Hallo
der Laptop meiner Frau ist verseucht.
Avira ist deinstalliert und bricht beim entpacken des Installers ab.
Der Dienst "Sicherheitscenter" läuft nicht.
Malwarebytes
Anti-Malware hat in vier Läufen Einiges gefunden und entfernt.
(siehe Logs)
Da ich aber nicht weiterkam, bin ich hier gelandet.
Habe die "Anleitung für Hilfesuchende" befolgt:
Habe vorgestern angefangen die Infos zusammenzustellen. Dabei ist
GMER abgestürzt.
Musste dann leider zum Arbeiten.
Nun gerade
GMER nochmal angeworfen und alle Logs attached.
Ich poste von einem anderen Rechner (zur Sicherheit).
Ich bitte um Hilfe.
Much.
Zitat:
Trojan.Agent.MGenC:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP472\A0123592.exe
C:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP472\A0123595.exe
C:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP472\A0123597.exe
C:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP472\A0123585.exe
C:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP470\A0123072.exe
C:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP470\A0123240.exe
C:\WINDOWS\system32\usrprbda.exe
C:\WINDOWS\system32\dllcache\usrprbda.exe Trojan.AgentC:\Dokumente und Einstellungen\Fenni\Lokale Einstellungen\Anwendungsdaten\wsr31zt32.dll PUP.Optional.SweetIMC:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP472\A0123586.msi
HKCR\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}
HKCR\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}
HKCR\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}
HKCR\MgMediaPlayer.GifAnimator.1
HKCR\MgMediaPlayer.GifAnimator
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM\Messenger\update\sweetimsetup.exe
C:\Programme\SweetIM\Messenger\mgMediaPlayer.dll
C:\Programme\SweetIM\Messenger\ContentPackagesActivationHandler.exe
C:\Programme\SweetIM\Messenger\mgAdaptersProxy.dll
C:\Programme\SweetIM\Messenger\mgArchive.dll
C:\Programme\SweetIM\Messenger\mgcommon.dll
C:\Programme\SweetIM\Messenger\mgcommunication.dll
C:\Programme\SweetIM\Messenger\mgconfig.dll
C:\Programme\SweetIM\Messenger\mgFlashPlayer.dll
C:\Programme\SweetIM\Messenger\mghooking.dll
C:\Programme\SweetIM\Messenger\mgICQAuto.dll
C:\Programme\SweetIM\Messenger\mgICQMessengerAdapter.dll
C:\Programme\SweetIM\Messenger\mglogger.dll
C:\Programme\SweetIM\Messenger\mgMsnAuto.dll
C:\Programme\SweetIM\Messenger\mgMsnMessengerAdapter.dll
C:\Programme\SweetIM\Messenger\mgsimcommon.dll
C:\Programme\SweetIM\Messenger\mgSweetIM.dll
C:\Programme\SweetIM\Messenger\mgUpdateSupport.dll
C:\Programme\SweetIM\Messenger\mgxml_wrapper.dll
C:\Programme\SweetIM\Messenger\mgYahooAuto.dll
C:\Programme\SweetIM\Messenger\mgYahooMessengerAdapter.dll
C:\Programme\SweetIM\Messenger\SweetIM.exe
C:\Programme\SweetIM\Messenger\resources\sqlite\mgSqlite3.dll
C:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP470\A0122250.exe
C:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP470\A0122460.exe
C:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP435\A0091047.exe
C:\WINDOWS\Installer\512435c.msi Malware.GenC:\WINDOWS\system32\alg.exe
HKLM\SYSTEM\CurrentControlSet\Services\ALG
C:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP470\A0122740.exe
C:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP470\A0123276.exe
C:\WINDOWS\ServicePackFiles\i386\alg.exe Trojan.BankerHKCR\CLSID\{F22C37FD-2BCB-40b6-A12E-77DDA1FBDD88}
HKCR\linkrdr.AIEbho.1
HKCR\linkrdr.AIEbho
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F22C37FD-2BCB-40B6-A12E-77DDA1FBDD88}
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F22C37FD-2BCB-40B6-A12E-77DDA1FBDD88}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst PUP.Optional.SweetPacksHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847} PUP.Optional.SweetIM.AHKCU\SOFTWARE\SWEETIM
HKLM\SOFTWARE\SWEETIM
HKCU\Software\SweetIM|simapp_id
HKLM\Software\SweetIM|simapp_id Hijack.ControlPanelStyleHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel Stolen.DataC:\WINDOWS\system32\xmldm
C:\WINDOWS\system32\xmldm\IEXPLORE.EXE_UAs010.dat
C:\WINDOWS\system32\xmldm\IEXPLORE.EXE_UAs011.dat Backdoor.IRCbotC:\Dokumente und Einstellungen\Much\Eigene Dateien\Software\Win XP\update_xp_cd_key.exe Hacktool.WGAFixC:\Dokumente und Einstellungen\Much\Eigene Dateien\Software\Win XP\wga-fix.exe Trojan.0AccessC:\RECYCLER\S-1-5-18\$8b71e219e2669bb21a1340fd052b0e7d\U\00000001.@
C:\RECYCLER\S-1-5-18\$8b71e219e2669bb21a1340fd052b0e7d\U\80000000.@
C:\RECYCLER\S-1-5-18\$8b71e219e2669bb21a1340fd052b0e7d\U\800000cb.@ Trojan.FakeSysC:\RECYCLER\S-1-5-21-527237240-2139871995-839522115-1004\Dc1306.exe Spyware.ZeuSC:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP465\A0117400.exe Trojan.FakeMSC:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP470\A0122242.exe
C:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP470\A0122931.exe
C:\WINDOWS\system32\utilman.exe
C:\WINDOWS\ServicePackFiles\i386\utilman.exe Trojan.FakeAlertC:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP470\A0122784.exe
C:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP470\A0123105.exe
C:\WINDOWS\system32\eventtriggers.exe
C:\WINDOWS\ServicePackFiles\i386\evtrig.exe Trojan.DropperC:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP470\A0122915.exe
C:\WINDOWS\ServicePackFiles\i386\svchost.exe PUP.Optional.OpenCandy.AC:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP436\A0092179.dll Spyware.Zbot.FBMPC:\System Volume Information\_restore{1A473135-E1EC-4DCE-9B97-667F9640C4D0}\RP436\A0093214.exe Malware.TraceC:\WINDOWS\system32\srvblck2.tmp |