Hallo zusammen,
ich habe heute einen TR/Dropper.gen mittels Antivir Scan festgestellt. Desweiteren werde ich bei Klicks auf google Suchergebnisse immer auf falsche Seiten umgeleitet. Häufig steht in der Adressleiste etwas mit windowsclick...
Da ich überhaupt keine Ahnung von der Materie habe möchte ich euch um Hilfe bitten.

Den TR/Dropper.gen habe ich gelöscht wie in der Avira log Datei zu sehen ist.
Ich habe alles gemacht was in dem Thread für Hilfesuchende beschrieben ist. Malwarebytes Anti-Malware konnte ich leider jedoch nicht ausführen. (Siehe auch kurz vor HijackThis Logfile.)

Ich hoffe mal mir kann hier geholfen werden. Ist eine Formatierung und Neuinstallation des BS vielleicht der schnellere Weg? Ich hoffe doch nicht...

Wenn noch mehr Infos benötigt werden, sagt mir welche!

Grüße Atze

Avira Log:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 10. April 2009  17:34

Es wird nach 1346528 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     LAPTOP

Versionsinformationen:
BUILD.DAT     : 8.2.0.347      16934 Bytes  16.03.2009 14:45:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.11.2008 08:21:23
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 14:33:52
ANTIVIR2.VDF  : 7.1.3.0      1330176 Bytes  01.04.2009 09:12:41
ANTIVIR3.VDF  : 7.1.3.41      162304 Bytes  10.04.2009 15:18:11
Engineversion : 8.2.0.138 
AEVDF.DLL     : 8.1.1.0       106868 Bytes  30.01.2009 21:51:32
AESCRIPT.DLL  : 8.1.1.73      373114 Bytes  08.04.2009 09:12:49
AESCN.DLL     : 8.1.1.10      127348 Bytes  08.04.2009 09:12:47
AERDL.DLL     : 8.1.1.3       438645 Bytes  04.11.2008 13:58:38
AEPACK.DLL    : 8.1.3.12      397687 Bytes  08.04.2009 09:12:46
AEOFFICE.DLL  : 8.1.0.36      196987 Bytes  01.03.2009 13:59:06
AEHEUR.DLL    : 8.1.0.114    1700214 Bytes  08.04.2009 09:12:44
AEHELP.DLL    : 8.1.2.2       119158 Bytes  01.03.2009 13:59:04
AEGEN.DLL     : 8.1.1.33      340340 Bytes  08.04.2009 09:12:43
AEEMU.DLL     : 8.1.0.9       393588 Bytes  14.10.2008 10:05:56
AECORE.DLL    : 8.1.6.7       176502 Bytes  08.04.2009 09:12:42
AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 10:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 12:02:15
AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 10. April 2009  17:34

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qip.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Tl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tagsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nisvcloc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nidmsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nimxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lktsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgcc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lkads.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [1381]: Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '49' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UDBKT83A\tomi[1].htm
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 10. April 2009  20:35
Benötigte Zeit:  3:01:11 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   6479 Verzeichnisse wurden überprüft
 324057 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      1 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      3 Dateien konnten nicht durchsucht werden
 324053 Dateien ohne Befall
   6582 Archive wurden durchsucht
      4 Warnungen
      1 Hinweise
         

Malwarebytes lässt sich nicht ausführen... (es passiert einfach nichts bzw. das Programm startet nicht). Bei der Installation der selbigen Software trat der selbe Fehler auf. Ich habe im Browser dann nicht "gespeichert" sondern direkt "ausgeführt" dann ging die Installation. Aber jetzt ist das selbe Problem beim Programmstart...





Hijackthis:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40:47, on 10.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVGANT~1\avgcc32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\AVGANT~1\avgserv.exe
C:\Programme\VPN Client\cvpnd.exe
C:\WINDOWS\system32\lkads.exe
C:\WINDOWS\system32\lktsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\National Instruments\MAX\nimxs.exe
C:\Programme\National Instruments\Shared\Security\nidmsrv.exe
C:\WINDOWS\system32\nisvcloc.exe
C:\Programme\National Instruments\Shared\Tagger\tagsrv.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\AVGANT~1\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Navigationssystem\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Navigationssystem\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Navigationssystem\inetrepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{43DE11A3-C5CE-4AEB-BFA0-7B42995A647E}: NameServer = 217.237.150.188 217.237.151.142
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG6 Service (AvgServ) - GRISOFT(c) SOFTWARE s.r.o - C:\PROGRA~1\AVGANT~1\avgserv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\VPN Client\cvpnd.exe
O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINDOWS\system32\lkcitdl.exe
O23 - Service: National Instruments PSP Server Locator (lkClassAds) - National Instruments, Inc. - C:\WINDOWS\system32\lkads.exe
O23 - Service: National Instruments Time Synchronization (lkTimeSync) - National Instruments, Inc. - C:\WINDOWS\system32\lktsrv.exe
O23 - Service: NI Configuration Manager (mxssvr) - National Instruments Corporation - C:\Programme\National Instruments\MAX\nimxs.exe
O23 - Service: National Instruments Domain Service (NIDomainService) - National Instruments, Inc. - C:\Programme\National Instruments\Shared\Security\nidmsrv.exe
O23 - Service: NILM License Manager - Macrovision Corporation - C:\Programme\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments Corp. - C:\WINDOWS\system32\nisvcloc.exe
O23 - Service: National Instruments Variable Engine (NITaggerService) - National Instruments, Inc. - C:\Programme\National Instruments\Shared\Tagger\tagsrv.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe (file missing)

