Hallo,
bin neu hier und auch unerfahren was Viren angeht.
Hab hier einen PC (gehört nicht mir), der mit 200 Viren/adawares usw. infisziert war. Neuaufsetzen nicht möglich, da die XP-CD und die Treibercd fehlt (leider ein Notebook). Die meisten Viren sind weg. internet funktioniert wieder ohne Probleme. Auch Flash-Videos usw. gehen wieder. Das waren ursprünglich die Probleme.

TR/Patched.AA.515 ist ein Virus, den ich mit Antivir nicht wegkriege. Hab lange versucht..geht nicht. Es gibt glaube ich noch einen zweiten Virus...bzw. Trojaner. Werde später nochmals scannen müssen, um sicher zu sein, dass es den noch gibt.

Hijack-Datei folgt gleich. Ich hoffe auf Hilfe --> Das genaue Vorgehen, wie ich diesen nervigen Trojaner wegkriege, mein ich damit.
Danke im Vorraus! Freue mich schon.

Kode:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:27:12, on 27.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\BroadJump\Client Foundation\CFD.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.******.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7e853d72-626a-48ec-a868-ba8d5e23e045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Programme\Megaupload\Mega Manager\MegaIEMn.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Intense Registry Service] IntEdReg.exe /CHECK
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [FreeCall] "C:\programme\freecall.com\freecall\freecall.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [java_sun] Java (Sun)
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://tdserver.bitstream.com/tdserver.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {66D393D5-4D80-497C-9F4F-F3839E090202} (PlayerOCX Control) - http://www.pysoft.com/Downloads/WebCamPlayerOCX.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (antivirscheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdauxservice) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdcoreservice) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 9218 bytes
         

Persöhnliche Meinung:
Ich erkenn irgendwie den Fehler nicht.

edit2: mist, es sind noch mehr Viren, die nicht gelöscht werden konnten. Hilfee

Wieso kann ich nicht mehr editieren?

Ich benutze gerade Malwarebytes und poste noch den Log anschliessend.

Log von antivir folgt auch noch


Ich hatte einst Antivirus XP...das scheint nun aber gelöscht zu sein.

Es sind etwa 6 Viren, die sich nicht komplett löschen lassen.

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 27. September 2008  18:07

Es wird nach 1645581 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Abgesicherter Modus mit Netzwerk Support
Benutzername:     Administrator
Computername:     PC219198828497

Versionsinformationen:
BUILD.DAT     : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  26.06.2008 08:57:49
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 13:54:15
ANTIVIR2.VDF  : 7.0.6.217    3773440 Bytes  26.09.2008 21:18:36
ANTIVIR3.VDF  : 7.0.6.218       2048 Bytes  26.09.2008 21:18:36
Engineversion : 8.1.1.35  
AEVDF.DLL     : 8.1.0.5       102772 Bytes  09.07.2008 08:38:31
AESCRIPT.DLL  : 8.1.0.76      319867 Bytes  21.09.2008 19:27:22
AESCN.DLL     : 8.1.0.23      119156 Bytes  09.09.2008 13:09:18
AERDL.DLL     : 8.1.1.2       438644 Bytes  21.09.2008 19:27:21
AEPACK.DLL    : 8.1.2.3       364918 Bytes  24.09.2008 19:23:10
AEOFFICE.DLL  : 8.1.0.25      196986 Bytes  21.09.2008 19:27:21
AEHEUR.DLL    : 8.1.0.59     1438071 Bytes  21.09.2008 19:27:20
AEHELP.DLL    : 8.1.0.15      115063 Bytes  09.07.2008 08:38:31
AEGEN.DLL     : 8.1.0.36      315764 Bytes  09.09.2008 13:09:15
AEEMU.DLL     : 8.1.0.7       430452 Bytes  09.09.2008 13:09:14
AECORE.DLL    : 8.1.1.11      172406 Bytes  09.09.2008 13:09:14
AEBB.DLL      : 8.1.0.1        53617 Bytes  24.04.2008 08:50:42
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  09.09.2008 13:09:13
AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 27. September 2008  18:07

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> 'C:\WINDOWS\Explorer.EXE'
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'explorer.exe' wird beendet
C:\WINDOWS\Explorer.EXE
    [FUND]      Ist das Trojanische Pferd TR/Patched.AA.515
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
    [HINWEIS]   Der Treiber konnte nicht initialisiert werden.
    [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.

