dll-Datei lässt sich nicht löschen

brat.wurst · 11.07.2008, 23:15

Guten Morgen zusammen,

ich bin neu und hoffe, dass mir jemand mit Erfahrung unter die Arme greifen kann.

Vor 2 Tagen hatte ich mehrere Viren u.ä. auf dem alten Rechner (800er - XP - SP2). Da ich selbst nicht viel Ahnung vom PC habe, hat ein guter Bekannter den Rechner für mich so hingebogen, dass ich wieder arbeiten kann. Alles läuft eigentlich gut - bis auf eine Sache.

Das Programm Avira meldet mir laufend, dass es einen Virus gefunden hat.
Name: TR/Agent.29568

Als Verzeichnis wird angegeben: C:\windows\system32\iifddaYr.dll

Diese dll-Datei ist sichtbar, aber ich kann sie weder löschen, verschieben, ignorieren usw.

Was kann ich tun ? Kann mir bitte jemand helfen ? Danke im Voraus an Alle. brat.wurst

**Sunny** · 11.07.2008, 23:34

Hallo brat.wurst und

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

brat.wurst · 12.07.2008, 07:47

Hallo Sunny,

danke für die schnelle und bisher sehr kompetente Hilfe. Eigentlich habe ich bis jetzt alles gemacht, was Sie vorgeschlagen haben - bis auf ComboFix. CCleaner und AntiMalware sind gut durchgelaufen. AntiMalware hat noch eine ganze Menge Trojaner festgestellt, die gelöscht wurden. Aber Avira sagt mir immer noch, dass es was findet.

Da ich selbst keinerlei PC-Ahnung habe, wurde mir fast schlecht, als ich den Leitfaden von ComboFix gelesen habe, was alles beim Ausführen des Programms passieren könnte. So etwas wie eine Wiederherstellungs-CD besitze ich nicht, da ich den Rechner vor Jahren von einem Bekannten bekommen habe. Muss ich ComboFix denn tatsächlich starten ?
brat.wurst

**Sunny** · 12.07.2008, 09:32

Zitat:

Zitat von brat.wurst

Muss ich ComboFix denn tatsächlich starten ?
brat.wurst

Wenn es keine Probleme mehr mit dem System gibt kannst du drauf verzichten, jedoch bin ich nicht davon überzeugt das Malwarebytes alles entfernt hat.

Anstelle von CF kannst du auch DSS benutzen:

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]

Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.

Sunny

brat.wurst · 12.07.2008, 10:25

Bin wieder da. DSS ist heruntergeladen, installiert und hat auch schon gearbeitet. Ich hoffe, dass ich das mit richtig verstanden habe, ansonsten "Asche auf mein Haupt". brat.wurst.

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Home Edition (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: Intel Pentium III-Prozessor
Percentage of Memory in Use: 48%
Physical Memory (total/avail): 383.49 MiB / 196.91 MiB
Pagefile Memory (total/avail): 922.94 MiB / 685.6 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1926.3 MiB

A: is Removable (No Media)
C: is Fixed (FAT32) - 18.66 GiB total, 7.35 GiB free.
D: is Fixed (FAT) - 0.19 GiB total, 0.19 GiB free.
E: is CDROM (No Media)
F: is CDROM (Unformatted)

\\.\PHYSICALDRIVE0 - FUJITSU MPF3204AT - 19.08 GiB - 3 partitions
\PARTITION0 (bootable) - Unknown - 18.67 GiB - C:
\PARTITION1 - Win95 mit Int 13 (erweitert) - 196.11 MiB - D:
\PARTITION2 - Unknown - 203.95 MiB

-- Security Center -------------------------------------------------------------

AUOptions is disabled.
Windows Internal Firewall is enabled.

FirstRunDisabled is set.
AntivirusOverride is set.

