Crypt.ZACK.Gen eingefangen

suse28 · 22.07.2009, 20:54

Hallo,
ich habe mir den Trojaner Crypt.ZACK.Gen eingefangen, leider ...
Bei meiner Suche im iNet habe ich verschiedenes zu dessen Entfernung gelesen, meist mit hijack-Listen und da bin ich nicht weiter gekommen, weil ich andere Daten habe.

Verwende Win Vista Home, AntiVir Personal, AdWare, CCleaner und Spybot regelmässig und immer in aktueller Version. Keiner hat Alarm geschlagen. Beim monatlichen komplett-Scan mit AntiVir kam das von mir schon vermutete Problem dann zu Tage. AntiVir kann das Problem aber nicht beheben und jetzt hoffe ich auf eure HIlfe, wie ich den Plagegeist wieder los werden, möglichst ohne Datenverlust

Hier mein HiJack Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:47:58, on 22.07.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Microsoft IntelliType Pro\itype.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\WinTV\EPG Services\System\EPGClient.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Thunderbird-Tray\TBTray.exe
C:\Program Files\UltraMon\UltraMon.exe
C:\Program Files\PowerMenu\PowerMenu.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Java\jre1.6.0_01\bin\java.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Windows\system32\conime.exe
C:\Program Files\firefox.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [itype] C:\Program Files\Microsoft IntelliType Pro\itype.exe
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [EPGServiceTool] C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: PowerMenu.lnk = C:\Program Files\PowerMenu\PowerMenu.exe
O4 - Startup: TV-Browser.url
O4 - Global Startup: TB-Tray.lnk = C:\Program Files\Thunderbird-Tray\TBTray.exe
O4 - Global Startup: UltraMon.lnk = C:\Program Files\UltraMon\UltraMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\Hofer Foto Service\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 5224 bytes

Danke im Voraus!

4RobSen8 · 22.07.2009, 21:28

Hallo... und

Benutzt du zwei Monitor?

Fundort?

Zitat:

C:\Program Files\firefox.exe

Hast du Firefox da hin instaliert?
Bitte überorüfe mal "firefox.exe", aus dem Ordner bei Virustotal.
File Information sagt:"Sollte sich firefox.exe im Ordner "C:\Program Files" befinden, dann ist diese zu 60% gefährlich. Dateigröße ist 7162979 bytes. "

1.) Deinstaliere:
- Spybot, Adware
- Zonealarm ->die Windows interne Firewall aktivieren!
- Java -> instaliere die neue Version: Java-Downloads für alle Betriebssysteme - Sun Microsystems
-
2.) Antivir
- http://www.trojaner-board.de/54192-a...tellungen.html
3.) Führe folgende Programme aus:
- Ccleaner
- Malewarebytes
- Superantispyware
4.) Erstelle mit HijackThis eine Liste der installierten Programme

Hijackthis starten --> klicke "Open the Misc Tool Section" -->
klicke "Misc Tools" --> klicke "Open uninstall Manager" --> klicke "Save List"

Alle Logs hier rein.

suse28 · 23.07.2009, 05:06

Hallo,
erstmal danke für deine Antwort!!!

- ja, ich habe arbeite mit 2 Monitoren

- frag mich nicht, warum firefox.exe dort liegt, war mir gar nicht bewusst, muss mir mal aus Versehen passiert sein. Es gibt jedenfalls kein zweites firefox.exe auf meinem Rechner!

Punkt 1 erledigt.

Punkt 2 erledigt.

Bei Punkt 3 arbeitet der rechner grad seit über einer Stunde ... melde mich dann, wenn er mit dem Scannen fertig ist.

Was ich gestern vergessen habe: der AntiVir Guard lässt sich nicht mehr aktivieren. Ich kann aber nicht sagen, seit wann das so ist und warum.

suse28 · 23.07.2009, 06:11

[QUOTE=suse28;450428]Hallo,
erstmal danke für deine Antwort!!!

- ja, ich habe arbeite mit 2 Monitoren

- frag mich nicht, warum firefox.exe dort liegt, war mir gar nicht bewusst, muss mir mal aus Versehen passiert sein. Es gibt jedenfalls kein zweites firefox.exe auf meinem Rechner!

Punkt 1 erledigt.

Punkt 2 erledigt.

