Hallo Leute
ich habe folgendes problem
wie kann ich msa.exe löschen
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:18:38, on 03.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
E:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
E:\WINDOWS\system32\svchost.exe
E:\Programme\UPHClean\uphclean.exe
E:\WINDOWS\system32\wscntfy.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\Windows Live\Messenger\msnmsgr.exe
E:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
E:\Programme\Windows Media Player\WMPNSCFG.exe
E:\Programme\Paltalk Messenger\paltalk.exe
E:\Programme\PC Connectivity Solution\ServiceLayer.exe
E:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
E:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
E:\WINDOWS\system32\wbem\wmiapsrv.exe
E:\WINDOWS\msa.exe
E:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Programme\Microsoft\Office Live\OfficeLiveSignIn.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Windows Live\Toolbar\wltuser.exe
E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\b.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - E:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - E:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - E:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Catcher Class - {ADECBED6-0366-4377-A739-E69DFBA04663} - E:\Programme\Moyea\FLV Downloader\MoyeaCth.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - E:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - E:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - E:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - E:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - E:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - E:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "E:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "E:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [WMPNSCFG] E:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [PopRock] E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: In Blog ver?ffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - E:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog ver?ffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - E:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - E:\Programme\Paltalk Messenger\Paltalk.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'e:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - E:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5483.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227038173546
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: acaptuser32.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - E:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia. - E:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TVersityMediaServer - Unknown owner - E:\Programme\TVersity\Media Server\MediaServer.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - E:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9715 bytes


mit freundlichen Grüssen

Moin.

Bitte beschreibe dein Problem.


Danach:


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

E:\Programme\Paltalk Messenger\paltalk.exe
E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\b.exe
E:\WINDOWS\msa.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

HALLO
die Auswertung von msa.exe hat folgendes gezeigt
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.10.03 -
AhnLab-V3 5.0.0.2 2009.10.03 -
AntiVir 7.9.1.27 2009.10.02 -
Antiy-AVL 2.0.3.7 2009.10.03 -
Authentium 5.1.2.4 2009.10.03 -
Avast 4.8.1351.0 2009.10.02 Win32:Trojan-gen
AVG 8.5.0.420 2009.10.03 Generic14.BAGF
BitDefender 7.2 2009.10.03 Trojan.FakeAlert.BMF
CAT-QuickHeal 10.00 2009.10.03 -
ClamAV 0.94.1 2009.10.03 -
Comodo 2501 2009.10.03 -
DrWeb 5.0.0.12182 2009.10.03 Trojan.DownLoad.47149
eSafe 7.0.17.0 2009.10.01 Suspicious File
eTrust-Vet 31.6.6774 2009.10.02 Win32/FakeAVDl.NO
F-Prot 4.5.1.85 2009.10.03 -
F-Secure 8.0.14470.0 2009.10.03 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.10.03 W32/PackFrauLoad.B
GData 19 2009.10.03 Trojan.FakeAlert.BMF
Ikarus T3.1.1.72.0 2009.10.03 -
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.861 2009.10.03 -
Kaspersky 7.0.0.125 2009.10.03 -
McAfee 5759 2009.10.02 FakeAlert-HT
McAfee+Artemis 5759 2009.10.02 FakeAlert-HT
McAfee-GW-Edition 6.8.5 2009.10.03 Trojan.Crypt.ZPACK.Gen2
Microsoft 1.5101 2009.10.03 TrojanDownloader:Win32/Renos.JS
NOD32 4477 2009.10.02 Win32/TrojanDownloader.FakeAlert.AFQ
Norman 6.01.09 2009.10.03 W32/Renos.ABTQ
nProtect 2009.1.8.0 2009.10.03 Trojan/W32.Agent.157696.CH
Panda 10.0.2.2 2009.10.03 Adware/WindowsProtectionSuite
PCTools 4.4.2.0 2009.10.03 -
Prevx 3.0 2009.10.03 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.03 Mal/EncPk-JY
Sunbelt 3.2.1858.2 2009.10.02 -
Symantec 1.4.4.12 2009.10.03 Trojan.Fakeavalert
TheHacker 6.5.0.2.027 2009.10.02 -
TrendMicro 8.950.0.1094 2009.10.03 TROJ_RENOS.SMJF
VBA32 3.12.10.11 2009.10.03 -
ViRobot 2009.10.2.1968 2009.10.02 -
VirusBuster 4.6.5.0 2009.10.02 Trojan.Fraudload.Gen!Pac.8
weitere Informationen
File size: 157696 bytes
MD5...: 59e52b589422dfa66fa47ced0ea43065
SHA1..: 07147c3f48304b19e843fc0f7b7b79d4b492631c
SHA256: c5ae6f25d33114b9f5a30ef81e802f3d5e488ac3707f2256e6c2901f9c88b442
ssdeep: 3072:HxrCWzyDT2Np6E3ftdrNghZnRHdfWqiXJTOL7cyft88TeE0G:JCWGP2Npjl
dWvnxdfW1ROHlfTR0G
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1815
timedatestamp.....: 0x459f755f (Sat Jan 06 10:09:35 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.itext 0x1000 0x7317 0x7400 4.97 cf788ea28b252ac9f116ae6f56f353cf
.DATA 0x9000 0x21f7 0x2200 3.35 6a5b10cd3f9b0b326999ad28ffed3ef0
.bss 0xc000 0x6fbb6 0x1bc00 7.34 cd2dc3111334a3e591ec548baa711825
.idata 0x7c000 0x1045 0x1200 4.12 7f22d8db436f408e5f4989ca4bc7589a

