TR/Drop.Delf.cip; TR/Drop.Delf.cio; BkCln.Unknown

r0bby · 16.01.2009, 15:13

Hallo erstmal!
Habe mir gestern npaar Vieher eingefangen,
TR/Drop.Delf.cip; TR/Drop.Delf.cio wurden aber schnell von AntiVir erkannt und gelöscht. Die Dinger haben mir aber das System etwas zerschossen:

In Firefox kann ich keine Datein zum runterladen abspeichern.
Wenn ich *.txt Datein mit Editor öffne kann ich sie nicht mehr abspeichern, beim Klick auf "Speichern unter" passiert nix, ebenso bei "Öffnen". Wenn ich Editor jedoch manuell öffne funktioniert alles normal. Das gleiche Probleme habe ich auch in Photoshop, in Paint jedoch nicht!

Firefox habe ich schon mal vorsorglich deinstalliert und mit CCleaner nach Anleitung registry,cache und temp files gelöscht. Nach erfolgreicher Firefox Neuinstallation will dieser jedoch nicht starten, er sagt mir dass bereits eine Instanz die nicht mehr reagiert, geöffnet sei oder s.ä..

Iexplorer verichtet hingegen ohne Probleme seinen Dienst!

Naja hab im abgesicherten Modus eScan durchlaufen lassen, hier das Ergebnis:

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2008.03.07 

Microsoft Windows [Version 6.0.6001]
Bootmodus: Normal 
  
eScan Version: 10.0.60 
Sprache: German 
C:\Users\r0bby\AppData\Local\Temp\MWAV.LOG
 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
Datei C:\Windows\Prefetch\RUNDLL32.EXE-4A infiziert durch den Virus "BkCln.Unknown"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei G:\BioShock\directx\DXSETUP.exe infiziert durch den Virus "NULL.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
Datei L:\messenpass\mspass.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:PSWTool.Win32.Messen.110". Keine Maßnahme ergriffen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
Offending file found: E:\Eigene Dateien\Documents\n82\Instructions.html 
~~~~~~~~~~~ 
~~~~ Spyware (Vorsicht: Oft Fehlalarm!) 
~~~~~~~~~~~ 
Scannen Spyware: Aktiviert 
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft ***** 
Indexed Spyware Databases Successfully Created... 
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{9BD3A001-42A2-491E-AACA-9512F6CF4CDB})! Action taken: Keine Maßnahme ergriffen. 
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{C5DA1F2B-B2BF-4DFC-BC9A-439133543A67})! Action taken: Keine Maßnahme ergriffen. 
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{D2129738-6A78-4BCB-915A-412982CAA23D})! Action taken: Keine Maßnahme ergriffen. 
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{DC90EAA6-69B8-4DE4-9A7B-5B2C5B3FEACD})! Action taken: Keine Maßnahme ergriffen. 
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{1EDFD7DF-030D-4144-952E-9D7D86691CDB})! Action taken: Keine Maßnahme ergriffen. 
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{459A91BC-193F-4A70-959C-BFF69D781142})! Action taken: Keine Maßnahme ergriffen. 
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{464D3E06-7D5B-416F-A6EE-0FFB1A5E931B})! Action taken: Keine Maßnahme ergriffen. 
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{497B84D4-FB2F-4AB0-A280-8AACFB4B355F})! Action taken: Keine Maßnahme ergriffen. 
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{66718B8E-A382-4FE2-AA7A-926F9D8C4621})! Action taken: Keine Maßnahme ergriffen. 
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{BC39A57D-DF2C-45B4-BFFD-7D55E911C1B2})! Action taken: Keine Maßnahme ergriffen. 
System found infected with Parentis Spyware/Adware (HKEY_CLASSES_ROOT\interface\{CCA2E620-B807-451F-BAFD-2057AF9025FE})! Action taken: Keine Maßnahme ergriffen. 
System found infected with PurityScan Spyware/Adware (Instructions.html)! Action taken: Keine Maßnahme ergriffen. 
C:\Windows\Prefetch\RUNDLL32.EXE-4A possibly infected and removed by background antivirus package! 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00f91547-dd07-11dd-a0ff-001fd09c54d3} !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
laufende Prozesse - commandline 
~~~~~~~~~~~~~~~~~~~~~~ 
System Idle Process - 
System - 
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe - C:\Windows\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
wininit.exe - wininit.exe
csrss.exe - C:\Windows\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
services.exe - C:\Windows\system32\services.exe
lsass.exe - C:\Windows\system32\lsass.exe
lsm.exe - C:\Windows\system32\lsm.exe
svchost.exe - C:\Windows\system32\svchost.exe -k DcomLaunch
winlogon.exe - winlogon.exe
svchost.exe - C:\Windows\system32\svchost.exe -k rpcss
svchost.exe - C:\Windows\System32\svchost.exe -k secsvcs
svchost.exe - C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
svchost.exe - C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
svchost.exe - C:\Windows\system32\svchost.exe -k netsvcs
audiodg.exe - 
svchost.exe - C:\Windows\system32\svchost.exe -k GPSvcGroup
SLsvc.exe - C:\Windows\system32\SLsvc.exe
