Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


Plagegeister aller Art und deren Bekämpfung: AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 15.09.2010, 10:31   #1
psychicfairy
 
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Standard

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


Hallo!
Ich bin neu hier und bemühe mich, erst mal alle anderen Möglichkeiten auszuschöpfen, aber ich komme allein wirklich nicht weiter.

Mein System: Windows XP, SP3
Virensoftware: AVG, neueste Version

Beim Hochfahren kommt gleich die obige Fehlermeldung. Beim täglichen Scan zeigt mir AVG auch, dass der Trojaner in einer Datei hängt, die auf der whitelist steht und daher nicht entfernt werden kann.
Ich habe schon CCleaner und weiß was ich alles versucht, alles ohne Erfolg.

Jetzt arbeite ich gerade die Anweisungen hier ab. Im nächsten Posting komm das erste log-file.

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4605

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.09.2010 11:32:18
mbam-log-2010-09-15 (11-32-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 157474
Laufzeit: 7 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\ie3.tmp (Trojan.Agent) -> Delete on reboot.

Habe gerade defogger benutzt und werde mich jetzt mal online verabschieden.

Hier kommen meine log-Dateien:

defogger disable:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 11:41 on 15/09/2010 (Musterfrau)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


gmerlog:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-15 17:03:35
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\Musterfrau\LOKALE~1\Temp\pxtdrpoc.sys
 
 
---- Kernel code sections - GMER 1.0.15 ----
 
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                       section is writeable [0xB8DD4380, 0x2FF527, 0xE8000020]
.text           C:\WINDOWS\system32\drivers\SSHDRV76.sys                                       section is writeable [0xAC2D2000, 0x16204, 0xE8000020]
.pklstb         C:\WINDOWS\system32\drivers\SSHDRV76.sys                                       entry point in ".pklstb" section [0xAC2F0000]
.relo2          C:\WINDOWS\system32\drivers\SSHDRV76.sys                                       unknown last section [0xAC300000, 0x86, 0x42000040]
 
---- User code sections - GMER 1.0.15 ----
 
.text           C:\Programme\Mozilla Firefox 4.0 Beta 2\firefox.exe[612] ntdll.dll!LdrLoadDll  7C9263C3 5 Bytes  JMP 00401410 C:\Programme\Mozilla Firefox 4.0 Beta 2\firefox.exe (Firefox/Mozilla Corporation)
 
---- Devices - GMER 1.0.15 ----
 
Device                                                                                         ACPI.sys (ACPI-Treiber für NT/Microsoft Corporation)
 
AttachedDevice  \Driver\Tcpip \Device\Ip                                                       avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                      avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                      avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                    avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                       fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 
---- EOF - GMER 1.0.15 ----
--- --- ---


Jetzt habe ich alles abgearbeitet, was jetzt?

Bei OTL.exe wurde ich beim Klicken auf Benutzerdefinierte Scans/Fixes NICHT nach einer einzufügenden Datei gefragt.
Ich habe versucht, die Scan.txt manuell reinzuziehen, ging aber nicht.
Ich habe sie dann einfach geöffnet, in der Hoffnung, dass das was hilft-

Alt 16.09.2010, 14:04   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Standard

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


Zitat:
Art des Suchlaufs: Quick-Scan
Gibt es noch mehr Logs von Malwarebytes oder ist das das einzige? Wenn Du Malwarebytes schon öfter mal scannen lassen hast, gibt es auch dementsprechend viele Logs. Bitte alle posten.
__________________

__________________
Alt 16.09.2010, 16:37   #3
psychicfairy
 
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Standard

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


Dieses Log ist 2 Tage vorher gemacht worden:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4605

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.09.2010 15:03:36
mbam-log-2010-09-13 (15-03-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 391154
Laufzeit: 1 Stunde(n), 58 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\winsvncs.txt (Malware.Trace) -> Quarantined and deleted successfully.


Schon mal im Voraus danke für die Hilfe, Anja
__________________
Alt 16.09.2010, 19:33   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Standard

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O3 - HKLM\..\Toolbar: (no name) - {01708BC3-6BDC-47fc-98FD-27875CF91138} - No CLSID value found.
O3 - HKU\S-1-5-21-823518204-706699826-839522115-1003\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O3 - HKU\S-1-5-21-823518204-706699826-839522115-1003\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
O33 - MountPoints2\{31528b1c-3bd6-11df-b454-000854530bc0}\Shell - "" = AutoRun
O33 - MountPoints2\{31528b1c-3bd6-11df-b454-000854530bc0}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{31528b1c-3bd6-11df-b454-000854530bc0}\Shell\AutoRun\command - "" = L:\AutoRun.exe -- File not found
O33 - MountPoints2\{31528b1f-3bd6-11df-b454-000854530bc0}\Shell - "" = AutoRun
O33 - MountPoints2\{31528b1f-3bd6-11df-b454-000854530bc0}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{31528b1f-3bd6-11df-b454-000854530bc0}\Shell\AutoRun\command - "" = L:\AutoRun.exe -- File not found
O33 - MountPoints2\{6c170e70-478f-11df-b461-000854530bc0}\Shell - "" = AutoRun
O33 - MountPoints2\{6c170e70-478f-11df-b461-000854530bc0}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6c170e70-478f-11df-b461-000854530bc0}\Shell\AutoRun\command - "" = L:\AutoRun.exe -- File not found
O33 - MountPoints2\{c9b71665-0b2f-11de-9316-0011675ec51f}\Shell - "" = AutoRun
O33 - MountPoints2\{c9b71665-0b2f-11de-9316-0011675ec51f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c9b71665-0b2f-11de-9316-0011675ec51f}\Shell\AutoRun\command - "" = K:\LaunchU3.exe -- File not found
O33 - MountPoints2\{f5aacdbb-47a8-11df-b463-000854530bc0}\Shell - "" = AutoRun
O33 - MountPoints2\{f5aacdbb-47a8-11df-b463-000854530bc0}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f5aacdbb-47a8-11df-b463-000854530bc0}\Shell\AutoRun\command - "" = L:\AutoRun.exe -- File not found
@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\Musterfau\Anwendungsdaten\TEMP:3E9E8F66
@Alternate Data Stream - 117 bytes -> C:\Dokumente und Einstellungen\Musterfau\Anwendungsdaten\TEMP:C24B973A
@Alternate Data Stream - 116 bytes -> C:\Dokumente und Einstellungen\Musterfau\Anwendungsdaten\TEMP:BB24555F
@Alternate Data Stream - 106 bytes -> C:\Dokumente und Einstellungen\Musterfau\Anwendungsdaten\TEMP:D0851FBD
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.09.2010, 07:17   #5
psychicfairy
 