--
End of file - 7468 bytes
         

Programme:

Code: Alles auswählenAufklappen

ATTFilter

abramania - poker duell - freeware 1.0 
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player 10 ActiveX
Adobe Reader 8.1.2 - Deutsch
AVG 6.0 Anti-Virus - FREE Edition
Avira AntiVir Personal - Free Antivirus
Battlefield 2(TM)
Burn4Free CD and DVD
Burn4Free Toolbar
Canon Camera Access Library
Canon Camera Support Core Library
CANON iMAGE GATEWAY Task for ZoomBrowser EX
Canon Internet Library for ZoomBrowser EX
Canon RAW Image Task for ZoomBrowser EX
Canon Utilities CameraWindow
Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
Canon Utilities Digital Photo Professional 3.3
Canon Utilities EOS Utility
Canon Utilities MyCamera
Canon Utilities Original Data Security Tools
Canon Utilities PhotoStitch
Canon Utilities Picture Style Editor
Canon Utilities RemoteCapture Task for ZoomBrowser EX
Canon Utilities ZoomBrowser EX
Canon ZoomBrowser EX Memory Card Utility
CCleaner (remove only)
CDCopy
Command & Conquer Generals
CorelDRAW 10
CorelDRAW 10_TV
DivX Player
DivX Pro Codec Adware
Google Earth
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
ICQ  Toolbar
ICQ6
ID3-TagIT 3
J2SE Development Kit 5.0 Update 9
J2SE Runtime Environment 5.0 Update 9
KTP Ware PS/2-WDM 5.0.0.1
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 1
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Language Pack - deu
Microsoft .NET Framework 3.5 Language Pack - DEU
Microsoft ActiveSync 3.8
Microsoft Office XP Professional mit FrontPage
MSXML 6 Service Pack 2 (KB954459)
Multimedia / Internet Keyboard Driver VerR8.15
National Instruments-Software
NI EULA Depot
NI MDF Support
Orcad Family Release 9.2 Lite Edition
PhotoNow! 1.0
PowerDVD
QIP 2005 8080
Realtek AC'97 Audio
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 9 (KB911565)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950759)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953838)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956390)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Simple Sudoku 4.2
Soft Spkerphone Modem with SmartSP
Turbo Lister 2
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VIA Rhine-Family Fast Ethernet Adapter
VIA/S3G Display Driver
VLC media player 0.9.8a
VPN Client
Winamp (Remove Only)
Windows Imaging Component
Windows XP Service Pack 3
WinRAR Archivierer
Wolfram Notebook Indexer 1.1
XML Paper Specification Shared Components Language Pack 1.0
         

Hallo und

GMER - Rootkit Detection

• Lade Trallala von file-upload.net
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Trallala.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

Während des Scans mit Trallala.exe wird der Rechner wie von geisterhand neu gestartet... Was nun? Ich habe es bereits zwei mal probiert...

Nimm alle Haken raus und lass nur den bei Registry drin und versuche es erneut.

ciao, andreas

Dann kommt die Meldung:

"GMER hasn't found any system modification."

OK. Schonmal ein gutes Zeichen. Jetzt nochmal alle Haken raus, bis auf Files.

ciao, andreas

Es kommt die selbe Meldung, allerdings habe ich das Gefühl, dass gar nicht gescannt wird. (Die Meldung kommt unmittelbar nach dem klick auf Scan)

Beende Trallala und starte es neu. Entferne die ersten neun Haken. Die Haken bei Registry, Files, C: und ADS bleiben. Klicke auf Scan. Im unteren kleinen weißen Fenster müssen Meldungen durchlaufen.

ciao, andreas

hab ich gemacht... es wird aber scheinbar nur die registry gescannt... das ist nach einigen sekunden fertig und dann kommt wieder besagte meldung

Entscheide dich für ein Antivirenprogramm und deinstalliere das andere. AVG oder Avira, aber niemals zwei.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Gleiches Problem wie bei Malwarebytes... Nach einem Doppeklick auf die Combofix Datei tut sich nichts. Sorry da kommen so viele Vorschläge und jedesmal hakt es. Aber ich kann nichts dafür :-)
Auch wenn ich diese Datei von der Microsoft Seite auf die Combofix.exe schiebe passiert nichts...

