Installerproblem, PC fährt runter, usw.-Virus?

Ypsilon · 28.11.2008, 02:16

Liebes Forum,

ich kämpfe hier mit meinem Rechner und auch nach viel Lesen und Forschen im Internet, komme ich nicht auf des Rätsels Lösung.

Ich arbeite mit Window XP Professional / Version 2002 / Service Pack 2

1. Ich kann keine Programme mehr installieren.
Bei dem Versuch neue Programme zu installieren erhalte ich folgende Fehlermeldung:

Auf den Windows Installer-Dienst konnte nicht zugegriffen werden. Dies kann auftreten, wenn Windows im abgesicherten Modus ausgeführt wird oder wenn der Windows Installer nicht korrekt installiert wurde.

Ich habe im Internet recherchiert und habe alle dort gefundenen Anweisungen befolgt. Service Pack 2 neu installieren, Installer neu installieren, Installer neu registrieren im abgesicherten und nicht abgesichertem Modus. Nichts hat wirklich geholfen. Der Installer lässt sich nicht neu installieren oder reparieren.

2. Ab und zu fährt mein Rechner ohne Angabe von irgendwelchen Meldungen einfach runter. (Alle 4-5 Tage)

3. Ich kann keine Updates mehr von Windows installieren.
Meine Version ist gekauft, also keine Kopie

4. Wenn ich ins Internet gehe schaltet sich immer ein Virusscanner ein, den ich nicht haben möchte.
Die Website heißt download.de/powervirusremover2008.com. Es handelt sich um den Virusremover 2008. Es öffnet sich ein Fenster mit der Bitte: VRM_Dual.exe zu installieren. Die ist wirklich penetrant und nicht wegzukriegen.

Heute habe ich versucht das Betriebsystem neu zu installieren und erhalte die Fehlermeldung, das irgendein Virus vorhanden ist, der die Installation blockiert.

Da ich nicht mehr weiter weiß, möchte ich Euch bitten mein LOG-File zu untersuchen. Vielleicht findet Ihr die Ursache. Ich kann leider auch keine Virenscanner installieren, um den Virus zu suchen. (Siehe oben beschriebenes Problem Installer) Ich hoffe nicht, dass ich alles neu formatieren muss, weil ich mitten in einer Firmengründung stecke und dafür einfach keine Zeit mehr ist.

Wer des Rätsels Lösung findet, dem ist meine tiefste Zuneigung sicher.

