verschoben in C:\_OTL\MovedFiles)...

Nun, in dem Fall bitte da hin navigieren und bei Virustotal prüfen lassen (und pass beim klicken auf, nicht ausführen, kein Doppelklick!)
Die Datei um die es geht: hodzmhiy.exe
Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\_OTL\MovedFiles\..\hodzmhiy.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Falls genügend Scanner sie nicht erkennen, werden wir es bei uns hochladen...

Das sollte es dann erstmal gewesen sein, poste bitte noch ein neues OTL-Log (mit dem "normalen" OTL)...

chris

D-HOPF · 20.06.2012, 14:21

1. File:

SHA256: 32e7b64d34cbf968d7669016fdaad45ccca95828940e4f1964e746617281cfd7
SHA1: 5358e706f4e1c8e4bfc300de536f03d0b38f4497
MD5: 9cc0377a6856f90a049cfb9c45a0fcd1
File size: 72.0 KB ( 73728 bytes )
File name: hodzmhiy.exe
File type: Win32 EXE
Detection ratio: 4 / 41
Analysis date: 2012-06-20 13:04:38 UTC ( 1 Minute ago )

Antivirus Result Update
AhnLab-V3 - 20120619
AntiVir - 20120620
Antiy-AVL - 20120619
Avast - 20120620
AVG SHeur4.AIDU 20120620
BitDefender - 20120620
ByteHero - 20120618
CAT-QuickHeal - 20120620
ClamAV - 20120620
Commtouch - 20120620
Comodo - 20120620
DrWeb - 20120620
Emsisoft - 20120620
eSafe - 20120617
F-Prot - 20120620
F-Secure - 20120620
Fortinet - 20120620
GData - 20120620
Ikarus - 20120620
Jiangmin - 20120620
K7AntiVirus Trojan 20120619
Kaspersky - 20120620
McAfee - 20120620
McAfee-GW-Edition - 20120620
Microsoft Trojan:Win32/Weelsof.A 20120620
NOD32 a variant of Win32/Kryptik.AHET 20120620
Norman - 20120619
nProtect - 20120620
Panda - 20120620
PCTools - 20120620
Rising - 20120620
Sophos - 20120620
SUPERAntiSpyware - 20120620
Symantec - 20120619
TheHacker - 20120619
TotalDefense - 20120620
TrendMicro - 20120620
TrendMicro-HouseCall - 20120619
VBA32 - 20120620
VIPRE - 20120620
ViRobot - 20120620
VirusBuster - 20120619

-------------------------------------------

2. File

SHA256: 32e7b64d34cbf968d7669016fdaad45ccca95828940e4f1964e746617281cfd7
SHA1: 5358e706f4e1c8e4bfc300de536f03d0b38f4497
MD5: 9cc0377a6856f90a049cfb9c45a0fcd1
File size: 72.0 KB ( 73728 bytes )
File name: hwsbbfbg.exe
File type: Win32 EXE
Detection ratio: 4 / 42
Analysis date: 2012-06-20 13:09:45 UTC ( 1 Minute ago )

Antivirus Result Update
AhnLab-V3 - 20120619
AntiVir - 20120620
Antiy-AVL - 20120619
Avast - 20120620
AVG SHeur4.AIDU 20120620
BitDefender - 20120620
ByteHero - 20120618
CAT-QuickHeal - 20120620
ClamAV - 20120620
Commtouch - 20120620
Comodo - 20120620
DrWeb - 20120620
Emsisoft - 20120620
eSafe - 20120617
F-Prot - 20120620
F-Secure - 20120620
Fortinet - 20120620
GData - 20120620
Ikarus - 20120620
Jiangmin - 20120620
K7AntiVirus Trojan 20120619
Kaspersky - 20120620
McAfee - 20120620
McAfee-GW-Edition - 20120620
Microsoft Trojan:Win32/Weelsof.A 20120620
NOD32 a variant of Win32/Kryptik.AHET 20120620
Norman - 20120619
nProtect - 20120620
Panda - 20120620
PCTools - 20120620
Rising - 20120620
Sophos - 20120620
SUPERAntiSpyware - 20120620
Symantec - 20120619
TheHacker - 20120619
TotalDefense - 20120620
TrendMicro - 20120620
TrendMicro-HouseCall - 20120619
VBA32 - 20120620
VIPRE - 20120620
ViRobot - 20120620
VirusBuster - 20120619

