Guten Abend,

bin ja neu hier und hoffe, dass alles richtig aufgeführt ist.

Gestern Abend habe ich Teile meines Druckerprogramms deinstalliert. Heute morgen bekam ich bei der Überprüfung durch mein Virenprogramm (AVG 8.0) plötzlich 541 Warnmeldungen. Nach einem Update des Programm waren noch 216 Meldungen vorhanden. Die habe ich dann in die Quarantäne geschickt, damit ich eine Sicherung machen konnte.

Dann habe ich alles neu installiert. Wieder habe ich nur einen Teil des Druckers installiert, der über USB angeschlossen ist. Nachdem der Rechner fertig war, machte ich zum Abschluss wieder eine Virenprüfung. Diesmal waren es 465 Warnungen. Daraufhin habe ich vorsichtshalber die zweite Partition des Rechners gelöscht.

Ich habe mal ein paar Meldungen angehängt. Einige Teilinformationen habe ich schon gefunden. Das es auch heuristische Möglichkeiten gibt, ist mir bekannt. Wie kann ich diese dauerhaft loswerden? Müsste ich jetzt noch einmal, nach dem ich die zweite Partition gelöscht habe, alles neu installieren?

Hinter dem Auszug aus den Meldungen habe ich noch ein Logfile von HijackThis angehängt. Mit Stinger habe ich den PC online schon einmal gescannt. Der Scan war ohne Ergebnis.

HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{dea859d7-abb8-4239-b454-6731f4891560};"Adware.RogueSuspect gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{e0103cd4-d1ce-411a-b75b-4fec072867f4};"Trojan.Puper.ac gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E1412445-4FF8-410e-8D24-F2CF86B171A4};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E14DCE67-8FB7-4721-8149-179BAA4D792C};"Trojan.Ciadoor.m gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E2B2B5A1-B48C-4886-A318-723916A01024};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E2DDF680-9905-4dee-8C64-0A5DE7FE133C};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E3EEBBE8-9CAB-4C76-B26A-747E25EBB4C6};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E4703CF2-7F82-4AD7-B317-8EC1CBC9B619};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E694E3DC-723F-40C7-87FE-6FFC222AD122};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E6B4AB50-F423-4EE6-9839-B35DCFCDFA49};"Adware.RogueSuspect gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E6D5237D-A6C7-4C83-A67F-F9F15586FA62};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E730189A-9973-4121-B046-AD1C161EC3AF};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E7AFFF2A-1B57-49C7-BF6B-E5123394C970};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E8EDB60C-951E-4130-93DC-FAF1AD25F8E7};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E9817993-83FF-4343-B14E-6CDFB378B21D};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E99D4D0C-EB54-46AF-B62A-3AA1F31D53E5};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E9CCF15D-4C68-4B5A-9E9A-8E12E4BD39BD};"Hijacker.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EA038DDD-0FE0-41f5-BA60-FC3660529E71};"Adware.Ad-Protect gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EA0D26BD-9029-431A-86E0-83152D67828A};"Adware.180Solutions gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D};"Adware.Virtumonde gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EA806E03-A6B1-205A-117C-013309406392};"Trojan.Singu.s gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{eac1accd-7790-4991-a9d2-550806d6d9c3};"Adware.AntiVermins gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EB1CE8AA-7F27-45D3-BA59-37AFBFB4437F};"Adware.Vundo gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EC83B900-B33A-D316-EF7D-013309406392};"Trojan.Stoped.b gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EDBF1BC8-39AB-48EB-A0A9-C75078EB7C8E};"Adware.SpyAxe gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EDE2A2B4-B1CB-4BF8-93D1-154E49284A71};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EE02B99B-1D55-48bc-B8DB-649A42CE45F6};"Adware.CreatrixMedia gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ef2aa606-b72e-4a1b-b076-8b148661f3b7};"Adware.AntiVermins gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F007E221-018D-4baf-924A-B0E9092F3853};"Adware.CreatrixMedia gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F1FABE79-25FC-46de-8C5A-2C6DB9D64333};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F22ABCC8-DA46-6EFF-B0D2-2B1D0647AB7A};"Adware.CoolWebSearch gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F43BD772-ABDD-43b7-A96A-3E9E61946EC0};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F452FA15-98C9-BD51-AC62-418E0C391EC0};"Adware.CoolWebSearch gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F5D23930-23C6-440E-AB55-D019E1171539};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F5DE8ADB-4A69-4e56-96AB-823171C8E9D8};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F5F0086E-C12D-DA23-939A-802FE220ADD3};"Adware.CoolWebSearch gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F6053709-5723-454E-AB9D-7FC7E681AFA5};"Adware.CoolWebSearch gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f65b197f-8260-4d52-909a-f70118e646eb};"Adware.MWSearch gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F68D4ACF-5F32-4D00-A9D9-62D849AE0451};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F74B358E-6979-40a9-96CD-636C80B87AFF};"Trojan.BankAsh.g gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F7D40011-29BB-43EB-9C97-875CE89E9E36};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f9476885-40eb-4405-878a-193baf18ce9b};"Adware.AntiVermins gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FA1A6CC3-BE63-4f7c-A455-417D35A67DA6};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FBD49452-69E0-4837-91FA-9227A6DD1A83};"Adware.Vundo gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FC148228-87E1-4D00-AC06-58DCAA52A4D1};"Adware.Virtumonde gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FCBEFCA2-4337-C522-B757-2FED10040650};"Adware.CoolWebSearch gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{fcf0a3dd-9231-4625-84c6-4810bbe5f54b};"Adware.RogueSuspect gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FD9BC004-8331-4457-B830-4759FF704C22};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FDC47F1A-61E1-4AC5-89CA-6B95644953AE};"Adware.Virtumonde gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FE6A3E85-0F6C-49AD-8843-68FF44E7EEA9};"Adware.SecureServicePack gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FEF0E647-5524-FA9E-07CF-AF79EE6770A0};"Adware.CoolWebSearch gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FFD2825E-0785-40C5-9A41-518F53A8261F};"Adware.TitanShieldAntispyware gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA};"Trojan.Zapchast gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF};"Adware.Generic gefunden";"In Virenquarantäne verschoben"
HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666};"Adware.Generic gefunden";"In Virenquarantäne verschoben"