AV: Avira AntiVir PersonalEdition v8.0.1.18 (Avira GmbH)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\DATEV\\PROGRAMM\\B0000005\\CDBTool.exe"="C:\\DATEV\\PROGRAMM\\B0000005\\CDBTool.exe:*:Enabled:CDBTool.exe"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\Temp\\NavBrowser.exe"="C:\\WINDOWS\\Temp\\NavBrowser.exe:*

isabled:NAVBrowser"
"C:\\DATEV\\PROGRAMM\\B0000005\\CDBTool.exe"="C:\\DATEV\\PROGRAMM\\B0000005\\CDBTool.exe:*:Enabled:CDBTool.exe"

-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=HEINZ
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Heinzelmann
LOGONSERVER=\\HEINZ
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\SYSTEM32;C:\WINDOWS;C:\WINDOWS\SYSTEM32\WBEM;C:\DATEV\SYSTEM
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 6, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0806
ProgramFiles=C:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\HEINZE~1\LOKALE~1\Temp
TMP=C:\DOKUME~1\HEINZE~1\LOKALE~1\Temp
USERDOMAIN=HEINZ
USERNAME=Heinzelmann
USERPROFILE=C:\Dokumente und Einstellungen\Heinzelmann
windir=C:\WINDOWS

-- User Profiles ---------------------------------------------------------------

Heinzelmann (admin)

-- Add/Remove Programs ---------------------------------------------------------

--> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23EFDB58-0874-4883-9810-EDA510B19FAE}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2BB79C8D-9DCC-4861-8A23-AE1B0B45E2B6}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3C1B8CBC-9118-11D7-86D3-00055DF3561E}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{775FFF70-4A8C-4500-908D-3C34DBEB11D5}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{83021AC3-086F-4B77-ACCD-1BD7C9AB211E}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B14F9B26-D695-4C4A-8B11-0FE6CDCC797B}\setup.exe" -l0x9
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E213C271-AEFA-481D-A9B4-914D88925B8D}\setup.exe" -l0x9
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware --> MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) --> MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Adobe Reader 8.1.2 Security Update 1 (KB403742) -->
Avira AntiVir Personal – Free Antivirus --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"
Cleaning Suite v1.1 --> "C:\Programme\ASCOMP Software\Cleaning Suite\unins000.exe"
Das Fussball Studio 6.7.1 --> "C:\Programme\Das Fussball Studio\uninst\unins000.exe"
DesignPro Business Cards SE --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{2797D1CC-B68F-4098-96EF-E45700A3335C} /l1031
EPSON-Drucker-Software --> C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
EPSON CardMonitor --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{109D28C7-FB38-483A-9C91-001CB59E2699}\SETUP.EXE" -l0x7 uninst
EPSON Copy Utility 3 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{67EDD823-135A-4D59-87BD-950616D6E857}\Setup.exe" -l0x7 -UnInstall
EPSON PhotoQuicker3.5 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{65F5B7AF-3363-11D7-BB6B-00018021113F}\SETUP.EXE" -l0x7 uninst
EPSON PhotoStarter3.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C48817E7-AA05-4151-A99D-1E1E550CE801}\SETUP.EXE" -l0x7 uninst
EPSON PRINT Image Framer Tool2.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{23B59ED4-C360-11D7-875B-0090CC005647}\SETUP.EXE" -l0x7 anything
EPSON Scan --> C:\Programme\epson\escndv\setup\setup.exe /r
EPSON Smart Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6C11D561-620B-47DA-A693-4C597F3CDF40}\SETUP.EXE" -l0x7 Uninstall
EPSON Web-To-Page --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x7 -anything
ESPRX420 Ref. Handbuch --> C:\Programme\EPSON\TPMANUAL\ESPRX420\REF_G\DOCUNINS.EXE
ESPRX420 Softwarehandbuch --> C:\Programme\EPSON\TPMANUAL\ESPRX420\PQU_G\DOCUNINS.EXE
J2SE Runtime Environment 5.0 Update 14 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150140}
Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Mozilla Sunbird (0.7) --> C:\Programme\Mozilla Sunbird\uninstall\uninst.exe
Nero Suite --> C:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID=""
PhotoImpression 5 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{66C8BE35-8BBB-472B-96C7-C7C9A499F988}\SETUP.EXE" -l0x7

-- Application Event Log -------------------------------------------------------

Event Record #/Type4203 / Warning
Event Submitted/Written: 07/12/2008 11:14:12 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Trash.GenC:\WINDOWS\system32\appteyag.dll

Event Record #/Type4202 / Warning
Event Submitted/Written: 07/12/2008 11:14:06 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Trash.GenC:\WINDOWS\system32\oxlmzm.dll

Event Record #/Type4201 / Warning
Event Submitted/Written: 07/12/2008 11:07:12 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Trash.GenC:\WINDOWS\system32\appteyag.dll

Event Record #/Type4200 / Warning
Event Submitted/Written: 07/12/2008 09:53:43 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Trash.GenC:\WINDOWS\system32\appteyag.dll

Event Record #/Type4199 / Warning
Event Submitted/Written: 07/12/2008 09:53:39 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Trash.GenC:\WINDOWS\system32\appteyag.dll

-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.

