Hallo zusammen,

ich habe einen Trojaner-Befall schlimmster Art.

Erst TR/Dropper.Gen, wurde aber von AntiVir gefunden, dann DR/Delphi.Gen, wurde ebenfalls von AntiVir gefunden, beide in Quarantäne verschoben.

Allerdings glaube ich, dass ich den TR/Dropper.Gen immer noch habe, wurde nämlich von AntiVir am 11.01., 12.01. und 14.02. gefunden.

Außerdem hat Spyware Doctor auch noch was gefunden:
Trojan-Dropper.SEH
Application.NirCmd
Trojan-Zlob!sd5
PWSTool.RAS
HeurEngine.Packed.FSG

Alle wurden in Quarantäne verschoben.

Allerdings glaube ich, dass der Trojan-Zlob!sd5 noch aktiv ist, denn er wird immer wieder neu gefunden.

Am schlimmsten ist, dass der Spywar Doctor 109 Infizierungen durch:
Spyware.Possible_Website_Hijack findet und nicht entfernen kann.

Spybot S&D findet nix, AntiVir Premium auch nicht, Malwarbytes lasse ich gerade durchlaufen.

Was soll ich denn jetzt machen?

Bitte helft mir!!!! Vielen Dank vorab!

Hier schon mal meine Hijack-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:03:55, on 16.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Spyware Doctor\pctsGui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avcenter.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228758888781
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1228758971406
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC815E92-D249-43E1-9CD9-D8665C700605}: NameServer = 62.109.123.7 213.191.92.86
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7817 bytes

da war von deinem anti spyware sehr sehr vile fehlalarme der rest wird vom logfile als recht sicher angezeigt

Arbeite bitte die folgende Anleitunge ab, wir werden bestimmt noch etwas finden:

- Anleitung: Malwarebytes Anti-Malware
- anschließend bitte Gmer runterladen und ausführen.

Logfiles bitte posten!

Grüße
45cl3p1u5

Hallo,

ich glaube schon, dass ich noch was drauf habe, der Exploerer spinnt und schaltet sich andauernd aus.

Hier meine Malwarbyte-Logfile:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1766
Windows 5.1.2600 Service Pack 3

16.02.2009 21:55:51
mbam-log-2009-02-16 (21-55-51).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|)
Durchsuchte Objekte: 198105
Laufzeit: 1 hour(s), 13 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gmer folgt im nächsten Post:

Hallo greg.luca,

dann bitte jetzt noch gmer.

Grüße
45cl3p1u5

Wie poste ich den die Gmer-Logfile:

"Der Text, den Sie eingegeben haben, besteht aus 227350 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen."

Bitte kurze Hilfe!

dann bitte bei file-upload.net/ uploaden und verlinken

Super, danke!

Hier der link zum Gmer-Log:

http://www.file-upload.net/download-1460994/Gmer-C.log.html

Mache bitte folgendes

Zitat:

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Hallo und danke und los geht´s:

Verzeichnis von C:\

17.02.2009 10:01 2.145.386.496 pagefile.sys
17.02.2009 10:01 577 aaw7boot.log
06.02.2009 11:36 3.149 fixnavi.txt
06.02.2009 11:31 886 avenger.txt

Verzeichnis von C:\WINDOWS\system32

17.02.2009 10:07 405.888 perfh009.dat
17.02.2009 10:07 63.470 perfc009.dat
17.02.2009 10:07 421.272 perfh007.dat
17.02.2009 10:07 76.898 perfc007.dat
17.02.2009 10:07 980.048 PerfStringBackup.INI
17.02.2009 10:03 13.646 wpa.dbl
16.02.2009 20:46 15.688 lsdelete.exe
11.02.2009 11:29 207.304 FNTCACHE.DAT
04.02.2009 00:21 21.244.864 MRT.exe
21.01.2009 15:49 148.888 javaws.exe
21.01.2009 15:49 73.728 javacpl.cpl
21.01.2009 15:49 144.792 javaw.exe
21.01.2009 15:49 144.792 java.exe
21.01.2009 15:49 410.984 deploytk.dll
16.01.2009 21:01 3.594.752 mshtml.dll

