Hallo erstmal...

bin neu hier und habe ein Problem das ich bis jetzt nochnicht als schlimm empfinde aber weiß ja nicht ob das noch andere Konsequenzen mit sich zieht...

Wenn ich auf dem Arbeitsplatz meine Festplatte durch Doppelklick öffnen möchte lädt es eine Weile dann kommt die Fehlermeldung:

"RECYCLER\S-6-0-31-100029725-100031272-100007274-3400.com" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschliefend auf "Suchen", um eine Datei zu suchen. (die zahlen hinter RECYCLER ändern sich nach jedem Neustart)

Hab auch schon Virenprogramme laufen lassen, die haben zwar was gefunden und den "Eindringling" dann ausser Gefecht gesetzt aber das problem bleibt.

Was mir noch aufgefallen ist, weiß nicht ob es damit zusammen hängt:
1. keiner der Updater der Antivirenprogramme findet den Server und kann dann logischerweiße nicht updaten
2. wenn ich bei Google ein Suchergebnis öffne führt mich der erste klick auf den link immer zu Seiten wie: Emule download, fastload download, etc...
erst beim 2. Klick auf den selben Link führt zum richtigen ergebnis...

Behindert mich zwar alles nicht wirklich am arbeiten und sonstiges, ist aber sehr nervig und weiß nicht ob es noch schlimmere auswirkungen haben kann, über google und die Suchfunktion habe ich nichts gefunden also hoffe ich mir kann hier geholfen werden.

Danke im Voraus!

MfG
Keat89

Hallo und

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hab nun ein anderes Thema erstellt und lösche den Beitrag hier von mir.

Zitat:

Hoffe ich hab alles richtig gemacht.

Nein, leider nicht. Bitte erstelle einen eigenen Thread, nimm als Titel "Recycler konnte nicht gefunden werden" und kopiere alles rüber.

ciao, andreas

Habe noch eine externe Festplatte, welche allerdings gerade mit meinem Vater auf Geschäftsreise ist... hoffe nicht das diese auch befallen ist und das ich das ganze nochmal wiederholen kann falls sie doch Probleme macht...
Aber hier erstmal die Logfile:

ComboFix 09-02-18.01 - Daniel 2009-02-20 0:58:51.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2560.2155 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Daniel\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Outdated)
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\dokume~1\Daniel\LOKALE~1\Temp\tmp1.tmp
c:\dokume~1\Daniel\LOKALE~1\Temp\tmp2.tmp
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\ShoppingReport
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\ShoppingReport\cs\Config.xml
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\ShoppingReport\cs\res2\WhiteList.dbs
c:\programme\Mozilla Firefox\components\iamfamous.dll
c:\recycler\S-1-5-46-100025811-100011540-100005278-5948.com
c:\windows\emMON.exe
c:\windows\system32\B7Me10iw.exe.a_a
c:\windows\system32\config\systemprofile\Anwendungsdaten\ShoppingReport
c:\windows\system32\config\systemprofile\Anwendungsdaten\ShoppingReport\cs\Config.xml
c:\windows\system32\config\systemprofile\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs
c:\windows\system32\config\systemprofile\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs
c:\windows\system32\config\systemprofile\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip
c:\windows\system32\config\systemprofile\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml
c:\windows\system32\config\systemprofile\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml
c:\windows\system32\config\systemprofile\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs
c:\windows\system32\d3d8caps.dat
c:\windows\system32\drivers\gaopdxbbdrmbva.sys
c:\windows\system32\drivers\gaopdxeavwlrnk.sys
c:\windows\system32\drivers\gaopdxewemrsth.sys
c:\windows\system32\drivers\gaopdxmxjbvcjm.sys
c:\windows\system32\drivers\gaopdxpcbqmkdi.sys
c:\windows\system32\gaopdxcounter
c:\windows\system32\gaopdxvppfuwxy.dll
c:\windows\system32\Noeu5LNW.exe.a_a
c:\windows\system32\xT1dnilu.exe.a_a

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys


((((((((((((((((((((((( Dateien erstellt von 2009-01-19 bis 2009-02-19 ))))))))))))))))))))))))))))))
.

