TR/Dldr.Client.kiu HILFE!!!

kataja · 09.08.2009, 15:12

Hallo,

hoffe ihr könnt mir helfen.
Antivir hat bei mir den Trojaner TR/Dldr.Client.kiu gefunden, ich habe die Datei in Quarantäne gesteckt. Löschen habe ich mich nicht getraut, da ja bei Isidor danach weitere Trojaner da waren. Habe Malwarebytes laufen lassen, das hat aber überhaupt nichts auf meinen PC gefunden. Was soll ich jetzt tun?

Wahrscheinlich ahnt ihr es schon, aber ich bin absoluter Laie(allererster Trojaner)

Vielen Dank schon mal!
LG Kataja

john.doe · 09.08.2009, 20:47

Hallo Kataja und

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. Punkt 2 b brauchst du nicht, es reicht das Log zu posten. Wie das geht steht in der Anleitung.

ciao, andreas

kataja · 10.08.2009, 13:00

So hier der Log von Malware

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2584
Windows 6.0.6001 Service Pack 1

10.08.2009 13:57:53
mbam-log-2009-08-10 (13-57-53).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 174486
Laufzeit: 50 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hoffe des passt so!

kataja · 10.08.2009, 13:09

Logfile of random's system information tool 1.06 (written by random/random)
Run by Jana at 2009-08-10 14:03:35
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 202 GB (66%) free of 305 GB
Total RAM: 3454 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:03:57, on 10.08.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\wuauclt.exe
C:\Users\Jana\Downloads\RSIT.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\trend micro\Jana.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.one.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\Windows\TEMP\E_S9913.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - .DEFAULT User Startup: DSL-Manager.lnk = C:\Program Files\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O13 - Gopher Prefix:
O18 - Protocol: fluxhttp - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - C:\Program Files\Common Files\fluxDVD\Lib\XEB\xebnavigation.ax
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c9f68c97cae95f) (gupdate1c9f68c97cae95f) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 4798 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184]
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2007-12-05 1029416]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-05-28 6144000]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]
"EPSON Stylus DX3800 Series"=C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE [2005-02-08 98304]
"AppleSyncNotifier"=C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe [2009-05-13 177472]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2009-05-26 413696]
"iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2009-07-13 292128]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-21 1233920]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-07-23 135680]
"EA Core"=C:\Program Files\Electronic Arts\EADM\Core.exe [2009-04-29 3338240]

C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
OpenOffice.org 3.0.lnk - C:\Program Files\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\fotobuch.de AG\Designer 2.0\Designer.exe"="C:\Program Files\fotobuch.de AG\Designer 2.0\Designer.exe:*

esigner.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e79a424-170c-11de-85f3-0015afcd88ce}]
shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e79a425-170c-11de-85f3-0015afcd88ce}]
shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e79a44a-170c-11de-85f3-0015afcd88ce}]
shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e79a456-170c-11de-85f3-0015afcd88ce}]
shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{57585a34-d83c-11dd-afc0-0015afcd88ce}]
shell\AutoRun\command - E:\setup.exe AUTORUN=1

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{628d8c4c-1d42-11de-b76e-806e6f6e6963}]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e9e0a7c-1708-11de-9564-0015afcd88ce}]
shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c6c74282-16e3-11de-9be2-0090f588db26}]
shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c6c742c9-16e3-11de-9be2-0090f588db26}]
shell\AutoRun\command - E:\AutoRun.exe