-- System Event Log ------------------------------------------------------------

Event Record #/Type14328 / Warning
Event Submitted/Written: 07/12/2008 09:07:24 AM
Event ID/Source: 18 / avgntflt
Event Description:
TIMEOUT<EXPLORER.EXE> C:\...Bundesliga\Thumbs.db

Event Record #/Type14285 / Warning
Event Submitted/Written: 07/12/2008 07:07:17 AM
Event ID/Source: 18 / avgntflt
Event Description:
TIMEOUT<mbam.exe> C:\...ler Bundesliga\Thumbs.db

Event Record #/Type14247 / Warning
Event Submitted/Written: 07/12/2008 01:13:59 AM
Event ID/Source: 18 / avgntflt
Event Description:
TIMEOUT<mbam.exe> C:\...ler Bundesliga\Thumbs.db

Event Record #/Type14242 / Warning
Event Submitted/Written: 07/11/2008 10:47:31 PM
Event ID/Source: 18 / avgntflt
Event Description:
TIMEOUT<aawservice.exe> C:\...ndesliga\Thumbs.db

Event Record #/Type14187 / Warning
Event Submitted/Written: 07/10/2008 09:53:53 PM
Event ID/Source: 18 / avgntflt
Event Description:
TIMEOUT<aawservice.exe> C:\...ndesliga\Thumbs.db

-- End of Deckard's System Scanner: finished at 2008-07-12 11:15:12 ------------

Deckard's System Scanner v20071014.68
Run by Heinzelmann on 2008-07-12 11:12:26
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 5 Restore Point(s) --
5: 2008-07-12 09:12:33 UTC - RP58 - Deckard's System Scanner Restore Point
4: 2008-07-10 20:25:08 UTC - RP57 - Installed Windows Media Format 9 Series Runtime Setup
3: 2008-07-10 19:31:34 UTC - RP56 - Installed Ad-Aware
2: 2008-07-10 19:30:15 UTC - RP55 - Removed Ad-Aware 2007
1: 2008-07-08 23:14:14 UTC - RP54 - Last known good configuration

Backed up registry hives.
Performed disk cleanup.

Total Physical Memory: 384 MiB (512 MiB recommended).

-- HijackThis Clone ------------------------------------------------------------

Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-07-12 11:13:42
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\explorer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Heinzelmann\Eigene Dateien\dss.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sunbird Terminkalender.lnk = C:\Programme\Mozilla Sunbird\sunbird.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL
O20 - AppInit_DLLs: sol629.txt
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: VIWAS Updatedienst (ViwasService) - Unknown owner - C:\DATEV\PROGRAMM\VIWAS\ViwaServ.EXE

--
End of file - 4207 bytes

-- File Associations -----------------------------------------------------------

.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>

S4 LckFldService - c:\windows\system32\lckfldservice.exe <Not Verified; ; LckFldService>
S4 ViwasService (VIWAS Updatedienst) - c:\datev\programm\viwas\viwaserv.exe (file missing)

-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.

