TR/Dropper.Gen-wie werde ich das Ding entgültig los?

sunscreenq · 03.08.2010, 14:10

Hallo zusammen!
Ich habe vor 3 Tagen zum ersten Mal die Warnung von Antivir erhalten,dass sich das Troj. Pferd TR/Dropper. Gen auf meinem Comp. befindet. habe versucht das Ding zu löschen, es kam aber bei jedem Neustart des systems der gleiche Hinweis. Ich habe auch die Programme CCleaner, malwarebytes und OTL ausgeführt. ich weiß nun leider nicht, wie ich das Ding lösche...und wäre SEHR dankbar, wenn mir jemand helfen kann. Ich bin selber super unerfahren und bin für jede Hilfe dankbar!!!!!

Ich hatte vergessen die Dateien anzuhängen, ich hoffe jetzt hat es geklappt!?!?

Jetzt kommt auch noch die Meldung TR/Spy.254976.10 hinzu....

Larusso · 03.08.2010, 18:14

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

:OTL
O33 - MountPoints2\{5e0631d4-05dc-11df-a292-00262204a46b}\Shell\AutoRun\command - "" = F:\autorun.bat -- File not found
O33 - MountPoints2\{833f6520-48ea-11dd-a2d1-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{833f6520-48ea-11dd-a2d1-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{833f6520-48ea-11dd-a2d1-806d6172696f}\Shell\AutoRun\command - "" = E:\setup.exe -- File not found
O33 - MountPoints2\{92280785-3a85-11df-a2e0-002556b8998e}\Shell\AutoRun\command - "" = E:\BUBILI\ljutiti.exe -- File not found
O33 - MountPoints2\{92280785-3a85-11df-a2e0-002556b8998e}\Shell\open\command - "" = E:\BUBILI\ljutiti.exe -- File not found
:services
:files
:reg
:Commands
[purity]
[emptytemp]
[reboot]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
Klick auf .
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Poste mir bitte die GMER Logfile

sunscreenq · 03.08.2010, 21:50

Vielen lieben Dank für deine RÜckmeldung!!!!
Ich habe die beiden Schritte durchgeführt...

OTL:

All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5e0631d4-05dc-11df-a292-00262204a46b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5e0631d4-05dc-11df-a292-00262204a46b}\ not found.
File F:\autorun.bat not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{833f6520-48ea-11dd-a2d1-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{833f6520-48ea-11dd-a2d1-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{833f6520-48ea-11dd-a2d1-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{833f6520-48ea-11dd-a2d1-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{833f6520-48ea-11dd-a2d1-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{833f6520-48ea-11dd-a2d1-806d6172696f}\ not found.
File E:\setup.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{92280785-3a85-11df-a2e0-002556b8998e}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92280785-3a85-11df-a2e0-002556b8998e}\ not found.
File E:\BUBILI\ljutiti.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{92280785-3a85-11df-a2e0-002556b8998e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92280785-3a85-11df-a2e0-002556b8998e}\ not found.
File E:\BUBILI\ljutiti.exe not found.
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Marie-Christine
->Temp folder emptied: 789864 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 9551435 bytes
->Flash cache emptied: 456 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 52224 bytes
RecycleBin emptied: 13181122 bytes

Total Files Cleaned = 23,00 mb

OTL by OldTimer - Version 3.2.9.1 log created on 08032010_210121

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

GMER:

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-03 22:19:06
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\MARIE-~1\LOKALE~1\Temp\uwtdypod.sys


---- System - GMER 1.0.15 ----

SSDT            9B464056                                                                                                                       ZwCreateKey
SSDT            9B46405B                                                                                                                       ZwDeleteKey
SSDT            9B464065                                                                                                                       ZwDeleteValueKey
SSDT            9B46406A                                                                                                                       ZwLoadKey
SSDT            9B464074                                                                                                                       ZwReplaceKey
SSDT            9B46406F                                                                                                                       ZwRestoreKey
SSDT            9B464047                                                                                                                       ZwTerminateProcess

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\svchost.exe[2008] ntdll.dll!NtResumeThread                                                                 7C91DB3E 5 Bytes  JMP 00402482 

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[596] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]            [00F42BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[596] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter]  [00F42CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[596] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess]          [00F42CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\WINDOWS\system32\winlogon.exe[1252] @ C:\WINDOWS\system32\winlogon.exe [USER32.dll!DialogBoxParamW]                         [1003695B] C:\WINDOWS\system32\PicNotify.dll

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                         tvtumon.sys (Windows Update Monitor Driver/Lenovo)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                        wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                        wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- Files - GMER 1.0.15 ----