Nach dem Löschen der zweiten Partition konnte ich jetzt die aktuelle Version von HijackThis runterladen können und habe einen Scan durchgeführt. Logfile ist anbei.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:07:32, on 16.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Lexmark 2300 Series\lxcgmon.exe
C:\Programme\Lexmark 2300 Series\ezprint.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\AMO_TA~1.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgfws8.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVG\AVG8\aAvgApi.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O3 - Toolbar: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programme\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Ashampoo Magical Optimizer Taskplaner] "C:\PROGRA~1\Ashampoo\ASHAMP~1\AMO_TA~1.EXE" -TRAY
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgfws8.exe
O23 - Service: lxcg_device - - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 5676 bytes

Für den oder anderen Hinweis wäre ich dankbar.
Ich bin gespannt. Danke im voraus.


Marina

Halli hallo Marina.

Deinstalliere bitte die cToolbar/Crawler Toolbar

Zitat:

C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe

http://www.trojaner-board.de/51579-a...tallieren.html


Räume danach mit cCleaner auf. Die Registry (blaue Klötze auf der linken Seite im Programm) musst du mehrmals durchsuchen und bereinigen lassen. (steht nicht in der Anleitung)

Poste danach bitte ein frisches HJT log.

Guten Abend,

danke für den Hinweis.

Werde mich ein bisschen heute abend und dann morgen früh drum kümmern.

Melde mich dann mit dem Ergebnis.

Marina

Hallo,

das ging schneller als ich dachte.

Die Toolbar habe ich deinstalliert.

Und danach mit CCleaner die Registry aufgeräumt. Ich habe vier Durchgänge gemacht. Jetzt bekomme ich hier auch die korrekte Uhrzeit angezeigt. Vorher stand es noch auf Sommerzeit.