-- Files created between 2008-06-12 and 2008-07-12 -----------------------------

2008-07-12 08:07:29 0 dr-h----- C:\Dokumente und Einstellungen\Heinzelmann\Recent
2008-07-12 08:04:30 0 d-------- C:\Programme\CCleaner
2008-07-12 01:01:47 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-11 22:07:26 0 -----n--- C:\WINDOWS\system32\appteyag.dll
2008-07-11 22:07:22 0 -----n--- C:\WINDOWS\system32\oxlmzm.dll
2008-07-10 22:28:27 0 d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-07-10 22:23:28 3031040 -----n--- C:\WINDOWS\UNNeroVision.exe <Not Verified; Nero AG; Nero WebEngine>
2008-07-10 22:22:14 364544 -----n--- C:\WINDOWS\system32\TwnLib4.dll <Not Verified; Pegasus Imaging Corp.; TwnLib4>
2008-07-10 22:22:14 471040 -----n--- C:\WINDOWS\system32\ImagXRA7.dll <Not Verified; Pegasus Imaging Corp.; ImagXpress7>
2008-07-10 22:22:13 262144 -----n--- C:\WINDOWS\system32\ImagXR7.dll <Not Verified; Pegasus Imaging Corp.; ImagXpress7>
2008-07-10 22:22:13 1568768 -----n--- C:\WINDOWS\system32\ImagX7.dll <Not Verified; Pegasus Imaging Corp.; ImagXpress7>
2008-07-10 22:22:11 106496 -----n--- C:\WINDOWS\system32\TwnLib20.dll <Not Verified; Pegasus Software; TWNLIB20>
2008-07-10 22:22:11 38912 -----n--- C:\WINDOWS\system32\picn20.dll <Not Verified; Pegasus Imaging Corp.; PEGASUS>
2008-07-10 22:21:51 0 d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-07-10 22:21:42 0 d-------- C:\Programme\Ahead
2008-07-10 21:30:35 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-10 18:13:07 116352 --a------ C:\WINDOWS\system32\vcguzc.dll
2008-07-10 18:13:06 116352 --a------ C:\WINDOWS\system32\scnajfut.dll
2008-06-25 17:13:19 0 d-------- C:\Programme\OpenOffice.org 2.4
2008-06-25 17:00:58 0 d-------- C:\WINDOWS\Downloaded Installations

-- Find3M Report ---------------------------------------------------------------

2008-07-12 09:46:54 0 d-------- C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\Ahead
2008-07-12 08:28:14 36736 --a------ C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-07-12 01:02:06 0 d-------- C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\Malwarebytes
2008-07-10 16:58:44 316594 --a------ C:\WINDOWS\system32\perfh007.dat
2008-07-10 16:58:44 48156 --a------ C:\WINDOWS\system32\perfc007.dat
2008-07-09 01:05:56 0 d-------- C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\TmpRecentIcons
2008-07-04 10:44:30 3063808 --a------ C:\WINDOWS\system32\PEGRPDL.DLL <Not Verified; Gigasoft, Inc.; ProEssentials Lite>
2008-06-25 17:17:18 0 d-------- C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\OpenOffice.org2
2008-06-24 11:03:12 0 d-------- C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\EssentialPIM

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus Photo RX420 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.exe" [09.04.2004 04:00]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [16.04.2008 04:19]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.2008 04:25]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 22:16]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 12:00]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 01:01:04]
Sunbird Terminkalender.lnk - C:\Programme\Mozilla Sunbird\sunbird.exe [26.10.2007 21:39:02]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=sol629.txt

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIWAS-Update Scheduler.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIWAS-Update Scheduler.lnk
backup=C:\WINDOWS\pss\VIWAS-Update Scheduler.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIWAS-Update.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIWAS-Update.lnk
backup=C:\WINDOWS\pss\VIWAS-Update.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ViwasService"=2 (0x2)
"McTaskManager"=2 (0x2)
"McShield"=2 (0x2)
"LckFldService"=2 (0x2)

-- End of Deckard's System Scanner: finished at 2008-07-12 11:15:12 ------------

**Sunny** · 12.07.2008, 11:20

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\system32\sol629.txt
C:\WINDOWS\system32\vcguzc.dll
C:\WINDOWS\system32\scnajfut.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

brat.wurst · 12.07.2008, 12:21

Hallo Sunny, die Datei

C:\WINDOWS\system32\sol629.txt

scheint nicht auf meinem Rechner zu sein, kann sie jedenfalls nicht finden.

Zu

C:\WINDOWS\system32\vcguzc.dll

Die Datei wurde bereits analysiert:
MD5: a38b2cee8765036c5ecc53d4d09ddeaf
First received: 2008.07.10 18:16:27 (CET)
Datum 2008.07.12 13:14:45 (CET) [<1D]
Ergebnisse 8/33
Permalink: analisis/619c883cdae386e1fb90012e7cab3212

