Guten Morgen!

Ich bin neu hier und gebe mir Mühe, euren Anforderungen gerecht zu werden. Allerdings ist es schwierig, sich in diesem Dschungel zurecht zu finden. Das liegt natürlich nicht an euch, denn diese Webseite ist sehr gut gelungen und ihr versucht, diese komplizierten Abläufe einfach darzustellen.

Nein, es liegt wohl an mir! Ich war zunächst äußerst hektisch, als mich zum erstenmal in diesem Leben ein Trojaner erwischte:

Virus Total findet ihn mit folgenden Programmen unter folgenden Namen:

BitDefender und GData: Trojan.Silentbanker.E
F-Secure: Trojan.Win32.Agentaflz
Fortinet: Virus.W32/Agent.AFLZ!tr
Ikarus: Virus.Trojan.Win32.Agent.aflz
Kaspersky: Trojan.Win32.Agent.aflz
Micrisoft: PWS:Win32/Yaludle.APrevxl: Banking Info Stealer
SecurWebGateway: Trojan.PSW.LooksLike.Yaludie
Sophos: Mal/Generic-A

Gefunden wurde er von mir bei Antivir:

In der Datei 'C:\WINDOWS\system32\6829279361.CPX'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.aflz' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Löschen mit Antivir klappte nicht-, der Trojaner tauchte ständig wieder auf und meldete mit Piepsen jeweils 8fach einen Fund in der o.a. cpx-Datei. Und dann tat ich etwas, vor dem ihr warnt (hab ich erst hinterher gelesen) und habe etliche Malwareprogramme durchlaufen lassen.

Malwarebytes´Antimalware hat den Virus dann gefunden und die Löschung scheint funktioniert zu haben, denn Antivir findet ihn nicht mehr!

Bin ich jetzt sicher? Ist noch etwas zu tun! Ich will nicht das ganze System crashen!?

Im Übrigen benutze ich keine gecrackte Software!!!

Hijack - Logfile lässt sich nicht hochladen, daher poste ich sie so:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:15:40, on 07.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fujitsu-siemens.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: 85.214.81.70 l2authd.lineage2.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.de
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5615 bytes

Der Virus wurde im Übrigen schon hier gepostet. Da der Post nicht viel hergab und weder den Hijack.log noch andere Hinweise enthielt und ich keine Antwort in dem Thread verfassen kann, habe ich einen neuen Thread gepostet.

Auch andere Internetseiten weisen auf die verschiedene Funde dieses Trojaners in den letzten Tagen vermehrt hin! Es scheint ein aggressives Kerlchen zu sein!

http://www.trojaner-board.de/61364-t...gent-aflz.html
http://www.trojaner-board.de/61407-s...ifizieren.html
http://www.trojaner-board.de/60550-s...r-ist-tot.html
http://www.trojaner-board.de/60918-s...ys-values.html

Neue Logdatei nach Entfernen der Malware: :aplaus:


ähem:

Der kleine Mistkerl hat sich zurückgemeldet!

Fund durch Antivir - Malwarebytes´Antimalware findet ihn nicht mehr!

Erste Maßnahme: Alle Konten - Pins über anderen Rechner geändert!

Jetzt gehts los: Ich werde, sofern keine andere Anweisung kommt, mit der Windows - CD booten und zunächst den Bootsektor neu schreiben lassen!

Mal sehen, was es hilft, ich komme dann neu!

Wo genau hat Antivir den silentbanker gemeldet?

In der Datei 'C:\WINDOWS\system32\6829279361.CPX'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.aflz' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Auf welchen Seiten bist du gesurft, nachdem Mbam den silentbanker gekillt hat?

Nutz bitte einmal Combofix:

Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

Zitat:

Zitat von raman

Auf welchen Seiten bist du gesurft, nachdem Mbam den silentbanker gekillt hat?

www.trojaner-board.de
www.clan-rotn.de
www.google.de
www.chip.de

Ich habe gerademittels Kommando "fixmbr" den BootSektor (Sektor 0) neu geschrieben, lasse noch einmal Antivir und Malwarebytes´Anti-Malware durchlaufen, schaue, ob der Virus nach dem letzten löschen wieder auftaucht (wenn nicht könnte er ja im BootSektor gesessen haben)!

