Liebe Experten,

um sich im Stillen Kämmerchen unbekleidete Damen anzusehen braucht man praktisch nichts zu können...
Dass aus einer solch einseitigen, virtuellen "Beziehung" Probleme wie im echten Leben resultieren - die Erfahrung habe ich gemacht, war mir eine Lehre, und kann diese alleine nicht lösen.

Mein PC "spinnt".
Euer Board war mir eine Hilfe. Super Anleitungen. Danke!
Ich bin fast stolz darauf, es geschafft zu haben, im abgesicherten Modus "online" zu sein (Häkchen bei Proxy-Einstellung entfernt).

MALWAREBYTES (mit Aktualisierung) fand viele Schädlinge, hat diese entfernt.
Zeigte danach nichts mehr an.

Dennoch bestehen im Normalmodus Probleme, verursacht vermutlich durch die AV SECURITY SUITE.
Im Normalmodus werden Browser und Funktionen sabotiert...

AVIRA Anitvir Personal:

TR/CryptXPACK.Gen
TR/Spy.507392.6

SPYBOT search & destroy: ebenso.

RKILL gibt an:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as instructor on 18.08.2010 at 23:43:53.


Processes terminated by Rkill or while it was running:


C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Dokumente und Einstellungen\instructor\Lokale Einstellungen\Anwendungsdaten\kafmibsmh\dwebmaeshdw.exe
C:\Dokumente und Einstellungen\instructor\Lokale Einstellungen\Anwendungsdaten\kafmibsmh\dwebmaeshdw.exe
C:\Dokumente und Einstellungen\instructor\Desktop\iExplorer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\imapi.exe


Rkill completed on 18.08.2010 at 23:44:00.


Anbei das Logfile von HIJACKTHIS.

Könnt Ihr mir bitte helfen?
Ich werde auch nie wieder einen Witz über IT-Freaks machen...
Das Haupt in Asche, in Hoffnung auf Hilfe.

LG, BT

HiJackthis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:30:37, on 18.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Dokumente und Einstellungen\instructor\Eigene Dateien\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [bghdvyqn] C:\Dokumente und Einstellungen\instructor\Lokale Einstellungen\Anwendungsdaten\kafmibsmh\dwebmaeshdw.exe
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Kuyt76GNT] C:\Programme\RegistryDoktor 4.1\RegistryDoktor.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [borobororb.exe] C:\borobororb.exe\borobororb.exe
O4 - HKCU\..\Run: [bghdvyqn] C:\Dokumente und Einstellungen\instructor\Lokale Einstellungen\Anwendungsdaten\kafmibsmh\dwebmaeshdw.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [cleansweep.exe] C:\cleansweep.exe\cleansweep.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [borobororb.exe] C:\borobororb.exe\borobororb.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC4D9613-85BB-42E7-9558-40A2A6913C54}: NameServer = 62.96.71.126
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 7421 bytes
         

--- --- ---

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

1.
Tipp - ins Internet zu gelangen und kannst auch von dort die Schritte durchführen:
- Gehe in den abgesicherten Modus
- Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast:
- wähle hier: "Abgesicherter Modus mit Netzwerktreibern"

2.
Seit wann hast du dieses Problem denn? Wenn du glaubst zu kennen die Zeitpunkt wo dein System noch einwandfrei funktioniert hat, die Systemwiederherstellung ist einen Versuch Wert!:
Windows ME,XP, Vista und Win7 enthält ein Programm zur Systemwiederherstellung (Damit lässt sich das System auf einen früheren Zeitpunkt zurücksetzen ,wo noch alles einwandfrei funktioniert. Die Systemwiederherstellung betrifft nur Systemeinstellungen.(programme die in der zwischenzeit installiert wurden gehen dabei verloren. man kann diesen vorgang auch wieder rückgängig machen, sollte man keinen erfolg damit erzielt haben.)
Du findest das Programm zur Systemwiederherstellung : Start/Programme/Zubehör/Systemprogramme/Systemwiederherstellung
Setzt doch dein Windows über die Systemwiederherstellung ganz zurück (falls nötig kannst Du es im abgesicherten Modus auch tun
berichte ob du damit Erfolg hast
► - auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können?
(Kannst noch immer bis zum heutigen Zeitpunkt rückgängig machen, falls liefert nicht das gewünschte Ergebnis)
► Da die SWH nur ein Notlösung ist und/oder die Systemwiederherstellung ist nicht durchführbar, arbeite die aufgeführten Schritte bitte vollständig ab:

3.
**Spybot Tea Timer bitte abstellen!
Modus-> Erweiterte Modus-> Ja-> Werkzeuge-> Resident-> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) -> exit.

