Avira Antivir startet nicht mehr regulär wenn der PC hochgefahren wird.
Bin alle Schritte wie empfohlen durchgegangen CCleaner, Malwarebytes-Anti-Malware.
Interessanterweiße startet Antivir nur direkt nach dem Neustart welcher auf die Malwarebytes-Anti-Malware Suchroutine folgt!

Malwarebytes-Anti-Malware findet immer wieder die selben "Probleme" (allerdings erst beim Extra+Heuristik check). Das aktuelle Log-file ist ebenfalls attached.

Bei einem zwischenzeitlichen Antivir Durchlauf wurden etliche Trojaner entdeckt und entfernt. Aktuell findet Avira nichts mehr.

Kann hier jemand helfen?

Hallo und

Poste bitte die Logs von Malwarebytes.

1.) Seit wann genau hast du Probleme?

2.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

3.) Start => Ausführen => cmd => OK

sc stop COMSysAppPACSPTISVR [Enter]
exit [Enter]

4.) Lade die Datei

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\12520850i.exe
         

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

ciao, andreas

Andreas, vielen Dank für die superschnelle Reaktion!!

Die besagte Datei C:\WINDOWS\system32\12520850i.exe lade ich gleich hoch.

Zu den RSIT-Files - RSIT-Info ist attached, beim log-file wird die zulässige Dateigröße überschritten. Ich könnte diese auch auf meinen Server laden?

Das letzte Mbam Logfile hatte ich zuvor bereits nachträglich der ersten Problembeschreibung hinzugefügt.

Hoffe das macht alles Sinn so.

Hochladen und Link posten oder in mehreren Teil posten.

ciao, andreas

Zitat:

Zitat von john.doe

4.) Lade die Datei

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\12520850i.exe
         

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Hmm, ich sehe die Datei, allerdings kann ich sie nicht hochladen, weil es heißt "C:\WINDOWS\system32\12520850i.exe specified one or more files which couldn´t be found" . Ich kann die Datei auch nicht kopieren etc. da ich die Meldung bekomme, d. die Datei gerade verwendet wird.

Das RSIT-Log-file habe ich per File-upload hochgeladen und zusätzlich hier abgelegt -
h**p://www.deko-trade.ru/dekotrade/RSIT_log.txt

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hallo Andreas,

Vielen Dank für die exzellente Hilfe! Es sieht ganz so aus wie wenn das Problem dadurch gelöst wurde!
Ich habe mich strikt an deine Anleitung gehalten und die Datei C:\WINDOWS\system32\12520850i.exe wurde dabei von ComboFix gelöscht.
Danach ist bei zwei aufeinanderfolgenden Versuchen AntiVir wieder ganz normal hochgefahren! Genial ...

Hier ist das Log-File von ComboFix -

ComboFix 09-05-28.09 - rhino 30.05.2009 0:22.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1279.915 [GMT 4:00]
ausgeführt von:: c:\dokumente und einstellungen\rhino\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\12520850i.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ACPI32
-------\Legacy_ATI64SI
-------\Legacy_COMSYSAPPPACSPTISVR
-------\Legacy_FIPS32CUP
-------\Legacy_KSI32SK
-------\Legacy_NETSIK
-------\Legacy_NICSK32
-------\Legacy_SECURENTM
-------\Legacy_SYSTEMNTMI
-------\Service_COMSysAppPACSPTISVR


((((((((((((((((((((((( Dateien erstellt von 2009-04-28 bis 2009-05-29 ))))))))))))))))))))))))))))))
.