2009-02-20 00:44 . 2009-02-20 00:44 <DIR> d-------- c:\programme\CCleaner
2009-02-18 20:01 . 2009-02-19 00:27 <DIR> d--h----- C:\$AVG8.VAULT$
2009-02-18 19:58 . 2009-02-18 19:58 <DIR> d-------- c:\windows\system32\drivers\Avg
2009-02-18 19:58 . 2009-02-18 19:58 <DIR> d-------- c:\programme\AVG
2009-02-18 19:58 . 2009-02-19 19:12 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\avg8
2009-02-18 19:58 . 2009-02-18 19:58 325,128 --a------ c:\windows\system32\drivers\avgldx86.sys
2009-02-18 19:58 . 2009-02-18 19:58 107,272 --a------ c:\windows\system32\drivers\avgtdix.sys
2009-02-18 19:58 . 2009-02-18 19:58 10,520 --a------ c:\windows\system32\avgrsstx.dll
2009-02-15 20:52 . 2009-02-15 20:52 <DIR> d-------- c:\programme\EA Sports
2009-02-15 13:14 . 2009-02-15 13:14 <DIR> d-------- c:\programme\NCSoft
2009-02-09 23:02 . 2009-02-09 23:02 <DIR> d-------- C:\Casino
2009-02-09 19:20 . 2009-02-09 19:20 1,036 --a------ c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Patch-Master.exe.dat
2009-02-09 19:08 . 2009-02-09 19:08 139,647 --a------ c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Patch-Master.exe1.dat
2009-02-09 19:08 . 2009-02-09 19:08 40,185 --a------ c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Patch-Master.exe2.dat
2009-02-09 19:08 . 2009-02-09 19:08 37,471 --a------ c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Patch-Master.exe0.dat
2009-02-09 19:08 . 2009-02-09 19:08 24,430 --a------ c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Patch-Master.exe3.dat
2009-02-09 19:07 . 2009-02-09 19:07 <DIR> d-------- c:\programme\Patch-Master
2009-02-08 22:20 . 2009-02-08 22:20 <DIR> d-------- c:\windows\Easy Rapidshare Points
2009-02-08 22:20 . 2009-02-08 22:20 <DIR> d-------- c:\programme\Easy Rapidshare Points
2009-02-08 00:59 . 2009-02-08 18:50 <DIR> d-------- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Splitscreen Studios
2009-02-08 00:52 . 2009-02-08 00:52 <DIR> d-------- c:\programme\Black Isle
2009-02-07 14:05 . 2009-02-07 14:05 <DIR> d--hs---- C:\found.006
2009-02-06 15:47 . 2009-02-06 15:47 <DIR> d-------- c:\programme\iTunes
2009-02-06 15:47 . 2009-02-06 15:47 <DIR> d-------- c:\programme\iPod
2009-02-06 15:47 . 2009-02-06 15:47 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-02-06 15:46 . 2009-02-06 15:46 <DIR> d-------- c:\programme\QuickTime
2009-02-06 15:40 . 2009-02-06 15:40 <DIR> d-------- c:\programme\Bonjour
2009-02-05 21:50 . 2009-02-05 21:50 42,320 --a------ c:\windows\system32\xfcodec.dll
2009-02-03 19:34 . 2009-02-03 19:37 <DIR> d-------- c:\programme\ICQ6.5
2009-02-03 19:12 . 2009-02-03 19:13 <DIR> d-------- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\ICQ
2009-02-03 19:04 . 2009-02-03 19:08 <DIR> d-------- c:\programme\Common Files
2009-02-03 12:38 . 2009-02-08 04:03 <DIR> d-------- c:\programme\Electronic Arts
2009-02-03 12:03 . 2009-02-03 12:03 <DIR> d--hs---- C:\found.005
2009-01-31 17:38 . 2009-01-31 17:38 <DIR> d-------- c:\programme\MicroSECONDS
2009-01-30 17:16 . 2009-01-30 17:16 20,645 --a------ c:\windows\system32\TuneUpDefragService_20090130-161652.dmp
2009-01-28 17:42 . 2009-01-28 17:42 <DIR> d-------- c:\programme\FaceU
2009-01-28 17:42 . 2006-11-09 14:46 2,262,648 --a------ c:\windows\system32\Flash9b.ocx
2009-01-28 17:42 . 2000-10-02 00:00 102,160 --a------ c:\windows\system32\Vb6chs.dll
2009-01-28 17:42 . 2001-01-16 00:00 101,888 --a------ c:\windows\system32\Vb6stkit.dll
2009-01-28 17:42 . 1998-07-07 00:00 28,160 --a------ c:\windows\system32\Cmdlgchs.dll
2009-01-28 17:42 . 2004-08-18 04:00 20,530 --a------ c:\windows\system32\scrrnchs.dll
2009-01-28 17:42 . 2006-05-26 16:03 12 --a------ c:\windows\system32\szhs.frx
2009-01-27 23:43 . 2009-01-27 23:43 <DIR> d-------- c:\programme\MSXML 4.0
2009-01-24 21:18 . 2009-01-24 21:18 <DIR> d-------- c:\programme\Adobe Design Premium CS3
2009-01-23 19:28 . 2009-01-23 19:35 <DIR> d-------- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\flightgear.org
2009-01-23 19:27 . 2009-01-23 19:28 <DIR> d-------- c:\programme\FlightGear
2009-01-23 17:18 . 2009-01-23 17:18 21,705 --a------ c:\windows\system32\TuneUpDefragService_20090123-161820.dmp
2009-01-22 23:11 . 2009-01-22 23:11 355,584 --a------ c:\windows\system32\TuneUpDefragService.exe
2009-01-22 23:11 . 2008-05-17 14:56 28,416 --a------ c:\windows\system32\uxtuneup.dll
2009-01-21 14:03 . 2009-01-21 14:03 <DIR> d-------- c:\programme\Microsoft IntelliPoint
2009-01-21 14:03 . 2008-12-04 11:34 27,784 --a------ c:\windows\system32\drivers\point32.sys
2009-01-21 12:07 . 2009-01-21 12:07 <DIR> d-------- c:\programme\Ventrilo
2009-01-21 12:07 . 2009-01-21 12:28 <DIR> d-------- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Ventrilo
2009-01-21 12:07 . 2009-01-21 12:07 258 --a------ c:\windows\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-19 17:43 --------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Xfire
2009-02-19 17:43 --------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Hamachi
2009-02-19 15:24 140,216 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-02-19 15:22 201,352 ----a-w c:\windows\system32\PnkBstrB.exe
2009-02-18 23:01 --------- d-----w c:\programme\WebcamMax
2009-02-18 21:41 --------- d-----w c:\programme\Cartoon Maker
2009-02-15 20:00 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2009-02-15 12:14 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-15 12:09 --------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\GetRightToGo
2009-02-12 16:56 --------- d-----w c:\programme\Xfire
2009-02-11 22:28 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft Help
2009-02-11 16:13 --------- d-----w c:\programme\World of Warcraft
2009-02-06 14:47 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2009-01-31 17:23 --------- d-----w c:\programme\SystemRequirementsLab
2009-01-31 16:51 --------- d-----w c:\programme\Steam
2009-01-28 16:52 --------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Skype
2009-01-28 16:36 --------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\skypePM
2009-01-27 22:38 --------- d-----w c:\programme\Microsoft Games
2009-01-24 20:46 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-01-23 18:28 413,696 ----a-w c:\windows\system32\wrap_oal.dll
2009-01-23 18:28 110,592 ----a-w c:\windows\system32\OpenAL32.dll
2009-01-22 22:12 --------- d-----w c:\programme\TuneUp Utilities 2008
2009-01-21 11:07 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-11 19:55 --------- d-----w c:\programme\QIP
2009-01-10 04:02 --------- d-----w c:\programme\THQ
2008-12-23 05:01 --------- d-----w c:\programme\Skype
2008-12-21 22:38 --------- d-----w c:\programme\JoWooD
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-12 10:18 87,336 ----a-w c:\windows\system32\dns-sd.exe
2008-12-12 10:11 61,440 ----a-w c:\windows\system32\dnssd.dll
2008-11-21 21:47 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-11-21 21:47 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-11-21 21:46 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-11-21 21:46 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-11-21 21:44 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-11-21 21:44 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
2008-07-03 12:17 32 ----a-w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\ezsid.dat
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 12:43 27,648 --sh--w c:\windows\system32\Smab0.dll
2008-08-07 21:38 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008080720080808\index.dat
2008-08-08 08:27 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008080820080809\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2008-12-17 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024]
"nwiz"="nwiz.exe" [2008-05-03 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2008-09-26 2356088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\System32\Macromed\Flash\FlashUtil9e.exe" [2007-11-21 218496]