4.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Tipps für die Suche nach Dateien

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\instructor\Lokale Einstellungen\Anwendungsdaten\kafmibsmh\dwebmaeshdw.exe
C:\borobororb.exe\borobororb.exe


         

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:

Code: Alles auswählenAufklappen

ATTFilter

Datei <hier kommt die Dateiname> empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2009.01.28	-
AhnLab-V3	5.0.0.2	2009.01.28	-
AntiVir	7.9.0.60	2009.01.28	-
Authentium	5.1.0.4	2009.01.27	-

...über 40 Virenscannern...also Geduld!!
         

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Lieber Coverflo,

Vielen Dank für Deine kompetente und superschnelle Antwort.
Ich habe mich an Deine Anweisungen gehalten (Teatimer abgestellt).

Virustotal gibt an:

Code: Alles auswählenAufklappen

ATTFilter

File name: dwebmaeshdw.exe
Submission date: 2010-08-19 09:17:44 (UTC)
Current status: queued (#2) queued analysing finished


Result: 11/ 40 (27.5%)
 VT Community

not reviewed
 Safety score: -  

Compact Print results 
Antivirus Version Last Update Result 
AhnLab-V3 2010.08.19.00 2010.08.18 Dropper/Win32.FrauDrop 
AntiVir 8.2.4.38 2010.08.19 - 
Antiy-AVL 2.0.3.7 2010.08.16 - 
Authentium 5.2.0.5 2010.08.19 - 
Avast 4.8.1351.0 2010.08.18 - 
Avast5 5.0.332.0 2010.08.18 - 
AVG 9.0.0.851 2010.08.19 - 
BitDefender 7.2 2010.08.19 Trojan.Generic.KD.27436 
CAT-QuickHeal 11.00 2010.08.19 - 
ClamAV 0.96.2.0-git 2010.08.19 - 
Comodo 5784 2010.08.18 - 
DrWeb 5.0.2.03300 2010.08.19 - 
Emsisoft 5.0.0.37 2010.08.18 - 
eTrust-Vet 36.1.7800 2010.08.19 - 
F-Prot 4.6.1.107 2010.08.18 - 
F-Secure 9.0.15370.0 2010.08.19 Trojan.Generic.KD.27436 
Fortinet 4.1.143.0 2010.08.19 - 
GData 21 2010.08.19 Trojan.Generic.KD.27436 
Ikarus T3.1.1.88.0 2010.08.18 - 
Jiangmin 13.0.900 2010.08.19 - 
Kaspersky 7.0.0.125 2010.08.19 Trojan-Dropper.Win32.FrauDrop.bax 
McAfee 5.400.0.1158 2010.08.19 Artemis!BDA0B6E794F0 
Microsoft 1.6004 2010.08.19 VirTool:Win32/Obfuscator.JM 
NOD32 5378 2010.08.19 a variant of Win32/Kryptik.GDI 
Norman 6.05.11 2010.08.18 - 
nProtect 2010-08-19.01 2010.08.19 Trojan.Generic.KD.27436 
Panda 10.0.2.7 2010.08.19 - 
PCTools 7.0.3.5 2010.08.19 - 
Prevx 3.0 2010.08.19 High Risk Cloaked Malware 
Rising 22.61.03.03 2010.08.19 - 
Sophos 4.56.0 2010.08.19 - 
Sunbelt 6759 2010.08.19 Trojan.Win32.Generic.pak!cobra 
SUPERAntiSpyware 4.40.0.1006 2010.08.19 - 
Symantec 20101.1.1.7 2010.08.19 - 
TheHacker 6.5.2.1.351 2010.08.19 - 
TrendMicro 9.120.0.1004 2010.08.19 - 
TrendMicro-HouseCall 9.120.0.1004 2010.08.19 - 
VBA32 3.12.14.0 2010.08.19 - 
ViRobot 2010.8.16.3990 2010.08.19 - 
VirusBuster 5.0.27.0 2010.08.18 - 
Additional informationShow all  
MD5   : bda0b6e794f0a27ba791ce28c406dd09 
SHA1  : 262f0e023a43c9270b1da65b9b424675fc8284ed 
SHA256: cfa51bfe0d8666edda884ca9b8c4be93eb3d5c10faefbd00328e13bd949c9dfd 


Und zu "borobororb.exe"

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware. 
File name: borobororb.exe
Submission date: 2010-08-19 09:22:49 (UTC)
Current status: queued (#3) queued (#3) analysing finished


