Hallo,
habe seit gestern Probleme mit meinem Rechner. Beim Surfen stürzte I-Explorer ab, es öffnete sich ein neues Fenster: "Live Security Platinum".
Avira meldete gleichzeitig 2 verdächtige Viren. Hab danach nen Scann von Avira laufen lassen. Ergebnis waren 7 Dateien, die in Quarantäne gestellt wurden: 4x TR/ATRAPS.Gen und 3x TR/ATRAPS.Gen2. Aus der Statuszeile gabs laufend folgende Warnung: "application cannot be executed. The file DLACTRLW.EXE is infeeted. Please activate your antivirus software".
Gestern zeigte der I-Explorer keine Inhalte mehr an, heute schon wieder. Stattdessen ließ sich Outlook Express nicht mehr öffnen, das bekannte Live Security Platinum Fenster öffnete sich wieder von alleine. Beim Start gabs noch folgende Meldung: "RUNDLL: Fehler beim Laden von CTMBHA.DLL
Eine DLL-Installationsroutine ist fehlgeschlagen."

Habe schon ein paar andere Threads zu diesem Problem gelesen, mir schwant schon Übles. Wäre sehr nett, wenn mir von den geschätzten Experten hier an Bord geholfen werden könnte. Ich hoffe, es klappt ohne Neuinstallation, denn davor habe ich als "Nur-Anwender" ohne vertiefte Kenntnisse etwas Bammel.

Vielen Dank!

Problem besteht unverändert.
Kann mir einer der Experten mit ein paar Tipps helfen?

Vielen Dank!

Habe nun im abgesichertern Modus einen vollständigen Scann von Malware laufen lassen. Das Ergebnis der Log-Datei untenstehend.
Wie fällt die Diagnose der Experten aus?
Wäre sehr nett, wenn sich dazu jemand äußern könnte!

Vielen Dank

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.31.12

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
*** :: DHWPK82J [Administrator]

31.07.2012 22:57:01
mbam-log-2012-07-31 (22-57-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 337099
Laufzeit: 42 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|036E18F8C9518CA11601F7027B07D287 (Trojan.LameShield) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\036E18F8C9518CA11601F7027B07D287\036E18F8C9518CA11601F7027B07D287.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{e2377294-2caf-7fd9-746e-5ad80a113f7e}\n.) Gut: (wbemess.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 8
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\036E18F8C9518CA11601F7027B07D287\036E18F8C9518CA11601F7027B07D287.exe (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\{e2377294-2caf-7fd9-746e-5ad80a113f7e}\n (RootKit.0Access) -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GJASRKRH\soft4[1].exe (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SHVDCZL8\soft3[1].exe (RootKit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{e2377294-2caf-7fd9-746e-5ad80a113f7e}\n (RootKit.0Access) -> Löschen bei Neustart.
C:\WINDOWS\Installer\{e2377294-2caf-7fd9-746e-5ad80a113f7e}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\***\Desktop\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Live Security Platinum\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Das Problem ist leider noch nicht beseitigt

Füge den aktuellen Report von Avira ein, wäre sehr nett, wenn sich diesen jemand mal ankucken und mir anschließend ein paar Tipps zur Beseitigung geben könnte

Vielen Dank!


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 3. August 2012 11:52

Es wird nach 3986618 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DHWPK82J