Verzeichnis von C:\WINDOWS

17.02.2009 11:22 1.508.096 WindowsUpdate.log
17.02.2009 11:03 1.686 setupapi.log
17.02.2009 10:04 250 gmer.ini
17.02.2009 10:03 0 0.log
17.02.2009 10:03 159 wiadebug.log
17.02.2009 10:03 50 wiaservc.log
17.02.2009 10:01 2.048 bootstat.dat
17.02.2009 10:00 32.632 SchedLgU.Txt

Verzeichnis von C:\WINDOWS\Prefetch

17.02.2009 11:22 13.062 FIND.EXE-0EC32F1E.pf
17.02.2009 11:22 13.280 CMD.EXE-087B4001.pf
17.02.2009 11:22 32.586 AVWSC.EXE-1DC97978.pf
17.02.2009 11:22 82.042 WUAUCLT.EXE-399A8E72.pf
17.02.2009 11:21 42.168 WINRAR.EXE-3588DFE8.pf
17.02.2009 11:21 16.230 UNINSTALL.EXE-15278D8E.pf
17.02.2009 11:21 21.448 VERCLSID.EXE-3667BD89.pf
17.02.2009 11:20 70.092 WRAR380D.EXE-094B7F7E.pf
17.02.2009 11:17 13.580 JQSNOTIFY.EXE-1E60A522.pf
17.02.2009 11:05 46.862 ZYLOMGAMEINSTALLERTEMP.EXE-02172DEA.pf
17.02.2009 11:05 23.148 UNINSTALLPLUGIN.EXE-164B0A3A.pf
17.02.2009 11:04 17.336 _IU14D2N.TMP-37620324.pf
17.02.2009 11:04 49.528 UNINS000.EXE-28E68D87.pf
17.02.2009 11:03 41.052 MSIEXEC.EXE-2F8A8CAE.pf
17.02.2009 11:03 14.198 E_FBINBEE.EXE-3716EA2C.pf
17.02.2009 11:02 10.036 E_FARNBEE.EXE-0269E89D.pf
17.02.2009 11:02 12.716 EPSTP32U.EXE-050D051E.pf
17.02.2009 11:02 70.986 EPUPDATE.EXE-0D7D8E8B.pf
17.02.2009 11:01 74.662 RUNDLL32.EXE-13404D23.pf
17.02.2009 11:00 38.124 ONECLICKSTARTER.EXE-209CBCDD.pf
17.02.2009 10:55 77.122 NOTEPAD.EXE-336351A9.pf
17.02.2009 10:54 140.798 TASKMGR.EXE-20256C55.pf
17.02.2009 10:53 126.476 FIREFOX.EXE-1D57670A.pf
17.02.2009 10:48 32.796 WMIPRVSE.EXE-28F301A9.pf
17.02.2009 10:48 237.602 SHREDDER.EXE-0C43FCDA.pf
17.02.2009 10:29 91.512 UPDATE.EXE-0C3CBDEF.pf
17.02.2009 10:27 99.366 THUNDERBIRD.EXE-031A6371.pf
17.02.2009 10:09 14.138 RUNDLL32.EXE-451FC2C0.pf
17.02.2009 10:08 71.754 MBAM.EXE-11D8BBD8.pf
17.02.2009 10:07 10.246 JAVA.EXE-2167859B.pf
17.02.2009 10:07 50.660 WMIADAP.EXE-2DF425B2.pf
17.02.2009 10:04 46.202 GMER.EXE-05F2837A.pf
17.02.2009 10:03 52.094 UPDATE.EXE-21FD42FA.pf
17.02.2009 10:03 15.904 PREUPD.EXE-08179D3E.pf
17.02.2009 10:03 59.570 AAWTRAY.EXE-31E33C30.pf
17.02.2009 10:03 17.220 ALG.EXE-0F138680.pf
17.02.2009 10:03 18.196 UNSECAPP.EXE-1A95A33B.pf
17.02.2009 10:03 81.288 IMAPI.EXE-0BF740A4.pf
17.02.2009 10:03 52.526 PCTSTRAY.EXE-19D5DE12.pf
17.02.2009 10:03 11.698 WSCNTFY.EXE-1B24F5EB.pf
17.02.2009 10:03 19.836 AVMAILC.EXE-02890120.pf
17.02.2009 10:03 23.710 AVWEBGRD.EXE-2F52E572.pf
17.02.2009 10:03 19.728 WMIAPSRV.EXE-1E2270A5.pf
17.02.2009 10:03 17.646 SVCHOST.EXE-3530F672.pf
17.02.2009 10:03 65.394 PCTSAUXS.EXE-248177B2.pf
17.02.2009 10:03 85.172 JQS.EXE-352796B1.pf
17.02.2009 10:03 20.238 HLDASVC.EXE-2A194CFF.pf
17.02.2009 10:03 46.646 PCTSSVC.EXE-0922220E.pf