c:\dokumente und einstellungen\Daniel\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
EasyToolz.lnk - c:\dokumente und einstellungen\Daniel\Desktop\Programme u. Setups\EasyToolz.exe [2009-01-22 1391616]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-02-18 19:58 10520 c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
"msacm.dvacm"= c:\progra~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= c:\progra~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= c:\progra~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Daniel^Startmenü^Programme^Autostart^Xfire.lnk]
path=c:\dokumente und einstellungen\Daniel\Startmenü\Programme\Autostart\Xfire.lnk
backup=c:\windows\pss\Xfire.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG8_TRAY]
--a------ 2009-02-18 19:58 1601304 c:\progra~1\AVG\AVG8\avgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BtTray]
--a------ 2007-09-10 10:08 258134 c:\programme\IVT Corporation\BlueSoleil\BtTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CryptLoad]
--a------ 2007-10-26 21:20 143360 c:\dokumente und einstellungen\Daniel\Desktop\Programme u. Setups\Cryptload\RouterClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 10:39 486856 c:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2007-08-24 06:00 33648 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2009-01-06 13:06 290088 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-05-18 10:29 49152 c:\programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
--------- 2005-10-11 17:25 1961984 c:\programme\Ahead\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 09:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2009-01-05 16:18 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2005-12-07 21:57 30208 c:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-10-10 23:32 1410296 c:\programme\Steam\steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS10 Preload]
--------- 2006-08-09 14:27 36864 c:\programme\Ulead Systems\Ulead VideoStudio SE DVD\uvPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS11 Preload]
--------- 2007-07-23 12:55 341232 c:\programme\Ulead Systems\Ulead VideoStudio 11\uvPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-04-01 19:49 36352 c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2002-06-18 11:44 46592 c:\windows\SOUNDMAN.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="c:\programme\Skype\Phone\Skype.exe" /nosplash /minimized
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" -autorun
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WebcamMaxMoniter"="c:\programme\WebcamMax\CAMTHINS.exe" /m
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"HPDJ Taskbar Utility"=c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleilCS.exe"=
"c:\\Programme\\Xfire\\xfire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Flagship Studios\\Hellgate London\\Launcher.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\Ventrilo\\Ventrilo.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Electronic Arts\\Battlefield 2142-Demo\\BF2142.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG8\\avgnsx.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-02-18 325128]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-02-18 107272]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-02-18 298264]
R2 CamthWDM;WebcamMax, WDM Video Capture;c:\windows\system32\drivers\CamthWDM.sys [2008-07-03 243584]
S2 Ca536av;FashionCam Video Camera Device;c:\windows\system32\drivers\Ca536av.sys [2008-05-22 514859]
S3 Apache2.2;Apache2.2;"c:\progra~1\WOWSER~1\data\apache\bin\httpd.exe" -k runservice --> c:\progra~1\WOWSER~1\data\apache\bin\httpd.exe [?]
S3 BS_DEF;BS_DEF;\??\c:\programme\ASUS\ASUSUpdate\BS_DEF.sys --> c:\programme\ASUS\ASUSUpdate\BS_DEF.sys [?]
S3 jgameenp;jgameenp;\??\c:\dokume~1\Daniel\LOKALE~1\Temp\jgameenp.sys --> c:\dokume~1\Daniel\LOKALE~1\Temp\jgameenp.sys [?]
S3 rockusb;Driver for rockusb Device;c:\windows\system32\drivers\rockusb.sys [2006-03-22 73984]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S3 USBCamera;FashionCam Digital Still Camera Device;c:\windows\system32\drivers\Bulk536.sys [2008-05-22 11048]
S3 zlportio;zlportio;\??\c:\dokumente und einstellungen\Daniel\Desktop\Spiele\Ultrastar\zlportio.sys --> c:\dokumente und einstellungen\Daniel\Desktop\Spiele\Ultrastar\zlportio.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-02-19 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-05-17 15:04]