Result: 14/ 42 (33.3%)
 VT Community

not reviewed
 Safety score: -  

Compact Print results 
Antivirus Version Last Update Result 
AhnLab-V3 2010.08.19.00 2010.08.18 - 
AntiVir 8.2.4.38 2010.08.19 - 
Antiy-AVL 2.0.3.7 2010.08.16 - 
Authentium 5.2.0.5 2010.08.19 - 
Avast 4.8.1351.0 2010.08.18 Win32:MalOb-BY 
Avast5 5.0.332.0 2010.08.18 Win32:MalOb-BY 
AVG 9.0.0.851 2010.08.19 - 
BitDefender 7.2 2010.08.19 - 
CAT-QuickHeal 11.00 2010.08.19 - 
ClamAV 0.96.2.0-git 2010.08.19 - 
Comodo 5784 2010.08.18 TrojWare.Win32.Trojan.Agent.Gen 
DrWeb 5.0.2.03300 2010.08.19 - 
Emsisoft 5.0.0.37 2010.08.18 - 
eSafe 7.0.17.0 2010.08.17 - 
eTrust-Vet 36.1.7800 2010.08.19 - 
F-Prot 4.6.1.107 2010.08.18 - 
F-Secure 9.0.15370.0 2010.08.19 - 
Fortinet 4.1.143.0 2010.08.19 - 
GData 21 2010.08.19 Win32:MalOb-BY  
Ikarus T3.1.1.88.0 2010.08.18 - 
Jiangmin 13.0.900 2010.08.19 - 
Kaspersky 7.0.0.125 2010.08.19 - 
McAfee 5.400.0.1158 2010.08.19 Artemis!177B65DC7790 
McAfee-GW-Edition 2010.1B 2010.08.19 Heuristic.BehavesLike.Win32.Suspicious.D 
Microsoft 1.6004 2010.08.19 Trojan:Win32/Meredrop 
NOD32 5378 2010.08.19 a variant of Win32/Kryptik.FUB 
Norman 6.05.11 2010.08.18 - 
nProtect 2010-08-19.01 2010.08.19 - 
Panda 10.0.2.7 2010.08.19 Trj/CI.A 
PCTools 7.0.3.5 2010.08.19 - 
Prevx 3.0 2010.08.19 High Risk Fraudulent Security Program 
Rising 22.61.03.03 2010.08.19 - 
Sophos 4.56.0 2010.08.19 Mal/Zbot-U 
Sunbelt 6759 2010.08.19 - 
SUPERAntiSpyware 4.40.0.1006 2010.08.19 Trojan.Agent/Gen-CSR[Fire] 
Symantec 20101.1.1.7 2010.08.19 - 
TheHacker 6.5.2.1.351 2010.08.19 - 
TrendMicro 9.120.0.1004 2010.08.19 Cryp_Zbot 
TrendMicro-HouseCall 9.120.0.1004 2010.08.19 TROJ_MEREDROP.YH 
VBA32 3.12.14.0 2010.08.19 - 
ViRobot 2010.8.16.3990 2010.08.19 - 
VirusBuster 5.0.27.0 2010.08.18 - 
Additional informationShow all  
MD5   : 177b65dc7790b8e9159c7a57357dd35e 
SHA1  : 12f7b5a9878243a81162ec1789724b82cee38099 
SHA256: f8b7981853a9095d1dc6dc6d7c2a1ec0c9a81379c8ca6f1d1d587eed5efd0229
         

Ich danke Dir schon mal für Deinen Rat zur weiteren Verfahrensweise...

Herzlich,
BT

hi

Unter Punkt 2. :-> - Post #2 - ist Dir nicht gelungen die Systemzeitpunkt zurückstellen?-> http://www.trojaner-board.de/89716-t...tml#post557348


- Da diese Dateien (noch) nicht bei allen Herstellern von Removern, Antiviren Programmen und Spyware Schutz Programmen bekannt sind, laden wir zur weitere Analyse zum Hersteller des Removers hoch:

Datei Upload

• Klicke bitte auf diesen Link UploadMalware.com

• Gib im obersten Feld deinen Namen ein
• Im Feld darunter den Thread bei uns an Board (http://www.trojaner-board.de/89716-t...rmalmodus.html)
• Lade dann diese Datei von deinem Rechner hoch:

C:\Dokumente und Einstellungen\instructor\Lokale Einstellungen\Anwendungsdaten\kafmibsmh\dwebmaeshdw.exe
C:\borobororb.exe\borobororb.exe