Liebe Grüße

Ypsilon

PS: Ich hoffe ich habe in meinem Logfile nichts übersehen, was Ihr nicht sehen wollt.... Ich habe es vorsichtshalber einmal in meinen Text reinkopiert und zusätzlich angehängt. Ich weiß nicht wie es sein soll...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:44:19, on 28.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Jedox\Palo\palo.exe
C:\WINDOWS\system32\PGPserv.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\PROGRAMME\FAXTALK COMMUNICATOR\FTCtrl32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\JustWrite Office\ScreenMark.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\HardCopy Pro\HardCopy.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\EPSON\EPSON CardMonitor\EPSON CardMonitor1.0.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Jedox\Palo\Manager.exe
C:\Programme\PGP Corporation\PGP for Windows XP\PGPtray.exe
C:\PROGRAMME\FAXTALK COMMUNICATOR\FAPIEXE.EXE
C:\WINDOWS\system32\NotifyPhoneBook.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Security Task Manager\taskman.exe
D:\Programme\PCSpeedScan.exe
D:\Programme\Registry Mechanic\regmech.exe
D:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ArchiBar Toolbar - {24cc1362-11c6-4918-a2c0-b9ee5a563185} - C:\Programme\ArchiBar\tbArc0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ArchiBar Toolbar - {24cc1362-11c6-4918-a2c0-b9ee5a563185} - C:\Programme\ArchiBar\tbArc0.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: (no name) - {9F4E4680-E376-421A-9BC1-D771265BAEA8} - C:\WINDOWS\system32\adsn.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ArchiBar Toolbar - {24cc1362-11c6-4918-a2c0-b9ee5a563185} - C:\Programme\ArchiBar\tbArc0.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll (file missing)
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\system32\Utility.exe \1008
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CallControl 4.5] C:\PROGRAMME\FAXTALK COMMUNICATOR\FTCtrl32.exe /autoload
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [JWOSetup] JWOSetup.exe -en
O4 - HKLM\..\Run: [SMKRun] C:\Programme\JustWrite Office\ScreenMark.exe -i
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [HardCopy Pro] C:\Programme\HardCopy Pro\HardCopy.exe -m
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m
O4 - HKCU\..\Run: [PC SpeedScan Pro] D:\Programme\PCSpeedScan.exe -m
O4 - HKCU\..\Run: [RegistryMechanic] D:\Programme\Registry Mechanic\RegMech.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1177238915-926492609-682003330-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1177238915-926492609-682003330-1003\..\Run: [HardCopy Pro] C:\Programme\HardCopy Pro\HardCopy.exe -m (User '?')
O4 - HKUS\S-1-5-21-1177238915-926492609-682003330-1003\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m (User '?')
O4 - HKUS\S-1-5-21-1177238915-926492609-682003330-1003\..\Run: [PC SpeedScan Pro] D:\Programme\PCSpeedScan.exe -m (User '?')
O4 - HKUS\S-1-5-21-1177238915-926492609-682003330-1003\..\Run: [RegistryMechanic] D:\Programme\Registry Mechanic\RegMech.exe /S (User '?')
O4 - HKUS\S-1-5-21-1177238915-926492609-682003330-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1177238915-926492609-682003330-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: EPSON CardMonitor.lnk = ?
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Palo Manager.lnk = C:\Programme\Jedox\Palo\Manager.exe
O4 - Global Startup: PGPtray.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - ht++tp://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/o2cplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{32B19A0F-5DCC-4931-8A70-592214E6EF20}: NameServer = 193.74.208.135 193.74.208.65
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll (file missing)
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Palo 2.0 Server Service (PALOServerService) - Unknown owner - C:\Programme\Jedox\Palo\palo.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe
O23 - Service: PostgreSQL Database Server 8.1 (pgsql-8.1) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.1\bin\pg_ctl.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11488 bytes

dooley · 28.11.2008, 11:07

Kommt zusätzlich eine Fehlermeldung mit Windows Security Alert??? Dann könnte es sich um Spyware handeln!!!

Chris4You · 28.11.2008, 11:43

Hi,

Du hast einen Wurm/Rootkit/Downloader auf dem Rechner:
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
->http://www.prevx.com/filenames/X2225...NNT32.DLL.html

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\SYSTEM32\WinNt32.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinNt32

Files to delete:
C:\WINDOWS\SYSTEM32\WinNt32.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.

Chris

Ypsilon · 28.11.2008, 23:57

Hallo Chris,

erst einmal Vielen Dank für Deine Antwort.

Schritt 1
Ich habe die Datei tatsächlich gefunden. Anbei das Ergebnis von Virus Total für Datei : WinNt32.dll

MD5: d77bdb8420f0122ca6416e098084c127
First received: 2008.06.10 14:40:40 (CET)
Datum 2008.11.28 13:41:49 (CET) [<1D]
Ergebnisse 30/37
Permalink: analisis/9e14e28b49080da54aea3b142df33345

