Trojanisches Pferd TR/Shutdowner.fft

anti64 · 14.12.2010, 16:48

so die moved files habe ich hochgeladen!

Das System läuft jetzt gut. Es kommen keine Meldungen mehr vom
Virenprogramm.

Vielen vielen Dank!

Pia

markusg · 14.12.2010, 16:55

kannst du noch mal nen neuen combofix scan posten? möchte nur sicher gehen das alles gelöscht wurde. also neustart, combofix scan bitte.

anti64 · 14.12.2010, 17:08

So jetzt kommt der neue Log. Ist meine PC dann wieder sicher, kann ich dann auch wieder Online Banking machen?

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-12-13.07 - Schroer 14.12.2010  17:01:01.3.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2038.1565 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Schroer\Desktop\4567.com
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-14 bis 2010-12-14  ))))))))))))))))))))))))))))))
.

2010-12-14 13:51 . 2010-12-14 14:10	--------	d-----w-	C:\4567
2010-12-14 11:36 . 2010-12-14 15:45	--------	d-----w-	C:\_OTL
2010-12-12 12:35 . 2008-04-14 02:22	221184	----a-w-	c:\windows\system32\wmpns.dll
2010-12-12 10:43 . 2010-09-18 06:52	974848	-c----w-	c:\windows\system32\dllcache\mfc42.dll
2010-12-12 10:43 . 2010-09-18 06:52	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2010-12-12 10:43 . 2010-08-23 16:11	617472	-c----w-	c:\windows\system32\dllcache\comctl32.dll
2010-12-10 17:45 . 2010-12-10 17:45	--------	d-----w-	c:\dokumente und einstellungen\Schroer\Lokale Einstellungen\Anwendungsdaten\CyberLink
2010-11-18 16:30 . 2010-11-18 16:30	--------	d-----w-	c:\programme\Franzis
2010-11-18 16:29 . 2000-01-04 04:39	212992	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\engine\6\Intel 32\ILog.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-08 13:00 . 2010-05-10 16:44	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-22 15:19 . 2010-05-10 16:44	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-13 17:14 . 2010-08-02 20:43	191764	----a-w-	c:\dokumente und einstellungen\Schroer\Anwendungsdaten\mdbu.bin
2010-09-18 11:22 . 2002-08-29 12:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2002-08-29 12:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2002-08-29 12:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2002-08-29 12:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
.

------- Sigcheck -------

[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[7] 2004-08-04 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys
[-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\drivers\atapi.sys
[-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\drivers\System32\DRIVERS\atapi.sys
[-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys
[-] 2002-08-28 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0002\DriverFiles\i386\atapi.sys
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\dokumente und einstellungen\Schroer\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2010-05-11 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-11-13 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-11-13 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-11-13 141336]
"HDAudDeck"="c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-08-28 33673216]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-06-03 1144104]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-08-31 148888]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Cornelsen Kalender.lnk - c:\programme\Cornelsen\Kalender\CsKalender.exe [2007-7-2 2748928]
phase-6 Reminder.lnk - c:\programme\phase-6\phase-6\reminder\reminder.exe [2010-10-28 1032192]
PHOTOfunSTUDIO 5.1 HD Edition.lnk - c:\programme\Gemeinsame Dateien\Panasonic\PHOTOfunSTUDIO AutoStart\AutoStartupService.exe [2010-5-26 172544]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"BDRegion"=c:\programme\Cyberlink\Shared Files\brs.exe
"PDVD8LanguageShortcut"=c:\programme\CyberLink\PowerDVD8\Language\Language.exe
"RemoteControl8"=c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};c:\programme\CyberLink\PowerDVD8\000.fcl [27.06.2008 15:50 61424]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [10.05.2010 17:44 135336]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [26.08.2010 13:43 1051968]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [25.02.2010 10:18 10064]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [10.05.2010 18:43 1390976]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [10.05.2010 17:14 264704]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-12-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-12-10 c:\windows\Tasks\Automatische Wartung.job
- c:\programme\TuneUp Utilities 2010\OneClickStarter.exe [2010-08-26 12:48]

