Hallo Trojaner-Board. Seit Monaten versuche ich diesen Virus loszuwerden und manchmal hatte ich schon gedacht, es geschafft zu haben, aber dann war's immer ein anderer scheinbar. Ich habe schon alle möglichen Anti-Virus/Malware/Spyware/Hastenichtgesehen versucht. Könnt ihr vielleicht mein RSIT log mal anschauen und vielleicht fällt euch ja was auf (mir sagt das log nicht viel).

Was bei mir passiert ist immer dasselbe:
Nach dem Starten kommt irgendwann eine Virusmeldung mit Antivir (steht schon auf hardcore), dass er einen tr dropper.gen gefunden hat und danach so ein pseudo-Bild z.B. gif - das ganze findet sich immer in diesem Verzeichnis:

C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files

Ich lösch den dann immer mit dem Unlocker und dann ist auch Ruhe bis zum nächsten Neustart, aber es nervt natürlich kolossal. Der Virus kommt nicht durch eine manuelle Auslösung. Auch wenn ich überhaupt nichts mache kommt er irgendwann. Er kommt aber auch nicht in den gleichen Zeitabständen. Manchmal kommt er sofort manchmal dauert es sehr lange.

Ah hier jedenfalls das Logfile:

Zitat:

Logfile of random's system information tool 1.06 (written by random/random)
Run by USER at 2009-09-06 10:41:54
Microsoft Windows XP Professional Service Pack 2
System drive C: has 26 GB (36%) free of 73 GB
Total RAM: 3327 MB (87% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:41:59, on 06.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Dokumente und Einstellungen\ADMIN_USER\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\USER.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe

--
End of file - 2691 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-05-16 16862720]
"Six Engine"=C:\Program Files\ASUS\Six Engine\SixEngine.exe [2008-06-03 5964800]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-05-01 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe [2004-05-01 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
C:\Programme\ICQ6.5\ICQ.exe silent []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
C:\Programme\Internet Download Manager\IDMan.exe /onboot []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2008-10-29 143360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"Start_NotifyNewApps"=0
"Persistent"=0
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Quake3\quake3.exe"="C:\Programme\Quake3\quake3.exe:*isabled:quake3"
"C:\Spiele\Age of Empires II\empires2.EXE"="C:\Spiele\Age of Empires II\empires2.EXE:*isabled:Age of Empires II"
"C:\Spiele\Quake III Arena\quake3.exe"="C:\Spiele\Quake III Arena\quake3.exe:*isabled:quake3"
"C:\Programme\Steam\steamapps\USER\half-life\hl.exe"="C:\Programme\Steam\steamapps\USER\half-life\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Programme\Pidgin\pidgin.exe"="C:\Programme\Pidgin\pidgin.exe:*:Enabled:Pidgin"
"C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe"="C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:Enabled:BlueSoleil"
"C:\Programme\EA Games\Command and Conquer Generals\game.dat"="C:\Programme\EA Games\Command and Conquer Generals\game.dat:*:Enabled:game"
"C:\Programme\EA Games\Command & Conquer Generals Zero Hour\game.dat"="C:\Programme\EA Games\Command & Conquer Generals Zero Hour\game.dat:*:Enabled:game"
"C:\WINDOWS\SYSTEM32\dplaysvr.exe"="C:\WINDOWS\SYSTEM32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\Spiele\ANNO1602\1602.EXE"="C:\Spiele\ANNO1602\1602.EXE:*:Enabled:1602"
"C:\Programme\Steam\steamapps\USER\team fortress 2\hl2.exe"="C:\Programme\Steam\steamapps\USER\team fortress 2\hl2.exe:*:Enabled:hl2"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"E:\Emulatoren\ZSNES\zsnesw.exe"="E:\Emulatoren\ZSNES\zsnesw.exe:*:Enabled:zsnesw"
"E:\Emulatoren\Supernintendo\Snes9XW.exe"="E:\Emulatoren\Supernintendo\Snes9XW.exe:*:Enabled:Snes9XW"
"C:\Programme\Pinnacle\VideoSpin\Programs\RM.exe"="C:\Programme\Pinnacle\VideoSpin\Programs\RM.exe:*:Enabled:Render Manager"
"C:\Programme\Pinnacle\VideoSpin\Programs\umi.exe"="C:\Programme\Pinnacle\VideoSpin\Programs\umi.exe:*:Enabled:umi"
"C:\Programme\Pinnacle\VideoSpin\Programs\VideoSpin.exe"="C:\Programme\Pinnacle\VideoSpin\Programs\VideoSpin.exe:*:Enabled:Pinnacle VideoSpin"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
shell\AutoRun\command - H:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{17dec350-52a5-11de-a140-002215571d40}]
shell\AutoRun\command - H:\LaunchU3.exe -a