2009-05-29 19:12 . 2009-05-29 19:12 -------- d-----w C:\rsit
2009-05-29 17:48 . 2009-05-29 17:48 -------- d--h--w c:\windows\PIF
2009-05-28 18:57 . 2009-05-28 18:57 -------- d-----w c:\dokumente und einstellungen\rhino\Anwendungsdaten\Malwarebytes
2009-05-28 18:57 . 2009-05-26 09:20 40160 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-28 18:57 . 2009-05-28 18:57 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-28 18:57 . 2009-05-28 18:57 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-28 18:57 . 2009-05-26 09:19 19096 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-28 18:49 . 2009-05-28 18:49 -------- d-----w c:\programme\CCleaner
2009-05-26 21:11 . 2009-05-26 22:16 -------- d-----w c:\windows\BDOSCAN8
2009-05-26 20:58 . 2009-05-26 20:58 410984 ----a-w c:\windows\system32\deploytk.dll
2009-05-26 20:50 . 2009-05-26 20:50 152576 ----a-w c:\dokumente und einstellungen\rhino\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-05-26 20:30 . 2009-05-26 20:30 -------- d-----w c:\programme\Trend Micro
2009-05-23 22:32 . 2008-04-14 03:52 116736 -c--a-w c:\windows\system32\dllcache\xrxwiadr.dll
2009-05-23 22:32 . 2001-08-18 00:54 23040 -c--a-w c:\windows\system32\dllcache\xrxwbtmp.dll
2009-05-23 22:32 . 2008-04-14 03:52 19456 -c--a-w c:\windows\system32\dllcache\xrxscnui.dll
2009-05-23 22:32 . 2001-08-18 00:55 4608 -c--a-w c:\windows\system32\dllcache\xrxflnch.exe
2009-05-23 22:32 . 2001-08-18 00:55 27648 -c--a-w c:\windows\system32\dllcache\xrxftplt.exe
2009-05-23 22:32 . 2001-08-18 00:55 99865 -c--a-w c:\windows\system32\dllcache\xlog.exe
2009-05-23 22:32 . 2001-08-17 08:11 16970 -c--a-w c:\windows\system32\dllcache\xem336n5.sys
2009-05-23 22:32 . 2008-04-13 18:04 19455 -c--a-w c:\windows\system32\dllcache\wvchntxx.sys
2009-05-23 22:32 . 2008-04-13 18:04 12063 -c--a-w c:\windows\system32\dllcache\wsiintxx.sys
2009-05-23 22:30 . 2001-08-17 08:12 34375 -c--a-w c:\windows\system32\dllcache\tpro4.sys
2009-05-23 22:29 . 2001-08-18 00:35 161888 -c--a-w c:\windows\system32\dllcache\sgsmusb.sys
2009-05-23 22:28 . 2001-08-17 10:07 5504 -c--a-w c:\windows\system32\dllcache\perc2hib.sys
2009-05-23 22:27 . 2001-08-17 10:02 35200 -c--a-w c:\windows\system32\dllcache\msgame.sys
2009-05-23 22:26 . 2001-08-17 08:12 45632 -c--a-w c:\windows\system32\dllcache\ip5515.sys
2009-05-23 22:25 . 2001-08-18 00:53 92160 -c--a-w c:\windows\system32\dllcache\fuusd.dll
2009-05-23 22:24 . 2001-08-18 00:26 23936 -c--a-w c:\windows\system32\dllcache\dot4usb.sys
2009-05-23 22:23 . 2001-08-18 00:53 28672 -c--a-w c:\windows\system32\dllcache\cyyports.dll
2009-05-23 22:22 . 2001-08-17 08:12 37916 -c--a-w c:\windows\system32\dllcache\cb102.sys
2009-05-23 22:21 . 2001-08-17 08:11 54271 -c--a-w c:\windows\system32\dllcache\bcm42xx5.sys
2009-05-23 22:20 . 2008-04-13 18:06 231552 -c--a-w c:\windows\system32\dllcache\ac97ali.sys
2009-05-23 22:20 . 2001-08-17 09:52 23552 -c--a-w c:\windows\system32\dllcache\abp480n5.sys
2009-05-23 22:20 . 2001-08-18 00:52 462848 -c--a-w c:\windows\system32\dllcache\a3dapi.dll
2009-05-23 22:20 . 2001-08-18 00:52 38400 -c--a-w c:\windows\system32\dllcache\8514a.dll
2009-05-23 22:20 . 2008-04-13 20:16 48128 -c--a-w c:\windows\system32\dllcache\61883.sys
2009-05-23 22:20 . 2008-04-13 20:10 12288 -c--a-w c:\windows\system32\dllcache\4mmdat.sys