17.02.2009 10:03 68.200 AVESVC.EXE-21E408EC.pf
17.02.2009 10:03 54.024 AVGUARD.EXE-06E8F94B.pf
17.02.2009 10:00 56.088 TU_LOGONUI.EXE-381C5638.pf
17.02.2009 10:00 6.520 CRASHREPORTER.EXE-38DC7BD9.pf
17.02.2009 09:59 29.520 HIJACKTHIS.EXE-39024128.pf
17.02.2009 09:44 26.014 HDDLIFEPRO.EXE-0965DCF4.pf
17.02.2009 09:44 30.932 TEATIMER.EXE-38E505A8.pf
17.02.2009 09:44 16.476 SSMMGR.EXE-0D465426.pf
17.02.2009 09:44 67.656 AVGNT.EXE-04C2988E.pf
17.02.2009 09:44 11.918 JUSCHED.EXE-336229D9.pf
17.02.2009 09:44 55.566 MOM.EXE-36B2EDCA.pf
17.02.2009 09:44 13.592 READER_SL.EXE-1EA4C8B2.pf
17.02.2009 09:44 15.480 USERINIT.EXE-30B18140.pf
17.02.2009 09:44 8.124 CLISTART.EXE-025897C5.pf
17.02.2009 09:44 12.478 ALCMTR.EXE-235F9538.pf
17.02.2009 09:44 119.952 EXPLORER.EXE-082F38A9.pf
17.02.2009 09:44 10.206 MBAMGUI.EXE-1E06AB95.pf
17.02.2009 09:44 42.960 WGATRAY.EXE-0ED38BED.pf
16.02.2009 21:57 20.434 THREATWORK.EXE-2CC668FF.pf
16.02.2009 21:57 82.504 AD-AWAREADMIN.EXE-1618EEEB.pf
16.02.2009 20:46 47.938 AD-AWARE.EXE-2B8B58D1.pf
16.02.2009 20:46 63.998 AAWSERVICE.EXE-1E1DE6D1.pf
16.02.2009 20:33 62.870 MBAM-SETUP.TMP-05A86BE4.pf
16.02.2009 20:33 19.154 REGSVR32.EXE-25EEFE2F.pf
16.02.2009 20:33 17.646 MBAM-SETUP.EXE-2521B101.pf
16.02.2009 20:32 57.818 AAWDRIVERTOOL.EXE-3120C237.pf
16.02.2009 20:31 55.358 AD-AWAREAE.EXE-063241C2.pf
16.02.2009 20:30 49.526 AD-AWAREAE.EXE-30C10525.pf
16.02.2009 20:27 33.370 RUNDLL32.EXE-454CBE6F.pf
16.02.2009 20:02 15.588 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf
16.02.2009 19:52 42.224 AVCENTER.EXE-18344324.pf
16.02.2009 19:47 57.234 PCTSGUI.EXE-1D6925CB.pf
16.02.2009 19:20 67.334 ACRORD32.EXE-153330F0.pf
16.02.2009 18:35 536.264 Layout.ini
16.02.2009 18:19 77.088 SPANEL.EXE-337EA73E.pf
16.02.2009 12:00 60.948 AVSCAN.EXE-39591059.pf
16.02.2009 11:57 48.074 OIS.EXE-337DD4BD.pf
16.02.2009 11:53 36.142 VLC.EXE-29851A71.pf
16.02.2009 11:52 85.746 USENEXT.EXE-04543AEB.pf
16.02.2009 09:45 45.382 RUNDLL32.EXE-463038BE.pf
16.02.2009 09:34 30.166 CSC.EXE-1113BFA6.pf
16.02.2009 09:34 8.966 CVTRES.EXE-13DEB540.pf
16.02.2009 09:33 79.352 D2P.EXE-00A57F8E.pf
16.02.2009 09:29 144.366 DUMPREP.EXE-1B46F901.pf
16.02.2009 09:29 110.634 DWWIN.EXE-30875ADC.pf
16.02.2009 09:26 23.760 MPLAYERC.EXE-2C78AEED.pf
16.02.2009 09:15 79.528 MPCMDRUN.EXE-1EF164E2.pf
16.02.2009 09:14 49.216 DRWTSN32.EXE-2B4B52AC.pf
15.02.2009 22:35 52.670 HELPSVC.EXE-2878DDA2.pf
15.02.2009 22:33 71.580 DFRGNTFS.EXE-269967DF.pf
15.02.2009 22:33 17.514 DEFRAG.EXE-273F131E.pf
15.02.2009 19:40 19.700 RUNDLL32.EXE-3DD9178E.pf
15.02.2009 13:53 47.324 RUNDLL32.EXE-3401660D.pf
14.02.2009 22:26 70.706 SDUPDATE.EXE-30CF90C0.pf
14.02.2009 22:26 125.844 SPYBOTSD.EXE-1D495A65.pf