======List of files/folders created in the last 1 months======

2009-08-10 14:03:35 ----D---- C:\rsit
2009-08-10 14:03:35 ----D---- C:\Program Files\trend micro
2009-08-10 12:56:32 ----D---- C:\Program Files\CCleaner
2009-08-09 14:34:15 ----D---- C:\Users\Jana\AppData\Roaming\Malwarebytes
2009-08-09 14:34:08 ----D---- C:\ProgramData\Malwarebytes
2009-08-09 14:34:07 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-08-01 17:02:41 ----D---- C:\Program Files\iPod
2009-08-01 17:02:36 ----D---- C:\Program Files\iTunes
2009-07-29 22:04:10 ----D---- C:\Program Files\AC3Filter
2009-07-28 21:50:47 ----A---- C:\Windows\system32\mshtml.dll
2009-07-28 21:50:46 ----A---- C:\Windows\system32\occache.dll
2009-07-28 21:50:45 ----A---- C:\Windows\system32\ieframe.dll
2009-07-28 21:50:43 ----A---- C:\Windows\system32\urlmon.dll
2009-07-28 21:50:42 ----A---- C:\Windows\system32\wininet.dll
2009-07-28 21:50:42 ----A---- C:\Windows\system32\iertutil.dll
2009-07-28 21:50:41 ----A---- C:\Windows\system32\msfeeds.dll
2009-07-28 21:50:41 ----A---- C:\Windows\system32\iedkcs32.dll
2009-07-28 21:50:41 ----A---- C:\Windows\system32\ieaksie.dll
2009-07-28 21:50:40 ----A---- C:\Windows\system32\mstime.dll
2009-07-28 21:50:40 ----A---- C:\Windows\system32\ieUnatt.exe
2009-07-28 21:50:40 ----A---- C:\Windows\system32\ieencode.dll
2009-07-28 21:50:39 ----A---- C:\Windows\system32\jsproxy.dll
2009-07-14 20:34:42 ----A---- C:\Windows\system32\t2embed.dll
2009-07-14 20:34:42 ----A---- C:\Windows\system32\fontsub.dll
2009-07-14 20:34:42 ----A---- C:\Windows\system32\dciman32.dll
2009-07-14 20:34:42 ----A---- C:\Windows\system32\atmfd.dll
2009-07-11 22:38:52 ----D---- C:\ProgramData\mpDRM
2009-07-11 22:38:51 ----D---- C:\Program Files\Common Files\mpDRM
2009-07-11 22:38:50 ----D---- C:\ProgramData\fluxDVD
2009-07-11 22:38:50 ----D---- C:\Program Files\Common Files\fluxDVD
2009-07-11 22:38:46 ----D---- C:\Program Files\Videoload Manager

======List of files/folders modified in the last 1 months======

2009-08-10 14:03:50 ----D---- C:\Windows\Temp
2009-08-10 14:03:35 ----D---- C:\Program Files
2009-08-10 12:59:12 ----D---- C:\Windows\Minidump
2009-08-10 12:59:12 ----D---- C:\Windows\Debug
2009-08-10 12:59:12 ----D---- C:\Windows
2009-08-10 12:51:21 ----SHD---- C:\System Volume Information
2009-08-10 12:50:59 ----D---- C:\Windows\System32
2009-08-10 12:50:59 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-08-10 12:50:58 ----D---- C:\Windows\inf
2009-08-09 14:34:15 ----D---- C:\Windows\Prefetch
2009-08-09 14:34:11 ----D---- C:\Windows\system32\drivers
2009-08-09 14:34:08 ----D---- C:\ProgramData
2009-08-03 21:15:23 ----D---- C:\Windows\system32\catroot2
2009-08-01 21:44:20 ----SHD---- C:\Windows\Installer
2009-08-01 17:02:38 ----D---- C:\Program Files\Common Files\Apple
2009-08-01 10:31:49 ----D---- C:\Program Files\Microsoft Silverlight
2009-07-30 17:51:33 ----D---- C:\Program Files\Mozilla Firefox
2009-07-29 18:01:48 ----D---- C:\Program Files\Internet Explorer
2009-07-29 17:56:32 ----D---- C:\Windows\winsxs
2009-07-28 21:49:00 ----D---- C:\Windows\system32\catroot
2009-07-15 21:08:18 ----D---- C:\Program Files\Windows Mail
2009-07-11 22:39:16 ----SD---- C:\Windows\Downloaded Program Files
2009-07-11 22:38:51 ----D---- C:\Program Files\Common Files