( 8 imports )
> KERNEL32.DLL: FindAtomA, FindAtomW, WriteFile, CreateDirectoryA, GetFileType, AddAtomW, OpenFile, FatalExit, ExitThread, AddAtomA, GetCommandLineA, GetFileTime, GlobalFree, ExitProcess, FindClose, CopyFileA, CopyFileExW
> ADVAPI32.DLL: RegLoadKeyW, RegQueryInfoKeyW, RegFlushKey, RegEnumValueW, RegGetKeySecurity, RegDeleteValueA, RegReplaceKeyW, RegDeleteValueW, RegOpenKeyExW, RegEnumKeyExW, RegEnumValueA, RegQueryValueExW, RegQueryValueExA, RegOpenKeyExA, RegQueryInfoKeyA, RegQueryValueA, RegEnumKeyExA, RegQueryValueW
> ADVAPI32.DLL: RegCreateKeyExA, RegEnumValueA, RegReplaceKeyW, RegEnumKeyW, RegOpenKeyExA, RegDeleteValueW, RegEnumKeyA, RegOpenKeyExW, RegOpenKeyA, RegEnumValueW, RegFlushKey, RegCreateKeyW, RegQueryValueExW, RegEnumKeyExW, RegCreateKeyA, RegQueryValueA
> ADVAPI32.DLL: RegCreateKeyExW, RegEnumValueA, RegReplaceKeyW, RegFlushKey, RegOpenKeyW, RegEnumKeyExW, RegEnumKeyW, RegQueryInfoKeyA, RegQueryValueExA, RegQueryValueExW, RegLoadKeyA, RegGetKeySecurity
> USER32.DLL: CopyImage, GetFocus, GetDC, CalcMenuBar, DrawTextW, EndDialog, GetWindowTextLengthA, DrawTextA, GetCursor, IsMenu, AppendMenuW, GetWindowTextA
> ADVAPI32.DLL: RegReplaceKeyW, RegFlushKey, RegOpenKeyExW, RegDeleteKeyW, RegEnumValueA, RegQueryValueExW, RegQueryValueW, RegEnumValueW, RegCreateKeyExA, RegQueryValueExA, RegCreateKeyExW, RegQueryInfoKeyA, RegLoadKeyW, RegEnumKeyExA
> KERNEL32.DLL: GetLastError, FatalExit, GetFileType, CopyFileExW, AddAtomA, CopyFileExA, CreateDirectoryA, GetStdHandle, AddAtomW, CopyFileA, GetPriorityClass, GetCPInfo, WriteFile
> ADVAPI32.DLL: RegDeleteValueA, RegEnumValueA, RegDeleteKeyW, RegOpenKeyExW, RegQueryValueA, RegReplaceKeyW, RegQueryInfoKeyA, RegEnumKeyA, RegCreateKeyExW, RegLoadKeyA, RegCreateKeyA, RegCreateKeyExA, RegEnumKeyW, RegReplaceKeyA, RegOpenKeyA, RegCreateKeyW, RegEnumValueW