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Standard

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{01708BC3-6BDC-47fc-98FD-27875CF91138} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01708BC3-6BDC-47fc-98FD-27875CF91138}\ not found.
Registry value HKEY_USERS\S-1-5-21-823518204-706699826-839522115-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{A057A204-BACC-4D26-9990-79A187E2698E} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A057A204-BACC-4D26-9990-79A187E2698E}\ not found.
Registry value HKEY_USERS\S-1-5-21-823518204-706699826-839522115-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C55BBCD6-41AD-48AD-9953-3609C48EACC7} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C55BBCD6-41AD-48AD-9953-3609C48EACC7}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31528b1c-3bd6-11df-b454-000854530bc0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31528b1c-3bd6-11df-b454-000854530bc0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31528b1c-3bd6-11df-b454-000854530bc0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31528b1c-3bd6-11df-b454-000854530bc0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31528b1c-3bd6-11df-b454-000854530bc0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31528b1c-3bd6-11df-b454-000854530bc0}\ not found.
File L:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31528b1f-3bd6-11df-b454-000854530bc0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31528b1f-3bd6-11df-b454-000854530bc0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31528b1f-3bd6-11df-b454-000854530bc0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31528b1f-3bd6-11df-b454-000854530bc0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31528b1f-3bd6-11df-b454-000854530bc0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31528b1f-3bd6-11df-b454-000854530bc0}\ not found.
File L:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6c170e70-478f-11df-b461-000854530bc0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6c170e70-478f-11df-b461-000854530bc0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6c170e70-478f-11df-b461-000854530bc0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6c170e70-478f-11df-b461-000854530bc0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6c170e70-478f-11df-b461-000854530bc0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6c170e70-478f-11df-b461-000854530bc0}\ not found.
File L:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c9b71665-0b2f-11de-9316-0011675ec51f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c9b71665-0b2f-11de-9316-0011675ec51f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c9b71665-0b2f-11de-9316-0011675ec51f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c9b71665-0b2f-11de-9316-0011675ec51f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c9b71665-0b2f-11de-9316-0011675ec51f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c9b71665-0b2f-11de-9316-0011675ec51f}\ not found.
File K:\LaunchU3.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5aacdbb-47a8-11df-b463-000854530bc0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f5aacdbb-47a8-11df-b463-000854530bc0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5aacdbb-47a8-11df-b463-000854530bc0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f5aacdbb-47a8-11df-b463-000854530bc0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5aacdbb-47a8-11df-b463-000854530bc0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f5aacdbb-47a8-11df-b463-000854530bc0}\ not found.
File L:\AutoRun.exe not found.
ADS C:\Dokumente und Einstellungen\Musterfrau\Anwendungsdaten\TEMP:3E9E8F66 deleted successfully.
ADS C:\Dokumente und Einstellungen\Musterfrau\Anwendungsdaten\TEMP:C24B973A deleted successfully.
ADS C:\Dokumente und Einstellungen\Musterfrau\Anwendungsdaten\TEMP:BB24555F deleted successfully.
ADS C:\Dokumente und Einstellungen\Musterfrau\Anwendungsdaten\TEMP0851FBD deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Musterfrau
->Temp folder emptied: 1115163 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 16521165 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 456 bytes

User: Musterfrau1

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: postgresh
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 48 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 17,00 mb


OTL by OldTimer - Version 3.2.12.0 log created on 09172010_082253

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\ie3.tmp moved successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\in1.tmp moved successfully.
File move failed. C:\WINDOWS\S160474E9.tmp scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Geändert von psychicfairy (17.09.2010 um 07:27 Uhr)

Alt 17.09.2010, 07:20   #6
psychicfairy
 
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Standard

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


Ich hatte während dem Fix mehrfach die angehängte Fehlermeldung (siehe Bild).
Ich habe dann immer auf "Weiter" geklickt.

Das System ist neugestartet.
Die Trojaner-Meldung habe ich leider immer noch - völlig unverändert.

Ein hartnäckiges Ding!


Danke für die Hilfe!
Ich hoffe, wir kriegen das zusammen hin!
Miniaturansicht angehängter Grafiken
AVG meldet Trojaner "Generic18.dpu; Pfad c:\WINDOWS\system32\userinit.exe-pict2463.jpg  

Alt 17.09.2010, 11:00   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Standard

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.09.2010, 17:55   #8
psychicfairy
 
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Standard

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


So, das war eine schwere Geburt, bis ich da alles richtig hatte......


Hier kommt das Log-file von Combofix:

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-09-20.01 - Musterfrau 20.09.2010  18:40:43.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1400 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Musterfrau\Desktop\cofi.exe
AV: AVG Anti-Virus *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\\setup.exe
c:\programme\key.txt
c:\programme\Setup.exe
c:\windows\Downloaded Program Files\popcaploader.inf
c:\windows\system32\Cache

Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\userinit.exe wurde wiederhergestellt 

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


(((((((((((((((((((((((   Dateien erstellt von 2010-08-20 bis 2010-09-20  ))))))))))))))))))))))))))))))
.