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 01.05.2012 22:48:48
AVSCAN.DLL : 12.3.0.15 66256 Bytes 02.05.2012 00:02:50
LUKE.DLL : 12.3.0.15 68304 Bytes 01.05.2012 23:31:47
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 01.05.2012 22:13:36
AVREG.DLL : 12.3.0.17 232200 Bytes 16.06.2012 08:49:46
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:22:12
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:31:36
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:58:50
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 10:43:53
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 15:08:36
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 15:08:37
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 15:08:37
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 15:08:38
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 15:08:38
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 15:08:38
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 15:08:38
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 15:08:38
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 15:08:38
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 15:08:38
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 12:41:25
VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 22:17:50
VBASE017.VDF : 7.11.35.143 126464 Bytes 09.07.2012 22:18:02
VBASE018.VDF : 7.11.35.235 151552 Bytes 12.07.2012 01:31:06
VBASE019.VDF : 7.11.36.45 118784 Bytes 13.07.2012 18:39:03
VBASE020.VDF : 7.11.36.107 123904 Bytes 16.07.2012 19:26:48
VBASE021.VDF : 7.11.36.147 238592 Bytes 17.07.2012 19:25:55
VBASE022.VDF : 7.11.36.209 135168 Bytes 19.07.2012 20:01:37
VBASE023.VDF : 7.11.37.19 116224 Bytes 21.07.2012 13:36:32
VBASE024.VDF : 7.11.37.79 149504 Bytes 23.07.2012 20:33:10
VBASE025.VDF : 7.11.37.80 2048 Bytes 23.07.2012 20:33:10
VBASE026.VDF : 7.11.37.81 2048 Bytes 23.07.2012 20:33:10
VBASE027.VDF : 7.11.37.82 2048 Bytes 23.07.2012 20:33:10
VBASE028.VDF : 7.11.37.83 2048 Bytes 23.07.2012 20:33:10
VBASE029.VDF : 7.11.37.84 2048 Bytes 23.07.2012 20:33:10
VBASE030.VDF : 7.11.37.85 2048 Bytes 23.07.2012 20:33:10
VBASE031.VDF : 7.11.37.128 948224 Bytes 24.07.2012 20:32:59
Engineversion : 8.2.10.118
AEVDF.DLL : 8.1.2.10 102772 Bytes 11.07.2012 08:51:21
AESCRIPT.DLL : 8.1.4.34 455035 Bytes 19.07.2012 20:01:40
AESCN.DLL : 8.1.8.2 131444 Bytes 16.02.2012 16:11:36
AESBX.DLL : 8.2.5.12 606578 Bytes 16.06.2012 08:49:46
AERDL.DLL : 8.1.9.15 639348 Bytes 20.01.2012 23:21:32
AEPACK.DLL : 8.3.0.16 807287 Bytes 19.07.2012 20:01:40
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 19.07.2012 20:01:39
AEHEUR.DLL : 8.1.4.76 5063031 Bytes 19.07.2012 20:01:39
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 22:59:26
AEGEN.DLL : 8.1.5.34 434548 Bytes 19.07.2012 20:01:38
AEEXP.DLL : 8.1.0.68 86389 Bytes 19.07.2012 20:01:40
AEEMU.DLL : 8.1.3.2 393587 Bytes 11.07.2012 08:51:21
AECORE.DLL : 8.1.27.2 201078 Bytes 11.07.2012 08:51:21
AEBB.DLL : 8.1.1.0 53618 Bytes 20.01.2012 23:21:28
AVWINLL.DLL : 12.3.0.15 27344 Bytes 01.05.2012 22:59:21
AVPREF.DLL : 12.3.0.15 51920 Bytes 01.05.2012 22:44:31
AVREP.DLL : 12.3.0.15 179208 Bytes 01.05.2012 22:13:35
AVARKT.DLL : 12.3.0.15 211408 Bytes 01.05.2012 22:21:32
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 01.05.2012 22:28:49
SQLITE3.DLL : 3.7.0.1 398288 Bytes 16.04.2012 21:11:02
AVSMTP.DLL : 12.3.0.15 63440 Bytes 01.05.2012 22:51:35
NETNT.DLL : 12.3.0.15 17104 Bytes 01.05.2012 23:33:29
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 02.05.2012 00:03:51
RCTEXT.DLL : 12.3.0.15 98512 Bytes 02.05.2012 00:03:51

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: standard
Primäre Aktion........................: quarantäne
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, F:, G:, H:, I:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 3. August 2012 11:52

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[INFO] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
[INFO] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
[INFO] Im Laufwerk 'I:\' ist kein Datenträger eingelegt!