Datei WinNt32.dll empfangen 2008.11.28 13:44:57 (CET)
Status: Beendet
Ergebnis: 30/37 (81.09%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.28.2 2008.11.28 Win-Trojan/Mutant.13312.B
AntiVir 7.9.0.36 2008.11.28 TR/Dldr.Mutant.afh
Authentium 5.1.0.4 2008.11.28 W32/DownloaderX.AGJD
Avast 4.8.1281.0 2008.11.27 Win32:Mutant-AX
AVG 8.0.0.199 2008.11.27 Win32/Agent
BitDefender 7.2 2008.11.28 Trojan.Dropper.Kobcka.Gen.1
CAT-QuickHeal 10.00 2008.11.28 Win32.TrojanDownloader.Cutwail.S.3
ClamAV 0.94.1 2008.11.28 Trojan.Dropper.Cutwail-15
DrWeb 4.44.0.09170 2008.11.28 Trojan.DownLoader.63566
eSafe 7.0.17.0 2008.11.27 -
eTrust-Vet 31.6.6234 2008.11.28 -
Ewido 4.0 2008.11.28 -
F-Prot 4.4.4.56 2008.11.27 W32/DownloaderX.AGJD
F-Secure 8.0.14332.0 2008.11.28 Trojan-Downloader.Win32.Mutant.aed
Fortinet 3.117.0.0 2008.11.28 W32/Mutant.AED!tr.dldr
GData 19 2008.11.28 Trojan.Dropper.Kobcka.Gen.1
Ikarus T3.1.1.45.0 2008.11.28 Trojan-Downloader.Win32.Mutant
K7AntiVirus 7.10.536 2008.11.27 Trojan-Downloader.Win32.Mutant.aed
Kaspersky 7.0.0.125 2008.11.28 Trojan-Downloader.Win32.Mutant.aed
McAfee 5447 2008.11.27 Generic Downloader.x
McAfee+Artemis 5447 2008.11.27 Generic Downloader.x
Microsoft 1.4104 2008.11.28 TrojanDownloader:Win32/Cutwail.S
NOD32 3647 2008.11.27 -
Norman 5.80.02 2008.11.28 W32/DLoader.HPYA
Panda 9.0.0.4 2008.11.28 -
PCTools 4.4.2.0 2008.11.27 Trojan.DR.Pandex.Gen.4
Prevx1 V2 2008.11.28 Malicious Software
Rising 21.05.42.00 2008.11.28 Trojan.DL.Win32.Mnless.aij
SecureWeb-Gateway 6.7.6 2008.11.28 Trojan.Dldr.Mutant.afh
Sophos 4.36.0 2008.11.28 Mal/Pushdo-A
Sunbelt 3.1.1832.2 2008.11.27 Trojan-Downloader.Win32.Mutant.aed
Symantec 10 2008.11.28 Trojan.Pandex
TheHacker 6.3.1.1.166 2008.11.28 Trojan/Downloader.Mutant.aed
TrendMicro 8.700.0.1004 2008.11.28 -
VBA32 3.12.8.9 2008.11.28 Trojan-Downloader.Win32.Mutant.aed
ViRobot 2008.11.28.1490 2008.11.28 Trojan.Win32.Downloader.13312.CD
VirusBuster 4.5.11.0 2008.11.27 Trojan.DR.Pandex.Gen.4
weitere Informationen
File size: 13312 bytes
MD5...: d77bdb8420f0122ca6416e098084c127
SHA1..: f71a9e1240131cc61c9a91cc0106dcadee11d973
SHA256: 23eec26650696d6928e998f3d62ed97ad42e0b5842c0880157e61408f3deca52
SHA512: 59650681177e99f6b7505d28b27c04c2e4bd67e1d5afefd728c0e2ac230d79b1
e1188b3114b55bdb06123cdb4f2dea5ddf5be44700e719658fdc4ae3911ec629
ssdeep: 192:HFlWFTDtGfNA8WxYeySZiaCokVqK4TWmjdt+5KND5Kcw1zOTbZREZ3reuI+F
CfBG:lEFT6A+LRqxb1aSTbqreZf
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401010
timedatestamp.....: 0x3b7d83c1 (Fri Aug 17 20:51:13 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1a6 0x200 5.00 0aa572ffeac608f04954db9ff77a3c38
.rsrc 0x2000 0x2b0c 0x2c00 7.95 7f536004d3b6e0229dee21720f813756
.reloc 0x5000 0x20 0x200 0.18 6de0bf387c01b25c0d5c937265b43cb5

