Hallo,

bin neu hier, da ich folgendes Problem habe. Mein Virusprogramm s.u. zeigt mir beim Suchlauf folgende Fehlermeldung an:
57exhmrgas5.exe Trojan horse Generic9.BEDR C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\57exhmrgas5.exe.

Habe es auch versucht in die Quarantäne zu verschieben ist aber nicht geglückt.Kann mir jemand sagen was das für ein Teil ist bzw. wie ich es los werde?? Ausfallerscheinungen am Rechner habe ich bis jetzt nur festgestellt, das sich der Verlauf vom I.E nicht mehr löschen lässt und er sich aufhängt(keine Rückmeldung). Wäre euch für eure Hilfe sehr dankbar.

Win XP Prof
AVG Anti Virus
I.E 6 + Firefox

Danke

hi

also erstmal wäre es hilfreich wenn du HJT logfile machen könntest und es hier posten würdest

Habe wohl den selben Trojaner...

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

@Virus

Danke erstmal für die Antwort, könntest du mir noch beschreiben wie ich diesen HJT Logfile ausführe?? Habe ich bis jetzt noch nicht gemacht??


@ ShiceEgal

Ich hab diesen Beitrag doch neu eröffnet, oder??

Mfg Gst1984

Hallo gst1984
Das mit dem eigenen Beitrag war von @GUA an @ ShiceEgal gerichtet.

Der Anleitung von Cidre folgen und das HJT-Log hier nach editieren von Eigennamen und entschärfen von URL (http:// > h**p://) dann posten.

So nun der Hjt Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:01:05, on 28.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Java\jre1.5.0_12\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Eigene Dateien\******\Install\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://localhost:3476/cgi-bin/ncgir.exe?menu/index.html
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_12\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-789336058-484763869-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Elisabeth')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {3DF6983D-D415-4AE5-8106-43987731DAA5} (AldiActiveFormX Element) - https://shop.aldi-fotoservice-druck.de/shop/activex/aldi_nord_express_upload.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Unknown owner - C:\WINDOWS\system32\drivers\KodakCCS.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8924 bytes


Danke schon mal im voraus!!!

Mfg Gst1984

Hallo

mach bitte mal alle versteckten Dateien und Ordner sichtbar und lass diese Datei

Zitat:

C:\WINDOWS\system\smvss.exe

(bitte genau den Pfad beachten)
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Überprüfe dein System bitte auch mit Blacklight

F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

MFG

So der Virenscan von der Datei läuft,

der Link zu: f-se****.com funzt nit. War mal bei f-se**** auf der HP Kann aber kein f- secure black**** Programm finden???

Danke Gst1984

So hier die Auswertung vom Virenscan:
Kann heut Abend leider nicht mehr schreiben, muss jetzt auf Arbeit.
Wäre dankbar wenn ihr mir die nächsten Schritte sagen könntet damit ich dieses griesch. Ponny von meinem Rechner kriege.
Danke!!


AhnLab-V3 2008.2.28.2 2008.02.28 -
AntiVir 7.6.0.67 2008.02.28 TR/Proxy.Horst.Gen
Authentium 4.93.8 2008.02.28 -
Avast 4.7.1098.0 2008.02.27 -
AVG 7.5.0.516 2008.02.28 -
BitDefender 7.2 2008.02.28 BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal 9.50 2008.02.28 -
ClamAV 0.92.1 2008.02.28 -
DrWeb 4.44.0.09170 2008.02.28 -
eSafe 7.0.15.0 2008.02.28 suspicious Trojan/Worm
eTrust-Vet 31.3.5571 2008.02.28 -
Ewido 4.0 2008.02.28 -
FileAdvisor 1 2008.02.28 -
Fortinet 3.14.0.0 2008.02.28 -
F-Prot 4.4.2.54 2008.02.27 W32/Heuristic-114!Eldorado
F-Secure 6.70.13260.0 2008.02.28 W32/Horst.gen28
Ikarus T3.1.1.20 2008.02.28 BehavesLikeWin32.ExplorerHijack
Kaspersky 7.0.0.125 2008.02.28 Heur.Trojan.Generic
McAfee 5241 2008.02.28 -
Microsoft 1.3301 2008.02.28 TrojanDownloader:Win32/Horst.H
NOD32v2 2909 2008.02.28 -
Norman 5.80.02 2008.02.28 W32/Horst.gen28
Panda 9.0.0.4 2008.02.27 Suspicious file
Prevx1 V2 2008.02.28 Generic.Malware
Rising 20.33.32.00 2008.02.28 -
Sophos 4.27.0 2008.02.28 Mal/Horst
Sunbelt 3.0.906.0 2008.02.28 -
Symantec 10 2008.02.28 -
TheHacker 6.2.9.229 2008.02.25 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.02.28 -
Webwasher-Gateway 6.6.2 2008.02.28 Trojan.Proxy.Horst.Gen