Punkt 3 - SuperAntiSpyware hat 5 Elemente erkannt:
2x Trojan.Agent/Gen-NumTemp
3x Trojan.Unknown Origin

Das andere arbeitet noch.

Was ich gestern vergessen habe: der AntiVir Guard lässt sich nicht mehr aktivieren. Ich kann aber nicht sagen, seit wann das so ist und warum.

suse28 · 23.07.2009, 13:58

Hallo,

Malewarebytes fand 3mal beim Komplettdurchgang etwas. Erst beim 4. Durchgang war es ohne Fund.

Superantispyware war dann anschließend auch ohne Fund.

############### HiJack Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:44:16, on 23.07.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Java\jre6\bin\jusched.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\WinTV\EPG Services\System\EPGClient.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\Program Files\Thunderbird-Tray\TBTray.exe
C:\Program Files\UltraMon\UltraMon.exe
C:\Program Files\PowerMenu\PowerMenu.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Java\jre6\bin\java.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\WinTV\WinTV.exe
C:\Programme\Legacy\Legacy.exe
C:\Program Files\MemoMaster2\MMaster.exe
C:\Program Files\FeedReader30\feedreader.exe
C:\Program Files\firefox.exe
C:\Program Files\Microsoft Office\Office10\EXCEL.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\System32\notepad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...vilion&pf=cndt
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [itype] C:\Program Files\Microsoft IntelliType Pro\itype.exe
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [EPGServiceTool] C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: PowerMenu.lnk = C:\Program Files\PowerMenu\PowerMenu.exe
O4 - Startup: TV-Browser.url
O4 - Global Startup: TB-Tray.lnk = C:\Program Files\Thunderbird-Tray\TBTray.exe
O4 - Global Startup: UltraMon.lnk = C:\Program Files\UltraMon\UltraMon.exe
O13 - Gopher Prefix:
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\Hofer Foto Service\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

--
End of file - 4033 bytes

############### HiJack Componenten

32 Bit HP CIO Components Installer
AbAlarm
Adobe AIR
Adobe Anchor Service CS3
Adobe Asset Services CS3
Adobe Bridge CS3
Adobe Bridge Start Meeting
Adobe Camera Raw 4.0
Adobe CMaps
Adobe Default Language CS3
Adobe Device Central CS3
Adobe Dreamweaver CS3
Adobe Dreamweaver CS3
Adobe ExtendScript Toolkit 2
Adobe Extension Manager CS3
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Help Viewer CS3
Adobe PDF Library Files
Adobe Photoshop 7.0
Adobe Reader 9 - Deutsch
Adobe Setup
Adobe Type Support
Adobe Update Manager CS3
Adobe Version Cue CS3 Client
AF_LUPE
Ahnenblatt 2.56
Anti-Twin (Installation 18.11.2008)
Avira AntiVir Personal - Free Antivirus
B/Works for Digital Cameras
Birdigee's Newslettermanager 1.7d
Catalyst Control Center - Branding
CCleaner (remove only)
Compatibility Pack für 2007 Office System
Corel Graphics Suite 11
DATA BECKER 350.000 Premium Cliparts
Daub Ages! 1.51
Digital microscope
DirektFotoSystem2
eDocPrintPro
Epson Copy Utility 3.4
EPSON PERFECTION V30_V300 PHOTO Handbuch
EPSON Scan
EPSON Smart Panel
EPSON TWAIN 5
Exifer
Family Tree Maker 2008
FastStone Photo Resizer 2.8
FB BigToSmall
FeedReader
FileZilla Client 3.2.6
Firebird SQL Server - MAGIX Edition
FreeCommander 2008.06c
GEDCOM 2 Map
GEDCOM 2 Map - Übersichtskarte 1
GEDCOM 5.5 Konverter 1.2.0
GenTools6 1.21
GIMP 2.6.6
Hardware Diagnose Tools
Hauppauge German Help Files and Resources
Hauppauge MCE XP/Vista Software Encoder (2.0.26057)
Hauppauge WinTV
Hauppauge WinTV DVB-T EPG Service
Hauppauge WinTV Infrared Remote
Hauppauge WinTV Radio
Hauppauge WinTV Scheduler
Hauppauge WinTV Soft PVR
Hewlett-Packard Active Check for Health Check
Hewlett-Packard Asset Agent for Health Check
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
HP Active Support Library
HP Customer Experience Enhancements
HP Customer Feedback
HP Deskjet D2500 Printer Driver Software 11.0 Rel .3
HP Easy Setup - Frontend
HP Photosmart Essential 3.0
HP Picasso Media Center Add-In
HP Recovery Manager RSS
HP Total Care Advisor
HP Update
Inkscape 0.46
InterVideo FilterSDK for Hauppauge
IrfanView (remove only)
Java(TM) 6 Update 14
Java(TM) SE Runtime Environment 6 Update 1
Legacy 7.0
Legacy Charting 7.0
Malwarebytes' Anti-Malware
MemoMaster 2
MicroCapture 2.0
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Office PowerPoint Viewer 2007 (German)
Microsoft Office XP Professional mit FrontPage
Microsoft Primary Interoperability Assemblies 2005
Microsoft Pro Photo Tools
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft WSE 3.0
Mihov Image Resizer 1.1 (remove only)
Mozilla Firefox (3.5.1)
Mozilla Thunderbird (2.0.0.22)
MSXML 4.0 SP2 (KB954430)
NVIDIA Drivers
OFB 5.4.0
Opera 9.63
Optimierte Multimedia-Tastatur-Lösung
PixelRuler v7.0.3.27
Power2Go
PowerMenu 1.51
Protect Disc License Helper 1.0.118
ProtectDisc Driver, Version 11
Purgatio Pro
Python 2.5.2
QuickTime
Realtek High Definition Audio Driver
Rightload 1.5
ShiftN 3.4
SUPERAntiSpyware Free Edition
Telefon CD Business
Thunderbird-Tray
TUGZip 3.5
TV-Browser 2.7.3
Ulead PhotoImpact 12
UltraEdit-32
UltraMon
Unlocker 1.8.7
VideoLAN VLC media player 0.8.5
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
Winamp
Windows Media Player Firefox Plugin
WinRAR
Wise Registry Cleaner 4 Free 4.22
XnView 1.95.3