2010-09-17 06:08 . 2010-09-17 06:08	--------	d-----w-	C:\_OTL
2010-09-16 10:32 . 2010-09-16 10:32	--------	d-----w-	C:\HopeRanch
2010-09-13 16:24 . 2010-09-13 16:24	--------	d-----w-	c:\programme\ERUNT
2010-09-13 11:03 . 2010-09-13 11:03	--------	d-----w-	c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Malwarebytes
2010-09-13 11:03 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-13 11:03 . 2010-09-13 11:03	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-09-13 11:03 . 2010-09-13 11:03	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-13 11:03 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-07 13:04 . 2010-09-07 13:04	--------	d-----w-	C:\B5 S5-dtsch
2010-09-01 09:43 . 2010-09-01 09:43	--------	d-----w-	c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\AVG9
2010-08-30 10:02 . 2010-08-30 13:18	--------	d-----w-	c:\dokumente und einstellungen\Musterfrau\DoctorWeb
2010-08-28 12:18 . 2010-08-28 12:18	--------	d-----w-	c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\FastStone

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-20 16:47 . 2007-09-26 08:21	--------	d-----w-	c:\programme\BOINC
2010-09-20 16:27 . 2010-07-29 08:53	--------	d-----w-	c:\programme\Mozilla Firefox 4.0 Beta 2
2010-09-20 15:41 . 2010-06-18 09:36	--------	d-----w-	c:\programme\CCleaner
2010-09-20 06:35 . 2007-09-26 07:19	0	--sh--w-	c:\windows\S160474E9.tmp
2010-09-17 10:38 . 2010-08-10 20:25	--------	d-----w-	c:\programme\Mozilla Thunderbird
2010-09-16 10:16 . 2007-09-17 18:19	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2010-09-14 07:27 . 2007-09-17 09:49	93392	----a-w-	c:\dokumente und einstellungen\Musterfrau\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-09 11:20 . 2007-09-21 19:03	--------	d-----w-	c:\programme\Tobit InfoCenter
2010-09-02 14:24 . 2010-01-22 11:20	--------	d-----w-	c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\eXPert PDF 6
2010-08-24 07:22 . 2007-09-25 17:52	--------	d-----w-	c:\programme\IncrediMail
2010-08-20 15:41 . 2010-08-20 15:10	--------	d-----w-	c:\programme\Gemeinsame Dateien\MAGIX Shared
2010-08-20 15:13 . 2010-08-20 15:13	--------	d-----w-	c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\MAGIX
2010-08-20 15:13 . 2010-08-20 15:09	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX
2010-08-20 14:58 . 2010-08-20 14:58	--------	d-----w-	c:\programme\Gemeinsame Dateien\Lexware
2010-08-20 14:16 . 2007-09-25 19:06	--------	d-----w-	c:\programme\ArcSoft
2010-08-20 14:16 . 2007-09-17 09:29	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-08-18 11:37 . 2010-08-18 11:37	--------	d-----w-	c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\avidemux
2010-08-18 06:39 . 2010-08-09 06:00	456200	----a-w-	c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Real\Update\setup3.12\setup.exe
2010-08-17 13:56 . 2010-08-17 13:55	--------	d-----w-	c:\programme\QuickTime
2010-08-17 13:55 . 2010-08-17 13:55	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2010-08-17 13:55 . 2010-08-17 13:55	--------	d-----w-	c:\programme\Apple Software Update
2010-08-17 13:47 . 2010-08-17 13:47	--------	d-----w-	c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\XMedia Recode
2010-08-17 13:17 . 2002-08-29 12:00	58880	----a-w-	c:\windows\system32\spoolsv.exe
2010-08-17 11:32 . 2007-10-07 20:56	--------	d-----w-	c:\programme\Installationsprogramme
2010-08-12 08:42 . 2002-08-29 12:00	530032	----a-w-	c:\windows\system32\perfh007.dat
2010-08-12 08:42 . 2002-08-29 12:00	108190	----a-w-	c:\windows\system32\perfc007.dat
2010-08-10 20:25 . 2010-08-10 20:25	--------	d-----w-	c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Thunderbird
2010-08-09 16:45 . 2007-09-25 18:58	--------	d-----w-	c:\programme\WISO
2010-08-03 14:40 . 2010-08-03 14:40	--------	d-----w-	c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Spacejock Software
2010-08-03 14:39 . 2010-08-03 14:39	--------	d-----w-	c:\programme\yWriter5
2010-07-23 16:17 . 2010-06-18 09:35	--------	d-----w-	c:\programme\TuneUp Utilities 2008
2010-07-23 16:17 . 2010-06-18 09:38	355584	----a-w-	c:\windows\system32\TuneUpDefragService.exe
2010-07-23 08:56 . 2010-03-29 17:50	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-07-23 08:55 . 2010-07-23 08:55	144696	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-07-22 15:48 . 2002-08-29 12:00	590848	----a-w-	c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-06-30 12:28 . 2002-08-29 12:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-29 22:13 . 2010-08-12 10:35	52224	----a-w-	c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Mozilla\Firefox\Profiles\ta8sy5fu.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\components\FFExternalAlert.dll
2010-06-29 22:13 . 2010-08-12 10:35	101376	----a-w-	c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Mozilla\Firefox\Profiles\ta8sy5fu.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\components\RadioWMPCore.dll
2010-06-26 18:48 . 2010-06-26 18:48	50354	----a-w-	c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Facebook\uninstall.exe
2010-06-24 12:22 . 2002-08-29 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2002-08-29 12:00	1852032	------w-	c:\windows\system32\win32k.sys
2009-08-28 13:36 . 2009-08-28 13:36	9450176	----a-w-	c:\programme\ocinstall.exe