weitere Informationen
File size: 34304 bytes
MD5: 0bc413701e7b0cea293fa5e7b66faea2
SHA1: 8c28736aa7e4d00440c703edea639b88a36cef2d
PEiD: -
packers: UPX
packers: PE_Patch.UPX, UPX

Machen wir mal so weiter, auch wenn Blacklight bei mir direkt runtergleaden werden will, wenn ich auch nochdiggers LInk klicke.

Zitat:

Zitat von BataAlexander

Ok, sieht behandelbar aus.

1. CCleaner

2. Führe bitte folgendes aus.

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Bei Fragen zum Programm, findest Du hier eine Anleitung.

So hier der Logfile von ComboFix:

ComboFix 08-02-25.3 - Gerhard 2008-02-29 15:40:34.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.380 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\******\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Fonts\acrsec.fon
C:\WINDOWS\Fonts\acrsecB.fon
C:\WINDOWS\Fonts\acrsecI.fon
C:\WINDOWS\smdat32m.sys

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-28 bis 2008-02-29 ))))))))))))))))))))))))))))))
.

2008-02-29 13:59 . 2008-02-29 13:59 <DIR> d-------- C:\Programme\CCleaner
2008-02-28 17:38 . 2008-02-28 17:40 <DIR> d-------- C:\Programme\ICQ6
2008-02-27 20:04 . 2008-02-27 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\DivX
2008-02-26 14:06 . 2008-02-26 14:09 <DIR> dr------- C:\Dokumente und Einstellungen\********\Eigene Dateien
2008-02-25 09:42 . 2008-02-25 09:40 691,545 --a------ C:\WINDOWS\unins000.exe
2008-02-25 09:42 . 2008-02-25 09:42 3,448 --a------ C:\WINDOWS\unins000.dat
2008-02-22 15:59 . 2008-02-22 15:09 <DIR> d-------- C:\Programme\AviSynth 2.5
2008-02-22 15:09 . 2008-02-22 15:09 <DIR> d-------- C:\Programme\HEAD
2008-02-19 15:49 . 2008-02-19 15:55 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-19 14:54 . 2008-02-25 09:43 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-19 14:54 . 2008-02-29 14:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-19 08:38 . 2008-02-19 08:38 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\DivX
2008-02-18 16:51 . 2008-02-18 16:51 <DIR> dr------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Brother
2008-02-18 15:07 . 2008-02-18 15:07 34,304 --a------ C:\WINDOWS\system\smvss.exe
2008-02-17 16:17 . 2008-02-17 16:17 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Talkback
2008-02-17 12:32 . 2008-02-17 12:32 1,142 --a------ C:\WINDOWS\mozver.dat
2008-02-17 12:30 . 2008-02-17 12:30 <DIR> d-------- C:\Programme\DivX
2008-02-17 12:30 . 2008-02-17 12:30 <DIR> d-------- C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\Talkback
2008-02-17 12:30 . 2007-04-23 01:15 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-02-17 12:30 . 2007-04-23 01:15 116,472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-02-17 12:29 . 2008-02-17 12:29 0 --a------ C:\WINDOWS\nsreg.dat
2008-02-11 09:19 . 2008-02-11 09:19 <DIR> d-------- C:\Dokumente und Einstellungen\*******\ElsterFormular
2008-02-10 17:29 . 2008-02-10 17:55 332 --a------ C:\WINDOWS\desctemp.dat
2008-02-07 10:33 . 2008-02-07 10:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bluetooth
2008-02-07 10:30 . 2008-02-07 10:30 <DIR> d-------- C:\Programme\IVT Corporation
2008-02-07 10:30 . 2008-02-07 10:31 32 --a------ C:\WINDOWS\0
2008-02-07 10:30 . 2008-02-07 10:30 0 --a------ C:\WINDOWS\system32\0
2008-02-04 09:54 . 2008-02-22 15:16 80 --a------ C:\WINDOWS\SwLoader.INI
2008-01-30 12:07 . 2008-01-30 12:07 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Nero