Es wurden '21' Prozesse mit '20' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\Explorer.EXE
    [FUND]      Ist das Trojanische Pferd TR/Patched.AA.515
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.
C:\WINDOWS\Explorer.EXE
    [FUND]      Ist das Trojanische Pferd TR/Patched.AA.515
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
    [HINWEIS]   Der Treiber konnte nicht initialisiert werden.
    [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.

Die Registry wurde durchsucht ( '61' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinFixer.zip
    [FUND]      Enthält verdächtigen Code GEN/PwdZIP
    [HINWEIS]   Der Fund wurde als verdächtig eingestuft.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494c5b0f.qua' verschoben!
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP20\A0002011.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Patched.AA.515
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.
C:\WINDOWS\system32\tdssl.dll
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Small.acpi
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\system32\tdsslog.dll
    [FUND]      Ist das Trojanische Pferd TR/Injector.Light.B
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\system32\tdssmain.dll
    [FUND]      Ist das Trojanische Pferd TR/Injector.Light.C
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\system32\tdssserf.dll
    [FUND]      Ist das Trojanische Pferd TR/Dldr.FraudLoad.vbxt
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\f8b102ed.sys
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Samstag, 27. September 2008  18:58
Benötigte Zeit: 51:18 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   4963 Verzeichnisse wurden überprüft
 330730 Dateien wurden geprüft
     11 Viren bzw. unerwünschte Programme wurden gefunden
      1 Dateien wurden als verdächtig eingestuft
      6 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 330717 Dateien ohne Befall
   7286 Archive wurden durchsucht
      5 Warnungen
     11 Hinweise
         

Alle Probleme wie Antivirus XP und spywwares usw. hab ich mit Advanced WIndowsCare V2 Personal und Spyware Doctor gelöst. Ausserdem hab ich Spybot benutzt.
Mit adaware hab versucht zu scannen, doch gab es immer einen BLuescreen.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1215
Windows 5.1.2600 Service Pack 2

27.09.2008 22:10:13
mbam-log-2008-09-27 (22-10-13).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 89205
Laufzeit: 1 hour(s), 17 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 11
Infizierte Dateien: 24

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhc7dvj0elb3 (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP20\A0004018.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdss47bd.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdss48e6.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdss4a0f.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdss57c0.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdss69b1.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdss70b6.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssa2c7.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssa50a.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssa79a.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssbefa.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssc1ad.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssc2d6.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssc3f0.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssd191.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssd1b7.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssd4ae.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssd605.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdsse445.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssed1f.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssfc71.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
         

Schade...hätte gerne ne Antwort erfahren...
naja dann werd ich das selber mal studieren müssen.


Frage, die ihr mir vielleicht trotzdem beantworten könntet:

Viren etc., die in die Quarantäne geschickt worden sind. Wo genau befinden sich die? Sind die nun dort fest? Malwarebytes hat einige Viren dorthin geschickt.... darf ich nun Malwarebytes nie wieder deinstallieren? Wie sieht das aus?


PS: Die Viren tauchen immer noch auf.

Meine Meinung dazu. Kurz und knapp:

Gepatchte Systemdateien und zusaetzlich andere Malware= neuaufsetzen....

Neuaufsetzen ist erst in einem Monat oder später möglich.

oder versteh ich dich falsch?

wie sieht das wegen der Quarantäne aus? Möchte gerne das Malware deinstallieren, aber wenn die Quarantäne damit nicht mehr gewährleistet wäre, müsste ich das ja lassen.

Wenn die DAteien in Quarantaene sind, sind sie harmlos... Es wird einiges mehr an Malware auf deinem Rechner sein, als Antivir/Mbam und HijackThis dir anzeigen werden. Darum waere neu aufsetzen nicht falsch, bzw wenn du das erst in einem Monat machen kannst, dann wuerde ich in der Zeit nicht unbedingt ins Internet einwaehlen, denn dann kommt noch mehr Malware auf den Rechner...