2009-05-23 22:20 . 2001-08-18 00:52 689216 -c--a-w c:\windows\system32\dllcache\3dfxvs.dll
2009-05-23 22:20 . 2001-08-17 08:48 148352 -c--a-w c:\windows\system32\dllcache\3dfxvsm.sys
2009-05-23 22:20 . 2001-08-17 10:06 11264 -c--a-w c:\windows\system32\dllcache\1394vdbg.sys
2009-05-23 22:20 . 2001-08-17 09:28 762780 -c--a-w c:\windows\system32\dllcache\3cwmcru.sys
2009-05-23 22:20 . 2001-08-18 00:52 66048 -c--a-w c:\windows\system32\dllcache\s3legacy.dll
2009-05-19 19:12 . 2009-05-24 22:58 100 --s-a-w c:\windows\system32\2690501946.dat
2009-05-19 10:55 . 2009-05-19 10:55 -------- d-----w c:\programme\Skype
2009-05-19 10:55 . 2009-05-19 10:55 -------- d-----w c:\programme\Gemeinsame Dateien\Skype
2009-05-19 10:26 . 2009-05-29 18:09 -------- d-----w c:\dokumente und einstellungen\rhino\Anwendungsdaten\Gizmo5
2009-05-19 10:26 . 2009-05-19 10:26 -------- d-----w c:\programme\Gizmo5
2009-05-17 09:58 . 2009-03-30 06:33 96104 ----a-w c:\windows\system32\drivers\avipbb.sys
2009-05-17 09:58 . 2009-03-24 12:08 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-05-17 09:58 . 2009-02-13 08:29 22360 ----a-w c:\windows\system32\drivers\avgntmgr.sys
2009-05-17 09:58 . 2009-02-13 08:17 45416 ----a-w c:\windows\system32\drivers\avgntdd.sys
2009-05-17 09:58 . 2009-05-26 20:16 -------- d-----w c:\programme\Avira
2009-05-17 09:58 . 2009-05-17 09:58 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-05-14 20:09 . 2009-05-14 20:11 -------- d-----w C:\Ang Lee (2005) - Brokeback.Mountain
2009-05-13 17:22 . 2009-05-13 17:22 -------- d-----w c:\dokumente und einstellungen\rhino\Anwendungsdaten\InterVideo
2009-05-13 12:13 . 2009-05-13 12:29 -------- d-----w c:\programme\Microsoft Money 2005
2009-05-13 11:52 . 2009-05-13 11:52 -------- d-----w c:\dokumente und einstellungen\rhino\Lokale Einstellungen\Anwendungsdaten\GHISLER
2009-05-11 16:04 . 2009-05-28 22:26 -------- d-----w c:\dokumente und einstellungen\rhino\Anwendungsdaten\BitTorrent
2009-05-11 16:04 . 2009-05-28 19:04 -------- d-----w c:\dokumente und einstellungen\rhino\Anwendungsdaten\DNA
2009-05-11 16:04 . 2009-05-28 18:38 -------- d-----w c:\programme\DNA
2009-05-11 16:04 . 2009-05-11 16:04 -------- d-----w c:\dokumente und einstellungen\rhino\Lokale Einstellungen\Anwendungsdaten\DNA
2009-05-11 16:04 . 2009-05-11 16:04 -------- d-----w c:\programme\BitTorrent
2009-05-05 15:45 . 2009-05-05 15:45 -------- d-----w c:\dokumente und einstellungen\rhino\Anwendungsdaten\DivX
2009-05-04 21:32 . 2009-05-04 21:32 -------- d-----w c:\dokumente und einstellungen\rhino\Anwendungsdaten\dvdcss
2009-05-04 20:30 . 2009-05-04 20:30 -------- d-----w c:\programme\Veoh Networks
2009-05-04 20:25 . 2009-04-07 00:29 9464 ------w c:\windows\system32\drivers\cdralw2k.sys
2009-05-04 20:25 . 2009-04-07 00:29 9336 ------w c:\windows\system32\drivers\cdr4_xp.sys
2009-05-04 20:25 . 2009-04-07 00:29 129784 ------w c:\windows\system32\pxafs.dll
2009-05-04 20:25 . 2009-04-07 00:29 120056 ------w c:\windows\system32\pxcpyi64.exe
2009-05-04 20:25 . 2009-04-07 00:29 118520 ------w c:\windows\system32\pxinsi64.exe
2009-05-04 20:24 . 2009-05-04 20:24 -------- d-----w c:\programme\Gemeinsame Dateien\DivX Shared
2009-05-04 20:24 . 2009-05-04 20:25 -------- d-----w c:\programme\DivX