( 1 imports )
> KERNEL32.dll: VirtualProtect, GetSystemTimeAsFileTime

( 0 exports )
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=42493A860038791A34A700A790D45500D2A9DFBF' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=42493A860038791A34A700A790D45500D2A9DFBF</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=d77bdb8420f0122ca6416e098084c127' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=d77bdb8420f0122ca6416e098084c127</a>

Da war noch eine andere Datei mit ähnlichem Namen, die habe ich vorsichtshalber auch mal scannen lassen. Sie heißt: WinNt32.dl_

Datei WinNt32.dl_ empfangen 2008.11.28 13:39:24 (CET)
Status: Beendet
Ergebnis: 30/37 (81.09%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.28.2 2008.11.28 Win-Trojan/Mutant.13312.B
AntiVir 7.9.0.36 2008.11.28 TR/Dldr.Mutant.afh
Authentium 5.1.0.4 2008.11.28 W32/DownloaderX.AGJD
Avast 4.8.1281.0 2008.11.27 Win32:Mutant-AX
AVG 8.0.0.199 2008.11.27 Win32/Agent
BitDefender 7.2 2008.11.28 Trojan.Dropper.Kobcka.Gen.1
CAT-QuickHeal 10.00 2008.11.28 Win32.TrojanDownloader.Cutwail.S.3
ClamAV 0.94.1 2008.11.28 Trojan.Dropper.Cutwail-15
DrWeb 4.44.0.09170 2008.11.28 Trojan.DownLoader.63566
eSafe 7.0.17.0 2008.11.27 -
eTrust-Vet 31.6.6234 2008.11.28 -
Ewido 4.0 2008.11.28 -
F-Prot 4.4.4.56 2008.11.27 W32/DownloaderX.AGJD
F-Secure 8.0.14332.0 2008.11.28 Trojan-Downloader.Win32.Mutant.aed
Fortinet 3.117.0.0 2008.11.28 W32/Mutant.AED!tr.dldr
GData 19 2008.11.28 Trojan.Dropper.Kobcka.Gen.1
Ikarus T3.1.1.45.0 2008.11.28 Trojan-Downloader.Win32.Mutant
K7AntiVirus 7.10.536 2008.11.27 Trojan-Downloader.Win32.Mutant.aed
Kaspersky 7.0.0.125 2008.11.28 Trojan-Downloader.Win32.Mutant.aed
McAfee 5447 2008.11.27 Generic Downloader.x
McAfee+Artemis 5447 2008.11.27 Generic Downloader.x
Microsoft 1.4104 2008.11.28 TrojanDownloader:Win32/Cutwail.S
NOD32 3647 2008.11.27 -
Norman 5.80.02 2008.11.28 W32/DLoader.HPYA
Panda 9.0.0.4 2008.11.28 -
PCTools 4.4.2.0 2008.11.27 Trojan.DR.Pandex.Gen.4
Prevx1 V2 2008.11.28 -
Rising 21.05.42.00 2008.11.28 Trojan.DL.Win32.Mnless.aij
SecureWeb-Gateway 6.7.6 2008.11.28 Trojan.Dldr.Mutant.afh
Sophos 4.36.0 2008.11.28 Mal/Pushdo-A
Sunbelt 3.1.1832.2 2008.11.27 Trojan-Downloader.Win32.Mutant.aed
Symantec 10 2008.11.28 Trojan.Pandex
TheHacker 6.3.1.1.166 2008.11.28 Trojan/Downloader.Mutant.aed
TrendMicro 8.700.0.1004 2008.11.28 -
VBA32 3.12.8.9 2008.11.28 Trojan-Downloader.Win32.Mutant.aed
ViRobot 2008.11.28.1491 2008.11.28 Trojan.Win32.Downloader.13312.CD
VirusBuster 4.5.11.0 2008.11.27 Trojan.DR.Pandex.Gen.4
weitere Informationen
File size: 13312 bytes
MD5...: d77bdb8420f0122ca6416e098084c127
SHA1..: f71a9e1240131cc61c9a91cc0106dcadee11d973
SHA256: 23eec26650696d6928e998f3d62ed97ad42e0b5842c0880157e61408f3deca52
SHA512: 59650681177e99f6b7505d28b27c04c2e4bd67e1d5afefd728c0e2ac230d79b1
e1188b3114b55bdb06123cdb4f2dea5ddf5be44700e719658fdc4ae3911ec629
ssdeep: 192:HFlWFTDtGfNA8WxYeySZiaCokVqK4TWmjdt+5KND5Kcw1zOTbZREZ3reuI+F
CfBG:lEFT6A+LRqxb1aSTbqreZf
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401010
timedatestamp.....: 0x3b7d83c1 (Fri Aug 17 20:51:13 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1a6 0x200 5.00 0aa572ffeac608f04954db9ff77a3c38
.rsrc 0x2000 0x2b0c 0x2c00 7.95 7f536004d3b6e0229dee21720f813756
.reloc 0x5000 0x20 0x200 0.18 6de0bf387c01b25c0d5c937265b43cb5