• Gib im Kommentarfeld Folgendes an:
• "Unknown file"
• diese Information:

Code: Alles auswählenAufklappen

ATTFilter

File name: dwebmaeshdw.exe
Submission date: 2010-08-19 09:17:44 (UTC)
Current status: queued (#2) queued analysing finished


Result: 11/ 40 (27.5%)
 VT Community

not reviewed
 Safety score: -  

Compact Print results 
Antivirus Version Last Update Result 
AhnLab-V3 2010.08.19.00 2010.08.18 Dropper/Win32.FrauDrop 
AntiVir 8.2.4.38 2010.08.19 - 
Antiy-AVL 2.0.3.7 2010.08.16 - 
Authentium 5.2.0.5 2010.08.19 - 
Avast 4.8.1351.0 2010.08.18 - 
Avast5 5.0.332.0 2010.08.18 - 
AVG 9.0.0.851 2010.08.19 - 
BitDefender 7.2 2010.08.19 Trojan.Generic.KD.27436 
CAT-QuickHeal 11.00 2010.08.19 - 
ClamAV 0.96.2.0-git 2010.08.19 - 
Comodo 5784 2010.08.18 - 
DrWeb 5.0.2.03300 2010.08.19 - 
Emsisoft 5.0.0.37 2010.08.18 - 
eTrust-Vet 36.1.7800 2010.08.19 - 
F-Prot 4.6.1.107 2010.08.18 - 
F-Secure 9.0.15370.0 2010.08.19 Trojan.Generic.KD.27436 
Fortinet 4.1.143.0 2010.08.19 - 
GData 21 2010.08.19 Trojan.Generic.KD.27436 
Ikarus T3.1.1.88.0 2010.08.18 - 
Jiangmin 13.0.900 2010.08.19 - 
Kaspersky 7.0.0.125 2010.08.19 Trojan-Dropper.Win32.FrauDrop.bax 
McAfee 5.400.0.1158 2010.08.19 Artemis!BDA0B6E794F0 
Microsoft 1.6004 2010.08.19 VirTool:Win32/Obfuscator.JM 
NOD32 5378 2010.08.19 a variant of Win32/Kryptik.GDI 
Norman 6.05.11 2010.08.18 - 
nProtect 2010-08-19.01 2010.08.19 Trojan.Generic.KD.27436 
Panda 10.0.2.7 2010.08.19 - 
PCTools 7.0.3.5 2010.08.19 - 
Prevx 3.0 2010.08.19 High Risk Cloaked Malware 
Rising 22.61.03.03 2010.08.19 - 
Sophos 4.56.0 2010.08.19 - 
Sunbelt 6759 2010.08.19 Trojan.Win32.Generic.pak!cobra 
SUPERAntiSpyware 4.40.0.1006 2010.08.19 - 
Symantec 20101.1.1.7 2010.08.19 - 
TheHacker 6.5.2.1.351 2010.08.19 - 
TrendMicro 9.120.0.1004 2010.08.19 - 
TrendMicro-HouseCall 9.120.0.1004 2010.08.19 - 
VBA32 3.12.14.0 2010.08.19 - 
ViRobot 2010.8.16.3990 2010.08.19 - 
VirusBuster 5.0.27.0 2010.08.18 - 
Additional informationShow all  
MD5   : bda0b6e794f0a27ba791ce28c406dd09 
SHA1  : 262f0e023a43c9270b1da65b9b424675fc8284ed 
SHA256: cfa51bfe0d8666edda884ca9b8c4be93eb3d5c10faefbd00328e13bd949c9dfd 


Und zu "borobororb.exe"

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware. 
File name: borobororb.exe
Submission date: 2010-08-19 09:22:49 (UTC)
Current status: queued (#3) queued (#3) analysing finished