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Dhcp\Parameters\{A061E586-CE2A-4FBF-9E07-37F5E79679C5}
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '123w.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CreativeLicensing.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ELService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iaantmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTsvcCDA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil11g_ActiveX.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'remind32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ltsstart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTDetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'clclean.0001' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MediaDetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CamService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSysVol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DMXLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iaanotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '5738' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\***\Eigene Dateien\FalkData\{2F97054A-05EE-4F06-90E6-0553E7FE7F02}.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\***\Eigene Dateien\FalkData\{37A9A955-EF28-4A46-94D7-B71979053FF6}.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\***\Eigene Dateien\FalkData\{4A21AB6C-C48C-4A9F-9B28-5504BA4668D8}.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\***\Eigene Dateien\FalkData\{89FA735D-5A90-4E90-8205-BA3DDBEDB16F}.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\***\Eigene Dateien\FalkData\{9E50D48F-DD78-4904-8008-A38E2EE950B3}.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\***\Eigene Dateien\FalkData\{A5AEB31D-686B-4B39-9477-929E30C7815B}.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\***\Eigene Dateien\FalkData\{AA2411B0-6495-40B4-B56A-07FD18A70F37}.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\***\Eigene Dateien\FalkData\{CEB9E878-4E7F-4E98-92D9-C38EDC88B085}.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\***\Eigene Dateien\FalkData\{EB7E75AA-60A3-4CBE-AADA-DC706D39C34F}.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\***\Eigene Dateien\MEINE DATEN\Downloads\Avira\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\WINDOWS\Installer\{e2377294-2caf-7fd9-746e-5ad80a113f7e}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53312bfd.qua' verschoben!
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Freitag, 3. August 2012 13:44
Benötigte Zeit: 1:51:39 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

11539 Verzeichnisse wurden überprüft
541313 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
541312 Dateien ohne Befall
5262 Archive wurden durchsucht
10 Warnungen
2 Hinweise
103788 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

Problem leider immer noch vorhanden. Avira meldet immer noch Funde
Habe nochmal nen vollständigen Scan von Malware laufen lassen.
Logdatei füge ich unten an.
Wäre sehr freundlich, wenn sich das mal jemand ankucken würde, da ich ziemlich ratlos und verunsichert bin....

Vielen Dank!

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.10.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: DHWPK82J [Administrator]

11.08.2012 04:37:48
mbam-log-2012-08-11 (04-37-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 330925
Laufzeit: 1 Stunde(n), 24 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{e2377294-2caf-7fd9-746e-5ad80a113f7e}\n.) Gut: (wbemess.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\{e2377294-2caf-7fd9-746e-5ad80a113f7e}\n (RootKit.0Access) -> Löschen bei Neustart.
C:\WINDOWS\Installer\{e2377294-2caf-7fd9-746e-5ad80a113f7e}\n (RootKit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{e2377294-2caf-7fd9-746e-5ad80a113f7e}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code: Alles auswählenAufklappen

ATTFilter

"%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"
         

Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code: Alles auswählenAufklappen

ATTFilter

"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"
         

Poste nun den Inhalt der log.txt.


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hi,
habe ESET laufen lassen. Avira hatte ich dazu ausgeschaltet, die Windows-Firewall konnte ich nicht ausschalten. Bekam bein anclicken unter Systemsteuerung/Sicherheitscenter/Windows-Firewall folgende Meldung: " Aufgrund eines unbekannten Problems können die Einstellungen der Windows-Firewall nicht angezeigt werden."

Der Log schaut so aus.
Vielen Dank fürs Helfen!

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=000f9a2634874945b037c38835ceff74
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-12 01:23:11
# local_time=2012-08-12 03:23:11 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 4930888 4930888 0 0
# compatibility_mode=8192 67108863 100 0 6167 6167 0 0
# scanned=123019
# found=8
# cleaned=0
# scan_time=7608
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\52ea483a-3b26594d	Java/Exploit.CVE-2012-1723.R trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\{e2377294-2caf-7fd9-746e-5ad80a113f7e}\n	a variant of Win32/Kryptik.AJZY trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\4F.tmp	a variant of Win32/Kryptik.AJZF trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\5861.tmp	a variant of Win32/Kryptik.AJZU trojan (unable to clean)	00000000000000000000000000000000	I
C:\WINDOWS\Installer\{e2377294-2caf-7fd9-746e-5ad80a113f7e}\n	a variant of Win32/Kryptik.AJZY trojan (unable to clean)	00000000000000000000000000000000	I
C:\WINDOWS\Installer\{e2377294-2caf-7fd9-746e-5ad80a113f7e}\U\80000000.@	a variant of Win32/Sirefef.FA trojan (unable to clean)	00000000000000000000000000000000	I
C:\WINDOWS\Installer\{e2377294-2caf-7fd9-746e-5ad80a113f7e}\U\800000cb.@	probably a variant of Win32/Agent.TEO trojan (unable to clean)	00000000000000000000000000000000	I
${Memory}	a variant of Win32/Sirefef.EV trojan	00000000000000000000000000000000	I
         

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Danke für deine weitere Betreuung!

Hier der neue Log:
Kannst du schon ne Aussage machen, wie groß das Problem ist? Avira meldet immer noch verschiedene Funde. Soll ich Online-Banking sperren lassen?