#########

Bin ich den Ungustl nun sicher los oder muss ich noch etwas unternehmen?

AntiVir Guard lässt sich noch immer nicht aktivieren.

Und dieser Hijack-Eintrag lässt sich nicht fixen.
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\Hofer Foto Service\Common\Database\bin\fbserver.exe

Danke!

4RobSen8 · 23.07.2009, 18:07

Zitat:

Zitat von 4RobSen8

Alle Logs hier rein.[/list]

Hat schon seinen Grund.

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

4RobSen8 · 23.07.2009, 18:08

Zitat:

Zitat von 4RobSen8

Alle Logs hier rein.

Zitat:

Zitat von 4RobSen8

Fundort?

Hat schon seinen Grund.

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

suse28 · 23.07.2009, 18:18

Hallo und danke .. anbei die Datei lopR.txt

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : AMD Phenom(tm) 8600 Triple-Core Processor )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : felix ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:583 Go (Free:63 Go)
D:\ (Local Disk) - NTFS - Total:12 Go (Free:1 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 23.07.2009|19:11 )

[ UAC => 1 ]

--------------------\\ Ordner Verzeichnis unter Local

[20.11.2008|23:27] C:\Users\felix\AppData\Local\ABBYY
[15.11.2008|17:06] C:\Users\felix\AppData\Local\Abelssoft
[24.11.2008|15:24] C:\Users\felix\AppData\Local\Adobe
[15.11.2008|10:46] C:\Users\felix\AppData\Local\Anwendungsdaten
[17.05.2009|20:30] C:\Users\felix\AppData\Local\Apple
[16.04.2009|22:13] C:\Users\felix\AppData\Local\ArcSoft
[15.11.2008|10:51] C:\Users\felix\AppData\Local\ATI
[13.07.2009|01:03] C:\Users\felix\AppData\Local\Copernic
[23.07.2009|11:16] C:\Users\felix\AppData\Local\d3d9caps.dat
[16.07.2009|20:39] C:\Users\felix\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[12.06.2009|22:03] C:\Users\felix\AppData\Local\Downloaded Installations
[22.07.2009|17:45] C:\Users\felix\AppData\Local\GDIPFONTCACHEV1.DAT
[14.06.2009|22:50] C:\Users\felix\AppData\Local\Google
[28.03.2009|14:46] C:\Users\felix\AppData\Local\Heinz_Georg_Schlöder,_D-5
[02.12.2008|17:03] C:\Users\felix\AppData\Local\Hewlett-Packard
[23.07.2009|11:15] C:\Users\felix\AppData\Local\IconCache.db
[17.02.2009|18:39] C:\Users\felix\AppData\Local\IsolatedStorage
[23.07.2009|05:19] C:\Users\felix\AppData\Local\Microsoft
[15.11.2008|11:49] C:\Users\felix\AppData\Local\Mozilla
[31.12.2008|21:04] C:\Users\felix\AppData\Local\Opera
[23.07.2009|19:11] C:\Users\felix\AppData\Local\Temp
[15.11.2008|10:46] C:\Users\felix\AppData\Local\Temporary Internet Files
[17.02.2009|18:39] C:\Users\felix\AppData\Local\The_Generations_Network
[16.11.2008|00:26] C:\Users\felix\AppData\Local\Thunderbird
[15.11.2008|10:46] C:\Users\felix\AppData\Local\Verlauf
[15.11.2008|15:55] C:\Users\felix\AppData\Local\VirtualStore
[4|Datei(en),] C:\Users\felix\AppData\Local\Bytes
[24|Verzeichnis(se),] C:\Users\felix\AppData\Local\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\Windows\Tasks