Bennene combofix.exe um in ArmutszeugnisFuerKaspersky.com und versuche es nochmal.

ciao, andreas

so da bin ich wieder:

1. Nachdem ich die Datei umbenannt hatte, kam nach dem öffnen ein kleiner ladebalken + Combofix Schriftzug. Daraufhin passierte nichts.

2. Das draggen und droppen der MS Datei auf die Armutszeugnis....com bewirkte einen Programmstart es kam aber kurz darauf eine Fehlermeldung (leider nicht notiert).

3. Dann hab ich es nochmal so probiert zu öffnen (wie in 1.). Dann kam die Fehlermeldung dass Combofix nicht in Armutszeugnis....com umbenannt werden kann.

4. Ich habe die Datei zurückumbenannt in Combofix.exe und ausgeführt. Dann ging es inklusive einem Download der MS Systemwiederherstellungskonsole...

Beim Neustart hat Antivir sich über Combofix\N_\30597 beschwert:
"Enthält Code des Eicar-Test-Signature Virus"
Diese Beschwerde habe ich "ignoriert".

Ich habe dann folgendes als log Datei erhalten:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 09-04-04.01 - xxx 2009-04-11  0:23:48.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.446.195 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\Combofix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\UACkcpawoll.sys
c:\windows\system32\Inetde.dll
c:\windows\system32\UACbbuhphra.db
c:\windows\system32\UACdmfrkrhm.log
c:\windows\system32\UACfyrcxvvo.dll
c:\windows\system32\UACimoneved.dll
c:\windows\system32\uacinit.dll
c:\windows\system32\UACjdndoywl.dll
c:\windows\system32\UACjvdetcto.log
c:\windows\system32\UACowpyoujy.dll
c:\windows\system32\UACsoylkydt.dat
c:\windows\system32\UACtupkabea.dll
c:\windows\system32\UACufnaywvy.log
c:\windows\system32\UACxminfnpj.dll
F:\Autorun.inf

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys


(((((((((((((((((((((((   Dateien erstellt von 2009-03-10 bis 2009-04-10  ))))))))))))))))))))))))))))))
.

2009-04-11 00:09 . 2009-04-11 00:09	<DIR>	d--------	C:\ArmutszeugnisFuerKaspersky
2009-04-10 22:22 . 2009-04-10 22:54	<DIR>	d--------	c:\programme\Biet-O-Matic
2009-04-10 22:22 . 1998-06-23 23:00	209,192	--a------	c:\windows\system32\Tabctl32.ocx
2009-04-10 22:22 . 1998-07-05 23:00	158,208	--a------	c:\windows\system32\Mscmcde.dll
2009-04-10 22:22 . 2000-10-01 23:00	125,712	--a------	c:\windows\system32\vb6de.dll
2009-04-10 22:22 . 2000-05-22 15:58	115,920	--a------	c:\windows\system32\msinet.ocx
2009-04-10 22:22 . 2000-12-05 23:00	109,248	--a------	c:\windows\system32\Mswinsck.ocx
2009-04-10 22:22 . 1998-07-05 23:00	22,528	--a------	c:\windows\system32\Tabctde.dll
2009-04-10 22:22 . 2000-04-03 19:06	16,896	--a------	c:\windows\system32\winskde.dll
2009-04-10 22:22 . 1999-07-14 13:07	6,656	--a------	c:\windows\system32\stdftde.dll
2009-04-10 21:32 . 2009-04-10 21:34	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2009-04-10 21:32 . 2009-04-10 21:32	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-10 21:32 . 2009-04-06 15:32	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-10 21:32 . 2009-04-06 15:32	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-04-10 21:12 . 2009-04-10 21:12	<DIR>	d--------	c:\programme\CCleaner
2009-04-10 16:15 . 2009-04-10 16:15	<DIR>	d--------	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Canon
2009-04-10 16:06 . 2008-04-14 03:22	159,232	--a------	c:\windows\system32\ptpusd.dll
2009-04-10 16:06 . 2008-04-13 19:45	15,104	--a------	c:\windows\system32\drivers\usbscan.sys
2009-04-10 16:06 . 2008-04-13 19:45	15,104	--a--c---	c:\windows\system32\dllcache\usbscan.sys
2009-04-10 16:06 . 2001-08-18 04:54	5,632	--a------	c:\windows\system32\ptpusb.dll
2009-04-10 16:02 . 2009-04-10 16:02	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2009-04-10 16:00 . 2009-04-10 16:03	<DIR>	d--------	c:\programme\Canon
2009-04-10 15:58 . 2009-04-10 22:57	1,896,749	--a------	c:\windows\system32\uactmp.db
2009-04-10 15:51 . 2009-04-10 15:51	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Canon
2009-04-10 15:03 . 2009-04-10 15:03	<DIR>	d--------	c:\programme\Turbo Lister 2
2009-04-10 15:03 . 2009-04-10 15:03	<DIR>	d--------	c:\dokumente und einstellungen\All Users\eBay
2009-03-20 15:23 . 2009-03-20 15:23	1,044,480	-ra------	c:\windows\system32\roboex32.dll
2009-03-10 19:23 . 2009-03-10 19:23	615	--a------	c:\windows\eReg.dat
2009-03-10 19:11 . 2009-03-10 21:33	<DIR>	d--------	C:\Spiele