======List of files/folders created in the last 1 months======

2009-09-06 10:01:16 ----A---- C:\WINDOWS\ntbtlog.txt
2009-09-06 09:16:58 ----D---- C:\rsit
2009-09-02 00:36:33 ----D---- C:\Programme\Pidgin
2009-09-01 15:49:39 ----D---- C:\DVDVideoSoft
2009-09-01 15:49:31 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2009-08-31 23:24:05 ----D---- C:\Programme\Pinnacle
2009-08-31 23:23:27 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Pinnacle
2009-08-11 14:22:39 ----D---- C:\Dokumente und Einstellungen\ADMIN_USER\Anwendungsdaten\Help
2009-08-11 14:19:27 ----D---- C:\Programme\WaveZIP
2009-08-11 14:18:39 ----A---- C:\WINDOWS\uninst.exe

======List of files/folders modified in the last 1 months======

2009-09-06 10:41:57 ----D---- C:\WINDOWS\temp
2009-09-06 10:41:56 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-06 10:40:27 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-06 10:37:59 ----RD---- C:\Programme
2009-09-06 10:37:41 ----D---- C:\WINDOWS\system32\DRIVERS
2009-09-06 10:37:41 ----D---- C:\Programme\Panda Security
2009-09-06 10:37:27 ----SHD---- C:\WINDOWS\Installer
2009-09-06 10:37:26 ----D---- C:\WINDOWS\WinSxS
2009-09-06 10:37:05 ----RSD---- C:\WINDOWS\FONTS
2009-09-06 10:37:05 ----D---- C:\Programme\Gemeinsame Dateien
2009-09-06 10:37:04 ----D---- C:\WINDOWS\SYSTEM32
2009-09-06 10:34:01 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-09-06 10:30:02 ----D---- C:\WINDOWS
2009-09-06 09:57:27 ----D---- C:\Dokumente und Einstellungen\ADMIN_USER\Anwendungsdaten\.purple
2009-09-06 09:17:01 ----D---- C:\WINDOWS\Prefetch
2009-09-06 08:56:12 ----D---- C:\Programme\Steam
2009-09-06 08:55:07 ----A---- C:\WINDOWS\iwb.INI
2009-09-04 15:52:56 ----D---- C:\Dokumente und Einstellungen\ADMIN_USER\Anwendungsdaten\gtk-2.0
2009-09-03 13:14:42 ----D---- C:\HammerAutosave
2009-09-01 05:11:42 ----A---- C:\WINDOWS\win.ini
2009-09-01 05:11:35 ----D---- C:\Programme\RADVideo
2009-08-23 21:54:03 ----D---- C:\WINDOWS\HELP
2009-08-19 23:01:02 ----A---- C:\WINDOWS\system.ini
2009-08-11 14:19:47 ----D---- C:\Program Files
2009-08-09 14:23:39 ----D---- C:\Dokumente und Einstellungen\ADMIN_USER\Anwendungsdaten\Winamp
2009-08-07 23:06:05 ----HD---- C:\WINDOWS\INF

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AsIO;AsIO; C:\WINDOWS\system32\drivers\AsIO.sys [2007-12-17 12400]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2008-07-21 24392]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-05-01 40192]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-05 55656]
R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2004-05-01 88448]
R2 NwlnkNb;NWLink-NetBIOS; C:\WINDOWS\system32\DRIVERS\nwlnknb.sys [2004-05-01 63232]
R2 NwlnkSpx;NWLink SPX/SPXII-Protokoll; C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys [2004-05-01 55936]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-05-01 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-10-29 3341824]
R3 AtiHdmiService;ATI Function Driver for HDMI Service; C:\WINDOWS\system32\drivers\AtiHdmi.sys [2007-11-14 84992]
R3 BlueletAudio;Bluetooth Audio Service; C:\WINDOWS\system32\DRIVERS\blueletaudio.sys [2005-05-31 20480]
R3 BTHidEnum;Bluetooth HID Enumerator; C:\WINDOWS\system32\DRIVERS\vbtenum.sys [2005-04-30 11860]
R3 FStarForce;FStarForce; C:\WINDOWS\system32\DRIVERS\FStarForce.sys [2008-10-24 9216]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2004-05-01 9600]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-05-20 4800000]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller; C:\WINDOWS\system32\DRIVERS\l1e51x86.sys [2008-02-02 36864]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-05-01 12288]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-05-01 61824]
R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2004-05-01 5888]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 VClone;VClone; C:\WINDOWS\system32\DRIVERS\VClone.sys [2008-09-24 29184]
R3 VComm;Virtual Serial port driver; C:\WINDOWS\system32\DRIVERS\VComm.sys [2004-10-19 61312]
R3 VcommMgr;Bluetooth VComm Manager Service; C:\WINDOWS\System32\Drivers\VcommMgr.sys [2005-03-25 82148]
S3 BT;Bluetooth PAN Network Adapter; C:\WINDOWS\system32\DRIVERS\btnetdrv.sys [2005-04-30 10804]
S3 Btcsrusb;Bluetooth USB For Bluetooth Service; C:\WINDOWS\System32\Drivers\btcusb.sys [2005-05-31 23000]
S3 BTNetFilter;Bluetooth Network Filter; \??\C:\WINDOWS\system32\drivers\BTNetFilter.sys []
S3 catchme;catchme; \??\C:\DOKUME~1\ADMINI~1.BOO\LOKALE~1\Temp\catchme.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-04 17024]
S3 LHidFlt2;Logitech HID/USB Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LHidFlt2.Sys [2004-05-01 25505]
S3 LHidUsb;Logitech USB Receiver device driver; C:\WINDOWS\System32\Drivers\LHidUsb.Sys [2004-05-01 37887]
S3 LMouFlt2;Logitech Mouse Class Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouFlt2.Sys [2004-05-01 70801]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-04 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-04 10880]
S3 Pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\Pcouffin.sys [2009-01-09 47360]
S3 Profos;Profos; \??\C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\profos.sys []
S3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-04 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-04 15360]
S3 Trufos;Trufos; \??\C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\trufos.sys []
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-04 19328]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-05-01 73472]
S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-05-01 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-10-29 585728]
R2 BlueSoleil Hid Service;BlueSoleil Hid Service; C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe [2005-04-06 110592]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
S2 ATI Smart;ATI Smart; C:\WINDOWS\SYSTEM32\ati2sgag.exe [2008-10-28 593920]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]