Ja, das habe ich dem Besitzer auch empfohlen, dass ein Neuaufsetzen später essentiel ist. Aber das Internet möchte er trotzdem noch weiter benutzen. Auf alle Fälle scheinen die Viren nun nicht mehr aufzutauchen, das System läuft wieder recht schnell usw.

Also kann ich davon ausgehen, dass eine Deinstallation von Malwarebytes die Quarantäne nicht "zerstört"? Ich werde Spyware doctor und Antivir drauf lassen. Momentan befinden sich Viren in der Quarantäne von Antivir und Malwarebytes. Ich werde nochmals einen Scan machen, um zu überprüfen, dass alles sicherer ist als vorher. Online-Banking usw. finden sowieso nicht statt.
Welche Firewall ist eigentlich einem Internet-Anfänger zu empfehlen? Genügt hierfür Windows Firewall. Comodo wäre für den Besitzer zu kompliziert.

Vielen Dank im Übrigen für deine Antworten!

Na, das war noch lange nicht alles....
zu testzwecken kannst du da mal Combofix drueberjagen. Wichtig ist hier die instalation von der Wiederherstellungskonsole. Eine Anleitung dazu und zu cf findest du hier:
http://www.trojaner-board.de/59566-v...t-killbox.html

Bitte den erstellten Report posten.

Achso, alles auf eigene Gefahr natuerlich.....

hallo
Danke für diesen Hinweis.
Davor hab ich noch die VIren in der Quarantäne gelöscht und alles nochmals gescannt. Scheinbar hab ich sie nun endgültig gelöscht. Oder lieg ich da total falsch?

So sieht der Log aus von ComboFix (wiederherstellungskonsole wurde installiert)

Ist hier etwas nicht in Ordnung? Der PC wurde beim scan nicht neugestartet:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-09-27.03 - ** 2008-09-28 17:11:49.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.273 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\**\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2008-08-28 bis 2008-09-28  ))))))))))))))))))))))))))))))
.