2009-02-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-01-21 c:\windows\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job
- c:\programme\Microsoft IntelliPoint\ipoint.exe [2008-06-10 12:56]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - (no file)
HKLM-Run-emMON - emMON.exe
ShellExecuteHooks-{650CA63D-4A01-4BF8-A608-9B1EBB36292E} - (no file)
MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
MSConfigStartUp-ICQ - c:\programme\ICQ6\ICQ.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yodl.de
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {3188FB46-456D-4C07-8A11-F5F3BBBA8AF2} - hxxp://www.seetoo.com/downloadAddon.php?platform=Win32&browser=ie&ref=icq&c=c092a1a0f528a34ca&browserVersion=7.0
FF - ProfilePath - c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\mdctv8di.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FF - prefs.js: browser.search.selectedEngine - Daniel Moll
FF - prefs.js: browser.startup.homepage - chrome://speeddial/content/speeddial.xul
FF - prefs.js: keyword.URL - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FF - component: c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\mdctv8di.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - component: c:\programme\AVG\AVG8\Firefox\components\avgssff.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\programme\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
FF - plugin: c:\programme\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-20 01:04:09
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"5E7CEC10DF0760D4F8DAFB12FDC06CCD"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{01CEC7E5-70FD-4D06-8FAD-BF21DF0CC6DC}\\Registered"
.
Zeit der Fertigstellung: 2009-02-20 1:06:05
ComboFix-quarantined-files.txt 2009-02-20 00:05:52