ADS             C:\System Volume Information\_restore{41490380-0DA4-4E9A-8680-224945C69265}\RP160\A0013752.exe:userini.exe                     53248 bytes executable
ADS             C:\System Volume Information\_restore{41490380-0DA4-4E9A-8680-224945C69265}\RP160\A0013784.exe:userini.exe                     53248 bytes executable
ADS             C:\System Volume Information\_restore{41490380-0DA4-4E9A-8680-224945C69265}\RP160\A0013896.exe:userini.exe                     53248 bytes executable
ADS             C:\System Volume Information\_restore{41490380-0DA4-4E9A-8680-224945C69265}\RP164\A0015298.exe:userini.exe                     52224 bytes executable
ADS             C:\System Volume Information\_restore{41490380-0DA4-4E9A-8680-224945C69265}\RP164\A0015318.exe:userini.exe                     52224 bytes executable
ADS             C:\System Volume Information\_restore{41490380-0DA4-4E9A-8680-224945C69265}\RP164\A0016334.exe:userini.exe                     52224 bytes executable
ADS             C:\WINDOWS\explorer.exe:userini.exe                                                                                            52224 bytes executable

---- EOF - GMER 1.0.15 ----

--- --- ---

Larusso · 03.08.2010, 22:07

sieht besch***en aus

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

sunscreenq · 03.08.2010, 23:13

So, ich habe das versucht.hat wohl auch geklappt...??!!!
Hier die Logdatei....

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-08-03.01 - **** 03.08.2010  23:56:00.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1014.468 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Eigene Dateien\Downloads\Combo-Fix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
 ADS - explorer.exe: deleted 52224 bytes in 1 streams. 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ozzfhv.exe
c:\dokumente und einstellungen\****\Anwendungsdaten\dgixy.exe
c:\dokumente und einstellungen\****\Anwendungsdaten\ozzfhv.exe
c:\dokumente und einstellungen\****\Anwendungsdaten\wiaservg.log
c:\windows\prefetch\explorer.exe
c:\windows\system32\sqlite3.dll
c:\windows\system32\userini.exe
c:\windows\system32\wbem\grpconv.exe

c:\windows\system32\grpconv.exe fehlte 
Kopie von - c:\system volume information\_restore{41490380-0DA4-4E9A-8680-224945C69265}\RP160\A0013717.exe wurde wiederhergestellt

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-03 bis 2010-08-03  ))))))))))))))))))))))))))))))
.

2010-08-03 22:00 . 2008-04-14 12:00	39424	-c--a-w-	c:\windows\system32\dllcache\grpconv.exe
2010-08-03 22:00 . 2008-04-14 12:00	39424	----a-w-	c:\windows\system32\grpconv.exe
2010-08-03 19:01 . 2010-08-03 19:01	--------	d-----w-	C:\_OTL
2010-08-03 15:02 . 2010-08-03 15:02	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-08-03 15:01 . 2010-08-03 15:01	--------	d-----w-	c:\programme\Sun
2010-08-03 12:49 . 2010-08-03 12:49	--------	d-----w-	c:\programme\CCleaner
2010-08-03 11:05 . 2010-08-03 11:05	--------	d-----w-	c:\programme\ERUNT
2010-08-03 10:46 . 2010-08-03 10:46	--------	d-----w-	c:\programme\7-Zip
2010-08-03 10:46 . 2010-08-03 10:46	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2010-08-03 10:46 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-03 10:46 . 2010-08-03 10:46	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-03 10:46 . 2010-08-03 12:27	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-03 10:46 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-24 14:30 . 2010-07-24 14:30	--------	d-----w-	c:\windows\system32\NtmsData
2010-07-23 17:05 . 2010-07-23 17:05	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2010-07-20 15:37 . 2010-07-20 15:37	--------	d-----w-	c:\windows\Sun
2010-07-20 15:35 . 2010-07-20 15:35	503808	----a-w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-741335aa-n\msvcp71.dll
2010-07-20 15:35 . 2010-07-20 15:35	499712	----a-w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-741335aa-n\jmc.dll
2010-07-20 15:35 . 2010-07-20 15:35	348160	----a-w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-741335aa-n\msvcr71.dll
2010-07-20 15:35 . 2010-07-20 15:35	12800	----a-w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-45559543-n\decora-d3d.dll
2010-07-20 15:35 . 2010-07-20 15:35	61440	----a-w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-45559543-n\decora-sse.dll
2010-07-20 15:35 . 2010-08-03 15:01	423656	----a-w-	c:\windows\system32\deployJava1.dll
2010-07-20 15:34 . 2010-08-03 15:00	--------	d-----w-	c:\programme\Java
2010-07-06 19:16 . 2010-07-06 19:20	--------	d-----w-	c:\dokumente und einstellungen\**++\Anwendungsdaten\TS3Client