Verzeichnis von C:\WINDOWS\tasks

17.02.2009 11:00 478 1-Click Maintenance.job
17.02.2009 10:01 6 SA.DAT
16.02.2009 20:32 470 Ad-Aware Update (Weekly).job

Verzeichnis von C:\WINDOWS\temp

17.02.2009 10:03 16.384 Perflib_Perfdata_8e8.dat
17.02.2009 10:03 16.384 Perflib_Perfdata_94c.dat
17.02.2009 10:02 483 WGAErrLog.txt
17.02.2009 09:44 16.384 Perflib_Perfdata_7cc.dat
16.02.2009 20:29 16.384 Perflib_Perfdata_1298.dat
16.02.2009 09:15 3.256 MpCmdRun.log
14.02.2009 16:15 6.184 MpSigStub.log
07.02.2009 13:45 1.747 SETUP.EXE.log
04.02.2009 21:34 16.384 Perflib_Perfdata_734.dat
04.02.2009 21:29 16.384 Perflib_Perfdata_63c.dat
04.02.2009 21:25 16.384 Perflib_Perfdata_268.dat
04.02.2009 21:14 16.384 Perflib_Perfdata_670.dat
01.01.2009 12:14 13.123 NetFxUpdate_v1.1.4322.log
01.01.2009 02:40 14.883 netfxsl.log