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-29 14:32 --------- d-----w C:\Dokumente und Einstellungen\*******\Anwendungsdaten\AVG7
2008-02-28 15:50 --------- d-----w C:\Dokumente und Einstellungen\*******\Anwendungsdaten\AVG7
2008-02-27 19:09 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\AVG7
2008-02-26 13:34 --------- d-----w C:\Programme\LIDL Fotoservice
2008-02-20 14:11 --------- d-----w C:\Programme\Microsoft Games
2008-02-20 13:59 --------- d-----w C:\Programme\eMule.de 0.46c v17
2008-02-11 08:19 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-11 08:19 --------- d-----w C:\Programme\ElsterFormular
2008-02-06 21:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-27 10:15 --------- d-----w C:\Dokumente und Einstellungen\******\Anwendungsdaten\CyberLink
2008-01-21 20:48 --------- d-----w C:\Dokumente und Einstellungen\******\Anwendungsdaten\Nero
2008-01-21 10:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-01-21 10:00 --------- d-----w C:\Dokumente und Einstellungen\******\Anwendungsdaten\Nero
2008-01-21 09:58 --------- d-----w C:\Programme\Nero
2008-01-21 09:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-01-21 09:54 --------- d-----w C:\Programme\Ahead
2008-01-19 12:29 --------- d-----w C:\Programme\DreamChess
2008-01-16 17:43 --------- d-----w C:\Programme\bwin
2008-01-14 11:32 --------- d-----w C:\Dokumente und Einstellungen\******\Anwendungsdaten\AdobeUM
2008-01-08 15:00 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\vlc
2008-01-04 12:19 --------- d-----w C:\Programme\MPL-PocketTool
2008-01-03 15:46 --------- d-----w C:\Programme\poc
2008-01-02 19:19 --------- d-----w C:\Dokumente und Einstellungen\******\Anwendungsdaten\AdobeUM
2007-06-20 13:58 288 ----a-w C:\Dokumente und Einstellungen\******\Anwendungsdaten\mdb.bin
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}]
C:\Programme\RXToolBar\sfcont.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 05:59 68856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-10-23 14:18 202024]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 07:00 16050176 C:\WINDOWS\RTHDCPL.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-12 06:19 7626752]
"nwiz"="nwiz.exe" [2006-07-12 06:19 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-12 06:19 86016]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 09:22 155648]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 16:42 933888]
"StatusClient"="C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 15:51 36864]
"ElbyCheckAnyDVD"="C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" [2003-09-20 20:23 45056]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-20 20:06 579072]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_12\bin\jusched.exe" [2007-05-02 03:15 75520]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-10 14:04 180269]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-09-09 10:36 286720]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45 63712]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 08:51 1836328]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"devenv"="C:\WINDOWS\system\smvss.exe" [2008-02-18 15:07 34304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-24 07:51 219136]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"C:\\Programme\\AGFEO\\Tk-Suite-Basic\\tkserver\\tkmedia.exe"=
"C:\\Programme\\AGFEO\\Tk-Suite-Basic\\tkserver\\tksock.exe"=
"C:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\eMule.de 0.46c v17\\emule.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programme\\Microsoft Games\\Age of Empires II Trial\\EMPIRES2.EXE"=
"C:\\Dokumente und Einstellungen\\*******\\Lokale Einstellungen\\Temp\\0exmdnk30.exe"=
"C:\\Dokumente und Einstellungen\\*******\\Lokale Einstellungen\\Temp\\52exmdnk30.exe"=