2008-09-28 13:24 . 2008-09-28 14:14	<DIR>	d--------	C:\Programme\Spyware Doctor
2008-09-28 13:24 . 2008-09-28 13:24	<DIR>	d--------	C:\Dokumente und Einstellungen\**\Anwendungsdaten\PC Tools
2008-09-28 13:24 . 2008-06-10 21:22	81,288	--a------	C:\WINDOWS\system32\drivers\iksyssec.sys
2008-09-28 13:24 . 2008-06-02 15:19	66,952	--a------	C:\WINDOWS\system32\drivers\iksysflt.sys
2008-09-28 13:24 . 2008-06-02 15:19	42,376	--a------	C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-09-28 13:24 . 2008-06-02 15:19	29,576	--a------	C:\WINDOWS\system32\drivers\kcom.sys
2008-09-28 12:14 . 2008-09-28 12:14	23	--a------	C:\WINDOWS\MegaManager.INI
2008-09-28 11:59 . 2008-09-28 11:59	<DIR>	d--------	C:\Programme\Microsoft Silverlight
2008-09-28 00:11 . 2008-09-28 00:11	<DIR>	d--------	C:\Programme\MSBuild
2008-09-28 00:00 . 2008-09-28 12:33	<DIR>	d--------	C:\WINDOWS\system32\XPSViewer
2008-09-27 23:56 . 2008-09-27 23:56	<DIR>	d--------	C:\Programme\Reference Assemblies
2008-09-27 23:52 . 2006-06-29 13:07	14,048	---------	C:\WINDOWS\system32\spmsg2.dll
2008-09-27 22:29 . 2008-09-27 22:29	<DIR>	d--------	C:\WINDOWS\system32\de
2008-09-27 22:29 . 2008-09-27 22:29	<DIR>	d--------	C:\WINDOWS\system32\bits
2008-09-27 22:20 . 2008-09-27 22:31	<DIR>	d--------	C:\WINDOWS\ServicePackFiles
2008-09-27 21:59 . 2008-09-27 21:59	<DIR>	d--------	C:\WINDOWS\EHome
2008-09-27 20:48 . 2008-09-27 20:48	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-09-27 20:48 . 2008-09-27 20:48	<DIR>	d--------	C:\Dokumente und Einstellungen\**\Anwendungsdaten\Malwarebytes
2008-09-27 20:48 . 2008-09-27 20:48	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-27 20:48 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-27 20:48 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-09-27 18:29 . 2008-09-27 18:29	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM
2008-09-27 18:04 . 2005-02-13 11:56	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-09-27 18:04 . 2005-02-13 11:56	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-09-27 18:04 . 2005-02-13 11:56	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-09-27 18:04 . 2008-09-28 17:13	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-09-27 18:04 . 2005-02-13 11:56	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-09-27 18:04 . 2005-02-13 11:56	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-09-27 18:04 . 2005-02-13 11:56	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-09-27 18:04 . 2005-02-13 11:56	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2008-09-27 18:04 . 2005-02-13 11:56	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sonic
2008-09-27 18:04 . 2005-02-13 11:56	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-09-27 18:04 . 2008-09-27 18:29	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-09-27 18:04 . 2008-09-27 18:04	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator
2008-09-27 16:46 . 2008-09-28 17:00	<DIR>	d-a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-27 16:38 . 2008-09-28 02:58	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-27 16:13 . 2008-09-27 16:13	<DIR>	d--------	C:\Programme\Lavasoft
2008-09-27 16:13 . 2008-09-27 16:13	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-27 16:08 . 2008-09-27 16:08	0	--a------	C:\WINDOWS\nsreg.dat
2008-09-23 16:14 . 2008-07-18 22:09	29,896	--a------	C:\WINDOWS\system32\wuapi.dll.mui
2008-09-22 19:15 . 2004-08-03 22:29	25,471	---------	C:\WINDOWS\system32\drivers\watv10nt.sys
2008-09-22 19:15 . 2004-08-03 22:29	22,271	---------	C:\WINDOWS\system32\drivers\watv06nt.sys
2008-09-22 19:15 . 2004-08-03 22:29	11,935	---------	C:\WINDOWS\system32\drivers\wadv11nt.sys
2008-09-22 19:15 . 2004-08-03 22:29	11,871	---------	C:\WINDOWS\system32\drivers\wadv09nt.sys
2008-09-22 19:15 . 2004-08-03 22:29	11,807	---------	C:\WINDOWS\system32\drivers\wadv07nt.sys
2008-09-22 19:15 . 2004-08-03 22:29	11,295	---------	C:\WINDOWS\system32\drivers\wadv08nt.sys
2008-09-22 19:09 . 2004-08-04 00:38	701,952	---------	C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-09-11 18:06 . 2008-09-11 18:06	118	--a------	C:\WINDOWS\system32\MRT.INI