2009-06-12 21:12 . 2009-06-12 21:10	18752672	----a-w-	c:\programme\ifolor-Designer-CHDE-de.exe
2008-11-08 17:34 . 2008-11-06 17:41	163	-c--a-w-	c:\programme\VirtualDub.jobs
2008-09-21 11:08 . 2008-11-06 17:34	246239	-c--a-w-	c:\programme\VirtualDub.chm
2008-09-21 11:07 . 2008-11-06 17:34	203212	-c--a-w-	c:\programme\VirtualDub.vdi
2008-09-21 11:07 . 2008-11-06 17:34	973312	----a-w-	c:\programme\VirtualDub.exe
2008-09-21 11:06 . 2008-11-06 17:34	8704	----a-w-	c:\programme\vdub.exe
2008-09-21 11:06 . 2008-11-06 17:34	33792	----a-w-	c:\programme\auxsetup.exe
2008-09-21 11:06 . 2008-11-06 17:34	31232	----a-w-	c:\programme\vdremote.dll
2008-09-21 11:06 . 2008-11-06 17:34	29696	----a-w-	c:\programme\vdicmdrv.dll
2008-09-21 11:06 . 2008-11-06 17:34	25088	----a-w-	c:\programme\vdsvrlnk.dll
2008-05-15 12:03 . 2009-01-09 09:11	25922	-c--a-w-	c:\programme\FastVideoDownload_1.6_fx_de-DE.xpi
2008-04-12 15:24 . 2008-11-06 17:34	18321	-c--a-w-	c:\programme\copying
2008-01-07 09:10 . 2008-01-07 09:10	2392722	-c--a-w-	c:\programme\ac3filter_1_46.exe
2007-10-23 14:13 . 2008-11-07 09:29	15248705	-c--a-w-	c:\programme\How to use the Recorder.wmv
2005-01-21 17:08 . 2008-11-06 17:41	2384669	----a-w-	c:\programme\WinAVI_Video_Capture.exe
2004-05-16 02:18 . 2008-11-06 18:14	1364995	----a-w-	c:\programme\Camstudio2-0.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-10-16 1115392]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2009-10-16 11:13	1115392	----a-w-	c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2009-05-19 11:37	1144712	----a-w-	c:\programme\Ask.com\GenericAskToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-10-16 1115392]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2009-05-19 1144712]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-10-16 1115392]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2009-05-19 1144712]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 16262656]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]
"nwiz"="nwiz.exe" [2007-06-28 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"vspdfprsrv.exe"="c:\programme\Visagesoft\eXPert PDF 6\vspdfprsrv.exe" [2008-11-18 1199616]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-06-17 40368]
"TrayServer"="d:\programme\Video_deluxe_15\TrayServer.exe" [2008-08-07 90112]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-22 2065760]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Musterfrau\Startmen\Programme\Autostart\
BOINC Manager.lnk - c:\programme\BOINC\boincmgr.exe [2007-8-23 4141056]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
PowerISDNMonitor 4.5.lnk - c:\programme\PowerISDNMonitor\pimjava.exe [2007-7-26 45056]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-06-22 07:38	12536	----a-w-	c:\windows\system32\avgrsstx.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^EZ VHS Converter Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\EZ VHS Converter Monitor.lnk
backup=c:\windows\pss\EZ VHS Converter Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HOTSYNCSHORTCUTNAME.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HOTSYNCSHORTCUTNAME.lnk
backup=c:\windows\pss\HOTSYNCSHORTCUTNAME.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Mein Sparbuch heute.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Sparbuch heute.lnk
backup=c:\windows\pss\WISO Mein Sparbuch heute.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Urteilsmonitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WISO Urteilsmonitor.lnk
backup=c:\windows\pss\WISO Urteilsmonitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Musterfrau^Startmenü^Programme^Autostart^ERUNT AutoBackup.lnk]
path=c:\dokumente und einstellungen\Musterfrau\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk
backup=c:\windows\pss\ERUNT AutoBackup.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Musterfrau^Startmenü^Programme^Autostart^SmartUI.lnk]
path=c:\dokumente und einstellungen\Musterfrau\Startmenü\Programme\Autostart\SmartUI.lnk
backup=c:\windows\pss\SmartUI.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Musterfrau^Startmenü^Programme^Autostart^WISO Urteilsmonitor.lnk]
path=c:\dokumente und einstellungen\Musterfrau\Startmenü\Programme\Autostart\WISO Urteilsmonitor.lnk
backup=c:\windows\pss\WISO Urteilsmonitor.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06	976832	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-06-17 06:24	40368	----a-w-	c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
2008-02-22 09:33	72192	----a-w-	c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
2010-08-24 07:21	353736	----a-w-	c:\programme\IncrediMail\bin\IncMail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
2002-08-08 09:09	36864	----a-w-	c:\programme\Scansoft\PaperPort\IndexSearch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2008-10-01 17:57	289576	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22	1695232	------w-	c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2005-10-11 16:25	1961984	------w-	c:\programme\Ahead\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 08:50	155648	------w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