S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 11:50]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-03 23:00:00 C:\WINDOWS\Tasks\At1.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-25 08:00:00 C:\WINDOWS\Tasks\At10.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-25 09:00:00 C:\WINDOWS\Tasks\At11.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-25 10:00:00 C:\WINDOWS\Tasks\At12.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-25 11:00:00 C:\WINDOWS\Tasks\At13.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-25 12:00:00 C:\WINDOWS\Tasks\At14.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-29 13:00:00 C:\WINDOWS\Tasks\At15.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-29 14:00:00 C:\WINDOWS\Tasks\At16.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-26 15:00:00 C:\WINDOWS\Tasks\At17.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-28 16:00:00 C:\WINDOWS\Tasks\At18.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-28 17:00:00 C:\WINDOWS\Tasks\At19.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-01-04 00:00:00 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-28 18:00:00 C:\WINDOWS\Tasks\At20.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-27 19:00:00 C:\WINDOWS\Tasks\At21.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-21 20:00:00 C:\WINDOWS\Tasks\At22.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-17 21:00:00 C:\WINDOWS\Tasks\At23.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-06 22:00:00 C:\WINDOWS\Tasks\At24.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-01-04 01:00:00 C:\WINDOWS\Tasks\At3.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-01-04 02:00:00 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-01-04 03:00:00 C:\WINDOWS\Tasks\At5.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-01-04 04:00:00 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-01-04 05:00:00 C:\WINDOWS\Tasks\At7.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2008-02-29 06:00:00 C:\WINDOWS\Tasks\At8.job"
- C:\WINDOWS\system32\HXA1X43I.exe
"2007-11-19 07:00:00 C:\WINDOWS\Tasks\At9.job"
- C:\WINDOWS\system32\HXA1X43I.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-29 15:41:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-29 15:42:20
ComboFix-quarantined-files.txt 2008-02-29 14:42:12

Hallo

diese Dateien (wenn vorhanden)

Zitat:

C:\WINDOWS\0
C:\WINDOWS\system32\0
C:\\Dokumente und Einstellungen\\*******\\Lokale Einstellungen\\Temp\\0exmdnk30.exe
C:\\Dokumente und Einstellungen\\*******\\Lokale Einstellungen\\Temp\\52exmdnk30.exe
C:\WINDOWS\system32\HXA1X43I.exe

bitte auch auswerten lassen.

MFG

Hab die Dateien auch noch mal ausgewertet, aber Virustotal sagt, das es leere Dateien sind, wo 0 kb enthalten sind. Was nun???


Danke

So hab jetzt mal ein Logfile von meinem AVG gemacht, kann es sein das sich die Pferde vermehren??

Hier das logfile:

- <history>
- <!-- 01c87adf1ee9e5c0
-->
- <rec time="2008/02/29 14:26:49" user="SYSTEM" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\System Volume Information\_restore{6CDACC13-9413-4603-830D-C1FE764C4045}\RP199\A0023461.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">Generic9.BCXU</attr>
</rec>
- <rec time="2008/02/29 15:32:59" user="Gerhard" source="General">
<value>@HL_TestStarted</value>
<attr name="testname">@TestName_12</attr>
</rec>
- <rec time="2008/02/29 15:35:39" user="Gerhard" source="General">
<value>@HL_TestEnded</value>
<attr name="testname">@TestName_12</attr>
<attr name="infectedfiles">0</attr>
</rec>
- <rec time="2008/02/29 16:03:23" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\DOKUME~1\Gerhard\LOKALE~1\Temp\10exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/02/29 16:03:23" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\DOKUME~1\Gerhard\LOKALE~1\Temp\62exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/02/29 18:06:07" user="SYSTEM" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\System Volume Information\_restore{6CDACC13-9413-4603-830D-C1FE764C4045}\RP199\A0023461.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">Generic9.BCXU</attr>
</rec>
- <rec time="2008/02/29 18:38:41" user="Elisabeth" source="General">
<value>@HL_TestStarted</value>
<attr name="testname">@TestName_02</attr>
</rec>
- <rec time="2008/02/29 18:40:38" user="Elisabeth" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\10exgmrgml19.exe</attr>
<attr name="type">@EID_Id_trj</attr>
<attr name="what">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/02/29 18:40:38" user="Elisabeth" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\62exgmrgml19.exe</attr>
<attr name="type">@EID_Id_trj</attr>
<attr name="what">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/02/29 19:27:15" user="Marcel" source="General">
<value>@HL_TestStarted</value>
<attr name="testname">@TestName_02</attr>
</rec>
- <rec time="2008/02/29 19:27:24" user="Marcel" source="General">
<value>@HL_TestStopped</value>
<attr name="testname">@TestName_02</attr>
<attr name="infectedfiles">0</attr>
</rec>
- <rec time="2008/02/29 19:27:35" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\DOKUME~1\Gerhard\LOKALE~1\Temp\62exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/02/29 19:27:38" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\DOKUME~1\Gerhard\LOKALE~1\Temp\68exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/02/29 19:27:47" user="Gerhard" source="Virus">
<value>@HL_ActionTaken</value>
<attr name="filename">C:\DOKUME~1\Gerhard\LOKALE~1\Temp\62exgmrgml19.exe</attr>
<attr name="action">@HL_ActCleaned</attr>
</rec>
- <rec time="2008/02/29 19:27:49" user="Gerhard" source="Virus">
<value>@HL_ActionTaken</value>
<attr name="filename">C:\DOKUME~1\Gerhard\LOKALE~1\Temp\68exgmrgml19.exe</attr>
<attr name="action">@HL_ActCleaned</attr>
</rec>
- <rec time="2008/02/29 19:44:44" user="SYSTEM" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\System Volume Information\_restore{6CDACC13-9413-4603-830D-C1FE764C4045}\RP199\A0023461.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">Generic9.BCXU</attr>
</rec>
- <rec time="2008/03/01 10:09:34" user="Gerhard" source="General">
<value>@HL_TestStarted</value>
<attr name="testname">@TestName_02</attr>
</rec>
- <rec time="2008/03/01 10:09:55" user="SYSTEM" source="Update">
<value>@HL_UpdateOK</value>
<attr name="version">iavi:1315-1314;</attr>
</rec>
- <rec time="2008/03/01 10:12:00" user="Gerhard" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\10exgmrgml19.exe</attr>
<attr name="type">@EID_Id_trj</attr>
<attr name="what">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/03/01 10:24:33" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\DOKUME~1\Gerhard\LOKALE~1\Temp\47exmdnk30.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Agent.QUN</attr>
</rec>
- <rec time="2008/03/01 10:34:30" user="Gerhard" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">C:\WINDOWS\system\smvss.exe</attr>
<attr name="type">@EID_Id_trj</attr>
<attr name="what">Proxy.YSJ</attr>
</rec>
- <rec time="2008/03/01 10:39:13" user="Gerhard" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">C:\WINDOWS\system\smvss.exe</attr>
<attr name="type">@EID_Id_trj</attr>
<attr name="what">Proxy.YSJ</attr>
</rec>
- <rec time="2008/03/01 10:39:14" user="Gerhard" source="General">
<value>@HL_TestEnded</value>
<attr name="testname">@TestName_02</attr>
<attr name="infectedfiles">3</attr>
</rec>
- <rec time="2008/03/01 10:39:15" user="Gerhard" source="Virus">
<value>@HL_ActionTaken</value>
<attr name="filename">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\10exgmrgml19.exe</attr>
<attr name="action">@HL_ActCleaned</attr>
</rec>
- <rec time="2008/03/01 10:39:15" user="Gerhard" source="Virus">
<value>@HL_ActionTaken</value>
<attr name="filename">C:\WINDOWS\system\smvss.exe</attr>
<attr name="action">@HL_ActCleaned</attr>
</rec>
- <rec time="2008/03/01 10:39:15" user="Gerhard" source="Virus">
<value>@HL_ActionTaken</value>
<attr name="filename">C:\WINDOWS\system\smvss.exe</attr>
<attr name="action">@HL_ActCleaned</attr>
</rec>
- <rec time="2008/03/01 10:39:38" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\DOKUME~1\Gerhard\LOKALE~1\Temp\56exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/03/01 10:52:24" user="SYSTEM" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\System Volume Information\_restore{6CDACC13-9413-4603-830D-C1FE764C4045}\RP199\A0023461.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">Generic9.BCXU</attr>
</rec>
- <rec time="2008/03/01 10:54:39" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\DOKUME~1\Gerhard\LOKALE~1\Temp\56exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/03/01 10:54:41" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\DOKUME~1\Gerhard\LOKALE~1\Temp\15exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/03/01 11:09:42" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\DOKUME~1\Gerhard\LOKALE~1\Temp\15exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/03/01 11:09:45" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\DOKUME~1\Gerhard\LOKALE~1\Temp\5exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/03/01 11:13:02" user="SYSTEM" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\System Volume Information\_restore{6CDACC13-9413-4603-830D-C1FE764C4045}\RP199\A0023461.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">Generic9.BCXU</attr>
</rec>
- <rec time="2008/03/01 11:28:49" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\56exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/03/01 11:28:49" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\47exmdnk30.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Agent.QUN</attr>
</rec>
- <rec time="2008/03/01 11:28:50" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\15exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/03/01 11:28:50" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\5exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/03/01 11:28:58" user="Gerhard" source="Virus">
<value>@HL_ActionTaken</value>
<attr name="filename">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\56exgmrgml19.exe</attr>
<attr name="action">@HL_ActCleaned</attr>
</rec>
- <rec time="2008/03/01 11:29:26" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\5exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/03/01 11:29:26" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\15exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/03/01 11:29:26" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\47exmdnk30.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Agent.QUN</attr>
</rec>
- <rec time="2008/03/01 11:30:43" user="Gerhard" source="Virus">
<value>@HL_ActionTaken</value>
<attr name="filename">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\47exmdnk30.exe</attr>
<attr name="action">@HL_ActCleaned</attr>
</rec>
- <rec time="2008/03/01 11:35:09" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\15exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/03/01 11:35:10" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\5exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/03/01 11:35:13" user="Gerhard" source="Virus">
<value>@HL_ActionTaken</value>
<attr name="filename">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\15exgmrgml19.exe</attr>
<attr name="action">@HL_ActCleaned</attr>
</rec>
- <rec time="2008/03/01 11:35:14" user="Gerhard" source="Virus">
<value>@HL_ActionTaken</value>
<attr name="filename">C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\5exgmrgml19.exe</attr>
<attr name="action">@HL_ActCleaned</attr>
</rec>
- <rec time="2008/03/01 11:39:51" user="Gerhard" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\DOKUME~1\Gerhard\LOKALE~1\Temp\13exgmrgml19.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">BackDoor.Generic9.ULK</attr>
</rec>
- <rec time="2008/03/01 11:39:58" user="Gerhard" source="Virus">
<value>@HL_ActionTaken</value>
<attr name="filename">C:\DOKUME~1\Gerhard\LOKALE~1\Temp\13exgmrgml19.exe</attr>
<attr name="action">@HL_ActCleaned</attr>
</rec>
- <rec time="2008/03/01 12:13:02" user="SYSTEM" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\System Volume Information\_restore{6CDACC13-9413-4603-830D-C1FE764C4045}\RP199\A0023461.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">Generic9.BCXU</attr>
</rec>
</history>