svchost.exe - C:\Windows\system32\svchost.exe -k LocalService
svchost.exe - C:\Windows\system32\svchost.exe -k NetworkService
spoolsv.exe - C:\Windows\System32\spoolsv.exe
sched.exe - "E:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\sched.exe"
svchost.exe - C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
dwm.exe - "C:\Windows\system32\Dwm.exe"
taskeng.exe - taskeng.exe {F8350369-6C04-4B73-A932-23DCD0DF4945}
explorer.exe - C:\Windows\Explorer.EXE
avguard.exe - "E:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\avguard.exe"
mDNSResponder.exe - "C:\Program Files (x86)\Bonjour\mDNSResponder.exe"
taskeng.exe - taskeng.exe {EFEDBD99-738B-4261-BBC9-CC77B1F53D6D}
MSASCui.exe - "C:\Program Files\Windows Defender\MSASCui.exe" -hide
sidebar.exe - "C:\Program Files\Windows Sidebar\sidebar.exe" /autoRun
VolPanlu.exe - "C:\Program Files (x86)\Creative\SBAudigy2ZS\Volume Panel\VolPanlu.exe" /r
jusched.exe - "E:\Program Files (x86)\Java\jre6\bin\jusched.exe" 
svchost.exe - C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
svchost.exe - C:\Windows\system32\svchost.exe -k imgsvc
svchost.exe - C:\Windows\System32\svchost.exe -k WerSvcGroup
SearchIndexer.exe - C:\Windows\system32\SearchIndexer.exe /Embedding
avgnt.exe - "E:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
WUDFHost.exe - "C:\Windows\system32\WUDFHost.exe" -HostGUID:{193a1820-d9ac-4997-8c55-be817523f6aa} -IoEventPortName:\UMDFCommunicationPorts\WUDF\HostProcess-fb995b57-3c74-4697-b784-de8ba2b2b4a2 -SystemEventPortName:\UMDFCommunicationPorts\WUDF\HostProcess-20ae0b38-b581-4e5b-9fe5-d00e05ac37f3 -IoCancelEventPortName:\UMDFCommunicationPorts\WUDF\HostProcess-13b60ed6-df06-4dd0-a2c3-ed26e8b1808c -ServiceSID:S-1-5-80-2652678385-582572993-1835434367-1344795993-749280709 -LifetimeId:471afee8-e373-4ef4-8eb8-e76b1b4c7c94
HijackThis.exe - "Q:\HijackThis.exe" 
notepad.exe - "C:\Windows\system32\NOTEPAD.EXE" Q:\hijackthis.log
iexplore.exe - "C:\Program Files\Internet Explorer\iexplore.exe" 
TrustedInstaller.exe - C:\Windows\servicing\TrustedInstaller.exe
wmplayer.exe - "C:\Program Files (x86)\Windows Media Player\wmplayer.exe" /prefetch:1
wmpnscfg.exe - "C:\Program Files\Windows Media Player\WMPNSCFG.exe" 
wmpnetwk.exe - "C:\Program Files\Windows Media Player\wmpnetwk.exe"
WmiPrvSE.exe - C:\Windows\system32\wbem\wmiprvse.exe
mfpmp.exe - 
avcenter.exe - "E:\program files (x86)\avira\antivir personaledition classic\avira\antivir personaledition classic\avcenter.exe" 
cmd.exe - cmd /c ""C:\find.bat" "
conime.exe - C:\Windows\system32\conime.exe
cscript.exe - cscript  C:\escan\prclst.vbs //nologo 
WmiPrvSE.exe - C:\Windows\system32\wbem\wmiprvse.exe
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
ERROR!!! Invalid Entry \SystemRoot\system32\drivers\blbdrive.sys in HKLM\SYSTEM\CurrentControlSet\Services\blbdrive. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry system32\COMMONFX.DLL in HKLM\SYSTEM\CurrentControlSet\Services\COMMONFX.DLL. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry \??\C:\Users\r0bby\AppData\Local\Temp\cpuz131\cpuz_x64.sys in HKLM\SYSTEM\CurrentControlSet\Services\cpuz131. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry system32\CT20XUT.DLL in HKLM\SYSTEM\CurrentControlSet\Services\CT20XUT.DLL. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry system32\CTAUDFX.DLL in HKLM\SYSTEM\CurrentControlSet\Services\CTAUDFX.DLL. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry system32\CTEAPSFX.DLL in HKLM\SYSTEM\CurrentControlSet\Services\CTEAPSFX.DLL. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry system32\CTEDSPFX.DLL in HKLM\SYSTEM\CurrentControlSet\Services\CTEDSPFX.DLL. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry system32\CTEDSPIO.DLL in HKLM\SYSTEM\CurrentControlSet\Services\CTEDSPIO.DLL. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry system32\CTEDSPSY.DLL in HKLM\SYSTEM\CurrentControlSet\Services\CTEDSPSY.DLL. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry system32\CTERFXFX.DLL in HKLM\SYSTEM\CurrentControlSet\Services\CTERFXFX.DLL. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry system32\CTEXFIFX.DLL in HKLM\SYSTEM\CurrentControlSet\Services\CTEXFIFX.DLL. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry system32\CTHWIUT.DLL in HKLM\SYSTEM\CurrentControlSet\Services\CTHWIUT.DLL. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry system32\CTSBLFX.DLL in HKLM\SYSTEM\CurrentControlSet\Services\CTSBLFX.DLL. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry SysWOW64\speedfan.sys in HKLM\SYSTEM\CurrentControlSet\Services\speedfan. Action Taken: No Action Taken. 
Result: ERROR!!! File C:\Users\r0bby\AppData\Local\Temp\6ohsr342.exe.part is Not Scanned 
ERROR(3)!!! ScanFile fails for C:\Boot\BCD 
ERROR(3)!!! ScanFile fails for C:\Boot\BCD.LOG 
ERROR(3)!!! ScanFile fails for C:\System Volume Information\{1e1601dd-df49-11dd-a32b-001fd09c54d3}{3808876b-c176-4e48-b7ae-04046e6cc752} 
ERROR(3)!!! ScanFile fails for C:\System Volume Information\{1e1601e3-df49-11dd-a32b-001fd09c54d3}{3808876b-c176-4e48-b7ae-04046e6cc752} 
ERROR(3)!!! ScanFile fails for C:\System Volume Information\{1e1601e9-df49-11dd-a32b-001fd09c54d3}{3808876b-c176-4e48-b7ae-04046e6cc752} 
ERROR(3)!!! ScanFile fails for C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752} 
ERROR(3)!!! ScanFile fails for C:\System Volume Information\{5dac6813-e0bc-11dd-a2d2-001fd09c54d3}{3808876b-c176-4e48-b7ae-04046e6cc752} 
ERROR(3)!!! ScanFile fails for C:\System Volume Information\{5dac6819-e0bc-11dd-a2d2-001fd09c54d3}{3808876b-c176-4e48-b7ae-04046e6cc752} 
ERROR(3)!!! ScanFile fails for C:\System Volume Information\{85ed5897-e317-11dd-9cb3-001fd09c54d3}{3808876b-c176-4e48-b7ae-04046e6cc752} 
ERROR(3)!!! ScanFile fails for C:\System Volume Information\{938e9f11-e24c-11dd-8381-001fd09c54d3}{3808876b-c176-4e48-b7ae-04046e6cc752} 
ERROR(3)!!! ScanFile fails for C:\System Volume Information\{a3dda844-e184-11dd-abcb-001fd09c54d3}{3808876b-c176-4e48-b7ae-04046e6cc752} 
ERROR(3)!!! ScanFile fails for C:\System Volume Information\{b4d0aa47-ddf3-11dd-8a13-001fd09c54d3}{3808876b-c176-4e48-b7ae-04046e6cc752} 
ERROR(3)!!! ScanFile fails for C:\System Volume Information\{b4d0aa5b-ddf3-11dd-8a13-001fd09c54d3}{3808876b-c176-4e48-b7ae-04046e6cc752} 
ERROR(3)!!! ScanFile fails for C:\Users\r0bby\AppData\Local\Microsoft\Windows\UsrClass.dat 
ERROR(3)!!! ScanFile fails for C:\Users\r0bby\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 
Result: ERROR!!! File C:\Users\r0bby\AppData\Local\Temp\6ohsr342.exe.part is Not Scanned 
ERROR(3)!!! ScanFile fails for C:\Users\r0bby\NTUSER.DAT 
ERROR(3)!!! ScanFile fails for C:\Users\r0bby\ntuser.dat.LOG1 
ERROR(3)!!! ScanFile fails for C:\Windows\CSC\v2.0.6\pq 
ERROR(3)!!! ScanFile fails for C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT 
ERROR(3)!!! ScanFile fails for C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1 
ERROR(3)!!! ScanFile fails for C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT 
ERROR(3)!!! ScanFile fails for C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1 
ERROR(3)!!! ScanFile fails for C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl 
ERROR(3)!!! ScanFile fails for C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl 
ERROR(3)!!! ScanFile fails for C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl 
ERROR(3)!!! ScanFile fails for C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl 
ERROR(3)!!! ScanFile fails for E:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-E\EnterWW.cab 
ERROR(3)!!! ScanFile fails for E:\MSOCache\All Users\{90120000-006E-0407-0000-0000000FF1CE}-E\OfficeLR.cab 