[22.07.2009 00:07][--a------] C:\Windows\tasks\Ad-Aware Update (Weekly).job
[22.07.2009 17:36][--ah-----] C:\Windows\tasks\User_Feed_Synchronization-{868418B6-4CBC-4E90-A02E-0B0E1B7A8035}.job
[23.07.2009 11:16][--ah-----] C:\Windows\tasks\SA.DAT
[23.07.2009 11:15][--a------] C:\Windows\tasks\SCHEDLGU.TXT

--------------------\\ Ordner Verzeichnis unter C:\ProgramData

[06.01.2009|09:42] C:\ProgramData\.zreglib
[18.02.2009|01:30] C:\ProgramData\Adobe
[15.11.2008|10:45] C:\ProgramData\Anwendungsdaten
[17.05.2009|20:30] C:\ProgramData\Apple Computer
[02.11.2006|15:02] C:\ProgramData\Application Data
[16.04.2009|22:12] C:\ProgramData\ArcSoft
[05.09.2008|17:41] C:\ProgramData\ATI
[16.04.2009|20:47] C:\ProgramData\Avira
[15.11.2008|11:09] C:\ProgramData\CheckPoint
[23.11.2008|13:42] C:\ProgramData\CyberLink
[02.11.2006|15:02] C:\ProgramData\Desktop
[02.11.2006|15:02] C:\ProgramData\Documents
[15.11.2008|10:45] C:\ProgramData\Dokumente
[06.01.2009|09:33] C:\ProgramData\DVD Shrink
[20.11.2008|22:03] C:\ProgramData\eDocPrintPro
[15.11.2008|10:45] C:\ProgramData\Favoriten
[02.11.2006|15:02] C:\ProgramData\Favorites
[02.04.2009|19:27] C:\ProgramData\FLEXnet
[11.07.2009|09:02] C:\ProgramData\Google
[03.07.2009|22:33] C:\ProgramData\Hewlett-Packard
[05.09.2008|17:50] C:\ProgramData\HP
[03.07.2009|22:33] C:\ProgramData\hpzinstall.log
[17.11.2008|14:58] C:\ProgramData\InstallShield
[22.07.2009|22:44] C:\ProgramData\Lavasoft
[09.04.2009|22:13] C:\ProgramData\MAGIX
[23.07.2009|05:21] C:\ProgramData\Malwarebytes
[16.11.2008|15:12] C:\ProgramData\Microsoft
[17.02.2009|18:23] C:\ProgramData\Microsoft Help
[05.09.2008|17:49] C:\ProgramData\muvee Technologies
[22.07.2009|22:55] C:\ProgramData\ntuser.pol
[05.09.2008|17:56] C:\ProgramData\PC-Doctor
[05.09.2008|17:56] C:\ProgramData\PC-Doctor for Windows
[23.11.2008|18:21] C:\ProgramData\Realtime Soft
[28.11.2008|16:06] C:\ProgramData\Screenshot Studio
[20.11.2008|15:00] C:\ProgramData\SlySoft
[22.07.2009|22:47] C:\ProgramData\Spybot - Search & Destroy
[02.11.2006|15:02] C:\ProgramData\Start Menu
[15.11.2008|10:45] C:\ProgramData\Startmenü
[23.07.2009|05:22] C:\ProgramData\SUPERAntiSpyware.com
[15.11.2008|11:52] C:\ProgramData\Symantec
[02.11.2006|15:02] C:\ProgramData\Templates
[19.05.2009|21:17] C:\ProgramData\The Master Genealogist v7
[02.04.2009|19:27] C:\ProgramData\Ulead Systems
[15.11.2008|10:45] C:\ProgramData\Vorlagen
[15.11.2008|11:45] C:\ProgramData\WildTangent
[16.11.2008|01:27] C:\ProgramData\WindowsSearch
[3|Datei(en),] C:\ProgramData\Bytes
[45|Verzeichnis(se),] C:\ProgramData\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Program Files

