Okay, Versuch Nummer2. Sorry, wusste nicht, dass der Titel unangebracht ist.
Also nochmal, Norton Security Scan hat folgende 3 Ergebnisse geliefert.

W32.IRCbot.Gen
Trojan.LowZones
Trojan.Vundo

ich hab hier zwar zu Trojan.LowZones schon Ergebnisse gefunden, aber die Sachen, die man da tun soll, versteh ich nicht wirklich..

Ich hab mir nun grade HijackThis geladen und hier das Ergebnis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:49:36, on 26.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\COMODO\SafeSurf\cssurf.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Vestel\Vestel Mobile Utilities\On Screen Display\OSD.EXE
C:\Program Files\RALINK\Common\RaUI.exe
C:\Windows\service.exe
C:\Program Files\Miranda IM\miranda32.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Norton Security Scan\Nss.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O1 - Hosts: ::1 localhost
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {C5342A05-B31C-4ACF-BCD7-323639F8955D} - C:\Windows\system32\fccYooLB.dll (file missing)
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [IaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Messenger Service] service.exe
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\fccbYSmn.dll,#1
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: On Screen Display.lnk = ?
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EE01584-06CF-402C-A5D4-0A941CF88137}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll C:\Windows\system32\cssdll32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro\o2flash.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 7141 bytes


Betriebssystem: Vista

hab nun auch schon Anti-Spy und Spyware Doctor probiert, die die Viren ebenfalls erkannten, sie jedoch nach Freischaltung also Kauf des Produktes entfernen :/


Hoffe der Beitrag ist diesmal in Ordnung.

Lg

Hi,

sieht ziemlich übel aus, könnte ein sharK Server sein.
Bitte analysiere die folgenden Dateien:


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\service.exe
C:\Windows\system32\fccbYSmn.dll
C:\Windows\system32\guard32.dll
C:\Windows\system32\cssdll32.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

okay, hier die ergebnisse von virustotal:

Datei service.exe empfangen 2008.10.26 00:48:59 (CET)
Status: Beendet
Ergebnis: 9/36 (25.00%)
Filter
Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Agent.49714
Authentium - - -
Avast - - -
AVG - - Agent.AHHC
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - Trojan.Win32.Agent.aitp
Fortinet - - -
GData - - -
Ikarus - - VirTool.Win32.Injector.b
K7AntiVirus - - -
Kaspersky - - Trojan.Win32.Agent.aitp
McAfee - - -
Microsoft - - VirTool:Win32/Injector.gen!B
NOD32 - - a variant of Win32/Injector.EF
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - Suspicious
Rising - - -
SecureWeb-Gateway - - Trojan.Agent.49714
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
weitere Informationen
MD5: 2da9393ed0ef7b61a02b965d8d983747
SHA1: 3495e1c8d3ee2cbdaee8f2654298b01dba61af56
SHA256: adb9eec5dcd53167173dc873d11b059c49283e4ebaabfb5af9cad11cfcb4ae1f
SHA512: 764a77bdaaab775e19069421d4fbaa86183222a5f9de8cc3cc511f4d2caf535c8d1c699c6bcb7472966609fc43793c27cb52234ab2745c49c4a781ed50343e38