2002-08-08 08:38	45108	----a-w-	c:\programme\Scansoft\PaperPort\pptd40nt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-08-10 03:15	421888	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-05-13 14:12	26192168	----a-r-	c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 18:04	2879488	------r-	c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-09-12 10:34	185896	----a-w-	c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tvjbmonitor]
2006-12-26 16:08	53248	----a-w-	c:\programme\MMEDIA\TV Jukebox 3.5\tvjbMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"YahooAUService"=2 (0x2)
"iPod Service"=3 (0x3)
"Bonjour Service"=2 (0x2)
"BlueSoleil Hid Service"=2 (0x2)
"Apple Mobile Device"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Messenger (Yahoo!)"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Palm\\Hotsync.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Programme\\WS_FTP Pro\\ftp95pro.exe"=
"c:\\Programme\\Haufe\\iDesk\\iDeskBrowser\\hidb.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\Media Converter SA Edition\\Media Converter.exe"=
"c:\\Programme\\AVG\\AVG9\\avgam.exe"=
"c:\\Programme\\AVG\\AVG9\\avgdiagex.exe"=
"c:\\Programme\\AVG\\AVG9\\avgemc.exe"=
"c:\\Programme\\AVG\\AVG9\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 aarsi3x;aarsi3x;c:\windows\system32\drivers\aarsi3x.sys [13.09.2007 16:05 197120]
R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [26.04.2008 15:27 52872]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [26.04.2008 15:27 216400]
R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [26.04.2008 15:27 243024]
R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [25.03.2008 11:46 53760]
R2 avg9emc;AVG E-mail Scanner;c:\programme\AVG\AVG9\avgemc.exe [21.07.2010 09:42 921952]
R2 avg9wd;AVG WatchDog;c:\programme\AVG\AVG9\avgwdsvc.exe [22.06.2010 09:38 308136]
R2 DavidGrabbingServer;DvISE Grabbing Server;c:\david\Apps\Dvgrab\Code\dvgrab.exe [21.09.2007 21:00 241664]
R2 DavidPostMan;DvISE PostMan;c:\david\Apps\Postman\Code\postman.exe [21.09.2007 21:00 471040]
R2 DavidServiceLayer;DvISE Service Layer;c:\david\Code\sl.exe [21.09.2007 21:00 942080]
R2 DavidTLD001;DvISE TLD 001;c:\david\tld\code\CAPI\tld.exe 001 --> c:\david\tld\code\CAPI\tld.exe 001 [?]
R2 Haufe PostgreSQL;Haufe PostgreSQL;c:\programme\Haufe\iDesk\PostgreSQL\bin\pg_ctl.exe runservice -N "Haufe PostgreSQL" -D "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Haufe\haufedb\postgres\" -o "-i" --> c:\programme\Haufe\iDesk\PostgreSQL\bin\pg_ctl.exe runservice -N Haufe PostgreSQL [?]
R2 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [10.06.2009 04:09 70336]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [17.09.2007 12:13 37568]
R3 ElgTaDrv;elmeg USB Device Driver;c:\windows\system32\drivers\ElgTaDrv.sys [29.09.2007 09:59 71484]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [17.09.2007 12:13 444416]
S2 Ca533av;Icatch(IV) Video Camera Device;c:\windows\system32\drivers\Ca533av.sys [09.08.2008 18:14 515803]
S2 gupdate1c9a60c18cf1454;Google Update Service (gupdate1c9a60c18cf1454);c:\programme\Google\Update\GoogleUpdate.exe [16.03.2009 09:52 133104]
S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;c:\windows\system32\drivers\atl01_xp.sys [17.09.2007 11:29 35712]
S3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [29.09.2007 21:20 2944]
S3 BrSerWDM;Brother-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [29.09.2007 20:53 61952]
S3 BrUsbMdm;Brother MFC-nur-Fax-Modem (USB);c:\windows\system32\drivers\BrUsbMdm.sys [29.09.2007 21:20 11008]
S3 BrUsbScn;Brother MFC-Scannertreiber (USB);c:\windows\system32\drivers\BrUsbScn.sys [29.09.2007 21:20 10368]
S3 DavidClipInc001;DvISE ClipInc 001;c:\david\APPS\CLIPINC\CODE\CLIPINC.EXE 001 --> c:\david\APPS\CLIPINC\CODE\CLIPINC.EXE 001 [?]
S3 DavidDiscussionServer;DvISE Discussion Server;c:\david\Apps\Dserver\Code\dserver.exe [21.09.2007 21:00 233472]
S3 DavidHost;DvISE Host;c:\david\Apps\Dvhost\CODE\dvhost.exe [21.09.2007 21:00 204800]
S3 DavidMailAccessServer;DvISE Mail Access Server;c:\david\Apps\Maserver\CODE\maserver.exe [21.09.2007 21:00 307200]
S3 DavidPBXpense;DvISE PBXpense;c:\david\Apps\pbxpense\code\pbxpense.exe [21.09.2007 21:00 118784]
S3 DavidReplica;DvISE Replica;c:\david\Apps\Replica\Code\replica.exe [21.09.2007 21:00 282624]
S3 DavidTVIndex;DvISE TVIndex;c:\david\Apps\tvindex\tvindex.exe [21.09.2007 21:01 102400]
S3 DavidVideoCapture;DvISE Video Capture;c:\david\Apps\videocpt\code\VIDEOC~1.EXE [21.09.2007 21:00 1060864]
S3 DavidWebBox;DvISE WebBox;c:\david\Apps\Webbox\Code\webbox.exe [21.09.2007 21:00 434176]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;d:\programme\Common\Database\bin\fbserver.exe [20.08.2010 17:11 1527900]
S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\drivers\motccgp.sys [20.01.2009 10:55 18688]
S3 motccgpfl;MotCcgpFlService;c:\windows\system32\drivers\motccgpfl.sys [20.01.2009 10:55 8320]
S3 MotDev;Motorola Inc. USB Device;c:\windows\system32\drivers\motodrv.sys [20.01.2009 10:55 42112]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [20.08.2010 17:11 544768]
S3 VCR2PC;VCR2PC Analog Capture;c:\windows\system32\drivers\0140_ION.sys [20.11.2008 12:18 277888]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-09-20 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-29 09:54]

