Hallo ich hab ein lästiges Problem mit dem Virus TR/Trash.Gen' [trojan]

Also ich hatte das jetzt ein paar mal das ein Virus gefunden wurde. Habe dann mit Avira eine komplette Systemüberprüfung gemacht, dort stand das alles gelöscht worden ist.
Dachte wäre alles in Ornung gewesen doch jetzt meldet sich wieder Avira das es den Virus TR/Trash.Gen' gefunden hat. Ich war auf keine unbekannten Seiten oder Ähnliches. Habe auch nichts von unbekannten Quellen gedownloadet.

Hier ist einmal die Meldung von Avira:

Zitat:

In der Datei 'C:\System Volume Information\_restore{284666A4-58BA-4D97-BF16-11DD8963D607}\RP68\A0016819.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Jetzt noch ein Hijackthis-Log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:05, on 29.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Gemeinsame Dateien\BinarySense\hldasvc.exe
C:\Programme\Gemeinsame Dateien\BinarySense\hldasvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\TrillianAstra\trillian.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183307317296
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - "C:\Programme\Gemeinsame Dateien\BinarySense\hlAPP.dll" (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: HDDlife HDD Access service - BinarySense, Inc. - C:\Programme\Gemeinsame Dateien\BinarySense\hldasvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6045 bytes

Jetzt habe ich noch Angst das auf unserem Büro PC auch sowas sein könnte


Hoffe ich muss nicht formatieren da viele wichtige Datein auf meinem PC sind.
MfG Zaziki

Hallo Zaziki

Also das HJT log ist sauber. Bitte mache zuerst einmal folgendes:

Systemwiederherstellung leeren

• Start --> Alle Programme--> Zubehör --> Systemprogramme --> Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe den Punkt einen merkbaren Namen ( z.B. Bereinigung) ein --> Erstellen --> Schließen.
• Start --> Ausführen --> cleanmgr (reinschreiben) --> OK --> Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja --> OK

Danach lade dir Malwarebytes herunter und mache damit einen kompletten Systemscan. Vor dem Scan bitte auch alle externen Festplatten und USB-Sticks an den Rechner anschließen. Das log bitte hier posten.

Gruß

Acid

Hier der Log:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2941
Windows 5.1.2600 Service Pack 2

29.10.2009 21:34:51
mbam-log-2009-10-29 (21-34-51).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|E:\|F:\|)
Durchsuchte Objekte: 254425
Laufzeit: 1 hour(s), 6 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

Zitat von Zaziki

Hier der Log:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2941
Windows 5.1.2600 Service Pack 2

29.10.2009 21:34:51
mbam-log-2009-10-29 (21-34-51).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|E:\|F:\|)
Durchsuchte Objekte: 254425
Laufzeit: 1 hour(s), 6 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ist der jetzt schon weg von dem Löschen der Systemwiederherrstellungspunkte? Ich glaube nicht oder?

Hallo Zaziki

Das werden wir jetzt rausfinden.

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.

Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste den Inhalt.

Gruß

Acid

Code: Alles auswählenAufklappen

ATTFilter

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-10-30 20:54:09
PROTECTIONS: 1
MALWARE: 5
SUSPECTS: 8
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
AntiVir Desktop                              9.0.1.32                      Yes       No
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00145393  Cookie/Tradedoubler                TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\nico\cookies\nico@tradedoubler[1].txt
00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\nico\cookies\nico@mediaplex[1].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\nico\cookies\nico@apmebf[1].txt
00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\nico\cookies\nico@adtech[1].txt
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\nico\cookies\nico@advertising[1].txt
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
No        c:\autoit\autoit decompiler\samples\ahk\ahk_modified.exe
No        c:\dokumente und einstellungen\nico\lokale einstellungen\temp\rar$ex00.000\fabletrn.exe
No        c:\downloads\frisch gedownloadet\fable_the_lost_chapters_trn23_21032007.zip[fabletrn.exe]
No        c:\games\alle samp server!\0.3\samp-server.exe
No        c:\games\landwirtschafts-simulator 2009\landwirtschafts.simulator.2k9.v1.0.ger.reunion.nocd.zip[ru-lwsrr.exe]
No        c:\games\landwirtschafts-simulator 2009\ru-lwsrr.exe
No        c:\programme\autoit3\scite\autoitmacrogenerator\thehook.dll
No        c:\programme\trillianastra\trillian_astra_beta_pro_patcher_4_beta_tester_v5.exe
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
191613    HIGH           MS08-020
187733    HIGH           MS08-008
182046    HIGH           MS07-067
179553    HIGH           MS07-061
170904    HIGH           MS07-043
108742    MEDIUM         MS06-006
;===================================================================================================================================================================================
         

Wow das dauerte lange...

Hallo Zaziki

Einer noch.

Jetzt noch einen Scan mit http://www.trojaner-board.de/51871-a...tispyware.html. Alle Funde löschen und das log bitte posten.

Gruß

Acid