Verzeichnis von C:\DOKUME~1\Gregy\LOKALE~1\Temp

17.02.2009 11:22 118.442 filelist.txt
17.02.2009 11:03 8.200 etilqs_2wVen1VWMGNOPyZwbfJR
17.02.2009 10:55 227.318 Gmer-C.log
17.02.2009 10:40 1.424 sdx6.tmp
17.02.2009 10:08 311.296 ~DF8532.tmp
17.02.2009 10:07 11.332 jusched.log
17.02.2009 09:59 114.688 ~DF1AF0.tmp
17.02.2009 09:44 311.296 ~DFB86E.tmp
16.02.2009 20:33 311.296 ~DFB3C0.tmp
16.02.2009 11:25 16.384 ~DF201B.tmp
14.02.2009 14:58 80.414 Setup Log 2009-02-14 #001.txt
13.02.2009 12:44 5.270 d770_appcompat.txt
12.02.2009 11:42 1.384 wmplog05.sqm
12.02.2009 11:41 1.384 wmplog04.sqm
12.02.2009 11:39 1.384 wmplog03.sqm
12.02.2009 11:39 1.384 wmplog02.sqm
12.02.2009 11:39 1.384 wmplog01.sqm
12.02.2009 11:39 1.384 wmplog00.sqm
10.02.2009 19:23 98 325D7E19.TMP
07.02.2009 14:58 237 633696155089687500.pls
07.02.2009 14:57 255 633696154438593750.pls
07.02.2009 14:48 356 633696148975156250.pls
07.02.2009 14:46 390 633696147644375000.pls
07.02.2009 13:55 1.040 SetAlti.exe0.log
07.02.2009 13:55 13.738 Setup.exe.log
07.02.2009 13:46 640 ssrun.dll(4).log
07.02.2009 13:46 653 ssrun.dll(5).log
07.02.2009 13:46 571 ssrun.dll(3).log
07.02.2009 13:46 550 ssrun.dll(2).log
07.02.2009 13:46 946 ssrun.dll(1).log
07.02.2009 13:46 5.650 NonDeviceInfInstaller.log
07.02.2009 13:45 647 ssrun.dll(0).log
07.02.2009 13:45 1.049 INF Installer.log
07.02.2009 13:45 1.049 Samsung CLP-310 Series(0).log
07.02.2009 13:43 215 INF Scanner Installer.log
07.02.2009 13:43 6.109 PreInstaller.log
06.02.2009 10:11 311.296 ~DF1548.tmp
06.02.2009 08:49 83.798 afl.log
06.02.2009 08:49 136 adb11A.tmp
06.02.2009 08:34 252 adb7.tmp
06.02.2009 08:33 16.384 Perflib_Perfdata_954.dat
04.02.2009 21:48 798.234 IMTF.xml
04.02.2009 21:48 426 IMTE.xml
04.02.2009 21:48 2.036 IMTD.xml
04.02.2009 21:48 798.234 IMTC.xml
04.02.2009 21:48 426 IMTB.xml
04.02.2009 21:48 2.036 IMTA.xml
04.02.2009 21:47 798.234 IMT9.xml
04.02.2009 21:47 426 IMT8.xml
04.02.2009 21:47 2.036 IMT7.xml
04.02.2009 21:47 798.234 IMT6.xml
04.02.2009 21:47 426 IMT5.xml
04.02.2009 21:47 2.036 IMT4.xml
04.02.2009 21:46 798.234 IMT3.xml
04.02.2009 21:46 426 IMT2.xml
04.02.2009 21:46 2.036 IMT1.xml
22.01.2009 12:48 15.255 amt.log
22.01.2009 12:48 6.233 alm.log
22.01.2009 12:48 4.607 csxs-DRWV.log
22.01.2009 12:47 6.455 swtag.log
21.01.2009 15:49 2.241 java_install_reg.log
21.01.2009 15:49 26.909 java_install.log
21.01.2009 15:48 1.058 java_install_sp.log
21.01.2009 15:48 1.532.928 89c3a.mst
21.01.2009 15:48 9.669 jinstall.cfg

ich werde Dir jetzt immer wieder Dateinamen zuschicken, welche Du bitte unter www.virustotal.com/de überprüfen lässt. Bitte klicke immer auf Analysieren, auch wenn dort steht, dass dies Datei schonmal analysiert wurde. Wenn ein Befund in der Liste auftaucht, dann bitte gesamte Log posten.

Fangen wir mit dem Ordner C:\WINDOWS\system32 an:
MRT.exe

mir ist was aufgefallen!

bitte catchme laden und laufen lassen.

Grüße
45cl3p1u5

Sorry, dass ich jetzt erst antworte, habe nicht gesehen, dass es auf Seite 2 schon weitergeht.

So zu 1. habe die Datei MRT.exe wie gewünscht zu virustotal zum Scan gegeben, Ergebnis kommt dann gleich.

catchme lasse ich durchlaufen.

So catchme zeigt keine versteckten prozesse, files oder services, alles bei 0.

Soll ich mal combofix laufen lassen?

virustotal ist überfordert ;-), die File ist zu groß:

Bigger than max permited size / Mayor del tamaño máximo permitido

MRT.exe sollte eigentlich zur Abwehr dienen, so´n Scheiß. und was jetzt?