Danach führe ich wie vorgeschlagen Combofix durch und sage jetzt schon einmal danke für die Mühe! Ich melde mich nach Vollzug wieder!

Nach dem Reinigen des BootSektors (Sektor 0) wurde keine Virensoftware gefunden.

Ich habe jetzt Combofix durchlaufen lassen.

Das Log ist beigefügt!

Allerdings identifiziert Antivir nun Combofix als Virus:

Die Datei 'C:\Dokumente und Einstellungen\Bernie\Desktop\ComboFix.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49584a33.qua' verschoben!

Hier die Log Daten:

ComboFix 08-10-06.05 - Bernie 2008-10-07 13:28:04.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.679 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Bernie\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-07 bis 2008-10-07 ))))))))))))))))))))))))))))))
.

2008-10-07 08:53 . 2008-10-07 08:53 <DIR> d-------- C:\Programme\Trend Micro
2008-10-06 22:48 . 2008-10-06 22:49 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-06 22:48 . 2008-10-06 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Malwarebytes
2008-10-06 22:48 . 2008-10-06 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-06 22:48 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-06 22:48 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-06 21:19 . 2008-10-06 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Windows Search
2008-10-06 15:27 . 2008-10-06 15:27 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-10-06 15:27 . 2008-10-06 15:27 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-10-06 15:27 . 2008-10-06 15:27 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Windows Desktop Search
2008-10-06 15:25 . 2008-03-07 19:02 192,000 --------- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-10-06 15:25 . 2008-03-07 19:02 98,304 --------- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-10-06 15:25 . 2008-03-07 19:02 29,696 --------- C:\WINDOWS\system32\dllcache\mimefilt.dll
2008-10-06 15:13 . 2008-10-06 15:13 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-09-25 19:58 . 2008-09-25 19:58 352 --a------ C:\WINDOWS\system32\121.CPX
2008-09-24 19:34 . 2008-09-24 19:34 139,264 --a------ C:\Dokumente und Einstellungen\Bernie\77tgx.exe
2008-09-20 11:14 . 2008-09-20 11:14 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\FinalBurner .ISO

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-07 10:43 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-07 08:33 --------- d-----w C:\Programme\audiograbber
2008-10-06 19:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-06 18:31 --------- d-----w C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\OpenOffice.org2
2008-10-06 18:23 --------- d-----w C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\teamspeak2
2008-10-06 18:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-06 17:10 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-20 09:32 --------- d-----w C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\FinalBurner DATA
2008-09-05 21:31 267,304 ------w C:\WINDOWS\system32\dllcache\wgaLogon.dll
2008-09-05 21:30 952,360 ------w C:\WINDOWS\system32\dllcache\WgaTray.exe
2008-08-19 18:46 --------- d-----w C:\Programme\Lavasoft
2008-08-19 18:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:26 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2007-02-02 08:38 6,936 -c--a-w C:\Programme\pad_file.htm
2007-02-02 08:38 25,993 -c--a-w C:\Programme\pad_file.xml
2006-10-11 08:04 67,700 ----a-w C:\Programme\xpicleanup.exe
2008-05-08 09:22 32,768 -csha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050820080509\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 7630848]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"nwiz"="nwiz.exe" [2006-08-11 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 1294336]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"FoFileAssociate"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= 6829279361.CPX

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\FRITZ!DSL\\StCenter.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"=
"C:\\Programme\\7-Zip\\7zFM.exe"=
"C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\lotrbfme.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8088:UDP"= 8088:UDP:SUM

R2 IGDCTRL;AVM IGD CTRL Service;C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2006-11-07 14976]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [ ]
S3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2007-03-06 419096]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aa65ef64-43f7-11dc-8d7c-00040e7b6406}]
\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d0a81e66-d6e6-11db-8b82-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Mozilla\Firefox\Profiles\y4q02os1.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-07 13:29:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-07 13:30:00
ComboFix-quarantined-files.txt 2008-10-07 11:29:58

Vor Suchlauf: 12 Verzeichnis(se), 136.944.312.320 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 136,938,602,496 Bytes frei

132 --- E O F --- 2008-09-10 15:28:13

Ich mach mir gleich ins Höschen!