2010-08-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-16 07:51]

2010-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-16 07:51]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://mystart.incredimail.com/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*hxxp://de.search.yahoo.com
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Mozilla\Firefox\Profiles\ta8sy5fu.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=9&q=
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=9&tid={4C6B2547-B8E5-3BDA-E971-6F3BB62E1295}&q=
FF - component: c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Mozilla\Firefox\Profiles\ta8sy5fu.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Mozilla\Firefox\Profiles\ta8sy5fu.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\components\RadioWMPCore.dll
FF - component: c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Mozilla\Firefox\Profiles\ta8sy5fu.default\extensions\{FCAB6FDD-5585-425b-95C1-5ED856F3FD08}\components\nsCatcher.dll
FF - component: c:\programme\AVG\AVG9\Firefox\components\avgssff.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils2.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils3.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils35.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\xpavgtbapi.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Facebook\npfbplugin_1_0_3.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Netlog Music Tool - c:\programme\Netlog Music Tool\NetlogMusicTool.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-20 18:48
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2672)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\AVG\AVG9\avgchsvx.exe
c:\programme\AVG\AVG9\avgrsx.exe
c:\programme\AVG\AVG9\avgcsrvx.exe
c:\windows\system32\brss01a.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Haufe\iDesk\PostgreSQL\bin\pg_ctl.exe
c:\programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\javaw.exe
c:\programme\BOINC\boinc.exe
c:\programme\AVG\AVG9\avgam.exe
c:\programme\AVG\AVG9\avgnsx.exe
c:\programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe
c:\programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe
c:\programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe
c:\programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe
c:\windows\system32\inetsrv\inetinfo.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Haufe\iDesk\iDeskService\ideskpython.exe
c:\programme\AVG\AVG9\avgcsrvx.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\programme\AVG\AVG9\avgcsrvx.exe
c:\david\tld\code\CAPI\tld.exe
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-20  18:52:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-09-20 16:52

Vor Suchlauf: 39 Verzeichnis(se), 25.333.493.760 Bytes frei
Nach Suchlauf: 41 Verzeichnis(se), 25.191.014.400 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /usepmtimer /NoExecute=OptOut

- - End Of File - - 58CFE08CA657FA0B1F68DB93AFB1C136
--- --- ---
Alt 20.09.2010, 17:56   #9
psychicfairy
 
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Standard

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


Hab ich schon danke gesagt?
Falls nicht, sag ich es jetzt schon mal: DANKE FÜR DIE HILFE!!

Kann ich leise hoffen, dass es das jetzt war und das Ungeziefer weg ist?
Habe gerade meinen AVG Shield wieder aktiviert.

Alt 20.09.2010, 18:27   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Standard

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


Nur mal so BTW, von Incredimail solltest Du wirklich die Finger lassen, das Teil ist Spyware. Es analysiert Dein E-Mailaufkommen, sowas geht garnicht nimm lieber einen anderen Mailclient, zB sowas wie Mozilla Thunderbird.

Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.09.2010, 18:54   #11
psychicfairy
 
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Standard

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


Hallo!

Im Anhang sind die logs.
Und zusätzlich die Meldung meines AVG nach dem täglichen Scan.
Diese gefundenen Dateien liessen sich jetzt in die Virenquarantäne verschieben.
Die Trojaner-Meldung vom Anfang kommt nicht mehr.

Sieht ganz gut aus, hoffe ich.

Zu Incredimail: Ich bin halt doch ne alte Spielratte.... Die ganzen Gimicks sind so verführerisch.
Aber ich benutze Thunderbird für die wichtigen Mails. Incredimail nur für das private Rumgeschreibe.
Miniaturansicht angehängter Grafiken
AVG meldet Trojaner "Generic18.dpu; Pfad c:\WINDOWS\system32\userinit.exe-2010-09-21_125941.jpg  

Alt 22.09.2010, 09:04   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Standard

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 22.09.2010, 09:31   #13
psychicfairy
 
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Standard

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


Hier kommts.
Kann ich die Systemwiederherstellung schon wieder einschalten?