2008-09-11 18:05 . 2008-09-11 18:05	<DIR>	d--------	C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-09-11 17:28 . 2008-07-18 22:07	270,880	--a------	C:\WINDOWS\system32\mucltui.dll
2008-09-11 17:28 . 2008-07-18 22:07	210,976	--a------	C:\WINDOWS\system32\muweb.dll
2008-09-11 17:28 . 2008-07-18 22:07	29,728	--a------	C:\WINDOWS\system32\mucltui.dll.mui
2008-09-09 22:10 . 2008-09-09 22:10	<DIR>	d--------	C:\Programme\Sun
2008-09-09 22:09 . 2008-06-10 02:32	73,728	--a------	C:\WINDOWS\system32\javacpl.cpl
2008-09-09 21:30 . 2008-09-09 21:30	<DIR>	d--hsc---	C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-09-09 21:29 . 2008-09-09 21:31	<DIR>	d--------	C:\Programme\Windows Live
2008-09-09 21:29 . 2008-09-09 21:29	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-09-09 15:01 . 2008-09-09 15:01	<DIR>	d--------	C:\Programme\Avira
2008-09-09 15:01 . 2008-09-09 15:01	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-09 14:53 . 2008-09-24 22:34	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-09-09 14:53 . 2008-09-09 14:53	1,409	--a------	C:\WINDOWS\QTFont.for
2008-09-09 11:04 . 2008-09-27 17:14	<DIR>	d--------	C:\Programme\Enigma Software Group
2008-09-09 10:54 . 2001-08-18 04:22	12,288	--a------	C:\WINDOWS\system32\drivers\mouhid.sys
2008-09-09 10:54 . 2001-08-18 04:22	12,288	--a------	C:\WINDOWS\system32\dllcache\mouhid.sys
2008-09-09 10:54 . 2008-04-13 20:45	10,368	--a------	C:\WINDOWS\system32\drivers\hidusb.sys
2008-08-31 16:58 . 2008-06-14 19:32	273,024	---------	C:\WINDOWS\system32\drivers\bthport.sys
2008-08-31 16:58 . 2008-06-14 19:32	273,024	---------	C:\WINDOWS\system32\dllcache\bthport.sys
2008-08-31 16:56 . 2007-03-08 07:09	1,040,384	---------	C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-08-31 16:56 . 2008-06-23 18:14	459,264	---------	C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-08-31 16:56 . 2008-05-01 16:34	331,776	---------	C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-31 16:56 . 2008-06-23 18:14	267,776	---------	C:\WINDOWS\system32\dllcache\iertutil.dll
2008-08-31 16:56 . 2008-05-08 16:02	203,136	---------	C:\WINDOWS\system32\dllcache\rmcast.sys
2008-08-31 16:56 . 2008-06-23 18:14	52,224	---------	C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-08-31 16:56 . 2008-06-23 11:20	13,824	---------	C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-31 16:55 . 2008-06-23 18:14	6,066,176	---------	C:\WINDOWS\system32\dllcache\ieframe.dll
2008-08-31 16:55 . 2007-04-17 11:32	2,455,488	---------	C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-08-31 16:55 . 2008-04-11 21:04	691,712	---------	C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-31 16:55 . 2008-06-23 18:14	383,488	---------	C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-08-31 16:55 . 2008-06-23 18:14	63,488	---------	C:\WINDOWS\system32\dllcache\icardie.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-28 12:13	---------	d-----w	C:\Programme\Google
2008-09-28 10:15	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-09-09 20:09	---------	d-----w	C:\Programme\Java
2008-08-31 17:05	---------	d-----w	C:\Dokumente und Einstellungen\**\Anwendungsdaten\AdobeUM
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-07 20:26	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-07-07 20:26	253,952	------w	C:\WINDOWS\system32\dllcache\es.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-08 159744]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-04-07 4730880]
"Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2004-03-01 200766]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"UpdateManager"="C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]
"eabconfg.cpl"="C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-08-19 290816]
"BJCFD"="C:\Programme\BroadJump\Client Foundation\CFD.exe" [2002-12-16 376912]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-04-04 155648]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 C:\WINDOWS\AGRSMMSG.exe]
"nwiz"="nwiz.exe" [2004-04-07 C:\WINDOWS\system32\nwiz.exe]
"Intense Registry Service"="IntEdReg.exe" [2003-01-03 C:\WINDOWS\system32\intedreg.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2007-03-01 19:11 4670968 C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