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (35.2%)
Win32 Dynamic Link Library (generic) (31.3%)
Win16/32 Executable Delphi generic (8.5%)
Clipper DOS Executable (8.3%)
Generic Win/DOS Executable (8.2%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


und von b.exe

a-squared 4.5.0.24 2009.10.03 -
AhnLab-V3 5.0.0.2 2009.10.03 -
AntiVir 7.9.1.27 2009.10.02 -
Antiy-AVL 2.0.3.7 2009.10.03 -
Authentium 5.1.2.4 2009.10.03 W32/FakeAlert.CO.gen!Eldorado
Avast 4.8.1351.0 2009.10.02 Win32:Trojan-gen
AVG 8.5.0.420 2009.10.03 Generic14.BAFX
BitDefender 7.2 2009.10.03 Trojan.FakeAlert.BMF
CAT-QuickHeal 10.00 2009.10.03 Trojan.Agent2.cikr
ClamAV 0.94.1 2009.10.03 -
Comodo 2502 2009.10.03 -
DrWeb 5.0.0.12182 2009.10.03 -
eSafe 7.0.17.0 2009.10.01 Suspicious File
eTrust-Vet 31.6.6774 2009.10.02 Win32/FakeAVDl.NO
F-Prot 4.5.1.85 2009.10.03 W32/FakeAlert.CO.gen!Eldorado
F-Secure 8.0.14470.0 2009.10.03 -
Fortinet 3.120.0.0 2009.10.03 W32/PackFrauLoad.B
GData 19 2009.10.03 Trojan.FakeAlert.BMF
Ikarus T3.1.1.72.0 2009.10.03 -
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.861 2009.10.03 -
Kaspersky 7.0.0.125 2009.10.03 -
McAfee 5759 2009.10.02 FakeAlert-HT
McAfee+Artemis 5759 2009.10.02 FakeAlert-HT
McAfee-GW-Edition 6.8.5 2009.10.03 Heuristic.BehavesLike.Win32.Trojan.H
Microsoft 1.5101 2009.10.03 TrojanDownloader:Win32/Renos.JI
NOD32 4477 2009.10.02 a variant of Win32/Kryptik.ANP
Norman 6.01.09 2009.10.03 W32/Renos.ABTN
nProtect 2009.1.8.0 2009.10.03 Trojan/W32.Agent.152576.BC
Panda 10.0.2.2 2009.10.03 Adware/WindowsProtectionSuite
PCTools 4.4.2.0 2009.10.03 -
Prevx 3.0 2009.10.03 High Risk Spyware
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.03 Mal/EncPk-JY
Sunbelt 3.2.1858.2 2009.10.02 Trojan.Win32.FraudPack.tbi (v)
Symantec 1.4.4.12 2009.10.03 Trojan.Fakeavalert!gen
TheHacker 6.5.0.2.027 2009.10.02 -
TrendMicro 8.950.0.1094 2009.10.03 TROJ_RENOS.SMJF
VBA32 3.12.10.11 2009.10.03 -
ViRobot 2009.10.2.1968 2009.10.02 -
VirusBuster 4.6.5.0 2009.10.02 Trojan.Fraudload.Gen!Pac.8
weitere Informationen
File size: 152576 bytes
MD5...: 5c5e4d307e0a7f76af65fb0a80a7c535
SHA1..: 958cb17a32e9fd34de624dc3ad411c77a0a888a5
SHA256: 8b7abbe38cd59731369ee1a18f749c71093429fe720dace0a46e74ace6d763f6
ssdeep: 3072:F7bQ4s6rjL/Knzb4Hd/iXz9tkQvrHCweDyCFP4uOzRvm5IyHXM/:1Q4R//K
z8a9qQGlqBtJYXM/
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x175a
timedatestamp.....: 0x4584c358 (Sun Dec 17 04:11:04 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x71bf 0x7200 4.97 b66f6ca25a4e8f898c41f8f4abfbd08d
.DATA 0x9000 0x2243 0x2400 3.40 f8e27545ca5eb2bd847888c984472d8f
.init 0xc000 0x69473 0x1a600 7.36 b2e80c3a0062f72d4982af1294822bad
.idata 0x76000 0x12f2 0x1400 3.89 5c319acf704e5063a22b5be8adf45b79

