hallo forum, habe seit einiger zeit probleme mit dem Virus/trojaner HEUR/Crypted.
Habe standardmäßig nur avira Antivir, welches den virus zwar indentifiziert hat, ihn aber scheinbar nicht beseitigen kann.
laut antivir befindet sich das biest in verschiedenen (XYZ)

C:\\WINDOWS\Temp\XYZ.tmp\svchost.exe und in
C:\\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\temporay internet files\content\...

der virus zeigt sich darin, dass firefox selbstständig fenster öffnetE, und die PC-leistung auf ein minimum herunterfährt oder ihn zum absturz bringt.
firefox kann jetzt garnichtmehr geöffnet werden, scheint sich selbst gelöscht zu haben und IE läuft auch nichtmehr => momentan ist der also pc ohne Internetexplorer.

ich weiß nicht ob mir ein formatieren hilft (was ich ohnehin nur ungern machen würde), da es anderen usern mit dem HEUR/crypted -problem nicht weitergeholfen hat, es aber anscheinend unterschiede gibt was HEUR/crypted betrifft.

hab jetzt mal so eine Hijack this logfile erstellt und auch die startuplist:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:02:10, on 11.04.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\***\LOKALE~1\Temp\Uzx.exe
C:\WINDOWS\msc.exe
D:\Programme\AntiVir PersonalEdition Premium\sched.exe
D:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
D:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
D:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Java\jre6\bin\jusched.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\Temp\_ex-08.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Air Mouse\Air Mouse\Air Mouse.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SystemProc\lsass.exe
D:\Programme\Adobe\Acrobat 7.0\Distillr\AcroDist.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [29667232] C:\DOKUME~1\ALLUSE~1\ANWEND~1\29667232\29667232.exe
O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\Temp\_ex-08.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Steam] "D:\Games\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Intelliremote] D:\Programme\Melloware\Intelliremote\Intelliremote.exe
O4 - HKCU\..\Run: [BMIMZMHMFM] C:\DOKUME~1\***\LOKALE~1\Temp\Uzx.exe
O4 - HKCU\..\Run: [ROUA3O12PW] C:\WINDOWS\msc.exe
O4 - HKLM\..\Policies\Explorer\Run: [RTHDBPL] C:\Dokumente und Einstellungen\***\Anwendungsdaten\SystemProc\lsass.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Air Mouse.lnk = C:\Programme\Air Mouse\Air Mouse\Air Mouse.exe
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} (Navigram Control) - hxxp://www.navigram.com/engine/v911/Navigram.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 11005 bytes



und die startuplist:

StartupList report, 11.04.2010, 14:12:14
StartupList version: 1.52.2
Started from : C:\Programme\Trend Micro\HijackThis\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v8.00 (8.00.6001.18241)
* Using default options
==================================================

Running processes:

C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\***\LOKALE~1\Temp\Uzx.exe
C:\WINDOWS\msc.exe
D:\Programme\AntiVir PersonalEdition Premium\sched.exe
D:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
D:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
D:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Java\jre6\bin\jusched.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\Temp\_ex-08.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Air Mouse\Air Mouse\Air Mouse.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\SystemProc\lsass.exe
D:\Programme\Adobe\Acrobat 7.0\Distillr\AcroDist.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Adobe Acrobat - Schnellstart.lnk = ?
Air Mouse.lnk = C:\Programme\Air Mouse\Air Mouse\Air Mouse.exe
Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SoundMan = SOUNDMAN.EXE
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
SW20 = C:\WINDOWS\system32\sw20.exe
SW24 = C:\WINDOWS\system32\sw24.exe
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
LVCOMSX = C:\WINDOWS\system32\LVCOMSX.EXE
LogitechCameraAssistant = C:\Programme\Logitech\Video\CameraAssistant.exe
LogitechVideo[inspector] = C:\Programme\Logitech\Video\InstallHelper.exe /inspect
LogitechCameraService(E) = C:\WINDOWS\system32\ElkCtrl.exe /automation
avgnt = "D:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
WinampAgent = D:\Programme\Winamp\winampa.exe
Acrobat Assistant 7.0 = "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
(Default) =
NeroFilterCheck = C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
MessengerPlus3 = "D:\Programme\MessengerPlus! 3\MsgPlus.exe"
SunJavaUpdateSched = "C:\Programme\Java\jre6\bin\jusched.exe"
QuickTime Task = "C:\Programme\QuickTime\QTTask.exe" -atboottime
iTunesHelper = "D:\Programme\iTunes\iTunesHelper.exe"
29667232 = C:\DOKUME~1\ALLUSE~1\ANWEND~1\29667232\29667232.exe
CTFMON = C:\WINDOWS\Temp\_ex-08.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
LogitechSoftwareUpdate = C:\Programme\Logitech\Video\ManifestEngine.exe boot
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
MessengerPlus3 = "D:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
Steam = "D:\Games\Steam\Steam.exe" -silent
MSMSGS = "C:\Programme\Messenger\msmsgs.exe" /background
Intelliremote = D:\Programme\Melloware\Intelliremote\Intelliremote.exe
BMIMZMHMFM = C:\DOKUME~1\***\LOKALE~1\Temp\Uzx.exe
ROUA3O12PW = C:\WINDOWS\msc.exe

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

[AdobeUpdater]
=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\system32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - (no file) - {5C255C8A-E604-49b4-9D64-90988571CECB}
(no name) - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll - {9030D464-4C02-4ABF-8ECC-5164760863C6}
(no name) - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910}
(no name) - C:\Programme\Java\jre6\bin\jp2ssv.dll - {DBC80044-A445-435b-BC74-9C25C1C588A9}
JQSIEStartDetectorImpl - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll - {E7E6F031-17CE-4C07-BC86-EABFE594F69C}

--------------------------------------------------

Enumerating Task Scheduler jobs:

{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job

--------------------------------------------------

Enumerating Download Program Files:

[Navigram Control]
InProcServer32 = C:\Programme\Navigram\NavigramEngine\navigram.ocx
CODEBASE = hxxp://www.navigram.com/engine/v911/Navigram.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #4: C:\Programme\Bonjour\mdnsNSP.dll
Protocol #1: avsda.dll (file MISSING)
Protocol #2: avsda.dll (file MISSING)
Protocol #8: avsda.dll (file MISSING)

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll
WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll
UPnPMonitor: C:\WINDOWS\system32\upnpui.dll

--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

RTHDBPL = C:\Dokumente und Einstellungen\***\Anwendungsdaten\SystemProc\lsass.exe

--------------------------------------------------

End of report, 8.666 bytes
Report generated in 0,078 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only


hoff ihr könnt mir weiterhelfen, bin absolut überfordert damit,
danke schonmal

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Falls Du Probleme mit Malwarebytes hast (startet nicht, Updates laden nicht etc.), das hier beachten > http://www.trojaner-board.de/82699-m...tet-nicht.html

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Falls RSIT nicht startet: im Kompatibilitätsmodus ausführen (Rechtsklick auf RSIT.exe, Reiter Kompatibilität) => Windows XP einstellen und ausführen

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Soo. danke schonmal für deine hilfe

hab nun endlich die von dir verlinkte liste abgearbeitet, und ich denke es hat sich gelohnt.

hab die logfiles nun in ne zip datei verpackt, und hoff' dass das alles funktioniert hat, wie's sein soll.

ich mach den link jetzt auch mal inaktiv,weiß nicht obs in so einem fall auch so gedacht ist, aber das kriegst du ja dann auch so hin:

h**p://www.file-upload.net/download-2430732/log-files.zip.html

vielen danke fürs durchschauen,
mfg k.A

Oje, da ist aber einiges drauf! Bitte CF anwenden, das Tool nimmt uns enorm viel Arbeit ab:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ich mein' der pc würd schon wieder besser laufen

also ich bin nach der anleitung vorgegangen.
wenn ich mich an dem "leitfaden" orientiere, kam es bei mir zu unplanmäßigen neustarts des pc während der suche:

1. restart war nötig, weil cd- emulatoren (mein ich jedenfalls kurz gelesen zu haben) beendet werden sollten
2. neustart: "Combofix hat die anwesenheit von rootkitaktivitäten festgestellt und muss den pc neu startn"
=> hier blieb die ganze aktion dann bei windows' "willkommensbildschirm" hängen
=> manueller neustart war dann nötig -dachte ich zumindest
=> direkt danach hat combofix den pc dann wieder restarted, wegen siehe 1.
=> combofix konnte dann die suche fertigstellen

es war bloed, dass avira antivir bei jedem neustart sein "schirmchen" wieder aufgeklappt hat, was ich ja vor dem programmstart eigentlich deaktivieren sollte, und ich dies dann während der automatischen fortsetzung von combofix immer wieder neu machen musste.
ich denke es hat jetzt aber dennoch funktioniert?!

hier die datei:

ht**://www.file-upload.net/download-2432284/ComboFix.txt.html

fg und danke

hallo,
ich hab combofix ausgeführt (s. früheren beitrag).
kann mir bitte jemand mit der logfile helfen?
bin ich fertig? bin ich alles los?

hier nochmal der link zum log

ht**://www.file-upload.net/download-2432284/ComboFix.txt.html

mfg kA

Sry, hab Deinen Strang übersehen.
Das CF Log sieht ok aus. Mach bitte Vollscans zur Kontrolle mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hey, macht nichts.
jetzt siehts aber wieder schlecht aus, bzw. man sieht garnichts mehr.
hab den scan mit SUPERAntiSpyware gemacht, nach abschluss scans, wollte ich mit einem
klick auf "weiter " wieder in das hauptmenu (war doch sicherlich richtig?! ) wechseln. das programm hat nach dem klick auf "weiter" die infizierten dateien aufgezeigt und dann diese entfernt.

darauf hin folgte die meldung (ungefähr): "um den vorgang abzuschließen muss SUPERAntiSpyware den computer neustarten"
=> klick auf "weiter"
=> neustart
anstatt des üblichen kurzen "bootTon", war relativ langer zu hören.
der pc fährt nun "korrekt" hoch, was ich am windows"willkommensound" und den wahrscheinlich üblichen fehlermeldungen festmachen kann, der bildschirm bleibt dummerweise allerdings schwarz.

hast du jetzt ne idee, wie ich das wieder hinkrieg?
ohne bild kommt man ja nicht wirklich weit..
während der ausführung von cf habe ich ja die wiederherstellungskonsole installiert, aber ohne bild nützt auch die wahrscheinlich nichts, oder?!

Falls es interessiert, höre jetzt auch antivir fund(e) (bis jetzt nur einen) melden

hoff du weißt weiter

k.A.

Weißt Du noch, was SUPERAntiSpyware gefunden und entfernt hat? Ist das Bild noch im abgesicherten Modus da?

also es waren auf jeden fall drei verschiedene arten von funden

1. zeile: **** 4
2. zeile: spyware?: 1
3. zeile: trojan/***** 11

bin mir aber nicht sicher, außer dass in der letzten zeile was von trojan stand
(bin mir ja fast sicher dass da "trojan/downloader" oder so, aber das kann ich auch woanders gelesen haben ), und dass es 16 funde waren..

das mit dem abgesicherten modus kann ich nicht sagen, denke eher nicht. habs jetzt mit F8 einige male probiert, entweder hab ich den richtigen zeitpunkt immer verpasst, oder es funktioniert auch im abgesicherten modus nicht.

Probier das bitte weiter aus mit dem abgesicherten Modus. Evtl. kann man da das Löschen mit SUPERAntiSpyware rückgängig machen. Ansonsten fiele mir außer Neuinstallation von Windows nichr mehr viel ein

soo, es werde licht

der bioston und der schwarze bildschirm haben mich dazuveranlasst mal die grafikkarte rauszuholen und einfach nochmal einzusetzen. ein erfolg.
hier die logfiles:

hxxp://www.file-upload.net/download-2445808/log.zip.html

ich weiß nicht ob wissenswert ist, neben all den programmen die ich hier laufen lasse, aber avira meldet jetzt HEUR-DBLEXT/Crypted in
C:\System Volume Information\-restore....

k.A.

Sieht schon besser aus, gefällt mir aber noch nicht so ganz. Bitte OTL Logs machen:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

hier die otl-logs

h*tp://www.file-upload.net/download-2447474/OTL.zip.html

lg und danke

Sieht gut aus. Wie verhält sich Dein Rechner nun?
Wenn wieder alles ok ist, bitte die Updates prüfen:



Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.