Jetzt zeigt mir Antivir auch noch die hier:

Die Datei 'C:\System Volume Information\_restore{BF3949A7-2CFF-4A3C-8D34-7052B02BAAE3}\RP2\A0000022.exe'
enthielt einen Virus oder unerwünschtes Programm 'SPR/Tool.Hide.A' [riskware].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b503a.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{BF3949A7-2CFF-4A3C-8D34-7052B02BAAE3}\RP2\A0000030.com'
enthielt einen Virus oder unerwünschtes Programm 'APPL/NirCmd.E.2.B' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b503b.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{BF3949A7-2CFF-4A3C-8D34-7052B02BAAE3}\RP2\A0000046.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b5041.qua' verschoben!

Die Datei 'C:\WINDOWS\NIRCMD.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/NirCmd.E.2.B' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493d5061.qua' verschoben!

Oder sind das Dateien von Combofix, die nur für Viren gehalten werden? Bitte, lass es so sein!

Ja, da motzt Avira Combofix an. Das kannst du ignorieren.

Teste bitte folgendes bei Virustotal.com und poste den Link zu dem Ergebniss:

C:\Dokumente und Einstellungen\Bernie\77tgx.exe


Schau dir mal den Inhalt dieser Datei mit Notepad an:
C:\WINDOWS\system32\121.CPX

Notepad habe ich nicht! Wordpad zeigt jenes:

***

Ich habe außerdem die Dateien:
- 77tgx.exe
- 121.CPX
an www.Virustotal/com/de geschickt. Ergebnis:

1. 121.CPX

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.3.2 2008.10.07 -
AntiVir 7.8.1.34 2008.10.07 -
Authentium 5.1.0.4 2008.10.07 -
Avast 4.8.1248.0 2008.10.07 -
AVG 8.0.0.161 2008.10.07 -
BitDefender 7.2 2008.10.07 -
CAT-QuickHeal 9.50 2008.10.07 -
ClamAV 0.93.1 2008.10.07 -
DrWeb 4.44.0.09170 2008.10.07 -
eSafe 7.0.17.0 2008.10.07 -
eTrust-Vet 31.6.6133 2008.10.07 -
Ewido 4.0 2008.10.07 -
F-Prot 4.4.4.56 2008.10.06 -
Fortinet 3.113.0.0 2008.10.07 -
GData 19 2008.10.07 -
Ikarus T3.1.1.34.0 2008.10.07 -
K7AntiVirus 7.10.487 2008.10.07 -
Kaspersky 7.0.0.125 2008.10.07 -
McAfee 5399 2008.10.07 -
Microsoft 1.4005 2008.10.07 -
NOD32 3501 2008.10.07 -
Norman 5.80.02 2008.10.06 -
Panda 9.0.0.4 2008.10.07 -
PCTools 4.4.2.0 2008.10.07 -
Rising 20.65.12.00 2008.10.07 -
SecureWeb-Gateway 6.7.6 2008.10.07 -
Sophos 4.34.0 2008.10.07 -
Sunbelt 3.1.1708.1 2008.10.07 -
Symantec 10 2008.10.07 -
TheHacker 6.3.1.0.102 2008.10.07 -
TrendMicro 8.700.0.1004 2008.10.07 -
VBA32 3.12.8.6 2008.10.07 -
ViRobot 2008.10.7.1410 2008.10.07 -
VirusBuster 4.5.11.0 2008.10.07 -
weitere Informationen
File size: 352 bytes
MD5...: cb6fbc6bf5df8db808f5216a9c3446a3
SHA1..: db0ad6eb53889e9d9d46a122ac7cea171d589b9d
SHA256: 60356c48ee3c9c8afc23a5371d84fc9b47fdc864e31388f1c0354d369d19ed73
SHA512: 9472d846c23e4fd2fa39d31f2ce00a31996d221100fbc58dc13a69e786baddef
75930cd74cb735576b8c73500992c9a929e82cd06250ccaa9600cc2bf8cb791c
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

2. 77tgx.exe war dann der Treffer!