( 8 imports )
> KERNEL32.DLL: GetPriorityClass, ExitThread, CreateDirectoryA, DeleteFileW, CopyFileExA, GetLocalTime, WriteFile, AddAtomA, GetStdHandle, ReadFile, AddAtomW, GetCPInfo, ExitProcess, FindClose
> KERNEL32.DLL: CopyFileExA, FindClose, AddAtomA, GetCommandLineA, WriteFile, ExitProcess, GetFileTime, DeleteFileA, GetStdHandle, FreeResource, FatalExit, AddAtomW, OpenFile, DeleteAtom, GetFileType, ExitThread, FindAtomA, ReadFile
> USER32.DLL: GetMenu, CalcMenuBar, BeginPaint, CopyRect, GetWindowTextA, BlockInput, AlignRects, GetFocus, InsertMenuA, GetDlgItem, GetWindowTextLengthA, CloseWindow, DialogBoxParamA, AppendMenuA, DrawIconEx, CopyImage, DrawTextA, CreateIcon, IsMenu
> ADVAPI32.DLL: RegLoadKeyA, RegQueryValueA, RegOpenKeyA, RegQueryInfoKeyW, RegDeleteValueW, RegCreateKeyA, RegQueryValueExA, RegDeleteKeyA, RegLoadKeyW, RegQueryInfoKeyA, RegEnumKeyA, RegGetKeySecurity, RegQueryValueExW, RegOpenKeyW, RegReplaceKeyA, RegQueryValueW, RegEnumValueW, RegDeleteKeyW, RegDeleteValueA
> KERNEL32.DLL: FreeResource, DeleteFileA, OpenFile, DeleteAtom, GetFileType, CopyFileA, FatalExit, GetCPInfo, GetLocalTime, GlobalFree, CopyFileExW, ReadFile, GetFileTime, WriteFile, GetCommandLineA
> ADVAPI32.DLL: RegQueryInfoKeyW, RegQueryValueA, RegLoadKeyA, RegEnumKeyExW, RegCreateKeyW, RegEnumKeyW, RegDeleteValueA, RegOpenKeyExA, RegQueryValueW, RegDeleteKeyA, RegQueryValueExA, RegQueryValueExW, RegCreateKeyExA, RegDeleteValueW, RegOpenKeyExW, RegFlushKey, RegEnumValueW
> KERNEL32.DLL: GetPriorityClass, GetLocalTime, AddAtomW, CreateDirectoryA, CopyFileExA, GetCPInfo, CopyFileA, DeleteFileW, ReadFile, GetLastError, CopyFileExW, AddAtomA, FreeResource, ExitProcess, WriteFile, GetFileType
> USER32.DLL: InsertMenuA, GetDC, CreateIcon, GetWindowTextA, DrawIconEx, GetDlgItem, GetFocus, BeginPaint, CopyImage, DialogBoxParamW, CopyRect, GetCursor, AlignRects, GetMenu, BlockInput