S1 f8b102ed;f8b102ed;C:\WINDOWS\system32\drivers\f8b102ed.sys [ ]

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-FreeCall - C:\programme\freecall.com\freecall\freecall.exe
MSConfigStartUp-smrhc7dvj0elb3 - C:\Programme\rhc7dvj0elb3\rhc7dvj0elb3.exe


.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
R0 -: HKCU-Main,Start Page = hxxp://www.**.com/
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore

O16 -: {66D393D5-4D80-497C-9F4F-F3839E090202} - hxxp://www.pysoft.com/Downloads/WebCamPlayerOCX.cab
C:\WINDOWS\Downloaded Program Files\WebCamPlayerOCX.inf
C:\WINDOWS\Downloaded Program Files\GSM_codec.dll
C:\WINDOWS\Downloaded Program Files\WebCamPlayerOCX.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-28 17:14:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe????????????????P??|?????? ???B???????????????B???????? 

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-28 17:16:43
ComboFix-quarantined-files.txt  2008-09-28 15:16:24

Vor Suchlauf: 14 Verzeichnis(se), 23'117'148'160 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 23,157,149,696 Bytes frei

183	--- E O F ---	2008-09-23 15:04:21
         

Das sieht mehr oder minder normal aus, die Explorer.exe wurde anscheinend durch entsprechende Orginale ersetzt. Suche im Ordner system32 bitte nach pni.dll.

Kontrollscans mit Drweb CureIT und einem Onlinescan mit Kaspersky koennen nicht schaden....

Wie gesagt der Zustrand ist aber immer noch nicht so wie er sein sollte. Onlinebanking wuerde ich nicht mit diesem PC betreiben wollen....

Ich werde die Scans durchführen!

eine pni.dll wurde nicht gefunden. (Existiert nicht) Was ist damit genau?

und woran erkennst du, dass explorer.exe ersetzt worden ist? Meinst du jetzt den Log von Malwire? Tatsächlich kam der Virus meistens in Kombination mit Explorer zum Vorschein (nicht immer)

Die Datei wird haeufig durch die gepatchten Systemdateien geladen...

Ist das nun ein schlechtes Zeichen, wenn ich diese Datei nicht besitze?

Die beiden Scans sind am Laufen...aber sieht nicht aus, als würden sie was finden. (natürlich lasse ich es noch bis zum Schluss laufen!)

Nein, das ist gut.

Anscheinend hab ich doch noch Viren

und zwar in C:\System Volume Information\...

und zwar: Trojan.Win32.Patched.cx
Trojan.Starter.384 (von dr. web...die anderen scheint er nicht zu finden)


Anderswo sonst nirgends ausser dass Kapersky überall anzeigt, dass einige Dateien gesperrt worden sind (Das Objekt ist gesperrt)


Kapersky: (nicht reparierbar, da nur durchsucht wird...)

Code: Alles auswählenAufklappen

ATTFilter

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER  
Sonntag, 28. September 2008 21:38:29
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 28/09/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1268308
 
 
Scan-Einstellungen 
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte 
Archive untersuchen ja 
Mail-Datenbanken untersuchen ja 
 
Untersuchungsobjekt Arbeitsplatz 
C:\
D:\  
 
Untersuchungsergebnisse 
Untersuchte Objekte insgesamt 61410 
Viren gefunden 2 
Infizierte Objekte gefunden 14 
Verdächtige Objekte gefunden 0 
Untersuchungszeit 02:40:35 

Name des infizierten Objekts Virusname Letzte Aktion 
C:\Dokumente und Einstellungen\**\Cookies\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\**\DoctorWeb\CureIt.log  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Verlauf\History.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\**\NTUSER.DAT  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\**\ntuser.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  Das Objekt ist gesperrt  übersprungen  
 
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0007663.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  
 
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0007685.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  
 
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0007962.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  
 
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0008837.sys  Infizierte Objekte: Hoax.Win32.Agent.fu  übersprungen  
 
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0008847.dll  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  
 
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0008891.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  
 
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0008917.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  
 
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0008927.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  
 
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP23\A0009034.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  
 
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP30\change.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\$NtServicePackUninstall$\lsass.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  
 
C:\WINDOWS\$NtServicePackUninstall$\services.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  
 
C:\WINDOWS\$NtServicePackUninstall$\spoolsv.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  
 
C:\WINDOWS\$NtServicePackUninstall$\svchost.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  
 
C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe  Infizierte Objekte: Trojan.Win32.Patched.cx  übersprungen  
 
C:\WINDOWS\Debug\PASSWD.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\SchedLgU.Txt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\Sti_Trace.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\CatRoot2\edb.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\CatRoot2\tmp.edb  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\AppEvent.Evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\default  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\default.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\Internet.evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SAM  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SAM.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SecEvent.Evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SECURITY  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SECURITY.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\software  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\software.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SysEvent.Evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\system  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\system.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\h323log.txt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\wiadebug.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\wiaservc.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\WindowsUpdate.log  Das Objekt ist gesperrt  übersprungen  
 
Die Untersuchung wurde abgeschlossen.
         

Dr. Web folgt
Mit dem Dr. Web versuch ich diese Trojan.Starter.384 Viren zu löschen. Eieiei seltsam, dass alle andere Tests diese nicht bemerkt haben.