Chris4You · 20.06.2012, 14:24

Hi,

ok, kaum bekannt, da müssen wir etwas nachhelfen.
Die Dateien bitte wie folgt bei uns hochladen:

Datei hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
Folge den Anweisungen dort und lade die Datei:

Code:

ATTFilter

hodzmhiy.exe
hwsbbfbg.exe

hoch.

In den Kommentar bitte "chris4You", dann finde ich es leichter...

Was treibt der Rechner?

chris

D-HOPF · 20.06.2012, 14:25

Und das 3. File das sich im Ordner befindet:

SHA256: 52a1fdec59ad1f2073e968f66b5d967178aeb9400d0afb6db21c58fda3f29fd4
SHA1: 2bf3ffdfdb7a3384f31fc66b305a33f69783a1e1
MD5: a04b1b576ec384e2f732db7a404c8cf0
File size: 52 Bytes ( 52 bytes )
File name: ylzsxlkufnjqypr
File type: unknown
Detection ratio: 0 / 42
Analysis date: 2012-06-20 13:23:11 UTC ( 0 Minuten ago )

Antivirus Result Update
AhnLab-V3 - 20120619
AntiVir - 20120620
Antiy-AVL - 20120619
Avast - 20120620
AVG - 20120620
BitDefender - 20120620
ByteHero - 20120618
CAT-QuickHeal - 20120620
ClamAV - 20120620
Commtouch - 20120620
Comodo - 20120620
DrWeb - 20120620
Emsisoft - 20120620
eSafe - 20120617
F-Prot - 20120620
F-Secure - 20120620
Fortinet - 20120620
GData - 20120620
Ikarus - 20120620
Jiangmin - 20120620
K7AntiVirus - 20120619
Kaspersky - 20120620
McAfee - 20120620
McAfee-GW-Edition - 20120620
Microsoft - 20120620
NOD32 - 20120620
Norman - 20120619
nProtect - 20120620
Panda - 20120620
PCTools - 20120620
Rising - 20120620
Sophos - 20120620
SUPERAntiSpyware - 20120620
Symantec - 20120619
TheHacker - 20120619
TotalDefense - 20120620
TrendMicro - 20120620
TrendMicro-HouseCall - 20120619
VBA32 - 20120620
VIPRE - 20120620
ViRobot - 20120620
VirusBuster - 20120619

Zitat:

Zitat von Chris4You

In den Kommentar bitte "chris4You", dann finde ich es leichter...

Was treibt der Rechner?

chris

Sorry vor lauter abarbeiten habe ich das ganz vergessen. Steht dabei: "Die gewünschten Dateien".

Läuft inzwischen wieder ohne Probleme. Schreib dir derzeit auch vom betroffenen Rechner aus.

Chris4You · 20.06.2012, 15:25

Hi,

so, die netten Besucher sind unterwegs zu den Labs...
Wenn sonst nichts mehr ist, sollten wir durch sein..

chris

D-HOPF · 20.06.2012, 15:40

Sollen die noch bestehenden beiden Dateien gelöscht oder bestehen bleiben?

Ich sag nochmal vielen vielen dank für eure Hilfe!

Viele Grüße aus Nördlingen,

Dennis

Chris4You · 20.06.2012, 15:42

Hallo,

pack sie in ein passwortgeschützte Datei, den Rest löschen.
OTL kannst Du ebenfalls löschen...

chris

BKA-Virus: Offenbar relativ neue Version, Start im Abgesicherten Modus nicht möglich.

Plagegeister aller Art und deren Bekämpfung: BKA-Virus: Offenbar relativ neue Version, Start im Abgesicherten Modus nicht möglich.