( 1 imports )
> KERNEL32.dll: VirtualProtect, GetSystemTimeAsFileTime

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=d77bdb8420f0122ca6416e098084c127' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=d77bdb8420f0122ca6416e098084c127</a>

Ich hoffe ich habe alles richtig kopiert. Ich weiß nicht was HASH ist und welche Größenangaben Du meinst. Ich mache das das erste Mal.

Schritt 2:
Anleitung Avenger. Hier das Logfile

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "Abiosdsk" found!
Start Type: 4 (Disabled)

Hidden driver "rijzjszz" found!
DisplayName: rijzjszz
ImagePath: \??\C:\WINDOWS\system32\drivers\rijzjszz.sys
Start Type: 2 (Automatic)

Hidden driver "WinSock2" found!
Rootkit scan completed.

Error: could not open file "C:\WINDOWS\SYSTEM32\WinNt32.dll"
Deletion of file "C:\WINDOWS\SYSTEM32\WinNt32.dll" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)

Registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinNt32" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Schritt 3 Malwarebytes – Logfile vorher

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1430
Windows 5.1.2600 Service Pack 2

28.11.2008 22:56:09
mbam-log-2008-11-28 (22-55-51).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|)
Durchsuchte Objekte: 317682
Laufzeit: 2 hour(s), 16 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 10
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 13
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{497dddb6-6eee-4561-9621-b77dc82c1f84} (Rogue.AscentivePerformance) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4e980492-027b-47f1-a7ab-ab086dacbb9e} (Rogue.AscentivePerformance) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{5ead8321-fcbb-4c3f-888c-ac373d366c3f} (Rogue.AscentivePerformance) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{31f3cf6e-a71a-4daa-852b-39ac230940b4} (Rogue.AscentivePerformance) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\SysRestore.dll (Rogue.AscentivePerformance) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhce57j0etbj (Rogue.AntivirusXP2008) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Performance Center (Rogue.PCSpeedScan) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Ascentive (Rogue.Multiple) -> No action taken.
C:\Programme\Ascentive\Performance Center (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Packages (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\Programme\ArchiBar\tbArc1.dll (Adware.Shopper) -> No action taken.
C:\Programme\Ascentive\Performance Center\ApcMain.exe (Rogue.AscentivePerformance) -> No action taken.
C:\WINDOWS\system32\SysRestore.dll (Rogue.AscentivePerformance) -> No action taken.
F:\Programme\3D Progrmm mqle23b2\crack_ver1.454.0.exe (Trojan.FakeAlert) -> No action taken.
C:\Programme\Ascentive\Performance Center\APCLang.dll (Rogue.Multiple) -> No action taken.
C:\Programme\Ascentive\Performance Center\GUID (Rogue.Multiple) -> No action taken.
C:\Programme\Ascentive\Performance Center\SOUND.WAV (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> No action taken.
C:\Disk (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WLCtrl32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WinNt32.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Desktop\Spyware Striker Update.url (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Anna\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Anna\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Anna\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Anna\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Anna\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Anna\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Anna\Lokale Einstellungen\Temp\.tt1.tmp.vbs (Trojan.FakeAlert) -> No action taken.