2010-12-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-299502267-602162358-725345543-1003Core.job
- c:\dokumente und einstellungen\Schroer\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-05-11 16:55]

2010-12-14 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-299502267-602162358-725345543-1003UA.job
- c:\dokumente und einstellungen\Schroer\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-05-11 16:55]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-14 17:04
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HDAudDeck = c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe 1???????????????????????????????????????????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD8\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-299502267-602162358-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:25,dc,22,26,b5,67,5a,0a,54,23,a6,23,ba,c5,79,5d,ea,c2,6e,02,d5,
   67,08,f5,93,77,0e,a0,d5,67,35,04,37,36,df,e5,ec,87,2c,c8,3b,8d,ac,50,cc,01,\
"rkeysecu"=hex:72,96,e0,93,ba,b2,f3,6a,44,25,a6,64,56,2c,1a,b4
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2292)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-12-14  17:06:20
ComboFix-quarantined-files.txt  2010-12-14 16:06
ComboFix2.txt  2010-12-14 15:16
ComboFix3.txt  2010-12-14 14:10

Vor Suchlauf: 11 Verzeichnis(se), 19.669.610.496 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 19.660.296.192 Bytes frei

- - End Of File - - 6196BBF4D11CBC309B5EE754C6B109BA

--- --- ---

markusg · 14.12.2010, 17:13

download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

anti64 · 14.12.2010, 18:40

Mein Avira Antivir hat noch 4 Virus gefunden. hier
die Meldung:

Fund: TR/Trash.Gen
Objekt: kb.dll.vir

Fund: TR/Trash.Gen
Objekt: A0000485.dll

Fund: TR/Rootkit.Gen3
Objekt: A0000424.sys

Fund:TR/Rootkit.Gen3
Objekt: serial.sys.vir

Hier noch der Log:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5312

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

14.12.2010 18:26:12
mbam-log-2010-12-14 (18-26-12).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 185508
Laufzeit: 1 Stunde(n), 1 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

markusg · 14.12.2010, 18:55

avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.
bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig.
den update auftrag auf 1x pro tag einstellen.
und "nachhohlen falls zeit überschritten" auswählen

anti64 · 14.12.2010, 19:52

So hier der Report von Avira. Einstellung habe ich alle vorher gemacht!!

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 14. Dezember 2010 19:16

Es wird nach 2254515 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Schroer
Computername : ZUHAUSE-DY8NGJA