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-04-28 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-08-06 55656]
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2008-08-01 3894272]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-21 14208]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\system32\DRIVERS\GEARAspiWDM.sys [2009-03-19 23400]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-06-02 2147544]
R3 JMCR;JMCR; C:\Windows\system32\DRIVERS\jmcr.sys [2008-04-10 84240]
R3 RTHDMIAzAudService;Service for HDMI; C:\Windows\system32\drivers\RtHDMIV.sys [2008-02-27 141408]
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2008-02-14 118784]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter; C:\Windows\system32\DRIVERS\RTL8187B.sys [2007-10-18 288256]
R3 smserial;smserial; C:\Windows\system32\DRIVERS\smserial.sys [2006-11-02 1010560]
R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2007-12-05 196400]
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-21 11264]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver; C:\Windows\System32\Drivers\dsltestSp5.sys []
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\Windows\system32\DRIVERS\ewusbmdm.sys [2008-03-17 101632]
S3 ialm;ialm; C:\Windows\system32\DRIVERS\igdkmd32.sys [2006-10-19 1380864]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S3 USBAAPL;Apple Mobile USB Driver; C:\Windows\System32\Drivers\usbaapl.sys [2009-06-05 39424]
S3 usbaudio;USB-Audiotreiber (WDM); C:\Windows\system32\drivers\usbaudio.sys [2008-01-21 73088]
S3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-21 35328]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-21 39936]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-08-06 185089]
R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-06-05 144712]
R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2008-08-01 700416]
R2 Bonjour Service;Bonjour-Dienst; C:\Program Files\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R3 iPod Service;iPod-Dienst; C:\Program Files\iPod\bin\iPodService.exe [2009-07-13 542496]
S2 gupdate1c9f68c97cae95f;Google Update Service (gupdate1c9f68c97cae95f); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-06-26 133104]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-01-21 33800]

-----------------EOF-----------------

kataja · 10.08.2009, 13:10

info.txt logfile of random's system information tool 1.06 2009-08-10 14:04:00

======Uninstall list======

-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
AC3Filter (remove only)-->C:\Program Files\AC3Filter\uninstall.exe
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
Apple Mobile Device Support-->MsiExec.exe /I{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
DHTML Editing Component-->MsiExec.exe /I{2EA870FA-585F-4187-903D-CB9FFD21E2E0}
Die Sims 2-->C:\Program Files\EA GAMES\Die Sims 2\EAUninstall.exe
Die Sims™ 2 Haustiere-->C:\Program Files\EA GAMES\Die Sims 2 Haustiere\EAUninstall.exe
Die Sims™ 3-->"C:\Program Files\InstallShield Installation Information\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}\setup.exe" -runfromtemp -l0x0007 -removeonly
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
EA Download Manager-->C:\Program Files\Electronic Arts\EADM\Uninstall.exe
EPSON Scan-->C:\Program Files\epson\escndv\setup\setup.exe /r
EPSON-Drucker-Software-->C:\Windows\system32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
Google Chrome-->"C:\Program Files\Google\Chrome\Application\2.0.172.39\Installer\setup.exe" --uninstall --system-level
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
iTunes-->MsiExec.exe /I{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB929729)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual J# .NET Redistributable Package 1.1-->MsiExec.exe /X{1A655D51-1423-48A3-B748-8F5A0BE294C8}
Microsoft WSE 3.0 Runtime-->MsiExec.exe /X{E3E71D07-CD27-46CB-8448-16D4FB29AA13}
Mobile Partner-->C:\Program Files\Mobile Partner\uninst.exe
MobileMe Control Panel-->MsiExec.exe /I{DDBB28C8-B2AA-45A1-8DCE-059A798509FB}
Mozilla Firefox (3.0.12)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
OpenOffice.org 3.0-->MsiExec.exe /I{04B45310-A5FE-4425-BFCA-1A6D8920DE74}
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m -nrg2709
Safari-->MsiExec.exe /I{C5C649A8-1D21-4C83-9B08-7B3752E580F4}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
Videoload Manager 1.0.1545-->C:\Program Files\Videoload Manager\fluxDVDCustomClientUninst.exe
Vista Codec Package-->MsiExec.exe /I{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
World of Warcraft-->C:\Program Files\Common Files\Blizzard Entertainment\Wrath of the Lich King\Uninstall.exe