Schritt 3 Malwarebytes – Logfile nachher

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1430
Windows 5.1.2600 Service Pack 2

28.11.2008 23:01:05
mbam-log-2008-11-28 (23-01-05).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|)
Durchsuchte Objekte: 317682
Laufzeit: 2 hour(s), 16 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 10
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 13
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{497dddb6-6eee-4561-9621-b77dc82c1f84} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4e980492-027b-47f1-a7ab-ab086dacbb9e} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5ead8321-fcbb-4c3f-888c-ac373d366c3f} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{31f3cf6e-a71a-4daa-852b-39ac230940b4} (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\SysRestore.dll (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhce57j0etbj (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Delete on reboot.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Performance Center (Rogue.PCSpeedScan) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Ascentive (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\Ascentive\Performance Center (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\rhce57j0etbj\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\ArchiBar\tbArc1.dll (Adware.Shopper) -> Quarantined and deleted successfully.
C:\Programme\Ascentive\Performance Center\ApcMain.exe (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysRestore.dll (Rogue.AscentivePerformance) -> Quarantined and deleted successfully.
F:\Programme\3D Progrmm mqle23b2\crack_ver1.454.0.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\Ascentive\Performance Center\APCLang.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\Ascentive\Performance Center\GUID (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\Ascentive\Performance Center\SOUND.WAV (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Disk (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\WLCtrl32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WinNt32.dll (Trojan.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Desktop\Spyware Striker Update.url (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anna\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anna\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anna\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anna\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anna\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anna\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anna\Lokale Einstellungen\Temp\.tt1.tmp.vbs (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Schritt 4 RSIT – Das Progamm lässt sich leider bei mir nicht öffnen.

Fehlermeldung :

Linie -1:
Error: Incorrect number of parameters in function call

Jetzt weiß ich auch nicht mehr weiter. Vielleicht hängst das mit meinem Installerproblem zusammen. Ich hoffe Du kannst trotzdem etwas erkennen, oder mir noch einen Tip geben wie ich das RSIT an`s laufen kriege.

Nochmal vielen Dank und viel Spaß bei entziffern der Logdateien. Ich versteh da nix..

Liebe Grüße

Ypsilon

Ypsilon · 29.11.2008, 00:02

Hallo Dooley,

ich kriege gar keine Meldungen. Das wäre schön, dann wüßte ich wenigstens was lso ist. Vielleicht hast Du ja Lust Dich auch durch die Logfiles zu quälen, die ich für Chris zusammengebastelt habe. Viren hatte ich übrigens einige.. Werde mal über eine neue Grippeimpfung für meinen Rechner nachdenken.
Hast Du noch eine Idee betreff des Installers. Fehlermeldung, siehe mein erstes Schreiben.

Gruß

Ypsilon

dooley · 29.11.2008, 12:43

Ne sorry hatte dieselbe Idee gehabt.

Chris4You · 01.12.2008, 07:27

Hi,

Du solltest neu aufsetzten, der Rechner ist stark verseucht inkl. Rootkits und Backdoors...

Wir versuchen jetzt noch einen "rundumschlag":

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Danach bitte den hier noch laufen lassen:
Kaskpersky OnlineScanner
http://www.kaspersky.com/de/virusscanner

Poste alle Logs!

chris

Installerproblem, PC fährt runter, usw.-Virus?

Log-Analyse und Auswertung: Installerproblem, PC fährt runter, usw.-Virus?