Versionsinformationen:
BUILD.DAT : 10.0.0.607 31826 Bytes 30.11.2010 19:07:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 08.12.2010 13:00:39
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 08.12.2010 13:00:40
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 12:46:19
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 12:46:19
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 12:46:19
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 12:46:19
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 12:46:19
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 12:46:19
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 12:46:19
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 12:46:20
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 12:46:20
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 12:46:20
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 12:46:20
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 12:46:22
VBASE013.VDF : 7.11.0.12 2048 Bytes 14.12.2010 12:46:22
VBASE014.VDF : 7.11.0.13 2048 Bytes 14.12.2010 12:46:22
VBASE015.VDF : 7.11.0.14 2048 Bytes 14.12.2010 12:46:23
VBASE016.VDF : 7.11.0.15 2048 Bytes 14.12.2010 12:46:23
VBASE017.VDF : 7.11.0.16 2048 Bytes 14.12.2010 12:46:23
VBASE018.VDF : 7.11.0.17 2048 Bytes 14.12.2010 12:46:23
VBASE019.VDF : 7.11.0.18 2048 Bytes 14.12.2010 12:46:23
VBASE020.VDF : 7.11.0.19 2048 Bytes 14.12.2010 12:46:23
VBASE021.VDF : 7.11.0.20 2048 Bytes 14.12.2010 12:46:23
VBASE022.VDF : 7.11.0.21 2048 Bytes 14.12.2010 12:46:23
VBASE023.VDF : 7.11.0.22 2048 Bytes 14.12.2010 12:46:24
VBASE024.VDF : 7.11.0.23 2048 Bytes 14.12.2010 12:46:24
VBASE025.VDF : 7.11.0.24 2048 Bytes 14.12.2010 12:46:24
VBASE026.VDF : 7.11.0.25 2048 Bytes 14.12.2010 12:46:24
VBASE027.VDF : 7.11.0.26 2048 Bytes 14.12.2010 12:46:24
VBASE028.VDF : 7.11.0.27 2048 Bytes 14.12.2010 12:46:24
VBASE029.VDF : 7.11.0.28 2048 Bytes 14.12.2010 12:46:24
VBASE030.VDF : 7.11.0.29 2048 Bytes 14.12.2010 12:46:25
VBASE031.VDF : 7.11.0.36 37376 Bytes 14.12.2010 18:14:16
Engineversion : 8.2.4.122
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.08.2010 15:46:33
AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 02.12.2010 19:40:01
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 15:19:11
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 15:19:24
AERDL.DLL : 8.1.9.2 635252 Bytes 21.09.2010 17:53:16
AEPACK.DLL : 8.2.4.1 512375 Bytes 02.12.2010 19:39:48
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22.11.2010 15:19:09
AEHEUR.DLL : 8.1.2.54 3113335 Bytes 07.12.2010 16:33:34
AEHELP.DLL : 8.1.16.0 246136 Bytes 02.12.2010 19:38:56
AEGEN.DLL : 8.1.5.0 397685 Bytes 02.12.2010 19:38:51
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 15:18:15
AECORE.DLL : 8.1.19.0 196984 Bytes 02.12.2010 19:38:45
AEBB.DLL : 8.1.1.0 53618 Bytes 10.05.2010 16:45:11
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 02.11.2010 20:01:03
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 08.12.2010 13:00:39
AVARKT.DLL : 10.0.22.6 231784 Bytes 08.12.2010 13:00:38
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 02.11.2010 20:01:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 14. Dezember 2010 19:16

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\explorer.exe
c:\windows\explorer.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\windows\explorer.exe

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bgsvcgen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CsKalender.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HDeck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1035' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\Qoobox\Quarantine\C\WINDOWS\system32\_kb_.dll.zip
[0] Archivtyp: ZIP
[FUND] Ist das Trojanische Pferd TR/Shutdowner.fft
--> kb.dll
[FUND] Ist das Trojanische Pferd TR/Shutdowner.fft
Beginne mit der Suche in 'D:\' <Sicherung>
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\Qoobox\Quarantine\C\WINDOWS\system32\_kb_.dll.zip
[FUND] Ist das Trojanische Pferd TR/Shutdowner.fft
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ec1850.qua' verschoben!

Ende des Suchlaufs: Dienstag, 14. Dezember 2010 19:50
Benötigte Zeit: 28:07 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5974 Verzeichnisse wurden überprüft
222101 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
222100 Dateien ohne Befall
2224 Archive wurden durchsucht
0 Warnungen
1 Hinweise
50799 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

markusg · 14.12.2010, 19:53

kannst du mal updaten? entweder die haben ihre datenbank aufgeräumt oder du bist nicht auf dem neuesten stand...

anti64 · 14.12.2010, 19:59

Avira AntiVir Personal - Free Antivirus Updater
Vollständiges Produktupdate

Erstellungszeitpunkt: Tue Dec 14 19:59:15 2010

Betriebssystem:
Windows XP (Service Pack 3) [5.1.2600] 32 bit

Produktinformationen:
Produktversion: 10.0.0.607
Updater: C:\Programme\Avira\AntiVir Desktop\update.exe 10.0.0.35
Updaterresource: C:\Programme\Avira\AntiVir Desktop\updaterc.dll 10.0.9.0
Bibliothek: C:\Programme\Avira\AntiVir Desktop\update.dll 0.1.0.44
Plugin: C:\Programme\Avira\AntiVir Desktop\updext.dll 10.0.0.8
GUI: C:\Programme\Avira\AntiVir Desktop\updgui.dll 10.0.2.0

Temporäres Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\
Backupverzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\BACKUP\
Installationsverzeichnis: C:\Programme\Avira\AntiVir Desktop\
Updaterverzeichnis: C:\Programme\Avira\AntiVir Desktop\
AppData Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\