[11.02.2009|14:49] C:\Program Files\AbAlarm
[20.11.2008|23:28] C:\Program Files\Abby FineReader 8
[30.05.2009|21:33] C:\Program Files\Adam
[23.11.2008|20:47] C:\Program Files\Adobe
[08.01.2009|18:44] C:\Program Files\AF_LUPE
[01.12.2008|22:37] C:\Program Files\Ages
[17.12.2008|16:13] C:\Program Files\Ahnenblatt
[18.11.2008|18:12] C:\Program Files\AntiTwin
[16.04.2009|22:11] C:\Program Files\ArcSoft
[05.09.2008|17:36] C:\Program Files\ATI
[05.09.2008|17:36] C:\Program Files\ATI Technologies
[19.03.2009|08:57] C:\Program Files\Avira
[05.01.2009|01:51] C:\Program Files\Birdigee's Newslettermanager
[16.11.2008|15:54] C:\Program Files\Bonjour
[13.07.2009|10:33] C:\Program Files\Brother's Keeper 6
[15.11.2008|18:27] C:\Program Files\BWorks
[22.07.2009|22:43] C:\Program Files\CCleaner
[22.07.2009|17:08] C:\Program Files\chrome
[23.07.2009|05:22] C:\Program Files\Common Files
[22.07.2009|19:32] C:\Program Files\components
[25.12.2008|22:04] C:\Program Files\Corel
[22.07.2009|16:50] C:\Program Files\CyberLink
[13.06.2009|15:12] C:\Program Files\DATA BECKER
[15.11.2008|11:49] C:\Program Files\defaults
[20.11.2008|21:56] C:\Program Files\downsizer
[06.12.2008|16:55] C:\Program Files\EF Commander
[24.02.2009|11:04] C:\Program Files\EF Commander Lite
[16.04.2009|22:09] C:\Program Files\epson
[16.04.2009|22:14] C:\Program Files\Epson Software
[18.11.2008|18:48] C:\Program Files\Exifer
[23.07.2009|18:52] C:\Program Files\extensions
[17.02.2009|18:23] C:\Program Files\Family Tree Maker 2008
[16.11.2008|15:35] C:\Program Files\Fantastic-Bits
[17.03.2009|20:42] C:\Program Files\FastStone Photo Resizer
[19.12.2008|16:26] C:\Program Files\FeedReader30
[01.07.2009|20:00] C:\Program Files\FileZilla FTP Client
[27.11.2008|11:09] C:\Program Files\FreeCommander
[12.06.2009|22:19] C:\Program Files\GEDCOM 2 Map
[21.12.2008|19:58] C:\Program Files\GEDCOM 5.5 Konverter
[15.11.2008|10:45] C:\Program Files\Gemeinsame Dateien [C:\Program Files\Common Files]
[09.04.2009|11:51] C:\Program Files\GIMP-2.0
[11.07.2009|09:02] C:\Program Files\Google
[22.07.2009|17:08] C:\Program Files\greprefs
[20.11.2008|22:01] C:\Program Files\GS
[22.12.2008|18:30] C:\Program Files\HartlauerFotoService3
[15.11.2008|15:17] C:\Program Files\Hauppauge
[15.11.2008|17:21] C:\Program Files\Hewlett-Packard
[28.03.2009|14:44] C:\Program Files\HGSchlo
[25.04.2009|12:30] C:\Program Files\Hofer Foto Service
[05.09.2008|17:51] C:\Program Files\HP
[11.02.2009|14:41] C:\Program Files\Image Mender
[17.11.2008|15:40] C:\Program Files\Inkscape
[22.07.2009|16:55] C:\Program Files\InstallShield Installation Information
[31.05.2009|14:54] C:\Program Files\Internet Explorer
[15.11.2008|23:49] C:\Program Files\IrfanView
[22.07.2009|22:42] C:\Program Files\Java
[16.11.2008|15:45] C:\Program Files\jpegcrops
[22.07.2009|22:44] C:\Program Files\Lavasoft
[22.07.2009|22:32] C:\Program Files\Legacy
[19.11.2008|09:11] C:\Program Files\lupasrename
[10.01.2009|01:32] C:\Program Files\Lupe
[23.07.2009|05:21] C:\Program Files\Malwarebytes' Anti-Malware
[16.11.2008|16:07] C:\Program Files\MemoMaster2
[09.05.2009|22:31] C:\Program Files\MFInstall
[03.02.2009|09:45] C:\Program Files\MicroCapture
[02.11.2006|14:37] C:\Program Files\Microsoft Games
[19.11.2008|00:00] C:\Program Files\Microsoft IntelliType Pro
[16.11.2008|09:50] C:\Program Files\Microsoft Office
[20.07.2009|18:24] C:\Program Files\Microsoft Pro Photo Tools