Vor Suchlauf: 33 Verzeichnis(se), 12,888,363,008 Bytes frei
Nach Suchlauf: 33 Verzeichnis(se), 13,283,876,864 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /usepmtimer /TUTag=UGV6VU /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /fastdetect /NoExecute=OptIn /usepmtimer /TUTag=UGV6VU-BAK

333 --- E O F --- 2009-02-11 22:30:22

@john.doe

Die beschriebenen Fehler und das Verhalten von Google scheint von einem Trojan.DNSChanger hervorgerufen zu werden. Lass doch mal die DNS der Internetverbindung checken.... IP´s sollten auf automatisch stehen....
Falls dort 85.255.XXX.XXX eingetragen ist erfolgt eine Umleitung auf einen ukrainischen Server, der natürlich die Updates nicht fahren kann. EMULE wurde auch bei mir dann aufgerufen...
Gmer könnte helfen, da der Chanmger mit nem Rootkit kommt

@Redwulf

Danke für die Aufklärung. Davon habe ich ja noch nie gehört.
Die ersten beiden Sätze: http://www.trojaner-board.de/69490-g...tml#post410436
Schau mal hier vorbei: http://www.trojaner-board.de/69884-t...nschanger.html
Schau mal links unter deinem Nick die Anzahl der Beiträge und vergleiche sie mit meinen.

@Keat89

So jetzt haben wir die Voraussetzung dafür geschaffen, dass die anstehende Neuinstallation nicht nutzlos sein wird. Und von Computerbild solltest du dir in Zukunft nichts mehr installieren.

Hier steht warum: http://www.trojaner-board.de/65029-t...tml#post394394

Hier steht wie: http://www.trojaner-board.de/51262-a...sicherung.html

ciao, andreas

Gibts überhaupt keine andere möglichkeit als gleich alles neu zu installieren?

mfg

keat

Du kannst deinem Rechner nicht mehr vertrauen. Falls du kein Onlinebanking machst oder kein Ebay oder vergleichbares Konto hast, dann können wir versuchen weiter zu bereinigen. Alleine die Liste der installierten Dienste jagt mir aber einen Schrecken ein. Die Reinigung wird mindestens 2 Tage dauern und ist eben nicht sicher.

ciao, andreas

hmm naja, kann man wohl nichts machen, aber wie ist das dann wenn ich die wichtigsten daten sichern will auf meiner externen, geht das ohne Probleme oder ist es nicht zu empfehlen?