C:\Windows\system32\fccbYSmn.dll wird nicht gefunden


Datei guard32.dll empfangen 2008.10.24 01:44:41 (CET)
Status: Beendet
Ergebnis: 0/36 (0.00%)
Filter
Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.22.0 2008.10.23 -
AntiVir 7.9.0.5 2008.10.23 -
Authentium 5.1.0.4 2008.10.23 -
Avast 4.8.1248.0 2008.10.23 -
AVG 8.0.0.161 2008.10.23 -
BitDefender 7.2 2008.10.24 -
CAT-QuickHeal 9.50 2008.10.23 -
ClamAV 0.93.1 2008.10.24 -
DrWeb 4.44.0.09170 2008.10.24 -
eSafe 7.0.17.0 2008.10.23 -
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.23 -
F-Prot 4.4.4.56 2008.10.23 -
F-Secure 8.0.14332.0 2008.10.23 -
Fortinet 3.113.0.0 2008.10.23 -
GData 19 2008.10.24 -
Ikarus T3.1.1.44.0 2008.10.24 -
K7AntiVirus 7.10.505 2008.10.23 -
Kaspersky 7.0.0.125 2008.10.24 -
McAfee 5413 2008.10.23 -
Microsoft 1.4005 2008.10.24 -
NOD32 3550 2008.10.23 -
Norman 5.80.02 2008.10.23 -
Panda 9.0.0.4 2008.10.23 -
PCTools 4.4.2.0 2008.10.23 -
Prevx1 V2 2008.10.24 -
Rising 21.00.32.00 2008.10.23 -
SecureWeb-Gateway 6.7.6 2008.10.23 -
Sophos 4.34.0 2008.10.24 -
Sunbelt 3.1.1749.1 2008.10.23 -
Symantec 10 2008.10.24 -
TheHacker 6.3.1.0.126 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.23 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.23.1434 2008.10.23 -
VirusBuster 4.5.11.0 2008.10.23 -
weitere Informationen
File size: 143104 bytes
MD5...: d5082666bbf335b39a2b2fbba78b4bff
SHA1..: 92ff8b895f6a6177816cd8973d21503e0d5f8527
SHA256: ab35eb52621008abd6005a500b0c3c23ecb066d1b509fed2a03d0b4616b5e00c
SHA512: 322b47bff8e9788455b4d09c35cd82f185731ded3da7de6b948b62a8819435e8
880d1e105bf7bb71a7de9a22373bdc4cebcdb0630c0e3fbc2643aeb465c29b92
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000a166
timedatestamp.....: 0x4832858f (Tue May 20 08:02:23 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1368a 0x14000 6.41 8e63a8a234ec4fea7400c1e7e06f7260
.rdata 0x15000 0x63be 0x7000 4.42 442ce159eb81cab19b132aa665da3d4c
.data 0x1c000 0x2edc 0x2000 1.46 4001de9f67b36e383d523a445b2e3247
.rsrc 0x1f000 0x2b0 0x1000 0.74 5cb4eb3f37cc37e208a523cc5321f6fe
.reloc 0x20000 0x2654 0x3000 4.48 70859b8d85e0bca5ffb22fdecceca724

( 5 imports )
> KERNEL32.dll: GetCurrentProcess, LocalAlloc, GetLastError, LocalFree, GetModuleHandleW, FlushFileBuffers, CreateFileA, GetModuleFileNameW, CloseHandle, GetCurrentProcessId, GetCurrentThread, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, WriteConsoleW, GetConsoleOutputCP, FreeLibrary, GetProcAddress, LoadLibraryA, VirtualQuery, SetLastError, GetModuleHandleA, VirtualProtect, VirtualAlloc, InterlockedCompareExchange, GetCurrentThreadId, ResumeThread, FlushInstructionCache, GetThreadContext, SetThreadContext, SuspendThread, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RaiseException, ExitProcess, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, InterlockedDecrement, Sleep, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, RtlUnwind, HeapSize, LeaveCriticalSection, EnterCriticalSection, HeapReAlloc, WriteFile, SetFilePointer, GetConsoleCP, GetConsoleMode, GetCPInfo, GetACP, GetOEMCP, MultiByteToWideChar, InitializeCriticalSection, SetStdHandle, WriteConsoleA
> USER32.dll: GetWindowThreadProcessId, WindowFromDC
> ole32.dll: StringFromCLSID, CoTaskMemFree, ProgIDFromCLSID
> ADVAPI32.dll: GetTokenInformation, OpenProcessToken, EqualSid
> ntdll.dll: NtQueryInformationThread, NtQueryInformationProcess, wcsncpy, NtQuerySystemInformation, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, RtlCopyUnicodeString, RtlEqualUnicodeString, NtQueryObject, _wcsnicmp

( 0 exports )


und der letzte :