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-10 13:04	---------	d--h--w	c:\programme\InstallShield Installation Information
2009-04-08 12:58	---------	d-----w	c:\programme\VPN Client
2009-03-29 17:04	---------	d-----w	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Simple Sudoku
2009-02-09 14:04	1,846,912	----a-w	c:\windows\system32\win32k.sys
2009-02-01 12:06	48,944	----a-w	c:\dokumente und einstellungen\xxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-01-02 09:51	4,013	----a-w	c:\programme\uninstal.log
2005-10-12 14:04	131,072	----a-w	c:\programme\internet explorer\plugins\LV80ActiveXControl.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco Systems VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Cisco Systems VPN Client.lnk
backup=c:\windows\pss\Cisco Systems VPN Client.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG_CC]
--a------ 2004-03-05 07:00 345661 c:\progra~1\AVGANT~1\avgcc32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CMESys]
--a------ 2005-02-16 22:23 90112 c:\programme\Gemeinsame Dateien\CMEII\CMESys.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 04:22 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2005-01-04 12:27 405583 c:\programme\Navigationssystem\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KTPWare]
-ra------ 2005-04-04 05:46 253952 c:\programme\Elantech\Ktp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 21:24 32768 c:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2006-10-12 04:10 49263 c:\programme\Java\jre1.5.0_09\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2006-02-28 19:17 24576 c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CHotkey]
--a------ 2001-12-26 15:12 472576 c:\windows\mHotkey.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2005-02-23 12:13 77824 c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
-ra------ 2004-10-22 05:53 53248 c:\windows\system32\VTTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\National Instruments\\LabVIEW 8.0\\LabVIEW.exe"=
"c:\\Programme\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\Navigationssystem\\wcescomm.exe"=
"c:\\Programme\\Navigationssystem\\WCESMgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 AvgCore;AVG6 Kernel;c:\progra~1\AVGANT~1\avgcore.sys [2006-03-12 453664]
R2 AvgFsh;AVG6 Rezident Driver;c:\progra~1\AVGANT~1\avgfsh.sys [2006-03-12 19136]
R2 AvgServ;AVG6 Service;c:\progra~1\AVGANT~1\avgserv.exe [2006-03-12 20480]
R3 HSFHWVIA;HSFHWVIA;c:\windows\system32\drivers\HSFHWVIA.sys [2006-01-02 218752]
R3 Ktp;Elantech Touchpad;c:\windows\system32\drivers\Ktp.sys [2006-01-02 25984]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Advanced DHTML Enable - c:\dokumente und einstellungen\xxx\so7.exe
MSConfigStartUp-Cleanup - c:\dokume~1\KLKER~1\LOKALE~1\Temp\20062261910_mcappins.exe
MSConfigStartUp-ICQ Lite - c:\programme\ICQ\ICQLite.exe
MSConfigStartUp-msci - c:\dokume~1\KLKER~1\LOKALE~1\Temp\20062261910_mcinfo.exe
MSConfigStartUp-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: add to &BOM - c:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2009-04-11 00:27:32
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-04-11  0:30:01
ComboFix-quarantined-files.txt  2009-04-10 22:29:46

Vor Suchlauf: 14 Verzeichnis(se), 23,150,133,248 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 23,560,232,960 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

164	--- E O F ---	2009-03-13 11:41:45
         

Gut. MalwareBytes gleich im Anschluss. Das sollte jetzt wieder laufen.

ciao, andreas

Gut das läuft jetzt über Nacht... Ich geh dann mal schlafen und berichte morgen weiter! Vielen Dank schon mal für die kompetente Hilfe!