Nochmals vielen Dank für deine Hilfe!

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v1.800 - Logfile created 08/13/2012 at 17:12:29
# Updated 01/08/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : *** - DHWPK82J
# Running from : C:\Dokumente und Einstellungen\***\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Dokumente und Einstellungen\***\Anwendungsdaten\AskToolbar
Folder Found : C:\Programme\Ask.com
Folder Found : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
File Found : C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

***** [Registry] *****

Key Found : HKCU\Software\APN
Key Found : HKCU\Software\Ask.com.tmp
Key Found : HKCU\Software\AskToolbar
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Key Found : HKLM\SOFTWARE\APN
Key Found : HKLM\SOFTWARE\AskToolbar
Key Found : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Key Found : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Key Found : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Key Found : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Key Found : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Value Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Key Found : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Key Found : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Value Found : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [3074 octets] - [13/08/2012 17:12:29]

########## EOF - C:\AdwCleaner[R1].txt - [3202 octets] ##########
         

OnlineBanking sperren ist eine gute Idee
Und evtl solltest du gleich überlegen, ob du nichst besser das System neu aufsetzt wenn du weiterhin unter Windows Onlinebanking machen willst

Gibt's denn nicht noch ne andere Möglichkeit?
Fürchte, dass meine Kenntnisse fürs neu aufsetzen als reiner Anwender nicht ausreichen. Online-Banking mache ich per Chip-Tan Verfahren. Das sollte schon eine gewisse Sicherheit bieten.
Was empfiehlst du?

Vielen Dank!

Wenn du weiterhin OnlineBanking machen willst empfehle ich eine Neuinstallation

Alternative wäre: Windows bereinigen und jedes Mal wenn du Onlinebanken willst, von einem Live-System wie Bankix starten oder ein parallel installiertes Linux
Manche machen das grundsätzlich so, weil sie es unter Windows nicht machen wollen

Ok, bin für Windows bereinigen und dann weiterkucken
Was soll ich dazu machen?

Vielen Dank!

Wie du willst, dann machen wir einfach weiter

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Ich verfüge leider nur über reines Anwenderwissen. Letztlich verlasse ich mich auf deinen Rat. Bin einigermaßen frustriert und verunsichert. Das Neuaufsetzen scheue ich, weil ich es noch nie gemacht habe und befürchte, dass ich da sehr schnell an meine Grenzen stoße...
Mir ist aufgefallen, dass bei anderen Usern mit "Live Security Platinum" hier im Board mal Neuaufsetzen empfohlen wurde, bei anderen nicht.
Woran bzw. an welchen Dateien kannst du es bei mir festmachen? Woher kommen die Unterschiede in der "Bereinigung"?

Mein Vorschlag wäre - sofern das aus deiner Sicht Sinn macht - erst mal Windows zu bereinigen (zumindest es zu versuchen) und dann am Ende zu kucken, wie sicher mein System dann ist. Sollte es nach deiner Einschätzung zu riskant sein, tja... dann hab ich jetzt schon schlaflose Nächte ;-)

Vielen Dank jetzt schon mal!

Hier der neue Log:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v1.800 - Logfile created 08/14/2012 at 18:31:04
# Updated 01/08/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : *** - DHWPK82J
# Running from : C:\Dokumente und Einstellungen\***\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Dokumente und Einstellungen\***\Anwendungsdaten\AskToolbar
Folder Deleted : C:\Programme\Ask.com
Folder Deleted : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
File Deleted : C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

***** [Registry] *****

Key Deleted : HKCU\Software\APN
Key Deleted : HKCU\Software\Ask.com.tmp
Key Deleted : HKCU\Software\AskToolbar
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Key Deleted : HKLM\SOFTWARE\APN
Key Deleted : HKLM\SOFTWARE\AskToolbar
Key Deleted : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Key Deleted : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Key Deleted : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Key Deleted : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Key Deleted : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Value Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

***** [Registre - GUID] *****

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [3203 octets] - [13/08/2012 17:12:29]
AdwCleaner[S1].txt - [3196 octets] - [14/08/2012 18:31:04]

########## EOF - C:\AdwCleaner[S1].txt - [3324 octets] ##########
         

Edit: habe Malwarebytes schon länger auf meinem Rechner und daher auch alte Logs. Wären die evtl. die auch für dich interessant?