2009-04-30 19:39 . 2009-04-30 22:38 -------- d-----w c:\programme\KaraFun
2009-04-30 02:56 . 2009-04-30 02:56 -------- d-----w c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-29 20:25 . 2009-03-15 05:15 -------- d-----w c:\dokumente und einstellungen\rhino\Anwendungsdaten\Skype
2009-05-29 17:57 . 2009-03-15 05:15 -------- d-----w c:\dokumente und einstellungen\rhino\Anwendungsdaten\skypePM
2009-05-29 17:47 . 2009-03-15 15:52 -------- d-----w c:\programme\IsoBuster
2009-05-29 09:11 . 2004-03-24 20:29 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-05-28 19:15 . 2009-04-29 15:32 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-05-26 20:58 . 2004-03-24 20:10 -------- d-----w c:\programme\Java
2009-05-26 20:29 . 2004-03-24 16:15 320072 ----a-w c:\windows\system32\perfh007.dat
2009-05-26 20:29 . 2004-03-24 16:15 49396 ----a-w c:\windows\system32\perfc007.dat
2009-05-26 17:04 . 2009-03-15 00:02 41096 ----a-w c:\dokumente und einstellungen\rhino\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-19 10:55 . 2009-03-15 05:15 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-05-15 14:33 . 2004-03-24 20:49 -------- d-----w c:\programme\Google
2009-04-20 09:57 . 2009-04-20 09:53 -------- d-----w c:\dokumente und einstellungen\rhino\Anwendungsdaten\GHISLER
2009-04-16 03:50 . 2009-04-20 09:53 545 ----a-w c:\windows\UC.PIF
2009-04-16 03:50 . 2009-04-20 09:53 545 ----a-w c:\windows\RAR.PIF
2009-04-16 03:50 . 2009-04-20 09:53 545 ----a-w c:\windows\PKZIP.PIF
2009-04-16 03:50 . 2009-04-20 09:53 545 ----a-w c:\windows\PKUNZIP.PIF
2009-04-16 03:50 . 2009-04-20 09:53 545 ----a-w c:\windows\NOCLOSE.PIF
2009-04-16 03:50 . 2009-04-20 09:53 545 ----a-w c:\windows\LHA.PIF
2009-04-16 03:50 . 2009-04-20 09:53 545 ----a-w c:\windows\ARJ.PIF
2009-04-13 13:24 . 2009-04-13 13:24 0 ----a-w c:\windows\nsreg.dat
2009-04-09 18:46 . 2009-04-09 18:45 -------- d-----w c:\programme\TVUPlayer
2009-04-09 08:25 . 2009-04-09 08:25 -------- d-----w c:\programme\MSXML 4.0
2009-04-08 20:15 . 2009-04-08 20:15 -------- d-----w c:\programme\SopCast
2009-04-07 00:29 . 2004-03-24 19:19 43528 ------w c:\windows\system32\drivers\PxHelp20.sys
2009-04-07 00:28 . 2009-04-07 00:28 90112 ----a-w c:\windows\system32\dpl100.dll
2009-04-07 00:28 . 2009-04-07 00:28 823296 ----a-w c:\windows\system32\divx_xx0c.dll
2009-04-07 00:28 . 2009-04-07 00:28 823296 ----a-w c:\windows\system32\divx_xx07.dll
2009-04-07 00:28 . 2009-04-07 00:28 815104 ----a-w c:\windows\system32\divx_xx0a.dll
2009-04-07 00:28 . 2009-04-07 00:28 802816 ----a-w c:\windows\system32\divx_xx11.dll
2009-04-07 00:28 . 2009-04-07 00:28 684032 ----a-w c:\windows\system32\DivX.dll
2009-04-01 15:00 . 2009-04-01 15:00 -------- d-----w c:\dokumente und einstellungen\rhino\Anwendungsdaten\CR330TWN
2009-04-01 15:00 . 2009-04-01 15:00 -------- d-----w c:\dokumente und einstellungen\rhino\Anwendungsdaten\CR120TWN
2009-03-18 02:47 . 2009-03-18 02:48 724992 ----a-w c:\windows\iun6002.exe
2009-03-18 02:47 . 2009-03-18 02:47 22304 ----a-w c:\windows\system32\drivers\usbmn4x4.sys
2009-03-18 02:47 . 2009-03-18 02:47 214016 ----a-w c:\windows\system32\usbmn4x4.dll
2009-03-18 02:47 . 2009-03-18 02:47 16416 ----a-w c:\windows\system32\drivers\usb44ldr.sys
2009-03-15 05:15 . 2009-03-15 05:15 56 ---ha-w c:\windows\system32\ezsidmv.dat
