Hallo zusammen,

AntiVir schlägt bei mir bei jedem Computerneustart an und zeigt:
In der Datei 'C:\WINDOWS\system32\athcfg11res.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.

Ich habe bereits versucht den Trojaner auf verschiedenen Wegen zu entfernen (also mit verschiedenen Programmen), komme aber nicht weiter.

Deswegen meine Frage, könnt mir hier vll jemand helfen?
Hier das Ergebnis von HIjackthis!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:06:27, on 19.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Atheros\ACU.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ClocX\ClocX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Vreni\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (file missing)
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe /boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AquaSoft PhotoKalender] "C:\PROGRA~1\AquaSoft\DESKTO~1\DESKTO~1.EXE" "-p|Photokalender.ads" "-t|3 Monate unregelmäßig.pwt"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6873 bytes

Vielen Dank schonmal
LG Vreni

Hi,
bis auf ZoneAlarm und ein veraltetes System ist dein Logfile nicht auffällig.
Arbeite bitte folgende Schritte durch:

1.)
Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

2.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung und poste das Logfile

3.)
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Ok hier die Infos:

1. Blacklight:
09/19/08 17:43:59 [Info]: BlackLight Engine 1.0.70 initialized
09/19/08 17:43:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/19/08 17:43:59 [Note]: 7019 4
09/19/08 17:43:59 [Note]: 7005 0
09/19/08 17:44:01 [Note]: 7006 0
09/19/08 17:44:01 [Note]: 7011 1708
09/19/08 17:44:01 [Note]: 7035 0
09/19/08 17:44:01 [Note]: 7026 0
09/19/08 17:44:01 [Note]: 7026 0
09/19/08 17:44:04 [Note]: FSRAW library version 1.7.1024
09/19/08 17:59:11 [Note]: 2000 1012
09/19/08 18:03:12 [Note]: 7007 0


2.Malwarebytes:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1175
Windows 5.1.2600 Service Pack 2

19.09.2008 17:59:58
mbam-log-2008-09-19 (17-59-58).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 42386
Laufzeit: 11 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

3.

ComboFix 08-09-16.05 - Vreni 2008-09-19 18:06:09.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.423 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Vreni\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-19 bis 2008-09-19 ))))))))))))))))))))))))))))))
.

2008-09-19 17:51 . 2008-09-19 17:51 <DIR> d-------- C:\Programme\CCleaner
2008-09-19 17:45 . 2008-09-19 17:47 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-19 17:45 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-19 17:45 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-19 17:23 . 2008-09-19 17:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-09-19 16:30 . 2008-09-19 17:36 <DIR> d-------- C:\Programme\Trojan Remover
2008-09-19 16:30 . 2008-09-19 17:00 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-19 06:39 . 2008-09-19 06:39 <DIR> d-------- C:\Dokumente und Einstellungen\Vreni\Anwendungsdaten\Malwarebytes
2008-09-19 06:39 . 2008-09-19 06:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-19 06:25 . 2008-09-19 06:25 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-09-16 06:21 . 2008-09-16 17:01 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-15 18:06 . 2008-07-23 18:50 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-09-15 18:06 . 2008-07-23 18:50 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-09-15 18:05 . 2008-09-15 18:06 <DIR> d-------- C:\Programme\DivX
2008-09-13 18:14 . 2008-09-13 19:48 49,073 --a------ C:\WINDOWS\Run32A40.mch
2008-09-13 18:06 . 2008-09-13 19:48 <DIR> d-------- C:\WINDOWS\A4W_DATA
2008-09-13 18:06 . 2008-09-13 19:44 35 --a------ C:\WINDOWS\A4W.INI
2008-09-13 12:25 . 2008-09-13 12:25 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-08-25 16:32 . 2008-08-25 16:32 <DIR> d-------- C:\Dokumente und Einstellungen\Vreni\Anwendungsdaten\ErrorSmart
2008-08-21 15:18 . 2008-08-21 15:18 <DIR> d-------- C:\Programme\AquaSoft
2008-08-21 15:18 . 2008-08-21 15:18 <DIR> d-------- C:\Dokumente und Einstellungen\Vreni\Anwendungsdaten\AquaSoft
2008-08-21 15:08 . 2008-08-21 15:08 <DIR> d-------- C:\Programme\ClocX