Als ungefährlich gilt das Sichern von nicht ausführbaren Daten, wie Videos, Bildern, Musik. Gefährlich können ausführbare Dateien sein. Das Risiko lässt sich aber minimieren, wenn sie vor Zurückspielen mit mehreren aktuellen Scannern getestet werden.

ciao, andreas

Hallo,

zu aller erst: Danke für die generelle Hilfsbereitschaft; ich lese jetzt schon den ganzen Nachmittag hier, und ihr so viel Engagement ist schon beeindruckend.

Dann: Ich poste hier eigentlich hauptsächlich, weil im Thread steht, dass man Combifix nicht ohne Anweisung verwenden sollte. Die Symptome sind bei mir die gleichen, also:

1.) XP öffnete im Arbeitsplatz keine Festplatten mehr (gleiche Fehlermeldung), im Explorer aber schon.
2.) Ich bin häufig im Internet redirected worden (nur IE, Opera war stabil), unter anderem -tadaa- auch in dieses Board hier.
3.) Ich habe diverse Verknüpfungen auf dem Desktop installiert bekommen, und diverse pop-up-Warnungen (die mir alle fake aussahen).
4.) Die Virenscanner konnten nicht updaten bzw. gar nicht erst als Demo runtergeladen werden.

Ich habe dann Windows drüberinstalliert, ohne Erfolg. Dann Windows auf der anderen Partition installiert, mit folgendem Effekt: Ich hatte zwar die gleichen Symptome, abgesehen von Popups, aber konnte Avira updaten und durchlaufen lassen.

Hier das Filelog:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 22. Februar 2009  12:30

Es wird nach 1258799 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 1)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     DISCWORLD2

Versionsinformationen:
BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.11.2008 08:21:23
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 11:30:06
ANTIVIR2.VDF  : 7.1.2.55      248832 Bytes  20.02.2009 11:30:07
ANTIVIR3.VDF  : 7.1.2.59        9728 Bytes  21.02.2009 11:30:07
Engineversion : 8.2.0.87  
AEVDF.DLL     : 8.1.1.0       106868 Bytes  22.02.2009 11:30:13
AESCRIPT.DLL  : 8.1.1.47      348539 Bytes  22.02.2009 11:30:12
AESCN.DLL     : 8.1.1.7       127347 Bytes  22.02.2009 11:30:11
AERDL.DLL     : 8.1.1.3       438645 Bytes  04.11.2008 13:58:38
AEPACK.DLL    : 8.1.3.8       397684 Bytes  22.02.2009 11:30:11
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  22.02.2009 11:30:10
AEHEUR.DLL    : 8.1.0.97     1610103 Bytes  22.02.2009 11:30:10
AEHELP.DLL    : 8.1.2.0       119159 Bytes  22.02.2009 11:30:09
AEGEN.DLL     : 8.1.1.20      336245 Bytes  22.02.2009 11:30:08
AEEMU.DLL     : 8.1.0.9       393588 Bytes  14.10.2008 10:05:56
AECORE.DLL    : 8.1.6.6       176501 Bytes  22.02.2009 11:30:08
AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 10:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 12:02:15
AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: d:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 22. Februar 2009  12:30