[17.02.2009|18:23] C:\Program Files\Microsoft WSE
[17.02.2009|18:23] C:\Program Files\Microsoft.NET
[19.12.2008|14:19] C:\Program Files\Mihov Image Resizer
[11.02.2009|14:44] C:\Program Files\MindMapEditor
[22.07.2009|17:08] C:\Program Files\modules
[06.09.2008|03:11] C:\Program Files\Movie Maker
[16.11.2008|01:43] C:\Program Files\MozBackup
[22.06.2009|23:52] C:\Program Files\Mozilla Thunderbird
[02.11.2006|14:37] C:\Program Files\MSBuild
[16.11.2008|09:50] C:\Program Files\MSECache
[12.04.2009|05:27] C:\Program Files\MSXML 4.0
[26.11.2008|04:37] C:\Program Files\OFB
[31.12.2008|21:03] C:\Program Files\Opera
[05.09.2008|17:56] C:\Program Files\PC-Doctor for Windows
[11.07.2009|10:09] C:\Program Files\PDF zu Word 3
[19.03.2009|21:09] C:\Program Files\PixelRuler
[22.07.2009|22:43] C:\Program Files\plugins
[22.07.2009|16:53] C:\Program Files\PMlabs
[09.06.2009|00:11] C:\Program Files\PowerMenu
[13.06.2009|15:28] C:\Program Files\ProtectDisc
[13.06.2009|15:28] C:\Program Files\ProtectDisc Driver Installer
[20.07.2009|09:09] C:\Program Files\Purgatio Pro
[17.05.2009|20:31] C:\Program Files\QuickTime
[05.09.2008|17:39] C:\Program Files\Realtek
[02.11.2006|14:37] C:\Program Files\Reference Assemblies
[22.07.2009|17:08] C:\Program Files\res
[22.11.2008|22:03] C:\Program Files\Rightload
[22.07.2009|17:08] C:\Program Files\searchplugins
[06.02.2009|20:43] C:\Program Files\ShiftN
[22.11.2008|21:38] C:\Program Files\Smart Panel
[02.07.2009|00:22] C:\Program Files\SmartFTP Client
[24.06.2009|16:35] C:\Program Files\Stammbaumdrucker
[23.07.2009|09:08] C:\Program Files\SUPERAntiSpyware
[23.03.2009|14:33] C:\Program Files\TeamViewer
[13.07.2009|03:16] C:\Program Files\TelefonCD
[22.07.2009|16:54] C:\Program Files\The Master Genealogist v7
[15.12.2008|07:40] C:\Program Files\Thunderbird-Tray
[24.03.2009|08:07] C:\Program Files\TrayBackup
[01.07.2009|19:19] C:\Program Files\TreeDraw WinFamily Edition
[22.11.2008|22:00] C:\Program Files\Trend Micro
[06.07.2009|17:55] C:\Program Files\TUGZip
[26.03.2009|03:19] C:\Program Files\TV-Browser
[27.11.2008|01:23] C:\Program Files\TwoDirs
[11.02.2009|15:00] C:\Program Files\Ulead Systems
[15.11.2008|17:18] C:\Program Files\UltraEdit
[23.11.2008|18:21] C:\Program Files\UltraMon
[22.07.2009|17:08] C:\Program Files\uninstall
[02.11.2006|15:01] C:\Program Files\Uninstall Information
[09.03.2009|20:21] C:\Program Files\Unlocker
[22.07.2009|17:09] C:\Program Files\updates
[22.11.2008|00:39] C:\Program Files\VideoLAN
[27.04.2009|20:02] C:\Program Files\Winamp
[06.09.2008|03:11] C:\Program Files\Windows Calendar
[06.09.2008|03:11] C:\Program Files\Windows Collaboration
[06.09.2008|03:11] C:\Program Files\Windows Defender
[06.09.2008|03:11] C:\Program Files\Windows Journal
[31.05.2009|14:54] C:\Program Files\Windows Mail
[28.03.2009|03:48] C:\Program Files\Windows Media Player
[15.11.2008|10:45] C:\Program Files\Windows NT
[06.09.2008|03:11] C:\Program Files\Windows Photo Gallery
[15.11.2008|10:47] C:\Program Files\Windows Sidebar
[11.02.2009|14:46] C:\Program Files\WinFamily7
[30.03.2009|08:28] C:\Program Files\WinRAR
[23.07.2009|13:01] C:\Program Files\WinTV
[09.04.2009|00:37] C:\Program Files\Wise Registry Cleaner
[18.11.2008|12:37] C:\Program Files\XnView
[0|Datei(en),] C:\Program Files\Bytes
[137|Verzeichnis(se),] C:\Program Files\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Program Files\Common Files