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-03 21:37 . 2009-12-09 09:47	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Skype
2010-08-03 19:18 . 2008-04-14 12:00	1036800	----a-w-	c:\windows\explorer.exe
2010-08-03 17:35 . 2010-08-03 17:35	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-08-03 17:35 . 2009-12-19 15:39	1324	----a-w-	c:\windows\system32\d3d9caps.dat
2010-08-03 17:02 . 2009-12-09 09:51	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\skypePM
2010-06-25 22:42 . 2010-04-26 13:55	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\vlc
2010-06-24 01:03 . 2008-04-14 12:00	509524	----a-w-	c:\windows\system32\perfh007.dat
2010-06-24 01:03 . 2008-04-14 12:00	104842	----a-w-	c:\windows\system32\perfc007.dat
2010-06-14 14:31 . 2008-07-03 08:40	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-11 10:34 . 2009-07-03 09:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\VeriFace Enc]
@="{771C7324-DA80-49D3-8017-753B0AF60951}"
[HKEY_CLASSES_ROOT\CLSID\{771C7324-DA80-49D3-8017-753B0AF60951}]
2009-08-11 22:47	241752	----a-w-	c:\windows\system32\IcnOvrly.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-05-13 26192168]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-24 17567744]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2009-04-09 1512744]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"VeriFaceManager"="c:\programme\Lenovo\VeriFaceIII\PManage.exe" [2009-08-11 323584]
"EnergyUtility"="c:\program files\Lenovo\Energy Management\utility.exe" [2009-01-04 4462464]
"Energy Management"="c:\program files\Lenovo\Energy Management\Energy Management.exe" [2008-12-26 1277952]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\****\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\Lenovo\Bluetooth Software\BTTray.exe [2009-1-16 604776]
VPN Client.lnk - c:\windows\Installer\{08B785C1-3893-4154-B53B-F5D341D0AAAA}\Icon3E5562ED7.ico [2010-1-2 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PicNotify]
2009-08-11 22:47	1167360	----a-w-	c:\windows\system32\PicNotify.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [09.12.2009 11:08 108289]
R2 DvmMDES;DeviceVM Meta Data Export Service;c:\qstart.sys\config\DVMExportService.exe [26.03.2009 10:20 315392]
R2 System_Repair_UpdateMonitor;System Repair Windows Update Monitor;c:\program files\Lenovo\OneKey App\System Repair\UpdateMonitor.exe [03.07.2009 10:59 430080]
R2 tvtumon;tvtumon;c:\windows\system32\drivers\tvtumon.sys [03.07.2009 10:59 48192]
R3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\drivers\AcpiVpc.sys [12.08.2009 00:54 9472]
R3 usbsmi;Lenovo EasyCamera;c:\windows\system32\drivers\SMIksdrv.sys [12.08.2009 00:45 166144]
S2 Norton Internet Security;Norton Internet Security;"c:\programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe" /s "Norton Internet Security" /m "c:\programme\Norton Internet Security\Engine\16.0.0.125\diMaster.dll" /prefetch:1 --> c:\programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe [?]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [03.07.2009 10:53 1684736]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [03.07.2009 10:55 165888]
S3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
S3 WSVD;WSVD;c:\windows\system32\drivers\WSVD.sys [03.07.2009 10:59 81192]
.
Inhalt des "geplante Tasks" Ordners

2010-08-03 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-02-12 13:54]

2010-04-18 c:\windows\Tasks\Datenträgerbereinigung.job
- c:\windows\system32\cleanmgr.exe [2008-04-14 12:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://lenovo.live.com/
uInternet Connection Wizard,ShellNext = hxxp://lenovo.live.com/
IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - hxxp://favorites.live.com/quickadd.aspx
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\Lenovo\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\fn4ldq1k.default\
FF - component: c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-userini - c:\windows\system32\userini.exe
HKLM-Run-userini - c:\windows\system32\userini.exe
HKLM-Explorer_Run-userini - c:\windows\system32\userini.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-04 00:02
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton Internet Security]
"ImagePath"="\"c:\programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\programme\Norton Internet Security\Engine\16.0.0.125\diMaster.dll\" /prefetch:1"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1252)
c:\windows\system32\PicNotify.dll
c:\windows\system32\FaceVerify.dll
c:\windows\system32\MainOp.dll
c:\windows\system32\VideoOp.dll
c:\windows\system32\Image.dll
c:\windows\system32\Momo.dll
c:\windows\system32\Apblend.dll
c:\windows\system32\SetDev.dll
c:\windows\system32\FunFrm.dll
c:\windows\system32\facev.dll
c:\windows\system32\3DImageRenderer.dll
c:\windows\system32\d3dx9_35.dll
c:\windows\system32\DevIL.dll
c:\windows\system32\ILU.dll
c:\windows\system32\CamOpex.dll
c:\windows\system32\DRMClien.DLL
c:\windows\system32\370prop.ax
.
Zeit der Fertigstellung: 2010-08-04  00:02:48
ComboFix-quarantined-files.txt  2010-08-03 22:02

Vor Suchlauf: 11 Verzeichnis(se), 94.913.843.200 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 94.992.662.528 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 9C66A26BC850FF4F70D0DE144E7FFB25

--- --- ---

Lieber Gruß und ganz großen DANK!!!!

Larusso · 04.08.2010, 10:24

Schritt 1

Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen

Code:

ATTFilter

c:\windows\system32\IcnOvrly.dll

Also gehe wie hier beschrieben vor:

Öffne diese Webseite: virustotal
Klicke auf "Durchsuchen"
Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
"Senden der Datei"
Warte, bis der Scandurchlauf aller Virenscanner beendet ist
Auf "Compact" klicken (Links oben zu finden)
Ein neuer Tab dürfte sich öffnen.
Den Inhalt komplett kopieren und hier einfügen

Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen

Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
Auswertung von VT
OTL.txt

TR/Dropper.Gen-wie werde ich das Ding entgültig los?

Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen-wie werde ich das Ding entgültig los?