2009-03-14 23:59 . 2004-03-24 16:41 76487 ----a-w c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-03-16 16:03 . 2009-04-14 09:03 122880 ----a-w c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
2009-04-07 00:29 . 2009-04-07 00:29 1044480 ----a-w c:\programme\mozilla firefox\plugins\libdivx.dll
2009-04-07 00:29 . 2009-04-07 00:29 200704 ----a-w c:\programme\mozilla firefox\plugins\ssldivx.dll
2009-04-07 00:29 . 2009-04-07 00:29 1044480 ----a-w c:\programme\opera\program\plugins\libdivx.dll
2009-04-07 00:29 . 2009-04-07 00:29 200704 ----a-w c:\programme\opera\program\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-29 39408]
"Gizmo5"="c:\programme\Gizmo5\Gizmo5.exe" [2009-03-06 5083136]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-11-07 21633320]
"Reminder"="d:\soft\micmon\System\reminder.exe" [1997-10-02 36352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint\Apoint.exe" [2003-11-07 114688]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-03 335872]
"Hcontrol"="c:\windows\ATK0100\Hcontrol.exe" [2003-09-19 61440]
"ezShieldProtector for Px"="c:\windows\System32\ezSP_Px.exe" [2002-08-20 40960]
"HKSERV.EXE"="c:\programme\Sony\HotKey Utility\HKserv.exe" [2004-02-12 98304]
"SonyPowerCfg"="c:\programme\sony\vaio power management\SPMgr.exe" [2003-12-11 167936]
"ISBMgr.exe"="c:\programme\sony\isb utility\ISBMgr.exe" [2004-02-20 32768]
"Switcher.exe"="c:\programme\Sony\Wireless Switch Setting Utility\Switcher.exe" [2004-01-19 290816]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2009-03-16 30192]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ATIModeChange"="Ati2mdxx.exe" - c:\windows\system32\Ati2mdxx.exe [2001-09-04 28672]
"Mouse Suite 98 Daemon"="ICO.EXE" - c:\windows\system32\ico.exe [2002-03-14 45056]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2007-04-16 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"MIDI1"= myokent.dll
"midi2"= usbmn4x4.dll
"midi3"= usbmn4x4.dll
"midi4"= usbmn4x4.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\totalcmd\\TOTALCMD.EXE"=
"c:\\Programme\\Gizmo5\\mDNSResponder.exe"=
"c:\\Programme\\Gizmo5\\Gizmo5.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [16.03.2009 04:49 11264]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [17.05.2009 13:58 108289]
R3 oibtvcom;Bluetooth Virtual COM Port;c:\windows\system32\drivers\oivmvcom.sys [02.04.2004 13:32 279680]
R3 oivmctrl;VCOMM Device Controller;c:\windows\system32\drivers\oivmctrl.sys [02.04.2004 13:32 15616]
R3 P1120VID;Creative WebCam NX Ultra;c:\windows\system32\drivers\P1120Vid.sys [15.03.2009 18:43 1252474]
R3 SPI;Programmierbares E/A-Steuergerät von Sony;c:\windows\system32\drivers\SonyPI.sys [24.03.2004 20:36 37040]
S2 gupdate1c9c8dfc89e94d0;Google Update Service (gupdate1c9c8dfc89e94d0);c:\programme\Google\Update\GoogleUpdate.exe [29.04.2009 19:33 133104]
S3 GoogleDesktopManager-092308-165331;Google Desktop Manager 5.8.809.23506;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [16.03.2009 20:03 30192]
S3 USB44LDR;M-Audio USB MidiSport 4x4 Loader;c:\windows\system32\drivers\usb44ldr.sys [18.03.2009 06:47 16416]
S3 USBMN4X4;M-Audio USB MidiSport 4x4;c:\windows\system32\drivers\usbmn4x4.sys [18.03.2009 06:47 22304]
.
Inhalt des "geplante Tasks" Ordners