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00000fbd

Kernel Drivers (total 146):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xBA5AC000 viaide.sys
0xBA0B8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA5AE000 dmload.sys
0xB9F22000 dmio.sys
0xBA330000 PartMgr.sys
0xBA338000 videX32.sys
0xBA0C8000 VolSnap.sys
0xB9F0A000 atapi.sys
0xB9ED6000 aarsi3x.sys
0xB9EBE000 \WINDOWS\system32\drivers\SCSIPORT.SYS
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xB9E9E000 fltmgr.sys
0xB9E8C000 sr.sys
0xBA340000 xfilt.sys
0xBA0F8000 PxHelp20.sys
0xB9E75000 KSecDD.sys
0xB9DE8000 Ntfs.sys
0xB9DBB000 NDIS.sys
0xB9DA1000 Mup.sys
0xBA348000 BTHidMgr.sys
0xBA108000 avgrkx86.sys
0xB94CB000 \SystemRoot\System32\DRIVERS\AmdK8.sys
0xB7E9A000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB7E86000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xBA380000 \SystemRoot\system32\drivers\Afc.sys
0xBA600000 \SystemRoot\System32\Drivers\ElbyDelay.sys
0xBA534000 \SystemRoot\System32\Drivers\cdrbsdrv.SYS
0xB94BB000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xB94AB000 \SystemRoot\System32\DRIVERS\redbook.sys
0xB7E63000 \SystemRoot\System32\DRIVERS\ks.sys
0xBA538000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0xB949B000 \SystemRoot\System32\DRIVERS\imapi.sys
0xBA388000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xB7E3F000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xBA390000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xBA398000 \SystemRoot\System32\DRIVERS\fdc.sys
0xB7E2B000 \SystemRoot\System32\DRIVERS\parport.sys
0xBA602000 \SystemRoot\System32\DRIVERS\ASACPI.sys
0xB948B000 \SystemRoot\System32\DRIVERS\serial.sys
0xBA544000 \SystemRoot\System32\DRIVERS\serenum.sys
0xB947B000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xBA3A0000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xBA3A8000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xB7E06000 \SystemRoot\System32\DRIVERS\HDAudBus.sys
0xBA3B0000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
0xB7D99000 \SystemRoot\system32\DRIVERS\fpcibase.sys
0xBA218000 \SystemRoot\system32\DRIVERS\avmwan.sys
0xBA228000 \SystemRoot\System32\Drivers\VcommMgr.sys
0xBA550000 \SystemRoot\system32\DRIVERS\vbtenum.sys
0xBA3B8000 \SystemRoot\system32\DRIVERS\blueletaudio.sys
0xB7D75000 \SystemRoot\system32\DRIVERS\portcls.sys
0xBA238000 \SystemRoot\system32\DRIVERS\drmk.sys
0xBA6DE000 \SystemRoot\System32\DRIVERS\audstub.sys
0xBA604000 \SystemRoot\System32\Drivers\RootMdm.sys
0xBA3C0000 \SystemRoot\System32\Drivers\Modem.SYS
0xBA248000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xBA554000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xB7D5E000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xBA258000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xBA268000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xBA3C8000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xB7D4D000 \SystemRoot\System32\DRIVERS\psched.sys
0xB85A8000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xBA3D0000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xBA3D8000 \SystemRoot\System32\DRIVERS\raspti.sys
0xB8740000 \SystemRoot\system32\DRIVERS\VComm.sys
0xB7D1D000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xB8598000 \SystemRoot\System32\DRIVERS\termdd.sys
0xB8738000 \SystemRoot\system32\DRIVERS\VClone.sys
0xBA606000 \SystemRoot\System32\DRIVERS\swenum.sys
0xB7CBF000 \SystemRoot\System32\DRIVERS\update.sys
0xBA570000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xB8588000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA198000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xBA63C000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xAFA20000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xBA450000 \SystemRoot\System32\DRIVERS\flpydisk.sys
0xAA99B000 \??\C:\WINDOWS\system32\drivers\SSHDRV76.sys
0xBA64C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA768000 \SystemRoot\System32\Drivers\Null.SYS
0xBA64E000 \SystemRoot\System32\Drivers\Beep.SYS
0xB054A000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB3B82000 \SystemRoot\System32\drivers\vga.sys
0xBA650000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA652000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB3B7A000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB3B72000 \SystemRoot\System32\Drivers\Npfs.SYS
0xABBB8000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xAA968000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xAA90F000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xAA8D5000 \SystemRoot\System32\Drivers\avgtdix.sys
0xAA8AF000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xB8568000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xAA887000 \SystemRoot\System32\DRIVERS\netbt.sys
0xAA865000 \SystemRoot\System32\drivers\afd.sys
0xB8548000 \SystemRoot\System32\DRIVERS\netbios.sys
0xAA83A000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xAA7CA000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xB8528000 \SystemRoot\System32\Drivers\Fips.SYS
0xBA400000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0xBA408000 \SystemRoot\System32\Drivers\avgmfx86.sys
0xAA796000 \SystemRoot\System32\Drivers\avgldx86.sys
0xBA458000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xAF787000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xAA784000 \SystemRoot\System32\Drivers\ElgTaDrv.sys
0xBA468000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS
0xBA470000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB7C73000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB8558000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB5A37000 \SystemRoot\system32\DRIVERS\usbscan.sys
0xB7C9F000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xAA70E000 \SystemRoot\system32\DRIVERS\AF15BDA.sys
0xB3DBB000 \SystemRoot\system32\DRIVERS\BdaSup.SYS
0xB3DAB000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xB7C93000 \SystemRoot\System32\Drivers\dump_diskdump.sys
0xAA6DA000 \SystemRoot\System32\Drivers\dump_aarsi3x.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB3DAF000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA488000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA7E3000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB7CAB000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xAA48C000 \SystemRoot\system32\drivers\wdmaud.sys
0xB1D4A000 \SystemRoot\system32\drivers\sysaudio.sys
0xAA2A7000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xB8710000 \SystemRoot\System32\drivers\BrPar.sys
0xBA64A000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xAA0A3000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xA9CBC000 \SystemRoot\System32\Drivers\HTTP.sys
0xA9782000 \SystemRoot\System32\DRIVERS\srv.sys
0xA85DE000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 60):
0 System Idle Process
4 System
576 C:\WINDOWS\system32\smss.exe
632 csrss.exe
656 C:\WINDOWS\system32\winlogon.exe
700 C:\WINDOWS\system32\services.exe
712 C:\WINDOWS\system32\lsass.exe
864 C:\WINDOWS\system32\svchost.exe
924 svchost.exe
992 C:\WINDOWS\system32\svchost.exe
1048 svchost.exe
1152 C:\Programme\AVG\AVG9\avgchsvx.exe
1160 C:\Programme\AVG\AVG9\avgrsx.exe
1204 svchost.exe
1316 C:\Programme\AVG\AVG9\avgcsrvx.exe
1468 C:\WINDOWS\system32\brsvc01a.exe
1496 C:\WINDOWS\system32\brss01a.exe
1488 C:\WINDOWS\system32\spoolsv.exe
1660 C:\WINDOWS\explorer.exe
2012 C:\WINDOWS\RTHDCPL.exe
2040 C:\WINDOWS\system32\rundll32.exe
180 C:\Programme\Visagesoft\eXPert PDF 6\vspdfprsrv.exe
228 C:\PROGRA~1\AVG\AVG9\avgtray.exe
248 C:\WINDOWS\system32\ctfmon.exe
272 C:\Programme\BOINC\boincmgr.exe
304 C:\WINDOWS\system32\javaw.exe
112 svchost.exe
716 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
872 C:\Programme\AVG\AVG9\avgwdsvc.exe
1200 C:\Programme\BOINC\boinc.exe
1544 C:\Programme\Haufe\iDesk\PostgreSQL\bin\pg_ctl.exe
2052 C:\Programme\Haufe\iDesk\iDeskService\ideskservice.exe
2244 C:\Programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe
2272 C:\Programme\AVG\AVG9\avgam.exe
2316 C:\Programme\AVG\AVG9\avgnsx.exe
2332 C:\Programme\Haufe\iDesk\iDeskService\ideskpython.exe
2372 C:\WINDOWS\system32\svchost.exe
2428 C:\WINDOWS\system32\inetsrv\inetinfo.exe
2628 C:\Programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe
2636 C:\Programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe
2644 C:\Programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe
2652 C:\Programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe
2696 C:\Programme\Java\jre6\bin\jqs.exe
2748 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
2772 C:\WINDOWS\system32\nvsvc32.exe
2816 C:\WINDOWS\system32\svchost.exe
2932 C:\Programme\AVG\AVG9\avgemc.exe
3120 C:\Programme\AVG\AVG9\avgcsrvx.exe
3400 C:\David\Apps\Dvgrab\Code\dvgrab.exe
3536 C:\David\Apps\Postman\Code\postman.exe
3612 C:\David\Code\sl.exe
3704 C:\David\Tld\CODE\CAPI\tld.exe
1116 alg.exe
2168 C:\Programme\AVG\AVG9\avgcsrvx.exe
3100 C:\WINDOWS\system32\wbem\wmiapsrv.exe
4060 C:\Programme\IncrediMail\bin\IncMail.exe
2792 C:\Programme\IncrediMail\bin\ImApp.exe
1944 C:\Programme\Mozilla Firefox\firefox.exe
3340 wmiprvse.exe
3916 C:\Dokumente und Einstellungen\Musterfrau\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive1 Model Number: ADAPTECRAID 1, Rev: 1.0
PhysicalDrive0 Model Number: Maxtor4G120J6, Rev: GAK819K0

