Hallo!
Meinn Avira AntiVir hat den Trojaner auf meinem Rechner entdeckt und das avira removal tool bekommt ihn nicht weg. auch spybot search&destroy war nicht erfolgreich.
Hier mein aktueller HijackThis log-file, ich hoffe, ihr könnt mmir helfen:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:37, on 18.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\EeePC\ACPI\AsTray.exe
C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
C:\Programme\EeePC\ACPI\AsEPCMon.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Elantech\ETDCtrl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Anne Katrin Hoffmann\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231440667875
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1231440647375
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe

--
End of file - 7470 bytes

Danke!

Guten Morgen happen.

Wo findet Avira den Trojaner? Der komplette Pfad ist wichtig.

Deinstalliere bitte SpybotSD.

Hi undoreal!
Danke für die schnelle Reaktion! Ich bin gerade noch in USA, deswegen Zeitverschiebung und verzögerte Reaktion.

Well, ichh bin, was Würmer angeht, ziemlich unwissend. Also, Avira findet die Wurmabkömmlinge auf D:/, dem Teil der partitionierten Festplatte, der KEINE Programme enthält (was ein glück?)

Ich hab´ mal den Teil des Avira-Scanprotokolls kopiert, wo die Fehlermeldungen bzw. Funde beginnen, ich hoffe, du meinst das:


Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
D:\D.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\Data Elements guest.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\anne_tp\anne_tp.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\BBdivers\BBdivers.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\California2009\California2009.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\eeectl_0.2.4\eeectl_0.2.4`.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\JR\JR.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\JR\rohmaterial\rohmaterial.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\JR\rohmaterial\pics\pics.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\JR\rohmaterial\Rezepte\Rezepte.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\JR\rohmaterial\tempmf280109\tempmf280109.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\lame3.98\lame3.98`.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\Lgx4ClipReader\Lgx4ClipReader.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP24\A0007679.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP24\A0007682.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP24\A0007683.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP24\A0007684.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP24\A0007685.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP24\A0007686.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP24\A0007687.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP24\A0007688.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP24\A0007689.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP24\A0007690.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP24\A0007691.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP24\A0007692.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP24\A0007693.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.

Spybot schmeiß ich runter, und dann?

danke!

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.


Update die AntiVir Signaturen und führe einen Scan im abgesicherten Modus durch. So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich

Nutze dazu die aggresiven Scan Einstellungen wie hier beshrieben:
http://www.trojaner-board.de/54192-a...tellungen.html

Super!
Es scheint funktioniert zu haben, den Wurm hab´ ich seit knapp 24h nicht mehr gesehen.

Thanx a lot, undoreal!!