Hallo,
habe mir anscheinend einen trojaner runtergeladen, den ich trotz pctools antispyware nicht mehr wegbekomme. Die Auswirkungen sind: Bei Google oder Firefox werden die Anfragen mit falschen Seiten beantwortet, Die Systemwiederherstellung funktioniert nicht, obwohl sie aktiviert ist. Spybot wird nicht gestartet obwohl es frisch heruntergeladen wurde, die exe-datei öffnet Spybot nicht. Ich bi ziemlich verweifelt, da mein PCtools nichts findet und im Hintergrund doch noch irgend ein Programm läuft.
Ich habe hjk angehängt, es wäre schön wenn mir jeman d weiterhelfen könnte,

Danke
Tobir13

Habe noch die Hjt - datei als pdf angehängt. kann vieeleicht mal jemand drüberschauen und mir eine nTipp geben.
danke

Hallo liebe Mitstreiter

nachdem ich nun versucht habe mal das Malwarebytes Antimalware-Programm herunterzuladen und laufen zu lassen, musste ich feststellen, dass obwohl das Programm instaliert ist, es nicht startet. Bei Klicken auf das Malware-bytes Icon findet keine Reaktion statt. Dies ist genauso wenn ich Spybot Search and Destrpoy starten möchte. Was kann ich tun??

Danke
Tobir 13

Hier nochmals mein logfile, vielleicht kann mir ja doch jemand helfen und kennt sich aus, wo der Wurm steckt!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:56:05, on 12.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Programme\Ahead\InCD\InCDsrv.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\svchost.exe
H:\Programme\Gemeinsame Dateien\AAV\aavus.exe
H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
H:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\WINDOWS\system32\drivers\CDAC11BA.EXE
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\WINDOWS\fonts\services.exe
H:\Programme\Canon\MyPrinter\BJMyPrt.exe
H:\Programme\Spyware Doctor\pctsTray.exe
H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
H:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
H:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
H:\Programme\Registry Mechanic\RegMech.exe
H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
H:\Programme\ATI Technologies\ATI.ACE\CLI.exe
H:\Programme\MSI\Common\RaUI.exe
H:\Programme\MicroStar\WLANUtility\WlanUtility.exe
H:\WINDOWS\system32\rundll32.exe
H:\Programme\ATI Technologies\ATI.ACE\cli.exe
H:\Programme\Spyware Doctor\pctsAuxs.exe
H:\Programme\Spyware Doctor\pctsSvc.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\Programme\Spyware Doctor\TFEngine\TFService.exe
H:\Programme\Mozilla Firefox\firefox.exe
H:\WINDOWS\system32\WISPTIS.EXE
H:\Dokumente und Einstellungen\Mueller\Eigene Dateien\Downloads\HiJackThis(5).exe
H:\WINDOWS\system32\wbem\wmiprvse.exe

F3 - REG:win.ini: load=H:\WINDOWS\system32\msregnpl.exe
F3 - REG:win.ini: run=H:\WINDOWS\system32\msveiii.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: MessengerUpdate - {5948A52A-BA3A-49A8-BCAF-D578502BDA9D} - H:\Dokumente und Einstellungen\Mueller\Anwendungsdaten\Messenger\Drivers\MsgUpdate.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - H:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - H:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CanonMyPrinter] H:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [ArcSoft Connection Service] H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [ISTray] "H:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [AnyDVD] H:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RegistryMechanic] H:\Programme\Registry Mechanic\RegMech.exe /H
O4 - HKLM\..\Policies\Explorer\Run: [exec] H:\WINDOWS\system32\msmugpn.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1935655697-1547161642-725345543-1006\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe (User 'AnnaMarina')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Canon IJ Status Monitor Canon iP4500 series.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = H:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: MSI Wireless Utility.lnk = H:\Programme\MSI\Common\RaUI.exe
O4 - Global Startup: WlanUtility.lnk = H:\Programme\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://H:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - H:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - H:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138985749609
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169999382703
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: jpip - {B92DD248-E3D5-4A92-B311-C9B841681455} - H:\Programme\LizardTech\Express View\expressview.dll
O18 - Protocol: sidlet - {B92DD248-E3D5-4A92-B311-C9B841681455} - H:\Programme\LizardTech\Express View\expressview.dll
O23 - Service: AAV UpdateService - Unknown owner - H:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\avmailc.exe (file missing)
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\avguard.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - H:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\avesvc.exe (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - H:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Software Updater (gusvc) - Google - H:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - H:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - H:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - H:\Programme\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - H:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - H:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - H:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: ThreatFire - PC Tools - H:\Programme\Spyware Doctor\TFEngine\TFService.exe

--
End of file - 11172 bytes


Vielen dank für die Unterstützung
Tobir13

Hallo und

Du bist total verseucht.

1.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

F3 - REG:win.ini: load=H:\WINDOWS\system32\msregnpl.exe
F3 - REG:win.ini: run=H:\WINDOWS\system32\msveiii.exe
O4 - HKLM\..\Policies\Explorer\Run: [exec] H:\WINDOWS\system32\msmugpn.exe
         

=> Fix checked

2.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
H:\WINDOWS\fonts\services.exe
H:\WINDOWS\system32\msregnpl.exe
H:\WINDOWS\system32\msveiii.exe
H:\WINDOWS\system32\msmugpn.exe
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Hallo,
vielen Dank erstmal für die Hilfe. Habe die Anweisungen befolgt, hier ist die txt-Datei avenger.txt:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at H:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "H:\windows\fonds\services.exe"
Deletion of file "H:\windows\fonds\services.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

File "H:\Windows\system32\msregnpl.exe" deleted successfully.
File "H:\windows\system32\msveiii.exe" deleted successfully.
File "H:\Windows\system32\msmugpn.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Was ist weiter zu tun? Was ist mit dem file services.exe?

Danke

Hast du das abgetippt? Beim nächsten Mal markierst du den kompletten Text in der Box, dann gehst du mit dem Mauszeiger auf die Markierung, klickst mit der rechten Maustaste und klickst auf Kopieren. Dann bewegst du den Mauszeiger in das weiße Feld bei Avenger (Hopsassa), klickst wieder mit der rechten Maustaste und klickst auf Einfügen.

Der Ordner heißt fonts, du hast fonds geschrieben.

Poste erstmal ein neues HJT-Log, ob die Einträge verschwunden sind.

Im Ordner c:\avenger findest du eine Backup.zip. Die bei einem Filehoster hochladen (z.B. Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de) und hier den Link posten, den du nach dem Hochladen bekommst.

ciao, andreas

Hallo,
Entschuldigung, das mit dem kopieren habe ich nicht gewußt. Hier zunächst der HJT-Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:01, on 12.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Programme\Ahead\InCD\InCDsrv.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\svchost.exe
H:\Programme\Gemeinsame Dateien\AAV\aavus.exe
H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
H:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\WINDOWS\system32\drivers\CDAC11BA.EXE
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\WINDOWS\fonts\services.exe
H:\WINDOWS\system32\NOTEPAD.EXE
H:\Programme\Canon\MyPrinter\BJMyPrt.exe
H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
H:\Programme\Spyware Doctor\pctsTray.exe
H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
H:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
H:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
H:\Programme\ATI Technologies\ATI.ACE\CLI.exe
H:\Programme\MSI\Common\RaUI.exe
H:\Programme\MicroStar\WLANUtility\WlanUtility.exe
H:\WINDOWS\system32\rundll32.exe
H:\Programme\Registry Mechanic\RegMech.exe
H:\Programme\ATI Technologies\ATI.ACE\cli.exe
H:\Programme\Spyware Doctor\pctsAuxs.exe
H:\Programme\Spyware Doctor\pctsSvc.exe
H:\WINDOWS\system32\svchost.exe
H:\Programme\Mozilla Firefox\firefox.exe
H:\Programme\Spyware Doctor\TFEngine\TFService.exe
H:\Dokumente und Einstellungen\Zöltzer\Eigene Dateien\Downloads\HiJackThis(5).exe
H:\WINDOWS\system32\wbem\wmiprvse.exe

F3 - REG:win.ini: load=H:\WINDOWS\system32\msrrk.exe
F3 - REG:win.ini: run=H:\WINDOWS\system32\msfaquot.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: MessengerUpdate - {5948A52A-BA3A-49A8-BCAF-D578502BDA9D} - H:\Dokumente und Einstellungen\Zöltzer\Anwendungsdaten\Messenger\Drivers\MsgUpdate.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - H:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - H:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CanonMyPrinter] H:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [ArcSoft Connection Service] H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [ISTray] "H:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [AnyDVD] H:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RegistryMechanic] H:\Programme\Registry Mechanic\RegMech.exe /H
O4 - HKLM\..\Policies\Explorer\Run: [exec] H:\WINDOWS\system32\msgxyl.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1935655697-1547161642-725345543-1006\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe (User 'AnnaMarina')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Canon IJ Status Monitor Canon iP4500 series.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = H:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: MSI Wireless Utility.lnk = H:\Programme\MSI\Common\RaUI.exe
O4 - Global Startup: WlanUtility.lnk = H:\Programme\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://H:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - H:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - H:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138985749609
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169999382703
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: jpip - {B92DD248-E3D5-4A92-B311-C9B841681455} - H:\Programme\LizardTech\Express View\expressview.dll
O18 - Protocol: sidlet - {B92DD248-E3D5-4A92-B311-C9B841681455} - H:\Programme\LizardTech\Express View\expressview.dll
O23 - Service: AAV UpdateService - Unknown owner - H:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - H:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\avmailc.exe (file missing)
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\avguard.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - H:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Unknown owner - H:\Programme\AntiVir PersonalEdition Premium\avesvc.exe (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - H:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Software Updater (gusvc) - Google - H:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - H:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - H:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - H:\Programme\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - H:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - H:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - H:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: ThreatFire - PC Tools - H:\Programme\Spyware Doctor\TFEngine\TFService.exe

--
End of file - 11130 bytes


Und der Link zum Backup.zip:
http://www.materialordner.de/gfXVjV4ba33pooyLmF3Eer3KWs3fkzm.html

Danke!!

1.) Laden, laufenlassen und die beiden Logs posten => http://www.trojaner-board.de/74910-a...tion-tool.html

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hallo,
da die dateien zu groß zu verschicken hier sind, habe ich sie im Materialordner hochgeladen:
http://www.materialordner.de/SitwstGhucLKLs5QIK4QtWmz9WxpdQ6V.html

und
http://www.materialordner.de/0dTE33P4zEYOCgLlm43IvriTAMYuKxi.html

Dort sind sie zu finden!

Danke!!

Hallo,

leider lässt sich Combo fix mit Klick nicht öffnen, seite wird nicht gefunden!

Danke

Hallo,
habe Combifix.exe jetz auf dem Desktop, diese lässt sich jedoch nicht starten.
Was ist zu tun??
Danke

Entschuldige das du warten musstest, aber du bist ein schwieriger Fall. Du hast den hier: ThreatExpert Report: Trojan-Dropper.Win32.Agent.aven, Downloader.Trojan, Generic.dx!tz..

Der hat soviel an deinem System verschraubt, dass ich mir Hilfe holen musste. ComboFix wird einige Zeit nicht laufen, der Programmierer hat einen Fehler gefunden und hat das Programm erstmal stillgelegt, bis der Fehler behoben ist.

1.) Markiere und kopiere den kompletten Text in der Box (Dank an raman).

Code: Alles auswählenAufklappen

ATTFilter

;INF File to fix altered "executable" open commands in the Windows Registry.
;FIX-exec.inf for Windows - freeware by rmbox

;To apply this fix, simply right click and click install.

[Version]
Signature="$CHICAGO$"

[DefaultInstall]
AddReg=FIX-exec
DelReg=EnableRegTools

[FIX-exec]
HKCR, "batfile\shell\open\command",,0,"""%1"" %*"
HKCR, "comfile\shell\open\command",,0,"""%1"" %*"
HKCR, "exefile\shell\open\command",,0,"""%1"" %*"
HKCR, "piffile\shell\open\command",,0,"""%1"" %*"
HKCR, "regfile\shell\open\command",,0,"regedit.exe "%1""
HKCR, "scrfile\shell\open\command",,0,"""%1"" %*"
HKCR, "scrfile\shell\config\command",,0,"""%1"" %*"

[EnableRegTools]
HKCU, "software\microsoft\windows\currentversion\policies\system","DisableRegistryTools"
         

2.) Start => Ausführen => notepad (eintippeln) => OK

3.) Menüzeile: Bearbeiten => Einfügen (jetzt sollte der Text erscheinen)

4.) Menüzeile: Datei => Speichern

5.) Links auf Desktop klicken

6.) Dateityp ändern => Alle Dateien

7.) Dateiname fixit.inf

8.) Klick auf Speichern

9.) Erstelle ein Filelisting.

• Lade die Datei listing1.bat auf deinen Desktop
• Doppelklicke auf listing1.bat
• Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. www.materialordner.de) hochladen und hier den Link posten.

ciao, andreas

Hallo Andreas,
hier der Link zum Upload:
http://www.materialordner.de/0AAGsYY4kY8vDmR9KlLvGxMstHxMz1Zo.html

Danke

Seit wann hast du denn schon Probleme?

Da sind mehr Schädlinge als reguläre Dateien in deinem System32-Ordner.

Das Skript wird einen halben Kilometer lang.

ciao, andreas