Zu

C:\WINDOWS\system32\scnajfut.dll

Die Datei wurde bereits analysiert:
MD5: a38b2cee8765036c5ecc53d4d09ddeaf
First received: 2008.07.10 18:16:27 (CET)
Datum 2008.07.12 13:14:45 (CET) [<1D]
Ergebnisse 8/33
Permalink: analisis/619c883cdae386e1fb90012e7cab3212

brat.wurst · 14.07.2008, 20:48

Die Programme sind vom Rechner runter und der Rechner wurde neu gestartet. Weder beim Neustart noch beim Aufrufen verschiedener Programme kam (bisher) eine Meldung von AntiVir. Hoffen wir, dass Sie alles gefunden haben. Ich werde mich am Wochenende nochmals kurz melden und eine Info geben, ob alles wieder wie gewohnt läuft. Ich darf mich jedenfalls bei Ihnen (und allen anderen, die evtl. mitgearbeitet und mir geholfen haben) ganz herzlich für die Unterstützung und insbesondere auch für die Geduld die Sie aufgebracht haben, recht herzlich bedanken. brat.wurst

brat.wurst · 14.07.2008, 19:42

Habe ComboFix mehrmals ausprobiert. Das System wird nicht neu gestartet.
Füge Hardcopy der Virenmeldungen bei.

raman · 14.07.2008, 19:57

Befolge das, was dir Sunny raet, dann klappt das auch mit Combofix:

Zitat:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen

Also deaktiviere den Antivir Guard, waehrend Combofix laeuft...

brat.wurst · 14.07.2008, 19:59

Bin wieder da und habe zwischenzeitlich GMER arbeiten lassen. Hier die Log-Datei:

Code:

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-07-14 20:56:43
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            F7D0775C                  ZwCreateThread
SSDT            F7D07748                  ZwOpenProcess
SSDT            F7D0774D                  ZwOpenThread
SSDT            F7D07757                  ZwTerminateProcess
SSDT            F7D07752                  ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

**Sunny** · 14.07.2008, 20:07

Vielleicht suche ich auch nur die "Nadel im Heuhaufen", aber meiner Ansicht nach ist da noch etwas in deinem System...

Sicherlich wird Malwarebytes einiges entfernt haben, auch das Hauptproblem wieso du eigentlich hier bist, aber ich frage mich, was ist das für eine Datei?

Zitat:

C:\WINDOWS\system32\sol629.txt

Und die anderen beiden haben wir ja auch gesehen sind ebenfalls schädlich und lassen sie nicht löschen!

Ok, letzter Versuch:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

ATTFilter

files to delete:
C:\WINDOWS\system32\sol629.txt
C:\WINDOWS\system32\vcguzc.dll
C:\WINDOWS\system32\scnajfut.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

brat.wurst · 14.07.2008, 20:15

Vielleicht kommt jetzt etwas mehr Licht ins Dunkel. ComboFix hat funktioniert. Hier die Log-Datei.

Code:

ATTFilter

ComboFix 08-07-13.14 - Heinzelmann 2008-07-14 21:04:07.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.183 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Heinzelmann\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ocmatuqk.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2008-06-14 bis 2008-07-14  ))))))))))))))))))))))))))))))
.