[23.11.2008|20:47] C:\Program Files\Common Files\Adobe
[18.02.2009|01:30] C:\Program Files\Common Files\Adobe AIR
[18.04.2009|06:38] C:\Program Files\Common Files\ArcSoft
[13.01.2009|12:36] C:\Program Files\Common Files\Borland Shared
[25.12.2008|22:05] C:\Program Files\Common Files\Corel
[13.06.2009|15:28] C:\Program Files\Common Files\DATA BECKER Druckereien
[13.06.2009|15:28] C:\Program Files\Common Files\DATA BECKER Shared
[15.11.2008|23:35] C:\Program Files\Common Files\Designer
[05.09.2008|17:50] C:\Program Files\Common Files\HP
[25.12.2008|21:57] C:\Program Files\Common Files\InstallShield
[15.11.2008|13:56] C:\Program Files\Common Files\IviSDK
[05.09.2008|17:51] C:\Program Files\Common Files\Java
[15.11.2008|17:22] C:\Program Files\Common Files\LightScribe
[05.09.2008|17:49] C:\Program Files\Common Files\LS Getting Started
[16.11.2008|15:49] C:\Program Files\Common Files\Macrovision Shared
[20.11.2008|22:01] C:\Program Files\Common Files\MAYComputer
[13.01.2009|12:35] C:\Program Files\Common Files\microsoft shared
[27.04.2009|20:02] C:\Program Files\Common Files\PX Storage Engine
[02.11.2006|13:18] C:\Program Files\Common Files\Services
[05.03.2009|15:21] C:\Program Files\Common Files\snp2std
[02.11.2006|13:18] C:\Program Files\Common Files\SpeechEngines
[15.11.2008|12:01] C:\Program Files\Common Files\Symantec Shared
[06.09.2008|03:11] C:\Program Files\Common Files\System
[11.02.2009|15:01] C:\Program Files\Common Files\Ulead Systems
[23.07.2009|05:22] C:\Program Files\Common Files\Wise Installation Wizard
[0|Datei(en),] C:\Program Files\Common Files\Bytes
[27|Verzeichnis(se),] C:\Program Files\Common Files\Bytes frei