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

File::
C:\WINDOWS\system32\0
C:\WINDOWS\0
C:\WINDOWS\system\smvss.exe
C:\\Dokumente und Einstellungen\\*******\\Lokale Einstellungen\\Temp\\52exmdnk30.exe
C:\\Dokumente und Einstellungen\\*******\\Lokale Einstellungen\\Temp\\0exmdnk30.exe
C:\WINDOWS\Tasks\At1.job"
C:\WINDOWS\system32\HXA1X43I.exe
C:\WINDOWS\Tasks\At10.job"
C:\WINDOWS\Tasks\At11.job"
C:\WINDOWS\Tasks\At12.job"
C:\WINDOWS\Tasks\At13.job"
C:\WINDOWS\Tasks\At14.job"
C:\WINDOWS\Tasks\At15.job"
C:\WINDOWS\Tasks\At16.job"
C:\WINDOWS\Tasks\At17.job"
C:\WINDOWS\Tasks\At18.job"
C:\WINDOWS\Tasks\At19.job"
C:\WINDOWS\Tasks\At2.job"
C:\WINDOWS\Tasks\At20.job"
C:\WINDOWS\Tasks\At21.job"
C:\WINDOWS\Tasks\At22.job"
C:\WINDOWS\Tasks\At23.job"
C:\WINDOWS\Tasks\At24.job"
C:\WINDOWS\Tasks\At3.job"
C:\WINDOWS\Tasks\At4.job"
C:\WINDOWS\Tasks\At5.job"
C:\WINDOWS\Tasks\At6.job"
C:\WINDOWS\Tasks\At7.job"
C:\WINDOWS\Tasks\At8.job"
C:\WINDOWS\Tasks\At9.job"

FOLDER::
C:\Programme\RXToolBar

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}]			

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"devenv"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Dokumente und Einstellungen\\*******\\Lokale Einstellungen\\Temp\\0exmdnk30.exe"=-
"C:\\Dokumente und Einstellungen\\*******\\Lokale Einstellungen\\Temp\\52exmdnk30.exe"=-
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





5. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann