"scsiusr4" und "Win32/Diamin Trojaner"

nile

Hallo,

wir ärgern uns seit einigen Tagen mit unserem PC rum, der wie es aussieht, mit einer Reihe Trojaner u.Ä. befallen zu sein scheint. Es würde uns sehr helfen, wenn uns jemand (verständliche ) Tipps geben könnte, die konkret auf unsere Situation anwendbar sind.

Wir haben schon sehr viel Zeit mit Googeln und dem Ausprobieren von Tipps für vermeintlich(?) ähnliche Probleme verbracht, aber nichts hat bislang geholfen...

Ein besonderes Verhalten des PCs konnten wir bislang nur einmal feststellen, als nämlich nach dem Hochfahren "wuauclt.exe" aus dem System 32 auf irgendeine Website zugreifen wollte (es war etwas der Art "blablaID.com").

Zusammenfassung des Gefundenen:

1. fand HijackThis bei einem Routinecheck "scsiusr4" und bewertete es als böse.

Googeln ergab, dass es sich um einen Haxdoor handelt, den man mit Haxfix entfernen könnte.

Haxfix fand aber nichts und konnte somit auch nichts entfernen...

2. Haben wir alle möglichen und unmöglichen Virenscanner verwendet, die in Sicherheitsforen genannt wurden. Zunächst haben wir damit ganz normal gescannt, später dann im abgesicherten Modus (nachdem wir gelesen hatten, dass man das so machen sollte).

Die Ergebnisse waren immer unterschiedlich:

- ActiveScan fand Folgendes:

Virus:trj/haxdoor.hy Desinfiziert Betriebssytem
Spyware:Cookie/Ccbill Nicht desinfiziert
C:\Dokumente und Einstellungen\Max\Cookies\max@ccbill[1].txt
Spyware:Cookie/fe.lea.lycos Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Cookies\max@fe.lea.lycos[1].txt
Spyware:Cookie/Toplist Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Cookies\max@toplist[1].txt
Spyware:Cookie/Xiti Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Cookies\max@xiti[1].txt
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\nuci132b.default\Cache\633285D9d01[SmitfraudFix/Process.exe]
Potenziell unerwünschtes Tool:Application/SuperFast Nicht desinfiziert C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\nuci132b.default\Cache\633285D9d01[SmitfraudFix/restart.exe]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Programme\HaxFix\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\RECYCLER\S-1-5-21-1957994488-1801674531-682003330-1003\Dc13.zip[SmitfraudFix/Process.exe]
Potenziell unerwünschtes Tool:Application/SuperFast Nicht desinfiziert C:\RECYCLER\S-1-5-21-1957994488-1801674531-682003330-1003\Dc13.zip[SmitfraudFix/restart.exe]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\WINDOWS\system32\process.exe

- NOD32 fand:

eine Variante von Win32/Diamin Trojaner (kein Logfile mehr vorhanden)

- cureit/DrWeb fand:

RegUBP2b-Max.reg C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots Trojan.StartPage.1505 Gelöscht.
A0036441.exe C:\System Volume Information\_restore{6C5B10E4-9977-41B3-A2D1-48DE13474720}\RP220 Tool.Prockill Gelöscht.
A0036442.exe C:\System Volume Information\_restore{6C5B10E4-9977-41B3-A2D1-48DE13474720}\RP220 Tool.Prockill Gelöscht.
A0036572.reg C:\System Volume Information\_restore{6C5B10E4-9977-41B3-A2D1-48DE13474720}\RP220 Trojan.StartPage.1505 Gelöscht.

- ScanSpyware fand:

[Haxdoor.DD]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\scsiusr4

[Trojan.Media-Codec]
HKEY_CURRENT_USER\SOFTWARE\SECURITY TOOLS

[WinAntivirus]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A}


- Kaspersky fand:

C:\Programme\ESET\cache\FND0.NFI Infected: Trojan.Win32.Diamin.is skipped


Jeder Scanner findet etwas anderes, entfernen kann man das Gefundene aber meist nicht. Was können wir jetzt noch machen? Für einen Tipp wären wir wirklich dankbar.

Falls ich wichtige Informationen vergessen haben sollte, reiche ich sie natürlich nach.


Viele Grüße, Nile