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-19 16:08 6,817,824 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-19 16:00 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-09-19 15:29 --------- d-----w C:\Dokumente und Einstellungen\Vreni\Anwendungsdaten\OpenOffice.org2
2008-09-19 15:27 80,252 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-14 16:03 --------- d-----w C:\Programme\Zylom Games
2008-09-14 13:38 --------- d-----w C:\Dokumente und Einstellungen\Vreni\Anwendungsdaten\dvdcss
2008-09-14 12:48 --------- d-----w C:\Dokumente und Einstellungen\Vreni\Anwendungsdaten\Zylom
2008-09-14 12:46 --------- d-----w C:\Dokumente und Einstellungen\Vreni\Anwendungsdaten\Skype
2008-09-14 12:16 --------- d-----w C:\Dokumente und Einstellungen\Vreni\Anwendungsdaten\skypePM
2008-08-29 15:31 2,846,720 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-08-29 15:31 1,484,800 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-08-23 19:22 1,474,048 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-08-05 14:42 --------- d-----w C:\Dokumente und Einstellungen\Vreni\Anwendungsdaten\Sibelius Software
2008-08-02 21:11 --------- d-----w C:\Dokumente und Einstellungen\Vreni\Anwendungsdaten\Winamp
2008-08-02 20:23 --------- d-----w C:\Programme\Winamp
2008-08-02 17:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-08-01 19:13 --------- d-----w C:\Programme\SmartFTP Client
2008-08-01 19:12 --------- d-----w C:\Programme\SmartFTP Client 3.0 Setup Files
2008-08-01 17:38 --------- d-----w C:\Programme\Apple Software Update
2008-08-01 17:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-01 03:04 --------- d-----w C:\Programme\No23 Recorder
2008-07-28 16:38 --------- d-----w C:\Programme\MyBible
2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:50 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-09 07:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2008-07-09 07:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-27 13:33 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:38 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-05-03 10:58 1,024 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\imgpdf2.dll
2008-04-15 18:18 14,852 ----a-w C:\Programme\settings.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ACU"="C:\Programme\Atheros\ACU.exe" [2005-01-31 253952]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-06-08 94208]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-06-08 77824]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2005-06-08 114688]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-08-11 200704]
"ePowerManagement"="C:\Acer\ePM\ePM.exe" [2005-03-15 2893824]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024]
"LManager"="C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE" [2005-08-19 462848]
"EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-27 185632]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 385024]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"ClocX"="C:\Programme\ClocX\ClocX.exe" [2003-12-08 102912]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-09 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 15360]

C:\Dokumente und Einstellungen\Vreni\Startmen�\Programme\Autostart\
OpenOffice.org 2.0.lnk - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe [2006-01-25 61440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-10-15 12:27 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 4096]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-04-07 78208]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 7296]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 4010]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\LaunchU3.exe

*Newly Created Service* - MBAMSWISSARMY
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Vreni\Anwendungsdaten\Mozilla\Firefox\Profiles\dlf6lzp1.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-19 18:08:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-19 18:09:32
ComboFix-quarantined-files.txt 2008-09-19 16:09:18

Vor Suchlauf: 8 Verzeichnis(se), 27,732,111,360 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 35,398,303,744 Bytes frei

157 --- E O F --- 2008-09-10 17:48:46

Sieht gut aus.
Es kann sich um einen False Positive handeln - hast du die Datei, die von Avira angemeckert worden ist, noch?

Ja die Datei hab ich noch, AntiVir hat den Trojaner gerade wieder gemeldet!!! Also AntiVir meldet diesen Trojaner zur Zeit ca. jede 20min!

Okay, dann analysieren wir die Datei mal:


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\athcfg11res.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Wollt das mit durchsuchen gerade machen, als antivir wieder angeschlagen hat. Hab bei AntiVir auf datei löschen geklickt, woraufhin die Datei nun nicht mehr auffindbar ist. AntiVir hat auch bei Computerneustart bisher nicht wieder angeschlagen. Nun kommt nur die Fehlermeldung, dass die ACU.exe nicht ausgeführt werden konnte, weil diese Datei fehlt.

Hatte ich was von löschen gesagt?
Deaktiviere den AntiVir Guard und geh in die Quarantäne.
Erstell einen Ordner auf deinen Desktop namens "infected".
Die Datei, die du mit Avira gelöscht hast, lässt du in den erstellten Ordner wiederherstellen und lade sie dann bei VT hoch.