Result: 14/ 42 (33.3%)
 VT Community

not reviewed
 Safety score: -  

Compact Print results 
Antivirus Version Last Update Result 
AhnLab-V3 2010.08.19.00 2010.08.18 - 
AntiVir 8.2.4.38 2010.08.19 - 
Antiy-AVL 2.0.3.7 2010.08.16 - 
Authentium 5.2.0.5 2010.08.19 - 
Avast 4.8.1351.0 2010.08.18 Win32:MalOb-BY 
Avast5 5.0.332.0 2010.08.18 Win32:MalOb-BY 
AVG 9.0.0.851 2010.08.19 - 
BitDefender 7.2 2010.08.19 - 
CAT-QuickHeal 11.00 2010.08.19 - 
ClamAV 0.96.2.0-git 2010.08.19 - 
Comodo 5784 2010.08.18 TrojWare.Win32.Trojan.Agent.Gen 
DrWeb 5.0.2.03300 2010.08.19 - 
Emsisoft 5.0.0.37 2010.08.18 - 
eSafe 7.0.17.0 2010.08.17 - 
eTrust-Vet 36.1.7800 2010.08.19 - 
F-Prot 4.6.1.107 2010.08.18 - 
F-Secure 9.0.15370.0 2010.08.19 - 
Fortinet 4.1.143.0 2010.08.19 - 
GData 21 2010.08.19 Win32:MalOb-BY  
Ikarus T3.1.1.88.0 2010.08.18 - 
Jiangmin 13.0.900 2010.08.19 - 
Kaspersky 7.0.0.125 2010.08.19 - 
McAfee 5.400.0.1158 2010.08.19 Artemis!177B65DC7790 
McAfee-GW-Edition 2010.1B 2010.08.19 Heuristic.BehavesLike.Win32.Suspicious.D 
Microsoft 1.6004 2010.08.19 Trojan:Win32/Meredrop 
NOD32 5378 2010.08.19 a variant of Win32/Kryptik.FUB 
Norman 6.05.11 2010.08.18 - 
nProtect 2010-08-19.01 2010.08.19 - 
Panda 10.0.2.7 2010.08.19 Trj/CI.A 
PCTools 7.0.3.5 2010.08.19 - 
Prevx 3.0 2010.08.19 High Risk Fraudulent Security Program 
Rising 22.61.03.03 2010.08.19 - 
Sophos 4.56.0 2010.08.19 Mal/Zbot-U 
Sunbelt 6759 2010.08.19 - 
SUPERAntiSpyware 4.40.0.1006 2010.08.19 Trojan.Agent/Gen-CSR[Fire] 
Symantec 20101.1.1.7 2010.08.19 - 
TheHacker 6.5.2.1.351 2010.08.19 - 
TrendMicro 9.120.0.1004 2010.08.19 Cryp_Zbot 
TrendMicro-HouseCall 9.120.0.1004 2010.08.19 TROJ_MEREDROP.YH 
VBA32 3.12.14.0 2010.08.19 - 
ViRobot 2010.8.16.3990 2010.08.19 - 
VirusBuster 5.0.27.0 2010.08.18 - 
Additional informationShow all  
MD5   : 177b65dc7790b8e9159c7a57357dd35e 
SHA1  : 12f7b5a9878243a81162ec1789724b82cee38099 
SHA256: f8b7981853a9095d1dc6dc6d7c2a1ec0c9a81379c8ca6f1d1d587eed5efd0229
         

• Drücke nun auf den Button "Send File"
• **Damit wir mit dem nächsten Schritt fortfahren können, teile uns mit, ob es dir gelungen ist, die Datei/en hochzuladen.
  .

Lieber Coverflow,

danke für Deine rasche Antwort.

Hat geklappt.

Your file (dwebmaeshdw.exe) was successfully submitted. If someone requested you submit this file please let them know that you have submitted the file.

Your file (borobororb.exe) was successfully submitted. If someone requested you submit this file please let them know that you have submitted the file.

Das mit der Systemwiederherstellung hatte ich als Alternative verstanden, und noch nicht durchgeführt. Soweit ich verstanden habe, gehen dabei evtl. installierte Programme (wäre nicht schlimm) verloren, Dokumente und Bilder aber eher nicht? Dann versuche ich das, wenn das die einfachste Lösung ist.

Vielen Dank nochmals für Dein Engagement und Deine Hilfe soweit.

Sonnige Grüße,
BT

Lieber Coverflow,

Systemwiederherstellung: klappt nicht.
Einzig mögliches Datum 18.August 2010 - da war der Trojaner schon drauf.
Andere Wiederherstellungszeitpunkte lassen sich nicht wählen, die Option mit den Pfeilen einen Monat rückwärts gehen geht nicht.

Was nun?

Ergab die Auswertung der hochgeladenen Dateien etwas?

Sonnig & Herzlich und noch immer zuversichtlich,
BT

hi

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung/virus-protect.org

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool "Ccleaner" herunter
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

6.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Lade und installiere das Tool RootRepeal herunter

• setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
• "Stealth Objects" -> "Scan"-> Save Report"...
• "Hidden Services" -> "Scan"-> Save Report"...
• speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

7.
poste erneut - nach der vorgenommenen Reinigungsaktion:
► TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!