Meine Tochter hat auf ihrem Laptop ganz viele Virenmeldungen, einer davon ist das oben genannte trojanische Pferd.

Kann mir jemand helfen, diese Viren loszuwerden.

Gruss Savitri

Zitat:

Malwarebytes' Anti-Malware 1.45
Datenbank Version: 4049

malwarebytes war nicht aktuell. Version muss 1.46 sein und die Datenbanken auf Version 4308 oder höher. Bitte updaten und einen Vollscan machen.

Hi cosinus

Ich wollte diesen Beitrag löschen. Aber das geht nicht. Ich hatte einen Vollscan gemacht, aber erst dann gesehen, dass die Datenbank nicht aktualisiert ist. Ich mache ihn jetzt nochmals.

Hier der vorläufige Vollscan:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

13.07.2010 15:32:13
mbam-log-2010-07-13 (15-32-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 193748
Laufzeit: 2 Stunde(n), 28 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{A117F7EC-2962-4C89-981A-62DC1490E300}\RP15\A0004771.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A117F7EC-2962-4C89-981A-62DC1490E300}\RP15\A0004778.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A117F7EC-2962-4C89-981A-62DC1490E300}\RP15\A0004779.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A117F7EC-2962-4C89-981A-62DC1490E300}\RP15\A0004793.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A117F7EC-2962-4C89-981A-62DC1490E300}\RP15\A0004804.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A117F7EC-2962-4C89-981A-62DC1490E300}\RP15\A0004860.exe (Trojan.Dropper) -> Quarantined and deleted successfully.


Gruss Savitri

Hi

Nun hat es geklappt.

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4309

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

13.07.2010 17:23:45
mbam-log-2010-07-13 (17-23-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 204691
Laufzeit: 1 Stunde(n), 21 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe (Trojan.Unruy) -> No action taken.
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe (Trojan.Unruy) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe (Trojan.Unruy) -> No action taken.
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe (Trojan.Unruy) -> No action taken.
C:\Dokumente und Einstellungen\Sushila\Lokale Einstellungen\Temp\071.exe (Trojan.FakeAlert) -> No action taken.

Gruss Savitri

Hast Du die Funde entfernt? Wenn nicht, bitte nachholen.

Danach bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hi Arne,

Da kommt eine Meldung:

'Unknown boot code has been found on some of your physical disks.'

Es handelt sich dabei um die Festplatte c:. Bei der externen Festplatte d: wurde der Code gefunden.

Was soll ich nun tun?

Gruss Savitri

Kopiere den Text aus der CMD-Box und poste ihn hier.

Hier ist die Meldung:

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 274955059efe9236c07688c5ff9242b2
\\.\D: -> \\.\PhysicalDrive1
MD5: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Unknown boot code
298 GB \\.\PhysicalDrive1 OK (DOS/Win32 Boot code found)

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Press any key to quit...


Gruss Savitri

Bitte mal die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:

Code: Alles auswählenAufklappen

ATTFilter

remover.exe fix \\.\PhysicalDrive0
         

Falls der den Befehl remover.exe nicht findet, die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!

Ok. Habe es gemacht. Hier die Meldung:

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\...>remover.exe fix \\.\PhysicalDrive0
Der Befehl "remover.exe" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

C:\Dokumente und Einstellungen\...>remover.exe fix \\.\PhysicalDrive0
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

Restoring boot code at \\.\PhysicalDrive0...
OK

Press any key to quit...

C:\Dokumente und Einstellungen\...>

Gruss Savitri

Zitat:

Der Befehl "remover.exe" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

Du musst die remover.exe nach C:\Windows\System32 kopieren. Dann führst Du den letzten Schritt nochmal aus.

Das habe ich doch gemacht. Nun habe ich remove nochmals aus der Datei auf dem Desktop gestartet:

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 6def5ffcbcdbdb4082f1015625e597bd
\\.\D: -> \\.\PhysicalDrive1
MD5: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
298 GB \\.\PhysicalDrive1 OK (DOS/Win32 Boot code found)


Press any key to quit...


Sieht aber nicht so aus, als wenn da was durchsucht wird.

Gruss Savitri

Du hast den Fix erst durchgeführt, dann gemerkt dass es nicht klappt, die Datei nach system32 kopiert und wieder ausgeführt - dann klappt es auch!!

Zitat:

149 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
298 GB \\.\PhysicalDrive1 OK (DOS/Win32 Boot code found)

Der MBR der beiden Platten ist jetzt auch ok. Mach bitte nunmal einen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Beim Neustart wurde automatisch das Avira Antivir wieder gestartet. Ich hoffe, dass es trotzdem geklappt hat:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-07-13.08 - Sushila 14.07.2010  13:29:14.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.41.1031.18.1012.553 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Sushila\Desktop\cofi.exe.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Sushila\Lokale Einstellungen\Anwendungsdaten\Windows Server
c:\dokumente und einstellungen\Sushila\Lokale Einstellungen\Anwendungsdaten\Windows Server\flags.ini
c:\dokumente und einstellungen\Sushila\Lokale Einstellungen\Anwendungsdaten\Windows Server\uses32.dat
C:\feed.txt
c:\system volume information\_restore{d5fffa500b1b}
c:\system volume information\_restore{d5fffa500b1b}\smss.exe
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
D:\Autorun.inf

c:\windows\system32\grpconv.exe fehlte 
Kopie von - c:\system volume information\_restore{A117F7EC-2962-4C89-981A-62DC1490E300}\RP15\A0003677.exe wurde wiederhergestellt

.
(((((((((((((((((((((((   Dateien erstellt von 2010-06-14 bis 2010-07-14  ))))))))))))))))))))))))))))))
.

2010-07-14 11:33 . 2008-04-14 12:00	39424	-c--a-w-	c:\windows\system32\dllcache\grpconv.exe
2010-07-14 11:33 . 2008-04-14 12:00	39424	----a-w-	c:\windows\system32\grpconv.exe
2010-07-13 19:48 . 2009-10-03 17:06	499712	----a-w-	c:\windows\system32\remover.exe
2010-07-12 16:24 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-06-21 07:47 . 2008-04-13 22:15	60032	-c--a-w-	c:\windows\system32\dllcache\usbaudio.sys
2010-06-21 07:47 . 2008-04-13 22:15	60032	----a-w-	c:\windows\system32\drivers\USBAUDIO.sys
2010-06-17 15:41 . 2010-06-17 15:41	--------	d-----w-	c:\programme\ICQ6Toolbar
2010-06-17 15:41 . 2010-06-17 15:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2010-06-17 15:40 . 2010-06-17 15:40	--------	d-----w-	c:\dokumente und einstellungen\Sushila\Lokale Einstellungen\Anwendungsdaten\AOL
2010-06-17 15:40 . 2010-06-17 15:42	--------	d-----w-	c:\programme\ICQ7.2

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-14 11:19 . 2010-04-27 14:34	--------	d-----w-	c:\programme\CCleaner
2010-07-14 10:50 . 2009-02-28 04:49	82194	----a-w-	c:\windows\system32\perfc007.dat
2010-07-14 10:50 . 2009-02-28 04:49	454060	----a-w-	c:\windows\system32\perfh007.dat
2010-07-13 10:57 . 2010-04-27 15:02	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-12 17:20 . 2009-09-12 16:04	--------	d-----w-	c:\programme\Mozilla Thunderbird
2010-07-09 13:04 . 2009-09-15 20:19	--------	d-----w-	c:\dokumente und einstellungen\Sushila\Anwendungsdaten\vlc
2010-07-09 08:00 . 2009-02-28 04:49	1036800	----a-w-	c:\windows\explorer.exe
2010-07-09 06:15 . 2009-09-12 16:02	--------	d-----w-	c:\dokumente und einstellungen\Sushila\Anwendungsdaten\Skype
2010-07-09 06:13 . 2009-09-12 16:03	--------	d-----w-	c:\dokumente und einstellungen\Sushila\Anwendungsdaten\skypePM
2010-07-08 11:15 . 2009-12-26 14:53	--------	d-----w-	c:\dokumente und einstellungen\Sushila\Anwendungsdaten\ICQ
2010-07-03 09:29 . 2010-04-29 04:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-06-17 15:41 . 2009-02-27 20:56	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-06-17 00:52 . 2009-02-27 21:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-05-30 05:41 . 2010-05-30 05:41	--------	d-----w-	c:\programme\IrfanView
2010-05-27 05:33 . 2010-05-27 05:33	50354	----a-w-	c:\dokumente und einstellungen\Sushila\Anwendungsdaten\Facebook\uninstall.exe
2010-05-27 05:33 . 2010-05-27 05:33	--------	d-----w-	c:\dokumente und einstellungen\Sushila\Anwendungsdaten\Facebook
2010-05-23 13:51 . 2009-09-06 00:59	67368	----a-w-	c:\dokumente und einstellungen\Sushila\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-22 05:18 . 2009-02-27 21:14	--------	d-----w-	c:\programme\Google
2010-05-04 17:14 . 2009-02-28 04:49	832512	----a-w-	c:\windows\system32\wininet.dll
2010-05-04 17:14 . 2009-02-28 04:49	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-05-04 17:14 . 2009-02-28 04:49	17408	----a-w-	c:\windows\system32\corpol.dll
2010-05-02 08:05 . 2009-02-28 04:49	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-29 13:39 . 2010-04-27 15:02	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-04-27 15:02	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-27 10:45 . 2010-04-27 10:45	552	----a-w-	c:\windows\system32\d3d8caps.dat
2010-04-20 05:29 . 2009-02-28 04:49	285696	----a-w-	c:\windows\system32\atmfd.dll
2010-04-17 17:02 . 2010-04-17 17:02	411368	----a-w-	c:\windows\system32\deploytk.dll
.

	
Code: 

Alles auswählenAufklappen 
ATTFilter

  
	
<pre>
c:\programme\Adobe\Reader 9.0\Reader\reader_sl .exe
c:\programme\Gemeinsame Dateien\Java\Java Update\jusched .exe
c:\programme\Google\Google Desktop Search\googledesktop .exe
c:\programme\Google\GoogleToolbarNotifier\googletoolbarnotifier .exe
c:\programme\Intel\Intel Matrix Storage Manager\iaanotif .exe
c:\programme\Launch Manager\lmanager .exe
c:\programme\Microsoft Office\Office12\groovemonitor .exe
c:\programme\Realtek\Audio\Drivers\azmixersel .exe
c:\programme\Synaptics\SynTP\syntpenh .exe
c:\windows\plfsetl .exe
c:\windows\ime\imjp8_1\imjpmig .exe
c:\windows\pchealth\helpctr\binaries\msconfig .exe
c:\windows\system32\ctfmon .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\igfxtray .exe
c:\windows\system32\rundll32 .exe
c:\windows\system32\IME\PINTLGNT\imscinst .exe
c:\windows\system32\IME\TINTLGNT\tintsetp .exe
</pre>
         
 
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-04-29 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-14 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"snp2uvc"="c:\windows\system32\csnp2uvc.dll" [2008-11-03 196608]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10a.exe" [2008-10-05 235936]

c:\dokumente und einstellungen\Sushila\Startmen�\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Acer VCM.lnk - c:\programme\Acer\Acer VCM\AcerVCM.exe [2009-2-27 565248]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-12-11 604776]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Acer\\Acer VCM\\VC.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 FNETURPX;FNETURPX;c:\windows\system32\drivers\FNETURPX.SYS [11.02.2010 11:18 7936]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.09.2009 16:08 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [17.06.2010 17:41 246520]
R2 RS_Service;Raw Socket Service;c:\programme\Acer\Acer VCM\RS_Service.exe [27.02.2009 23:35 237568]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [16.02.2010 07:51 135664]
S2 qoy2uyaydccn01;Asset Management Daemon;c:\windows\system32\pasettoutou.exe --> c:\windows\system32\pasettoutou.exe [?]
S3 JMCR;JMCR;c:\windows\system32\drivers\jmcr.sys [27.02.2009 23:02 112480]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [27.02.2009 23:02 162816]
S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2010-07-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-16 05:51]

2010-07-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-16 05:51]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=0&o=xph&d=0909&m=ao531h
uInternet Connection Wizard,ShellNext = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=0&o=xph&d=0909&m=ao531h
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: {{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - c:\programme\ICQ7.2\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\Sushila\Anwendungsdaten\Mozilla\Firefox\Profiles\bnt03sbc.default\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - hxxp://www.google.ch/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.6&q=
FF - plugin: c:\dokumente und einstellungen\Sushila\Anwendungsdaten\Facebook\npfbplugin_1_0_3.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-14 13:36
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(588)
c:\windows\system32\btmmhook.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-14  13:40:44 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-07-14 11:40

Vor Suchlauf: 13 Verzeichnis(se), 91'142'672'384 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 91'109'240'832 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - D083BEDC3DFFEB5C3ADB8DE58B6AAB40
         

--- --- ---

Gruss Savitri

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

http://www.trojaner-board.de/88083-avira-antivir-meldet-trojanisches-pferd-tr-vilsel-aejm.html

Collect::
c:\windows\system32\pasettoutou.exe

Driver::
qoy2uyaydccn01
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!