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive1 RE: Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
114 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Alt 22.09.2010, 12:05   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Standard

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


Zitat:
149 GB \\.\PhysicalDrive1 RE: Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
114 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD1
Die SWH bitte auslassen. Erst wenn wir durch sind einschalten.
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 22.09.2010, 18:50   #15
psychicfairy
 
AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Standard

AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


So, da sind sie die logs.

Antwort
Seite 1 von 2 1 2

Themen zu AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe
andere, anderen, avg, ccleaner, datei, defogger, entfernt, firefox.exe, gen, generic, hochfahren, hängt, log-file, melde, meldet, neu, neues, ntdll.dll, otl.exe, posting, scan, software, system, system32, trojaner, versucht, windows, windows xp, wirklich


« Travianer Werbung und andere komische Musik/Tracks im Hintergrund auch ohne geöffnete Explorer ...?! | Brauche dringende Informationen über TR/HORSE.HPD »


Ähnliche Themen: AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe


  1. Trojaner "c:\windows\system32\svchost.exe "Avast - Infektion geblockt"
    Log-Analyse und Auswertung - 07.06.2015 (16)
  2. Windows 8.1 "Telekom-Trojaner" Avira meldet "Emotet.A.43"
    Log-Analyse und Auswertung - 24.11.2014 (9)
  3. Avira Meldet "C:\WINDOWS\system32\Skype.scr\Skype.exe" und kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 14.05.2013 (11)
  4. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  5. MBAM meldet Trojaner... (C:\Windows\System32\smart.dll)
    Log-Analyse und Auswertung - 23.01.2012 (12)
  6. Trojaner "TR/bafi.A.2 Im Windows System32 Ordner
    Plagegeister aller Art und deren Bekämpfung - 30.12.2011 (1)
  7. F2 - REG:system.ini: UserInit=C:\Windows\system32\ezShellStart.exe gefährlich oder nicht?
    Log-Analyse und Auswertung - 09.04.2011 (3)
  8. c:\windows\system32\userinit.exe mit Trojaner (Generic 18.BESH) infiziert, Bereinigung ohne Erfolg
    Plagegeister aller Art und deren Bekämpfung - 10.08.2010 (8)
  9. (Trojaner) pc startet nicht mehr "C:\WINDOWS\system32\sshnas21.dll"
    Plagegeister aller Art und deren Bekämpfung - 20.07.2010 (0)
  10. Trojaner: Generic18.VII,Trojaner: Dropper.Generic2.XRU... k. Windows Update m. ,OTL & Malw Log anbei
    Plagegeister aller Art und deren Bekämpfung - 10.07.2010 (31)
  11. C:/WINDOWS/system32/userinit.exe von Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 11.04.2010 (2)
  12. Trojaner "TR/Agent.ruo" in 'C:\WINDOWS\system32\ntnhzrr.dll'
    Plagegeister aller Art und deren Bekämpfung - 01.04.2010 (14)
  13. Trojaner "TR/Agent.ruo" in 'C:\Windows\System32\wineagm.dll
    Plagegeister aller Art und deren Bekämpfung - 30.03.2010 (1)
  14. REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe
    Log-Analyse und Auswertung - 15.08.2009 (19)
  15. Trojaner "TR/Crypt.ZPACK.Gen" in C:\Windows\System32\
    Plagegeister aller Art und deren Bekämpfung - 15.04.2009 (1)
  16. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\n
    Log-Analyse und Auswertung - 05.10.2007 (10)
  17. \??\c:\windows\system32 regulärer Pfad?
    Plagegeister aller Art und deren Bekämpfung - 11.10.2005 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe - Hallo! Ich bin neu hier und bemühe mich, erst mal alle anderen Möglichkeiten auszuschöpfen, aber ich komme allein wirklich nicht weiter. Mein System: Windows XP, SP3 Virensoftware: AVG, neueste Version - AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe...
Archiv
Du betrachtest: AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19