Datei cssdll32.dll empfangen 2008.10.24 15:20:31 (CET)
Status: Beendet
Ergebnis: 0/35 (0.00%)
Filter
Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.24.3 2008.10.24 -
AntiVir 7.9.0.7 2008.10.24 -
Authentium 5.1.0.4 2008.10.24 -
Avast 4.8.1248.0 2008.10.24 -
AVG 8.0.0.161 2008.10.24 -
BitDefender 7.2 2008.10.24 -
CAT-QuickHeal 9.50 2008.10.24 -
ClamAV 0.93.1 2008.10.24 -
DrWeb 4.44.0.09170 2008.10.24 -
eSafe 7.0.17.0 2008.10.23 -
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.24 -
F-Prot 4.4.4.56 2008.10.24 -
F-Secure 8.0.14332.0 2008.10.24 -
Fortinet 3.113.0.0 2008.10.24 -
GData 19 2008.10.24 -
Ikarus T3.1.1.44.0 2008.10.24 -
K7AntiVirus 7.10.506 2008.10.24 -
Kaspersky 7.0.0.125 2008.10.24 -
McAfee 5414 2008.10.24 -
Microsoft 1.4005 2008.10.24 -
NOD32 3551 2008.10.24 -
Norman 5.80.02 2008.10.23 -
Panda 9.0.0.4 2008.10.24 -
PCTools 4.4.2.0 2008.10.24 -
Rising 21.00.42.00 2008.10.24 -
SecureWeb-Gateway 6.7.6 2008.10.24 -
Sophos 4.34.0 2008.10.24 -
Sunbelt 3.1.1749.1 2008.10.23 -
Symantec 10 2008.10.24 -
TheHacker 6.3.1.0.126 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.24 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.24.1436 2008.10.24 -
VirusBuster 4.5.11.0 2008.10.23 -
weitere Informationen
File size: 249592 bytes
MD5...: 19699febe71ed8919d9a3169a107265a
SHA1..: e7fa62051b4299c294a65d16bc29a1f604d6b0b9
SHA256: 55bb3124fbea8a6a3363e4028d1b05b52a5b1346df983e8d2c4dcd4577e5fabb
SHA512: c0f71e7ec77b4c724ceb43b7d45ab94f4134147a6ea057215ddc22bcc9772d80
6d5d86f5fc9707f36e6d912c47381b160b14940bd1f898c8a83651bc86dac237
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000290c
timedatestamp.....: 0x483ed63f (Thu May 29 16:13:51 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9c37 0xa000 6.53 181fac4c1bc3ba7bb9de89409d41a26b
.rdata 0xb000 0x3ff4 0x4000 5.43 37b2a910ea59f40b855cc69494508707
.data 0xf000 0x1cdc 0x1000 2.28 709418b1cf5d0a3c7389200f8e8d3df6
.rsrc 0x11000 0x29454 0x2a000 7.08 c630efd593c3248935f388cba840322e
.reloc 0x3b000 0x1ec0 0x2000 4.77 2227d2617cfad5a5655acf5aff9cc2cd

( 7 imports )
> ntdll.dll: RtlUnwind, ZwOpenKey, RtlImageNtHeader, ZwClose, ZwQueryValueKey, wcsstr, RtlImageDirectoryEntryToData, _wcslwr, RtlInitUnicodeString
> SHLWAPI.dll: PathFindFileNameA, wnsprintfA
> VERSION.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> KERNEL32.dll: LCMapStringA, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, ExitProcess, GetCurrentThread, VirtualFree, GetModuleFileNameW, VirtualAlloc, LoadLibraryA, GetModuleFileNameA, GetModuleHandleA, GetCurrentThreadId, CloseHandle, GetCurrentProcessId, CreateThread, VirtualQuery, LCMapStringW, InterlockedCompareExchange, ResumeThread, FlushInstructionCache, GetCurrentProcess, GetThreadContext, SetThreadContext, GetLastError, SuspendThread, SetLastError, MultiByteToWideChar, HeapSize, GetOEMCP, GetACP, GetCPInfo, WriteFile, InitializeCriticalSection, RaiseException, GetSystemTimeAsFileTime, GetTickCount, QueryPerformanceCounter, VirtualProtect, HeapFree, GetEnvironmentStringsW, WideCharToMultiByte, FreeEnvironmentStringsW, GetCommandLineA, GetVersionExA, HeapAlloc, GetProcessHeap, HeapDestroy, HeapCreate, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, HeapReAlloc, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetProcAddress, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, InterlockedDecrement, Sleep, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings
> USER32.dll: PostQuitMessage, SendMessageA, SetWindowLongA, MessageBoxA, SetCursor, GetDlgItem, PostMessageA, SetWindowTextA, LoadImageA, CallWindowProcA, LoadCursorA, GetWindowLongA, DialogBoxParamA
> GDI32.dll: CreateFontA, SetBkMode, GetStockObject, SetTextColor
> SHELL32.dll: SHGetFileInfoA

( 0 exports )


hoffe das war alles, was benötigt wird erstmal.. danke im voraus

Ich würde dir ein Neuaufsetzen raten, da die service.exe garantiert was Übles ist.
Zur weiteren Analyse die zwei Punkte durcharbeiten:

1.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung und poste das Logfile

2.)
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

So MalwareBytes Anti-Malware scannt grade, ich poste das ergebnis sobald es fertig ist..

kurze zwischenfrage wegen dem neuaufsetzen, brauch ich dafür meine vista cd?weil das eine größere suchaktion wird, glaube ich.
und wenn ich wirklich neuinstalliere und meine daten sichere, kann es dann sein dass ich den virus beispielsweise durch irgendeinen ordner mitbrenne und wieder bekomme?

Neuaufsetzen eigentlich nur zur 100% Sicherheit. Wir können es auch ohne versuchen, ohne Gewähr.