Hier noch ein frisches HJT-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:40:10, on 16.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Lexmark 2300 Series\lxcgmon.exe
C:\Programme\Lexmark 2300 Series\ezprint.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\AMO_TA~1.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgfws8.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVG\AVG8\aAvgApi.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O3 - Toolbar: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programme\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Ashampoo Magical Optimizer Taskplaner] "C:\PROGRA~1\Ashampoo\ASHAMP~1\AMO_TA~1.EXE" -TRAY
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgfws8.exe
O23 - Service: lxcg_device - - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 5213 bytes


Für den ersten Erfolg schon einmal danke.

Marina

Super.

Dann deinstalliere bitte auf gleichem Wege den SpywareTerminator und räume wieder mit CCleaner auf.

Danach führe einen Scan mit SUPERAntiSpyware und Anti-Malware durch.
Anleitung gibt es in meiner Sigantur.

Hallo,

den ersten Teil habe ich ausgeführt.

Nur dauert ja der Scan mit Antimalware länger. Daher mache ich morgen weiter. Erst mal danke für die Hilfe. Melde mich dan morgen.

Gute Nacht

Marina

Hallo,

die beiden Scans habe ich durchgeführt. Beide waren ohne Ergebnis.

Vom Antimalware sende ich hier das logfile:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 756

Scan Art: Komplett Scan (C:\|I:\|)
Objekte gescannt: 64075
Scan Dauer: 18 minute(s), 14 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


Während dieses Scans bekam ich allerdings zweimal die Meldung, dass ein Trojaner gefunden wurde: Downloader.Generic7.IBV. Dieser war unter Systeme Volume Information versteckt und wurde beim Scan vom Virenprogramm heute morgen nicht entdeckt.

Danke im voraus.

Marina

Gut.

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.


Starte den Rechner neu und führe einen escan durch: MWAV Poste das log!

Tja, ich bekomme das Programm einfach nicht mit in den abgesicherten Modus. Hab zweimal den Start in den abgesicherten Modus durchgeführt.
Es ist erscheint dort nicht.

Was kann ich denn tun? Danke.

Zitat:

Es ist erscheint dort nicht.

Wie meinst du das? Hast du die Anleitung haargenau befolgt??

Also ich habe zuerst die Systemwiederherstellung deaktiviert.

Dann habe ich beide Dateien runtergeladen und bin dann in den abgesicherten Modus gewechselt. Da ich die Dateien auf dem Desktop gespeichert habe, müßten diese doch dort erscheinen oder habe ich jetzt da was falsch gemacht. Dann bitte einen Hinweis.....

Du findest di Dateien in C:\Dokumente und Einstellunge\*dein Benutzername*\Desktop.


Sollten sie dort nicht zu finden sein lade sie bitte erneut runter.
Speichere die Dateien dann bitte unter C:\eScan\MWAV ab. (Die Ordner musst du erstellen.)

Okay,

danke für den Hinweis. Probiere ich am Nachmittag aus und melde mich dann.

Gruß

Marina

Hallo, dies ist ein Test, da ich den ersten Teil nicht gepostet bekomme.

Da ist ein Logfile mit über 570000 Zeichen herausgekommen. Ein paar Zeilen kopiere ich hier schon mal rein:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Fortsetzung:

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
Scannen Spyware: Deaktiviert
** {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} = C:\Programme\SUPERAntiSpyware\SASSEH.DLL
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - C:\WINDOWS\system32\svchost.exe -k netsvcs
svchost.exe -
svchost.exe -
explorer.exe - C:\WINDOWS\Explorer.EXE
mexe.com - "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com"
ScanningProcess.exe -
iexplore.exe - "C:\Programme\Internet Explorer\iexplore.exe"
ctfmon.exe - ctfmon.exe
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\charly\Eigene Dateien\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROS~1\DRWATS~1\user.dmp
ERROR!!! ScanFile fails for C:\DOKUME~1\charly\Desktop\DIVERS~1\AVG_IS~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\pagefile.sys
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~4\Office\1031\ACMAIN9.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~4\Office\1031\XLMAIN9.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~4\Office10\1031\VBAWD10.CHM
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~3\WKSv7std.sbs
ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~3\WKSv7std.sbt
ERROR!!! ScanFile fails for C:\WINDOWS\DRIVER~1\i386\driver.cab
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
ERROR!!! ScanFile fails for I:\WINDOWS\DRIVER~1\i386\driver.cab