Guten Tag.
bin noch ganz frisch hier.

Und zwar habe ich mir wohl einen Trojaner eingefangen.
Habe von einem Freund erfahren wo ich meine besagte datei mal online testen lassen kann. Gesagt getan.

Hier ist das Ergebnis:
AhnLab-V3 2010.08.15.01 2010.08.15 -
AntiVir 8.2.4.34 2010.08.13 -
Antiy-AVL 2.0.3.7 2010.08.11 -
Authentium 5.2.0.5 2010.08.15 -
Avast 4.8.1351.0 2010.08.15 MSIL:Inject-J
Avast5 5.0.332.0 2010.08.15 MSIL:Inject-J
AVG 9.0.0.851 2010.08.15 Dropper.Small.FHA
BitDefender 7.2 2010.08.15 -
CAT-QuickHeal 11.00 2010.08.14 -
ClamAV 0.96.0.3-git 2010.08.15 -
Comodo 5750 2010.08.15 -
DrWeb 5.0.2.03300 2010.08.15 -
Emsisoft 5.0.0.37 2010.08.15 Trojan-Dropper.Small!IK
eSafe 7.0.17.0 2010.08.15 -
eTrust-Vet 36.1.7790 2010.08.13 -
F-Prot 4.6.1.107 2010.08.14 -
F-Secure 9.0.15370.0 2010.08.15 -
Fortinet 4.1.143.0 2010.08.15 -
GData 21 2010.08.15 MSIL:Inject-J
Ikarus T3.1.1.88.0 2010.08.15 Trojan-Dropper.Small
Jiangmin 13.0.900 2010.08.15 -
Kaspersky 7.0.0.125 2010.08.15 -
McAfee 5.400.0.1158 2010.08.15 Artemis!B763EF2E3938
McAfee-GW-Edition 2010.1 2010.08.14 Artemis!B763EF2E3938
Microsoft 1.6004 2010.08.15 VirTool:Win32/BeeInject
NOD32 5368 2010.08.15 a variant of MSIL/Injector.T
Norman 6.05.11 2010.08.15 -
nProtect 2010-08-15.01 2010.08.15 -
Panda 10.0.2.7 2010.08.15 Trj/CI.A
PCTools 7.0.3.5 2010.08.15 -
Prevx 3.0 2010.08.15 -
Rising 22.60.06.04 2010.08.15 -
Sophos 4.56.0 2010.08.15 -
Sunbelt 6737 2010.08.15 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.08.15 -
Symantec 20101.1.1.7 2010.08.15 -
TheHacker 6.5.2.1.348 2010.08.15 Trojan/Generic.t
TrendMicro 9.120.0.1004 2010.08.15 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.15 -
VBA32 3.12.14.0 2010.08.13 -
ViRobot 2010.8.9.3978 2010.08.15 -
VirusBuster 5.0.27.0 2010.08.15 -

Quelle: www.virustotal.com

Diese malware, wie sie dort genannt wird, befindet sich unter:
C:/Dokumente und Einstellungen/****/Lokale Einstellungen/Temp/....exe

Diese Datei kann ich zwar löschen, doch sie erstellt sich bei jedem start neu.
Außerdem habe ich bemerkt, dass bei jedem Systemstart ein kleines weißes Fenster für eine kurze Zeit aufblinkt und dann wieder verschwindet.

Was sagt ihr dazu?

Vielen Dank im voraus

Hallo und

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.



Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo und danke schonmal...
dieses kahm nun heraus.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4443

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

19.08.2010 11:38:48
mbam-log-2010-08-19 (11-38-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 299622
Laufzeit: 2 Stunde(n), 49 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{o54e6k2q-q232-016r-tg0p-3l78343yh13b} (Generic.Bot.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\audio hd driver (Backdoor.SpyNet) -> Not selected for removal.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\install\Taskmgr.exe (Generic.Bot.H) -> Not selected for removal.
D:\System Volume Information\_restore{FB300AF9-7924-4C35-8ABD-CBE3251B2E45}\RP391\A0250005.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\chrtmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\rQGSkGsQRM6.exe (Backdoor.SpyNet) -> Quarantined and deleted successfully.

Ich habe 4 Dateien davon gleich entfernen lassen, da die beiden anderen 2 wohl der taskmanager war und mein hd audio treiber.

Die Fett markierte exe ist mein eigentliches Problem.

Bitte alles entfernen! Der Taskmanager ist das nicht, das ist ein Schädling der sich als Taskmanager ausgibt!

so alles gelöscht...
nun Otl starten richtig?

>> OTl ausgeführt... 2 Logs enstanden....
da kommen ja haufenweise Informationen über meinen PC und installierte Programme usw raus.
Ist dass denn wirklich sicher hier alles zu posten?

Ja, das ist sicher. Nur private Infos falls gewünscht zensieren.