Sorry, hier nun die Info:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.19.0 2008.09.19 -
AntiVir 7.8.1.34 2008.09.19 TR/Dropper.Gen
Authentium 5.1.0.4 2008.09.19 -
Avast 4.8.1195.0 2008.09.18 -
AVG 8.0.0.161 2008.09.18 -
BitDefender 7.2 2008.09.19 -
CAT-QuickHeal 9.50 2008.09.19 -
ClamAV 0.93.1 2008.09.19 -
DrWeb 4.44.0.09170 2008.09.19 -
eSafe 7.0.17.0 2008.09.18 -
eTrust-Vet 31.6.6094 2008.09.18 -
Ewido 4.0 2008.09.18 -
F-Prot 4.4.4.56 2008.09.19 -
F-Secure 8.0.14332.0 2008.09.19 -
Fortinet 3.113.0.0 2008.09.19 -
GData 19 2008.09.19 -
Ikarus T3.1.1.34.0 2008.09.19 -
K7AntiVirus 7.10.461 2008.09.18 -
Kaspersky 7.0.0.125 2008.09.19 -
McAfee 5387 2008.09.18 -
Microsoft 1.3903 2008.09.19 -
NOD32v2 3455 2008.09.19 -
Norman 5.80.02 2008.09.18 -
Panda 9.0.0.4 2008.09.19 -
PCTools 4.4.2.0 2008.09.18 -
Prevx1 V2 2008.09.19 -
Rising 20.62.42.00 2008.09.19 -
Sophos 4.33.0 2008.09.19 -
Sunbelt 3.1.1647.1 2008.09.18 -
Symantec 10 2008.09.19 -
TheHacker 6.3.0.9.087 2008.09.18 -
TrendMicro 8.700.0.1004 2008.09.19 -
VBA32 3.12.8.5 2008.09.18 -
ViRobot 2008.9.19.1383 2008.09.19 -
VirusBuster 4.5.11.0 2008.09.18 -
Webwasher-Gateway 6.6.2 2008.09.19 Trojan.Dropper.Gen
weitere Informationen
File size: 73728 bytes
MD5...: 1adbf2e4e0a6820bad9cf1edf342c4bf
SHA1..: 8538f8dc311c15be8b950c722c4325e98c27a2ee
SHA256: d66367f5684c725ddd25d7df1768dfc7ddd9494e990f833e1c2c82c4169dd043
SHA512: 28e91e0cdc6e701d8c1a20a0711ebb33fc8f1848159e4ca95dc6dce786c95f1d
912277877ae872c2425461273a1469b0f54994034945acbfae88b7f1dd2c34f4
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001a7d
timedatestamp.....: 0x41d0b24e (Tue Dec 28 01:09:34 2004)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xb26 0x1000 4.85 c98946d6b859359c17aa93aec682d3b9
.rdata 0x2000 0x311 0x1000 1.25 61858230ce43353eed85724dbe9a0656
.data 0x3000 0x10c 0x1000 0.39 931e0e737763d1ae0abce64508248433
.rsrc 0x4000 0xce90 0xd000 4.41 4c4894c8eab4a848212f122084d5ff47
.reloc 0x11000 0x164 0x1000 0.49 b75ce61ad04a77e85ac458ae73ba9326

( 4 imports )
> MFC42.DLL: -, -, -, -, -, -
> MSVCRT.dll: malloc, _initterm, free, _onexit, __dllonexit, atoi, _itoa, _adjust_fdiv
> KERNEL32.dll: FreeLibrary, GetUserDefaultLangID, GetSystemDirectoryA, EnumResourceLanguagesA, LoadLibraryA, GetProcAddress, GetVersionExA, GetModuleHandleA
> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey

( 1 exports )
GetAcapiResApi

So, schicke die Datei an Avira => Samples
(Wähle bei der Option Typ die Kategorie Verdacht auf Fehlalarm!)

Avira wird dich dann nach 1-2 Tagen benachrichtigen, wenn sie die Datei analysiert haben.

Ok, das hier kam direkt:
Vielen Dank für Ihre Submission. Im folgenden sehen Sie den derzeitigen Status der übermittelten Dateien:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25137918 athcfg11res.dll 72 KB FALSE POSITIVE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
athcfg11res.dll FALSE POSITIVE

Die Datei 'athcfg11res.dll' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster ist mit dem Update der Virendefinitionsdatei (VDF) 7.0.6.184 entfernt.

Heißt das das ich die Datei wieder in ihren normalen Ordner verschieben kann?

Wenn du sie nicht brauchst, können wir die jetzt gemeinsam löschen.

die eine .exe scheint sie ja zu brauchen, sonst wäre vorher ja nicht die Fehler meldung gekommen. Allerdings läuft jetzt alles wieder prima nach dem ich sie zurück in den richtigen Ordner verschoben habe.
Vielen Dank für die Hilfe.

Okay, dann ist ja gut.

Kein Problem,
schönen Abend noch.