Datei 77tgx.exe empfangen 2008.10.07 19:05:07 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 5/35 (14.29%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 53 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.3.2 2008.10.07 -
AntiVir 7.8.1.34 2008.10.07 -
Authentium 5.1.0.4 2008.10.07 -
Avast 4.8.1248.0 2008.10.07 -
AVG 8.0.0.161 2008.10.07 -
BitDefender 7.2 2008.10.07 Trojan.Silentbanker.E
CAT-QuickHeal 9.50 2008.10.07 -
ClamAV 0.93.1 2008.10.07 -
DrWeb 4.44.0.09170 2008.10.07 -
eSafe 7.0.17.0 2008.10.07 -
eTrust-Vet 31.6.6133 2008.10.07 -
Ewido 4.0 2008.10.07 Backdoor.Agent.syr
F-Prot 4.4.4.56 2008.10.06 -
Fortinet 3.113.0.0 2008.10.07 -
GData 19 2008.10.07 Trojan.Silentbanker.E
Ikarus T3.1.1.34.0 2008.10.07 -
K7AntiVirus 7.10.487 2008.10.07 -
Kaspersky 7.0.0.125 2008.10.07 -
McAfee 5399 2008.10.07 -
Microsoft 1.4005 2008.10.07 PWS:Win32/Yaludle.A
NOD32 3501 2008.10.07 -
Norman 5.80.02 2008.10.06 -
Panda 9.0.0.4 2008.10.07 -
PCTools 4.4.2.0 2008.10.07 -
Prevx1 V2 2008.10.07 -
Rising 20.65.12.00 2008.10.07 -
SecureWeb-Gateway 6.7.6 2008.10.07 Trojan.PSW.LooksLike.Yaludle
Sophos 4.34.0 2008.10.07 -
Sunbelt 3.1.1708.1 2008.10.07 -
Symantec 10 2008.10.07 -
TheHacker 6.3.1.0.102 2008.10.07 -
TrendMicro 8.700.0.1004 2008.10.07 -
VBA32 3.12.8.6 2008.10.07 -
ViRobot 2008.10.7.1410 2008.10.07 -
VirusBuster 4.5.11.0 2008.10.07 -
weitere Informationen
File size: 139264 bytes
MD5...: e0d9147e8bdf54cf4adfa3746e70e9cc
SHA1..: 46f8b1dc03a3431006f422913942be446bdf402c
SHA256: f0a0607476b5b01a3d9fd00a5cfa294ba885552688bf5dfdab4fc7f0e97938b6
SHA512: 9356e577805b09be560d373f88df49b61583b5a471783e600a2f3f92421ae814
6833b8f4d3084e71141708bb170448a3caaed30ee85a2b046d1051a9cf3abf4a
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40163f
timedatestamp.....: 0x48d7fcd8 (Mon Sep 22 20:15:20 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2e8e 0x3000 6.49 71a2668f669768de3d3398f0160d286e
.rdata 0x4000 0x7ce 0x1000 3.19 209a001e703077d592b416f1d6980d85
.data 0x5000 0x1cd3c 0x1d000 7.93 f50a4a0c93952d762195beb3c4093b4a

( 1 imports )
> KERNEL32.dll: VirtualProtect, lstrlenA, VirtualFree, GetProcAddress, LoadLibraryA, GetModuleHandleA, VirtualAlloc, CloseHandle, WriteFile, SetFilePointer, CreateFileA, lstrcpynA, lstrcatA, GetModuleFileNameA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, HeapFree, RtlUnwind, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, HeapReAlloc, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW

( 0 exports )

WAS SOLL ICH TUN? DEN KERL LÖSCHEN?

Ja, loesch die beiden Dateien... mache einen KOmplettscan mit Antivir und ein Onlinescan mit Bitdefender: http://www.bitdefender.de/scan_de/scan8/ie.html

Antivir findet nichts mehr!

Und Bitdefender findet auch nichts!

Ist jetzt wirklich alles weg? Das wäre sooooooo ..... S U P E R !!!

Der Silentbanker scheint zumindest weg zu sein

Vielen herzlichen Dank für deine Hilfe!

Das war riesig!

Ich wünschte ich könnte mich revanchieren!