2009-05-29 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-29 15:32]

2009-05-29 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-29 15:32]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-procexp90.Sys


.
------- Zusätzlicher Suchlauf -------
.
IE: &Google Search - c:\programme\Google\GoogleToolbar1.dll/cmsearch.html
IE: Backward &Links - c:\programme\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Cac&hed Snapshot of Page - c:\programme\Google\GoogleToolbar1.dll/cmcache.html
IE: Si&milar Pages - c:\programme\Google\GoogleToolbar1.dll/cmsimilar.html
FF - ProfilePath - c:\dokumente und einstellungen\rhino\Anwendungsdaten\Mozilla\Firefox\Profiles\pqrlhxn4.default\
FF - prefs.js: network.proxy.type - 2
FF - component: c:\programme\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.145.5\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("network.protocol-handler.warn-external.veoh", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-05-30 00:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1576914136-2536129740-1401445085-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(816)
c:\windows\system32\myokent.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(872)
c:\windows\system32\myokent.dll

- - - - - - - > 'explorer.exe'(2584)
c:\windows\system32\myokent.dll
c:\windows\system32\ieframe.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gizmo5\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\programme\Apoint\Apvfb.exe
c:\programme\Apoint\ApntEx.exe
c:\windows\system32\rundll32.exe
c:\windows\ATK0100\ATKOSD.exe
c:\programme\sony\HotKey Utility\HKWnd.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-29 0:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-29 20:28

Vor Suchlauf: 15 Verzeichnis(se), 19.588.952.064 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 19.611.561.984 Bytes frei

275

--------------------------

Herzlichen Dank nochmals!!!

1.) Deaktiviere den Wächter von Avira.

2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als PN.

3.) Aktiviere den Wächter von Avira.

4.) Deinstalliere (falls möglich):

• BitTorrent (Virenschleuder)
• BitTorrent DNA (Virenschleuder)
• Google Desktop Search oder Google Desktop Manager
• Google Updater

5.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas

Der Qoobox-folder ist hier - Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

Allerdings hat Antivir zuvor bereits ausgeschlagen und ich habe das File 12520850i.exe aus dem Quarantänefolder löschen lassen. Sorry, falls das per Analyse interessant gewesen wäre .
Der Antivir report sagt: "Virus or unwanted program 'TR/Inject.aapx [trojan]'
detected in file 'C:\Qoobox\Quarantine\C\WINDOWS\system32\12520850i.exe.vir.
Action performed: Delete file"

Das RTIS-Logfile ist hier - h**p://www.deko-trade.ru/dekotrade/RSIT_log_a.txt. Komischerweise kriege ich jetzt nur das Log-File und es wird kein Info-file produziert.

Die Progs werd ich dann de-installieren, weil ich sie ohnehin kaum benötige. Nur die Google Desktop Search finde ich sehr praktisch und würde es deshalb nur ungern deinstallieren. Oder gibt es vielleicht eine andere Software die ähnliches kann und eher zu empfehlen wäre?
Vielen Dank!

Deshalb steht da:

Zitat:

1.) Deaktiviere den Wächter von Avira.

Zitat:

ich habe das File 12520850i.exe aus dem Quarantänefolder löschen lassen.

Perfekt.

Zitat:

Ich habe mich strikt an deine Anleitung gehalten

Naja, nicht wirklich.

Irgendwie habe ich gerade jede Motivation verloren.

BTW: Deine Probleme sind noch lange nicht gelöst, nur weil die Symptome verschwunden sind.

Hier steht warum: http://www.trojaner-board.de/65029-t...tml#post394394

Hier steht wie: http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen und ich bin raus,
andreas

Sorry, Andreas, Antivir hat nach dem Ausführen von ComboFix und dem damit verbundenen NeuStart sofort den Virenfund gemeldet, noch bevor ich den Browser geöffnet hatte und deinen neuen Post mit "Deaktiviere Antivir-Wächter etc. " lesen konnte.
Aber nix für ungut - ich danke dir für die Hilfe und gehe die restlichen Schritte (sind ja nicht wenige ) per Anleitung durch.