ERROR(3)!!! ScanFile fails for E:\Program Files (x86)\Adobe\Adobe Flash CS3\JVM\lib\rt.jar 
Result: ERROR!!! File E:\Program Files (x86)\ICQ6\ConfigFiles\TopSearches.7z: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for E:\Program Files (x86)\ICQ6\ConfigFiles\TopSearches.7z 
Result: ERROR!!! File E:\Program Files (x86)\ICQ6\ConfigFiles\TopSearchesDe.7z: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for E:\Program Files (x86)\ICQ6\ConfigFiles\TopSearchesDe.7z 
ERROR(3)!!! ScanFile fails for E:\Program Files (x86)\Java\jre1.6.0_05\lib\rt.jar 
ERROR(3)!!! ScanFile fails for E:\Program Files (x86)\Java\jre6\lib\rt.jar 
ERROR(3)!!! ScanFile fails for F:\10_Vier_Jahreszeiten\10 Vier Jahreszeiten\Sims2_EP5_1.mdf 
ERROR(3)!!! ScanFile fails for F:\18070_vista64.exe 
Result: ERROR!!! File F:\3DF-EU5.0\setup5-A03\setup5-A03.exe: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for F:\3DF-EU5.0\setup5-A03\setup5-A03.exe 
ERROR(3)!!! ScanFile fails for F:\3DF-EU5.0.part1.rar 
ERROR(3)!!! ScanFile fails for F:\3DF-EU5.0.part2.rar 
Result: ERROR!!! File F:\Digitaldesire_Passes.rar: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for F:\Digitaldesire_Passes.rar 
ERROR(3)!!! ScanFile fails for F:\Discovery.Channel.Christmas.Lights.720p.HDTV.x264-DHD.part01.rar 
ERROR(3)!!! ScanFile fails for F:\Discovery.Channel.Christmas.Lights.720p.HDTV.x264-DHD.part02.rar 
ERROR(3)!!! ScanFile fails for F:\Discovery.Channel.Christmas.Lights.720p.HDTV.x264-DHD.part03.rar 
ERROR(3)!!! ScanFile fails for F:\Discovery.Channel.Christmas.Lights.720p.HDTV.x264-DHD.part04.rar 
ERROR(3)!!! ScanFile fails for F:\Discovery.Channel.Christmas.Lights.720p.HDTV.x264-DHD.part05.rar 
ERROR(3)!!! ScanFile fails for F:\Discovery.Channel.Christmas.Lights.720p.HDTV.x264-DHD.part06.rar 
ERROR(3)!!! ScanFile fails for F:\Discovery.Channel.Christmas.Lights.720p.HDTV.x264-DHD.part07.rar 
ERROR(3)!!! ScanFile fails for F:\Discovery.Channel.Christmas.Lights.720p.HDTV.x264-DHD.part08.rar 
ERROR(3)!!! ScanFile fails for F:\Discovery.Channel.Christmas.Lights.720p.HDTV.x264-DHD.part09.rar 
ERROR(3)!!! ScanFile fails for F:\Discovery.Channel.Christmas.Lights.720p.HDTV.x264-DHD.part10.rar 
ERROR(3)!!! ScanFile fails for F:\Discovery.Channel.Christmas.Lights.720p.HDTV.x264-DHD.part11.rar 
ERROR(3)!!! ScanFile fails for F:\Discovery.Channel.Christmas.Lights.720p.HDTV.x264-DHD.part12.rar 
ERROR(3)!!! ScanFile fails for F:\F.F.2008.rar 
Result: ERROR!!! File F:\frps2.9.6.rar: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for F:\frps2.9.6.rar 
ERROR(3)!!! ScanFile fails for F:\gfwlivesetupmin.exe 
Result: ERROR!!! File F:\KatyP.rar: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for F:\KatyP.rar 
Result: ERROR!!! File F:\L4D.part01.rar.part: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for F:\L4D.part01.rar.part 
ERROR(3)!!! ScanFile fails for F:\N8360.rar 
Result: ERROR!!! File F:\nb-sbfahr.rar: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for F:\nb-sbfahr.rar 
Result: ERROR!!! File F:\nevins.rar: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for F:\nevins.rar 
ERROR(3)!!! ScanFile fails for F:\Nokia_PC_Suite_rel_7_0_7_0_ger_web.exe 
ERROR(3)!!! ScanFile fails for F:\SYBEX.Euro.Fahrschule.2008.German-RHI\rhi-sef08.iso 
ERROR(3)!!! ScanFile fails for F:\XFastest 185.20 Vista64.exe 
ERROR(3)!!! ScanFile fails for F:\xpadder_gamepad_profiler.exe 
ERROR(3)!!! ScanFile fails for F:\YouP-PAX_Audigy_Series_20e.rar 
ERROR(3)!!! ScanFile fails for G:\Creatures Albian Years\Creatures.exe 
ERROR(3)!!! ScanFile fails for G:\Crysis\Game\Localized\german.pak 
ERROR(3)!!! ScanFile fails for G:\Crysis\Game\LowSpec\LowSpec.pak 
ERROR(3)!!! ScanFile fails for G:\Crysis\Game\Objects.pak 
ERROR(3)!!! ScanFile fails for G:\Crysis\Game\Sounds.pak 
ERROR(3)!!! ScanFile fails for G:\Crysis\Game\Textures.pak 