======Security center information======

AV: AntiVir Desktop (disabled) (outdated)
AV: Ashampoo AntiVirus (disabled) (outdated)
AS: Windows Defender

======System event log======

Computer Name: Jana-PC
Event Code: 7036
Message: Dienst "Unterstützung in der Systemsteuerung unter Lösungen für Probleme" befindet sich jetzt im Status "Ausgeführt".
Record Number: 61669
Source Name: Service Control Manager
Time Written: 20090810112649.000000-000
Event Type: Informationen
User:

Computer Name: Jana-PC
Event Code: 7036
Message: Dienst "Unterstützung in der Systemsteuerung unter Lösungen für Probleme" befindet sich jetzt im Status "Beendet".
Record Number: 61670
Source Name: Service Control Manager
Time Written: 20090810112649.000000-000
Event Type: Informationen
User:

Computer Name: Jana-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Ausgeführt".
Record Number: 61671
Source Name: Service Control Manager
Time Written: 20090810112651.000000-000
Event Type: Informationen
User:

Computer Name: Jana-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 61672
Source Name: Service Control Manager
Time Written: 20090810114321.000000-000
Event Type: Informationen
User:

Computer Name: Jana-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Ausgeführt".
Record Number: 61673
Source Name: Service Control Manager
Time Written: 20090810115633.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: Jana-PC
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten enthalten die neuen Werte der Registrierungseinträge "Last Counter" und "Last Help".
Record Number: 12302
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090810105058.000000-000
Event Type: Informationen
User:

Computer Name: Jana-PC
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden erfolgreich geladen. Die Eintragsdaten im Datenbereich enthalten die neuen Indexwerte, die diesem Dienst zugeordnet sind.
Record Number: 12303
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090810105059.000000-000
Event Type: Informationen
User:

Computer Name: Jana-PC
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\system32\svchost.exe -k netsvcs; Beschreibung = Windows Update).
Record Number: 12304
Source Name: System Restore
Time Written: 20090810105108.000000-000
Event Type: Informationen
User:

Computer Name: Jana-PC
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\system32\svchost.exe -k netsvcs; Beschreibung = Windows Update).
Record Number: 12305
Source Name: System Restore
Time Written: 20090810105120.000000-000
Event Type: Informationen
User:

Computer Name: Jana-PC
Event Code: 8224
Message: Der VSS-Dienst wird aufgrund eines Leerlaufzeitlimits heruntergefahren.
Record Number: 12306
Source Name: VSS
Time Written: 20090810105440.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: Jana-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 21807
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090810120356.566280-000
Event Type: Überwachung gescheitert
User:

Computer Name: Jana-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 21808
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090810120356.675480-000
Event Type: Überwachung gescheitert
User:

Computer Name: Jana-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 21809
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090810120356.815880-000
Event Type: Überwachung gescheitert
User:

Computer Name: Jana-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 21810
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090810120356.909480-000
Event Type: Überwachung gescheitert
User:

Computer Name: Jana-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 21811
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090810120357.034280-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Common Files\DivX Shared\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=17
"PROCESSOR_IDENTIFIER"=x86 Family 17 Model 3 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0301
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE
"CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip

-----------------EOF-----------------

So jetzt bin ich mal gespannt! Ich versteh da nämlich nur Bahnhof!

john.doe · 10.08.2009, 18:03

Zitat:

Antivir hat bei mir den Trojaner TR/Dldr.Client.kiu gefunden,

Wo genau hat Avira den gefunden? Ich brauche Dateinamen und Pfad. Poste bitte das Log von Avira, dann habe ich alle nötigen Informationen.

ciao, andreas

kataja · 10.08.2009, 21:41

Ich weiß jetzt net ob das das richtige ist!