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (51.2%)
Win16/32 Executable Delphi generic (12.4%)
Clipper DOS Executable (12.1%)
Generic Win/DOS Executable (12.0%)
DOS Executable Generic (12.0%)
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=F891F93800700FFC54B9025C9D429800BD5B0188' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=F891F93800700FFC54B9025C9D429800BD5B0188</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned



mit mfg

Überprüfe den Rechner mit SUPERAntiSpyware und Anti-Malware und poste die logs.

Die Auswertung hat Folgendes gezeigt
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2904
Windows 5.1.2600 Service Pack 3

04.10.2009 17:15:58
mbam-log-2009-10-04 (17-15-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 247072
Laufzeit: 3 hour(s), 13 minute(s), 42 second(s)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 21
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 18

Infizierte Speicherprozesse:
E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\b.exe (Trojan.Downloader) -> Unloaded process successfully.
E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\b.exe (Trojan.Downloader) -> Unloaded process successfully.
E:\WINDOWS\msa.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Typelib\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{f0d4b230-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f0d4b23a-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f0d4b23c-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b15fd82e-85bc-430d-90cb-65db1b030510} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f0d4b231-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f0d4b231-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f0d4b231-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f0d4b23b-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{f0d4b23b-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{056738e1-e15c-11d6-b876-0050bf5d85c7} (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{056738ed-e15c-11d6-b876-0050bf5d85c7} (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Anti-Leech (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\anti-leech alie (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\poprock (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
E:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\nidle (Trojan.Agent) -> Quarantined and deleted successfully.
E:\Programme\Anti-Leech (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
E:\Programme\Anti-Leech\ALIE_1.0.2.3 (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.

Infizierte Dateien:
E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\b.exe (Trojan.Downloader) -> Delete on reboot.

E:\software\ALPluginIE-1.0.2.3-setup.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
E:\software\ALCOHOL 120 1.9.7.Build 6221(NEW-UPDATED Build)\CRACK\LOADER exe\Alcohol.exe (Trojan.Agent) -> Quarantined and deleted successfully.
E:\software\media player\Genuine_In_5_sec\Windows Toolkit\windowsxp_keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\software\Windows Toolkit\windowsxp_keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL (Adware.AskSBAR) -> Quarantined and deleted successfully.
E:\Programme\Anti-Leech\ALIE_1.0.2.3\alhlp.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
E:\Programme\Anti-Leech\ALIE_1.0.2.3\alie.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
E:\Programme\Anti-Leech\ALIE_1.0.2.3\alie.inf (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
E:\Programme\Anti-Leech\ALIE_1.0.2.3\iesetup2.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
E:\WINDOWS\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
E:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.
E:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> Quarantined and deleted successfully.



SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/04/2009 at 05:04 PM

Application Version : 4.29.1002

Core Rules Database Version : 4102
Trace Rules Database Version: 1978

Scan type : Complete Scan
Total Scan Time : 03:11:04

Memory items scanned : 567
Memory threats detected : 1
Registry items scanned : 6783
Registry threats detected : 28
File items scanned : 28337
File threats detected : 86

Trojan.Dropper/Win-NV
E:\WINDOWS\MSA.EXE
E:\WINDOWS\MSA.EXE
E:\WINDOWS\TWAIN_32\CIS600X\SERVICE.EXE
E:\WINDOWS\Prefetch\MSA.EXE-02AC1082.pf