--------------------\\ Process

( 61 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER

--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-23 19:11:29
Windows 6.0.6001 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen

--------------------\\ Cracks & Keygens ..

C:\Users\felix\Desktop\photoimpact\pi_alt\tut_pdf\tutorials\tenasstampsig_dateien\ltpcrack.jpg

[F:23][D:2]-> C:\Users\felix\AppData\Local\Temp
[F:1][D:1]-> C:\Users\felix\AppData\Roaming\MICROS~1\Windows\Cookies
[F:3][D:1]-> C:\Users\felix\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5
[F:11][D:3]-> C:\$Recycle.Bin

1 - "C:\Lop SD\LopR_1.txt" - 23.07.2009|19:15 - Option : [1]

--------------------\\ Scan beendet um 19:15:24
[ UAC => 1 ]

4RobSen8 · 23.07.2009, 18:35

Was macht dein Antivir?
Schonmal im abgesicherten Modus probiert?

Was sacht die Auswertung von Virustotal zu firefox.exe?

4RobSen8 · 23.07.2009, 18:39

1.) Erstelle ein Filelisting.

Lade die Datei listing1.bat auf deinen Desktop
Doppelklicke auf listing1.bat
Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. www.materialordner.de) hochladen und hier den Link posten.

2.) Lade dir FindyKill.exe von hier herunter und speichere die Datei auf dem Desktop.

Doppelklick auf die Datei, um FindyKill -> installieren
akzeptiere die Nutzungsbedingungen (I agree with the above terms and conditions anhaken) und installiere das Programm in den vorgegebenen Pfad (C:\Programme\FindyKill).
Beantworte die Frage, ob dort der Ordner FindyKill angelegt werden soll mit Ja und starte die Installation.
Doppelklicke das FindyKill-Icon auf dem Desktop.
Vista-User starten mit Rechtsklick und als Administrator!
Es öffnet sich ein DOS-Fenster.
Wähle "F" + Entertaste,
im nächsten Screen die "2" + Entertaste, um die Bereinigung der Infektionen zu starten.
Wenn der Scan beginnt, wird FindyKill eine Warnung anzeigen, dass Windows evtl. neu gestartet werden muss, akzeptiere das mit OK.
Es wird eine Datenträgerbereinigung durchgeführt.
Wenn der Suchlauf beendet ist, siehst Du (ggfs. nach Neustart) im DOS-Fenster den Hinweis "Nettoyage effetuee!".
Das Fenster schließen.
Poste den Bericht, der unter C:\FindyKill.txt zu finden ist, hier in den Thread.

suse28 · 23.07.2009, 18:39

Hallo,

Antivir habe ich vorhin durchlaufen lassen und er zeigte einen Fund: SetACL.exe.
Im abgesicherten Modus habe ich noch keinen Durchlauf probiert. Oder meinst du,d ass ich in dem Modus den Guard aktivieren soll? Sorry, bin nicht so der PC-Profi.

Virustotal konnte ich nicht öffnen, da kam nur einen 404erSeite.

Danke!

4RobSen8 · 23.07.2009, 18:48

Wenn Virustotal nicht klappt versuche bitte:
Jottis Malwarescanner

"SetACL.exe" bitte ebenfalls analysieren lassen...
Laut Antivir handelt es sich evtl. um Fehlalarm...
Ist deine Virusdefinition aufm aktuelle Stand?

Kaspersky Online Scan

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

Kaspersky Online Scanner
- Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
- Java muss installiert, aktiv und erlaubt sein.
- Bebilderte Anleitung von sundavis.
- Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
- Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
- Die Datenschutzerklärung akzeptieren.
- Programm installieren lassen.
- Update der Signaturen installieren lassen.
- Wenn der Status "Complete" ist,
- Scan-Einstellungen (Settings) Standard lassen
- Links den Link "My Computer" anklicken.
- Scan beginnt automatisch.
- Wenn der Scan fertig ist, auf "View scan report" klicken,
- "Save report as" und Dateityp auf .txt umstellen,
- und auf dem Desktop als Kaspersky.txt speichern.
- Logdatei hier posten.
- Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

suse28 · 23.07.2009, 19:23

Hallo,

mit Jottis Malwarescanner habe ich firefox.exe getestet:
firefox.exe
Status:
Scan abgeschlossen. 0 von 21 Scannern haben Malware gemeldet.

SetACL.exe habe ich über AntiVir gelöscht, ist also derzeit nicht mehr auf meinem Rechner.

####

Das Listing von FindyKill kann ich hier nicht reinstellen, weil es zu lang ist, siehe:
Der Text, den Sie eingegeben haben, besteht aus 521863 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen.

####

listing.bat klappt nicht, es kommt mehrmals hintereinander die Meldung:
Pfad nicht gefunden
Dummdidum
DOM
dann wieder Pfad nicht gefunden etc.

####

Kaspersky Online Scan mach ich gleich ..

Crypt.ZACK.Gen eingefangen

Plagegeister aller Art und deren Bekämpfung: Crypt.ZACK.Gen eingefangen