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '16' Prozesse mit '16' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '40' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\fejokt.dll
    [FUND]      Ist das Trojanische Pferd TR/Downloader.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\Temp\tempo-3039843.tmp
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\Temp\tempo-3040062.tmp
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Famine\Lokale Einstellungen\Temp\bootmatrix.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Famine\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1JZK0RP9\wmv9VCM[1].CAB
    [0] Archivtyp: CAB (Microsoft)
    --> WMV9VCM.dll
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\Famine\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HZ88RT8J\mw3v12[1].exe
    [0] Archivtyp: CAB SFX (self extracting)
    --> \Disk1\_ISDel.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{23F67BEB-314B-46B5-B3C8-A3707371564A}\RP249\A0261232.rbf
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d33d0e.qua' verschoben!
C:\System Volume Information\_restore{23F67BEB-314B-46B5-B3C8-A3707371564A}\RP249\A0261233.rbf
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d33d12.qua' verschoben!
C:\System Volume Information\_restore{23F67BEB-314B-46B5-B3C8-A3707371564A}\RP250\A0261262.rbf
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d33d15.qua' verschoben!
C:\System Volume Information\_restore{1244FABE-F225-4CF1-96EE-4D771358D2E6}\RP3\A0001233.dll
    [FUND]      Ist das Trojanische Pferd TR/Downloader.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d13d2e.qua' verschoben!
C:\System Volume Information\_restore{1244FABE-F225-4CF1-96EE-4D771358D2E6}\RP3\A0001234.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d13d31.qua' verschoben!
C:\RECYCLER\S-0-7-75-100022490-100025824-100019200-3370.com
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d13d3a.qua' verschoben!
C:\Recycled\Dc2.exe
    [0] Archivtyp: NSIS
    --> ProgramFilesDir/bootmatrix.exe
      [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Recycled\Dc3.exe
    [FUND]      Ist das Trojanische Pferd TR/Downloader.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Musik\Rollenspiel Musik\Keltische Musik\best of scotland - highland bagpipes 2CDs 192kps.ace
    [0] Archivtyp: ACE
    --> Highlands - Highland Cathedral.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\'
D:\RECYCLER\S-0-7-75-100022490-100025824-100019200-3370.com
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
D:\System Volume Information\_restore{1244FABE-F225-4CF1-96EE-4D771358D2E6}\RP3\A0001238.com
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d14522.qua' verschoben!
D:\System Volume Information\_restore{23F67BEB-314B-46B5-B3C8-A3707371564A}\RP252\A0262984.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gampass.BH
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3452e.qua' verschoben!
D:\System Volume Information\_restore{23F67BEB-314B-46B5-B3C8-A3707371564A}\RP252\A0262985.exe
    [FUND]      Ist das Trojanische Pferd TR/Agent.74877
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d34535.qua' verschoben!


Ende des Suchlaufs: Sonntag, 22. Februar 2009  13:32
Benötigte Zeit:  1:01:38 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   8727 Verzeichnisse wurden überprüft
 612744 Dateien wurden geprüft
     17 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      7 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      9 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 612726 Dateien ohne Befall
   4537 Archive wurden durchsucht
      4 Warnungen
     16 Hinweise
         

HTJ ergab folgendes:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.97.7
Scan saved at 13:54:24, on 22.02.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Gekröse\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.avira.de/
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "D:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
         

Ich lasse gerade Anti-Malware laufen, und habe mich prinzipiell damit abgefunden, dass ich das System neu aufsetzen muss. Meine Fragen sind nur:

Macht es Sinn, vorher noch andere Tools laufen zu lassen?
Reicht es, die D:\-Partition neu zu formatieren, oder muss die C:\-Partition, auf der nahezu alle Programme und Daten installiert sind, auch dran glauben?

Vielen Dank im Voraus, ich hoffe, ich habe keine allzu groben Regelverstöße begangen.

Edit:

Hier das Malware-Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1792
Windows 5.1.2600 Service Pack 1

22.02.2009 18:35:48
mbam-log-2009-02-22 (18-35-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 230388
Laufzeit: 38 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Okay, ich habe jetzt die D:\-Partition formatiert, Windows neu installiert und als Ergebnis nur, dass ich jetzt wieder ohne Probleme auf die D-Platte aus dem Arbeitsplatz zugreifen kann, nicht aber auf die C-Platte. Gibt's eine Möglichkeit, sich da das Formatieren zu sparen?

Zitat:

Zitat von john.doe

@Redwulf

Danke für die Aufklärung. Davon habe ich ja noch nie gehört.
Die ersten beiden Sätze: http://www.trojaner-board.de/69490-g...tml#post410436
Schau mal hier vorbei: http://www.trojaner-board.de/69884-t...nschanger.html
Schau mal links unter deinem Nick die Anzahl der Beiträge und vergleiche sie mit meinen.

Danke für die Aufklärung

neuer thread erstellt und alten gelöscht....