-----------------EOF-----------------

Ich bin schon an der Grenze dazu, den Trojaner als dauerhaften Mitbewohner zu akzeptieren, so lange habe ich ihn schon nicht wegbekommen..

Hallo,

was ist denn da mit Deinem Patchstand los?

Code: Alles auswählenAufklappen

ATTFilter

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
         

Windows hat nur das SP2 und HijackThis kann nicht die Version des IE lesen!
Bitte mal diese Liste beachten und abarbeiten. (ab dem 2. Abschnitt, RSIT kannste erstmal weglassen)

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Also die Liste hab ich natürlich längst gemacht bevor ich das Logfile erstellt habe. Ich vermute, weil ich keinen Internet Explorer habe findet er die Version nicht. Irgendwas ersichtlich aus dem Logfile?

P.S: Gibt es vielleicht eine Seite, die das analysiert und mir Hinweise geben kann?

Komplett deinstallieren kann man den IE nicht. Er ist fester Bestandteil von Windows. Was hast Du mit dem gemacht?

Hat Malwarebytes was gefunden?

Im Logfile hab ich sonst nix entdeckt. Kommst Du mi Adminrechten in diesen Pfad rein?

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files
         

Wenn ja, dann leer diesen Ordner. Außerdem solltest Du unbedingt Updates für Dein System einspielen.

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Es geht v.a. um den IE8, auch wenn Du ihn nicht nutzt.


Auch bitte Java und den AdobeReader prüfen (falls zutreffend bzw. erforderlich):


Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.


Java-Update
Deine derzeitig installierte Version von Java ist veraltet, was ebenfalls ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alten Versionen zu löschen und auf die neuste zu aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

also den internet explorer kann man schon entfernen. ist nicht so einfach wie jedes andere programm, aber möglich ist es schon. Okay Acrobat Reader hab ich einfach mal deinstalliert. Den benutz ich eh nicht. Java Script okay das update ich mal.

Was den Virus betrifft, ich kann natürlich in das Verzeichnis gehen und den Ordner leeren - sogar löschen, aber er erstellt sich automatisch wieder.

Kein Programm hat irgendwas gefunden bis jetzt (also was das problem betrifft)

Also ich seh dort so nichts Auffälliges im Logfile. Ich würde nicht ausschließen, dass Du durch das Deinstallieren des IE auch Probleme eingehandelt hast. Den IE kann man theroretisch nicht komplett deinstallieren, Windows benutzt die Kernkomponenten des IE. Zudem ist ja auch nur das SP2 installiert.

Zur womöglichen Schädlingsdatei: Kannst Du die irgendwie anfassen und zB bei Virustotal auswerten lassen`?

Der Internet Explorer ist schon seit Urzeiten bei mir deinstalliert, also das wird es wohl kaum sein. Was die Schädlinge betrifft, wenn sie wieder auftauchen werd ich sie mal hochladen da, aber die sind ja eigentlich nicht das Problem. Antivir erkennt sie und ich kann sie auch löschen. Es muss ein anderes Programm o.Ä. da sein, das die Viren erstellt.

Ich sollte mal meine Windows Updates auf den neusten Stand bringen - vielleicht ist es das ja.

Dann werte die Datei bitte mal bei Virustotal aus und poste die Ergebnisse inkl. Prüfsummen.

okay ich habe jetzt 103 Sicherheitsupgrades (*hust*) nachgeholt und der Ordner der immer wieder auftaucht ist jetzt wieder da - und jetzt kommt das aber, ABER es ist kein Virus mehr drinne! Ist es vielleicht geschafft? War es einfach eine Windows Sicherheitslücke, die ich nicht geschlossen hatte? Noch trau ich meinen Augen nicht, aber vielleicht war es das tatsächlich.

Wie schon cosinus gesagt hat mache auch noch ein Scann mit Malwarebytes-Anti-Malware
und Poste das Log den Vollständigen Scanns.

Vor dem Scann das Updaten nicht vergessen.

wie gesagt der Virus kommt nicht wieder - es muss also an einer Windows Sicherheitslücke gelegen haben, die ich nicht gefixt hatte.