Adware.Tracking Cookie
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atdmt[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@apmebf[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@go.dynamic-tracking[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adtech[3].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tradedoubler[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@stats.e-go[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@a9.adserver01[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.ad-srv[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.etracker[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@statse.webtrendslive[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@webmasterplan[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@revsci[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.ad2games[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.zanox[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tracking.quisma[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adfarm1.adition[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@imrworldwide[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@bs.serving-sys[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@content.yieldmanager[4].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@eas.apm.emediate[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@unitymedia[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.right-ads[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.adition[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tracking.mindshare[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@serving-sys[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@clicks.smartbizsearch[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@traffictrack[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.performance-netzwerk[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zanox-affiliate[3].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@webstats[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@advertising[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mediaplex[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@stats.scoreradar[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.zanox-affiliate[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.heias[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@date.ventivmedia[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@content.yieldmanager[5].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@bwincom.122.2o7[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zanox[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.yieldmanager[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@stats.arxondas[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@a2.adserver01[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.sportwerk[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@advertiser.contextmatters[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tto2.traffictrack[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.adnet[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@lucidmedia[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@2o7[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adtech[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.heias[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tto2.traffictrack[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.zanox-affiliate[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.etracker[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.yieldmanager[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@smartadserver[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zanox[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.quartermedia[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.zanox[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@content.yieldmanager[3].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tracking.quisma[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@webmasterplan[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zanox-affiliate[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad1.chefkoch[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.ad2games[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@content.yieldmanager[2].txt
E:\Dokumente und Einstellungen\NetworkService\Cookies\system@ad.trackbar[1].txt
E:\Dokumente und Einstellungen\NetworkService\Cookies\system@apmebf[2].txt
E:\Dokumente und Einstellungen\NetworkService\Cookies\system@www.etracker[1].txt
E:\Dokumente und Einstellungen\NetworkService\Cookies\system@tto2.traffictrack[1].txt
E:\Dokumente und Einstellungen\NetworkService\Cookies\system@zanox[1].txt
E:\Dokumente und Einstellungen\NetworkService\Cookies\system@www.zanox-affiliate[2].txt
E:\Dokumente und Einstellungen\NetworkService\Cookies\system@zanox-affiliate[2].txt
E:\Dokumente und Einstellungen\NetworkService\Cookies\system@beacons.hottraffic[1].txt
E:\Dokumente und Einstellungen\NetworkService\Cookies\system@traffictrack[2].txt

Trojan.DNSChanger-Codec
HKU\S-1-5-21-299502267-343818398-839522115-500\Software\fcn

Trojan.Agent/Gen
HKU\.DEFAULT\SOFTWARE\XML
HKU\.DEFAULT\SOFTWARE\XML#dig13
HKU\.DEFAULT\SOFTWARE\XML#dig15
HKU\.DEFAULT\SOFTWARE\XML#dig4
HKU\.DEFAULT\SOFTWARE\XML#dig5
HKU\.DEFAULT\SOFTWARE\XML#dig20
HKU\.DEFAULT\SOFTWARE\XML#dig25
HKU\.DEFAULT\SOFTWARE\XML#dig30
HKU\.DEFAULT\SOFTWARE\XML#dig31
HKU\S-1-5-21-299502267-343818398-839522115-500\SOFTWARE\XML
HKU\S-1-5-21-299502267-343818398-839522115-500\SOFTWARE\XML#dig15
HKU\S-1-5-21-299502267-343818398-839522115-500\SOFTWARE\XML#dig4
HKU\S-1-5-21-299502267-343818398-839522115-500\SOFTWARE\XML#dig5
HKU\S-1-5-21-299502267-343818398-839522115-500\SOFTWARE\XML#dig20
HKU\S-1-5-21-299502267-343818398-839522115-500\SOFTWARE\XML#dig25
HKU\S-1-5-21-299502267-343818398-839522115-500\SOFTWARE\XML#dig30
HKU\S-1-5-21-299502267-343818398-839522115-500\SOFTWARE\XML#dig31
HKU\S-1-5-21-299502267-343818398-839522115-500\SOFTWARE\XML#str14
HKU\S-1-5-18\SOFTWARE\XML
HKU\S-1-5-18\SOFTWARE\XML#dig13
HKU\S-1-5-18\SOFTWARE\XML#dig15
HKU\S-1-5-18\SOFTWARE\XML#dig4
HKU\S-1-5-18\SOFTWARE\XML#dig5
HKU\S-1-5-18\SOFTWARE\XML#dig20
HKU\S-1-5-18\SOFTWARE\XML#dig25
HKU\S-1-5-18\SOFTWARE\XML#dig30
HKU\S-1-5-18\SOFTWARE\XML#dig31