ERROR(3)!!! ScanFile fails for N:\SBAXWXCD.ISO 
ERROR(3)!!! ScanFile fails for N:\WindowsXP-KB936929-SP3-x86-DEU.exe 
Result: ERROR!!! File N:\{YouP-PAX Audigy Series 2008 Suite}\Drivers\wdm\win2k_xp\i386\emupia2k.sys is Not Scanned 
Result: ERROR!!! File N:\{YouP-PAX-AX-V4.08A}\Drivers\wdm\win2k_xp\i386\emupia2k.sys is Not Scanned 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\Windows\System32\drivers\etc\hosts:
C:\Windows\System32\drivers\etc\hosts:127.0.0.1       localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Habe dann versucht C:\Windows\Prefetch\RUNDLL32.EXE-4A zu löschen, erfolglos! Der registry Eintrag durch "killbox" wieder immer wieder entfernt auch im abgesicherten Modus.

Und Windows selbst sagt mir beim Löschen "Das Element wurde nicht gefunden"
Habe dann noch versucht "Catchme" zu starten, dieser schmiert aber immer gleich mit APPCRASH ab!

Ich weiß nicht mehr weiter!

Betriebsystem: Vista64 SP1

r0bby · 16.01.2009, 15:15

Hier nochmal HijackThis log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 14:44:24, on 16.01.2009
Platform: Unknown Windows (WinNT 6.00.1905 SP1)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Running processes:
C:\Program Files (x86)\Creative\SBAudigy2ZS\Volume Panel\VolPanlu.exe
E:\Program Files (x86)\Java\jre6\bin\jusched.exe
E:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\avgnt.exe
Q:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files (x86)\Creative\SBAudigy2ZS\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "E:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files (x86)\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

r0bby · 16.01.2009, 16:04

F-Secure BlackLight – Rootkit Detection durchgeführt: kein Befund!

r0bby · 16.01.2009, 17:19

Warum antwortet eigentlich keiner ?

**Sunny** · 16.01.2009, 17:24

Zitat:

Zitat von r0bby

Warum antwortet eigentlich keiner ?

Warum?

Weil wir hier in einem absolut kostenlosem Forum sind, und in keinem Chat!
Wenn dir das alles nicht schnell genug geht, dann wende dich doch an einen Computer-Service in deiner örtlichen Umgebung.
Die helfen dir sicherlich zu einem entscheidenden Entgeld sehr viel schneller wie wir hier...

r0bby · 16.01.2009, 17:28

War nicht böse gemeint aber ist es scheint so schlimm zu sein dass sich keiner rantrauen mag.

Haha sehr witzig, ich denke kaum dass die mir helfen können.

**Sunny** · 16.01.2009, 17:40

Immer ruhig bleiben, mach bitte zunächst folgendes:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\Windows\Prefetch\RUNDLL32.EXE

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)

r0bby · 16.01.2009, 17:52

Danke, endlich mal was zu tun.

Ich kann die Datei leider nicht hochladen:

"Malwarebytes' Anti-Malware" hatte ich bereits heute nacht schon durchlaufen lassen, hat leider kaum was gefunden und nix gebracht. Lasse es aber jetzt nochmal laufen, bis ich weitere Instruktionen bekomme....

Okay, genau, jetzt erinnere ich mich wieder, malwarebytes hat dieses gefunden:

Ich weiß jetzt nicht ob ich das entfernen soll oder nicht ?

**Sunny** · 16.01.2009, 18:02

Ich denke das diese prefetch.exe legitim sein kann/wird und in Verbindung mit einem anderen Softwareprozess mitgestartet wird! (ist ja ein Systemprozess)
!Jedoch ist mit einem Troj./Delf. widerum auch nicht zu spaßen!

Und da ich eScan in keinster Weise etwas glaube was es mir auflistet schädlich zu sein, versuche bitte folgendes:

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Cureit Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

Der Scan mit Dr.Web dauert zwar sehr lange, aber sollte, wenn es noch etwas auf dem System gibt, auch finden!

Sunny

r0bby · 16.01.2009, 18:13

Combofix läuft nur unter win2000 und winXP, ich aber habe Vista 64 ...

**Sunny** · 16.01.2009, 18:21

Zitat:

Zitat von r0bby

Combofix läuft nur unter win2000 und winXP, ich aber habe Vista 64 ...

Na toll ...

es gibt kaum Programme die unter 64bit laufen!

Versuche es mal hiermit ->
Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

r0bby · 16.01.2009, 18:26

okay, habe nun gerade Dr. Web laufen, er meckert gerade über combofix:

r0bby · 17.01.2009, 05:05

hat alles nichts gebracht, konnte zwar firefox wieder installieren, habe aber noch die gleiche Macke mit "öffnen" oder "Speichern untern" auch in anderen Programmen wie Windows Media Player, VLC, etc. ...

r0bby · 17.01.2009, 09:11

So Problem gelöst:

1. format c:\
2. Windows 7 Ultimate

TR/Drop.Delf.cip; TR/Drop.Delf.cio; BkCln.Unknown

Plagegeister aller Art und deren Bekämpfung: TR/Drop.Delf.cip; TR/Drop.Delf.cio; BkCln.Unknown