Zitat:

und wenn ich wirklich neuinstalliere und meine daten sichere, kann es dann sein dass ich den virus beispielsweise durch irgendeinen ordner mitbrenne und wieder bekomme?

Nur, wenn du Programme bzw. ausführbare Dateien mitsicherst und die dann wieder aktiviert werden.

das dauerte nun ewig..hier die ersten ergebnisse

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1324
Windows 6.0.6001 Service Pack 1

26.10.2008 22:54:01
mbam-log-2008-10-26 (22-53-46).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 132887
Laufzeit: 1 hour(s), 43 minute(s), 0 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 20

Infizierte Speicherprozesse:
C:\Windows\service.exe (Backdoor.Bot) -> No action taken.

Infizierte Speichermodule:
C:\Windows\System32\iifefEtU.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\vtULcYRI.dll (Trojan.vundo) -> No action taken.
C:\Windows\System32\vtUnnooo.dll (Trojan.vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{e9349597-6e81-47f3-b05d-469763764fb7} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{dd153fdb-e2fb-40d2-8e36-f21c36b51dad} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{99c158b9-fa74-4e49-971e-708f37b235d7} (Trojan.vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{e9349597-6e81-47f3-b05d-469763764fb7} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{dd153fdb-e2fb-40d2-8e36-f21c36b51dad} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{99c158b9-fa74-4e49-971e-708f37b235d7} (Trojan.vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Theresa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3YGYDZ69\cntr[1] (Trojan.Vundo) -> No action taken.
C:\Users\Theresa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3YGYDZ69\cntr[2] (Trojan.Vundo) -> No action taken.
C:\Users\Theresa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3YGYDZ69\cntr[3] (Trojan.Vundo) -> No action taken.
C:\Users\Theresa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3YGYDZ69\cntr[4] (Trojan.Vundo) -> No action taken.
C:\Users\Theresa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DRJ311I9\cntr[1] (Trojan.Vundo) -> No action taken.
C:\Users\Theresa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DRJ311I9\kb20010911[1] (Trojan.LowZones) -> No action taken.
C:\Users\Theresa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DRJ311I9\is167205[1].exe (Trojan.Vundo) -> No action taken.
C:\Users\Theresa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KPYTTOSX\upd105320[1] (Trojan.Vundo) -> No action taken.
C:\Users\Theresa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KPYTTOSX\ico[1] (Trojan.Vundo) -> No action taken.
C:\Users\Theresa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KPYTTOSX\is167398[1].exe (Trojan.Vundo) -> No action taken.
C:\Users\Theresa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M93WULOS\cntr[1] (Trojan.Vundo) -> No action taken.
C:\Windows\System32\vtULcYRI.dll (Trojan.Agent) -> No action taken.
C:\Windows\service.exe (Backdoor.Bot) -> No action taken.
C:\Windows\System32\jkKbYqOh.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\nnnnLeEt.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\hgGAsQHa.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\iifefEtU.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\mlJBUMef.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\ssqRLFur.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\vtUnnooo.dll (Trojan.vundo) -> No action taken.

Funde bitte löschen lassen.
Wie sieht's mit ComboFix aus?

hab erstmal den CCleaner laufen lassen, hat alles geklappt..
combofix zeigt mir an, dass nicht alle dienste bzw prozesse beendet wurden.
Die AntiViren-Progs hab ich beendet also deaktiviert, lassen sich jedoch komischerweise im TaskManager nicht beenden ("Zugriff verweigert")

und nun weiß ich nicht mehr weiter :/

Dann mach das hier:

SDFix anwenden:

• Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

hab mir gerade SDFix geladen, wollte es installieren und da kommt exakt die gleiche fehlermeldung wie bei ComboFix, ein paar dateien könnten nicht kreiert werden und dass ich alle anwendungen schließen soll.. ich hatte aber nichts offen, was nun?

Hast du auch alle Funde von MBAM löschen lassen?

so hab grad nochmal MBAM ausgeführt, er hat auch noch was gefunden. Habs entfernen lassen, trotzdem gehen weder Combo noch SDFix..

Geht Combofix überhaupt nicht?
Hauptsache ist, das du alle offenen Programme geschlossen bzw. beendet hast.
Das immernoch Prozesse, wie svchost.exe etc. laufen, ist normal.

Ja, ich habe alles beendet, auch die Antiviren Programme und die Firewall deaktiviert, trotzdem sagt er mir Folgendes :

Some files could not be created.
Please close all applications,reboot Windows and restart this installation.

neugestartet hab ich den PC sicher schon 3 mal, jedes mal dasselbe..