Die Datei 'C:\Windows\System32\fsvk.exe.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Client.kiu' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af4ba38.qua' verschoben!

john.doe · 10.08.2009, 22:05

Sammelst du Browser? Falls dir Chrome gefällt, dann nimm lieber Iron, der telefoniert nicht soviel nach Hause.

1.) Deinstalliere:

Apple Software Update
Bonjour
Google Update Helper
Mozilla Firefox (3.0.12)

2.) Installiere:

Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe

3.) http://www.trojaner-board.de/51871-a...tispyware.html

4.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

5.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

kataja · 10.08.2009, 22:57

Danke für die Hilfe!
Habe den firefox runtergeladen, allerdings ohne den 3.0.12 zu deinstalieren, da ich den nicht gefunden habe, genauso wie Google Update helper. Wo kann ich die Programme finden?

Kann ich trotzdem mit Punkt 3 von deiner Liste weiter machen?

Und hab ich das richtig verstanden google chrome kann ich auch löschen?

Bewundere eure Geduld mit uns Laien.

john.doe · 10.08.2009, 23:03

Zitat:

Und hab ich das richtig verstanden google chrome kann ich auch löschen?

Du hast 4 Browser, MSIE, Safari, Chrome und Firefox. Brauchst du die alle?

Wenn du Chrome magst, dann nimm lieber Iron => SRWare Iron - Der Browser der Zukunft

Zitat:

allerdings ohne den 3.0.12 zu deinstalieren

Start => Ausführen => C:\Program Files\Mozilla Firefox\uninstall\helper.exe => OK

Zitat:

Google Update helper

Start => Ausführen => MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} => OK

Zitat:

Kann ich trotzdem mit Punkt 3 von deiner Liste weiter machen?

Ja.

ciao, andreas

kataja · 11.08.2009, 15:53

Hm jetzt kann ich plötzlich nichts mehr hier auf Trojaner board einfügen. Die Rechte Maustaste funktioniert net! Aber bei openoffice schon! Wollte die ergebnisse posten.
Was soll ich tun?

Farasha · 11.08.2009, 16:02

Naja sonst habe ich keine Ahnung, aber ich denke da kann ich dir helfen, zum kopieren brauchst du die rechte maustaste nicht ;D
Das was du kopieren willst einfach makieren und dann strg + c drücken und zum einfügen dann einfach wieder strg + v drücken

kataja · 11.08.2009, 16:14

Active Scan log:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-08-11 16:45:42
PROTECTIONS: 4
MALWARE: 1
SUSPECTS: 3
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.26 No No
Ashampoo AntiVirus 1.0.0.0 No No
Windows Defender 1.1.1505.0 No Yes
SUPERAntiSpyware 4, 27, 0, 1002 No Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Users\Jana\AppData\Roaming\Microsoft\Windows\Cookies\Low\jana@doubleclick[2].txt
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location T��08�/�9
;===================================================================================================================================================== ==============================
No C:\ProgramData\mpDRM\mpDRMHelper3.dll T��08�/�9
No C:\Users\Jana\Downloads\Videoload_Manager_NCM_Setup_1.0.1545.exe[fluxDVDSetup.exe][mpDRMSetup.exe][mpdrm.cab][mpDRMHelper3.dll]
No C:\Users\Jana\Downloads\Videoload_Manager_NCM_Setup_1.0.1545.exe[fluxDVDSetup.exe][²ÜÇ\CPUCheck.exe]
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description T��08�/�9
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Hm hoffe du kannst damit was anfangen

kataja · 11.08.2009, 16:16

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 08/11/2009 bei 01:44 AM

Version der Applikation : 4.27.1002

Version der Kern-Datenbank : 4047
Version der Spur-Datenbank : 1987

Scan Art : kompletter Scann
Totale Scann-Zeit : 01:09:26

Gescannte Speicherelemente : 625
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 4981
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 86560
Erfasste Datei-Elemente : 0

kataja · 11.08.2009, 16:17

Und danke an Farasha:aplaus:

Hätt ich ja ma selber draufkommen können!

TR/Dldr.Client.kiu HILFE!!!

Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Client.kiu HILFE!!!