Trojan.VXGame-Variant/D
C:\TOOLS1\TV MOVIE\TV.MOVIE.CLICKFINDER.4.81.GERMAN

Trojan.Agent/Gen-ImageDocFake
E:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\EIGENE DATEIEN\AZUREUS DOWNLOADS\VA_20-_20TA_20PROPOLEMIKA_20SMYRNE_27I_27KA\NO3\BACK.JPG
E:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\EIGENE DATEIEN\AZUREUS DOWNLOADS\VA_20-_20TA_20PROPOLEMIKA_20SMYRNE_27I_27KA\NO4\BACK.BMP

Trojan.Downloader-Gen/A
E:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMP\A.EXE


Soll ich Wndows neu einspielen

Danke für deine Hilfe

mfg

Zitat:

Soll ich Wndows neu einspielen

Das wäre sicher keine schlechte Idee.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen!

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record reparieren:


XP:

Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn du dazu aufgefordert wirst, wähle die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil des Setups startet, wähle die Option zum Reparieren oder Wiederherstellen, indem du die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangst du zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gibst du 'exit' ein.


Einen Personal Computer neuaufsetzen:

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Außerdem sollte die Sicherung über eine LiveCD geschehen da sich Viren gerne an Dateien anhängen oder externe Datenträger infizieren.
Das wird durch die Nutzung einer LiveCD verhindert.
Auf Grund der bekannten Oberfläche empfehle ich VistaPE.
Die PC-Welt stellt folgendes Paket zur Erstellung bereit: http://www.hitech-blog.com/wp-conten...pcwVistaPE.zip
Downloade dir das Paket, entpacke es in einen eigenen Ordner und starte das Setup durch einen Doppelklick auf die pcwVistaPE.exe.
Es öffnet sich ein Setup welches dich in mehreren Schritten durch den Installations- und Brennvorgang führt. Danach steht dir eine LiveCD zur Verfügung welche du in dein Laufwerk einlegst und den Rechner neustartest.
Der PC sollte dann von der LiveCD booten, dass heisst er startet das Mini Betriebssystem von der CD.
Sollte er das nicht tun so musst du im BIOS den First Boot Device auf CD/DVD-Rom ändern. Wie das geht findest du bei google...


Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!





Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..

• Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda AV, a-squared oder avast free. Tipp: Häufig gibt es die Programme billiger als auf der Hersteller-Homepage. Zum Beispiel bei Amazon.de.
  Internet Security Suiten oder gar TotalCare Produkte haben keinerlei Mehrwert!
  Sehr empfehlen kann ich PrevX!
  Mit einem kostenlosen Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
  .
• Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
  .
• Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
  .
• Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
  .
• Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
  .
• Das aktuelle ServicePack sollte installiert sein:
  • XP_ ServicePack3
  • Vista_ ServicePack2
  .
• Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
  .
• Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
    Vista_Firewall punktgenau konfigurieren
  .
• Der Windows Autorun sollte unbedingt deaktiviert werden!
  .
• Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodo o.ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Weitere Infos
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
    und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
  .
• Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Cracks, Keygens und gecrackte Software sind fast immer verseucht! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
  .
  Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

http://www.trojaner-board.de/71631-p...samer-tun.html

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..

Vielen DANKKKKKKKKKKK