2008-07-14 20:51 . 2008-07-14 20:51	250	--a------	C:\WINDOWS\gmer.ini
2008-07-14 20:13 . 2008-07-14 20:13	<DIR>	d--------	C:\Programme\Sophos
2008-07-12 14:05 . 2008-07-12 14:05	<DIR>	d--------	C:\_OTMoveIt
2008-07-12 11:12 . 2008-07-12 11:12	<DIR>	d--------	C:\Deckard
2008-07-12 09:51 . 2008-07-12 09:51	69	--a------	C:\WINDOWS\NeroDigital.ini
2008-07-12 09:46 . 2008-07-12 09:46	<DIR>	d--------	C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\Ahead
2008-07-12 08:04 . 2008-07-12 08:04	<DIR>	d--------	C:\Programme\CCleaner
2008-07-12 01:02 . 2008-07-12 01:02	<DIR>	d--------	C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\Malwarebytes
2008-07-12 01:01 . 2008-07-12 01:01	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-07-12 01:01 . 2008-07-12 01:01	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-12 01:01 . 2008-07-07 17:35	34,296	--a------	C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-12 01:01 . 2008-07-07 17:35	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-07-11 23:18 . 2008-07-11 23:18	<DIR>	dr-------	C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-07-11 23:18 . 2008-07-11 23:18	<DIR>	d--------	C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-07-10 22:28 . 2008-07-10 22:28	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Nero
2008-07-10 22:25 . 2008-07-10 22:25	316,640	--a------	C:\WINDOWS\WMSysPr9.prx
2008-07-10 22:23 . 2005-10-18 22:03	3,031,040	---------	C:\WINDOWS\UNNeroVision.exe
2008-07-10 22:23 . 2005-11-25 19:45	119,771	---------	C:\WINDOWS\UNNeroVision.cfg
2008-07-10 22:23 . 2001-03-08 18:30	24,064	---------	C:\WINDOWS\system32\msxml3a.dll
2008-07-10 22:22 . 2008-07-10 22:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-07-10 22:22 . 2004-07-20 16:24	1,568,768	---------	C:\WINDOWS\system32\ImagX7.dll
2008-07-10 22:22 . 2004-07-20 16:24	476,320	---------	C:\WINDOWS\system32\ImagXpr7.dll
2008-07-10 22:22 . 2004-07-20 16:24	471,040	---------	C:\WINDOWS\system32\ImagXRA7.dll
2008-07-10 22:22 . 2004-07-09 08:43	364,544	---------	C:\WINDOWS\system32\TwnLib4.dll
2008-07-10 22:22 . 2004-07-20 16:24	262,144	---------	C:\WINDOWS\system32\ImagXR7.dll
2008-07-10 22:22 . 2000-06-26 10:45	106,496	---------	C:\WINDOWS\system32\TwnLib20.dll
2008-07-10 22:22 . 2001-06-26 07:15	38,912	---------	C:\WINDOWS\system32\picn20.dll
2008-07-10 22:21 . 2008-07-10 22:21	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Ahead
2008-07-10 22:21 . 2008-07-10 22:21	<DIR>	d--------	C:\Programme\Ahead
2008-07-10 21:30 . 2008-07-10 21:30	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-10 20:37 . 2008-07-10 20:37	29	--a------	C:\WINDOWS\standard.sta
2008-07-09 01:05 . 2008-07-09 01:05	<DIR>	d--------	C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\TmpRecentIcons
2008-07-08 05:28 . 2008-02-22 02:33	69,632	--a------	C:\WINDOWS\system32\javacpl.cpl
2008-07-05 11:01 . 2008-05-24 12:52	475,136	--a------	C:\WINDOWS\system32\vmlSGrid4.ocx
2008-07-05 11:01 . 2008-05-22 21:26	405,504	--a------	C:\WINDOWS\system32\vmlCmdBar5.ocx
2008-06-25 17:17 . 2008-06-25 17:17	<DIR>	d--------	C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\OpenOffice.org2
2008-06-25 17:13 . 2008-06-25 17:13	<DIR>	d--------	C:\Programme\OpenOffice.org 2.4
2008-06-25 17:00 . 2008-06-25 17:01	<DIR>	d--------	C:\WINDOWS\Downloaded Installations
2008-06-24 11:03 . 2008-06-24 11:03	<DIR>	d--------	C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\EssentialPIM

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-12 06:28	36,736	----a-w	C:\Dokumente und Einstellungen\Heinzelmann\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-07-04 08:44	3,063,808	----a-w	C:\WINDOWS\system32\PEGRPDL.DLL
2008-05-16 09:58	12,632	----a-w	C:\WINDOWS\system32\lsdelete.exe
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 12:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus Photo RX420 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 04:00 98304]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 04:19 262401]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 12:00 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIWAS-Update Scheduler.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIWAS-Update Scheduler.lnk
backup=C:\WINDOWS\pss\VIWAS-Update Scheduler.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIWAS-Update.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIWAS-Update.lnk
backup=C:\WINDOWS\pss\VIWAS-Update.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ViwasService"=2 (0x2)
"McTaskManager"=2 (0x2)
"McShield"=2 (0x2)
"LckFldService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\5.tmp []
S4 ViwasService;VIWAS Updatedienst;C:\DATEV\PROGRAMM\VIWAS\ViwaServ.EXE []

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-14 21:07:31
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\5.tmp"
.

**Sunny** · 14.07.2008, 19:58

Das sieht alles sehr merkwürdig aus, aber wir geben nicht auf:

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
(Wichtig: "Show all" darf nicht angehakt sein)

Starte den Durchlauf mit "Scan".

Mache nichts am Computer während der Scan läuft.

Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

Füge das Log aus der Zwischenablage in deine Antwort hier ein.

dll-Datei lässt sich nicht löschen

Plagegeister aller Art und deren Bekämpfung: dll-Datei lässt sich nicht löschen