Proxyeinstellungen:
Verwende Systemeinstellungen

19:59:22 [UPD] [INFO] Prüfe ob neuere Dateien zur Verfügung stehen.
19:59:22 [UPD] [INFO] Wähle Updateserver 'hxxp://87.248.217.253/update'.
19:59:22 [UPD] [INFO] Herunterladen von 'hxxp://87.248.217.253/update/idx/master.idx' nach 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
19:59:23 [UPD] [INFO] Die Installation ist auf aktuellem Stand. Ein Update von Programmdateien, der Engine oder der Virendefinitionen ist daher nicht nötig.

Zusammenfassung:
****************
0 Dateien heruntergeladen
0 Dateien installiert

Tue Dec 14 19:59:23 2010
Das Update wurde erfolgreich durchgeführt!

markusg · 14.12.2010, 20:01

ok dann haben sie die datenbank aufgeräumt :d

lade den CCleaner slim:
Piriform - Builds
falls der CCleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

anti64 · 14.12.2010, 20:27

Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 10.0.45.2 notwendig
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 10.0.45.2 notwendig
Adobe Reader 9.4.1 - Deutsch Adobe Systems Incorporated 9.4.1 notwendig
Apple Application Support Apple Inc. 1.1.0 unbekannt
Apple Software Update Apple Inc. 2.1.1.116 unbekannt
Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver unbekannt Atheros Communications Inc. 1.0.0.40
Avira AntiVir Personal - Free Antivirus Avira GmbH 10.0.0.607 notwendig
CCleaner Piriform 3.01 notwendig
Cornelsen Kalender Cornelsen Verlag GmbH & Co. oHG 1.00.0000 unnötig
CyberLink PowerDVD 8 CyberLink Corp. 8.0.1830 unbekannt
DivX-Setup DivX, Inc. 1.0.2.23 unbekannt
English Coach 21 1 Cornelsen Verlag GmbH & Co. oHG 1.00.0000 notwendig
fotokasten comfort notwendig
Goldfinger Junior 3.0 unnötig
Google Chrome Google Inc. 8.0.552.215 unnötig
Intel(R) Graphics Media Accelerator Driver Intel Corporation unbekannt
Java(TM) 6 Update 14 Sun Microsystems, Inc. 6.0.140 unbekannt
Kalorio CODEV notwendig
Malwarebytes' Anti-Malware Malwarebytes Corporation notwendig
Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 2.2.30729 unbekannt
Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 3.2.30729 unbekannt
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation unbekannt
Microsoft .NET Framework Client Profile 3.5 unbekannt
Microsoft .NET Framework Client Profile Language Pack - DEU 3.5 unbekannt
Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 1 unbekannt
Microsoft Office Professional Edition 2003 Microsoft Corporation 11.0.5614.0 unbekannt
Microsoft Speech Recognition Engine 4.0 (English) unbekannt
Microsoft SQL Server Compact 3.5 SP1 English Microsoft Corporation 3.5.5692.0 unbekannt
Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation unbekannt
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 8.0.59193 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 unbekannt
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 4.20.9876.0 unbekannt
Nero 9 Nero AG notwendig
Nero BackItUp 4 Nero AG
Nero MediaHome 4 Nero AG
Nero Move it Nero AG
Opera 10.63 Opera Software ASA 10.63 notwendig
Paint.NET v3.5.5 dotPDN LLC 3.55.0 unbekannt
phase-6 2.1.2.1b phase-6 2.1.2.1b notwendig
PHOTOfunSTUDIO 5.1 HD Edition Panasonic Corporation 5.01.127 notwendig
PhotoMail Maker IncrediMail Ltd. 1.0.0.1040 unbekannt
QuickTime Apple Inc. 7.65.17.80 notwendig ?
Stay Secure grafio unbekannt
TuneUp Utilities TuneUp Software 9.0.4600.2 unnötig
VIA Plattform-Geräte-Manager VIA Technologies, Inc. 1.34 unbekannt
Windows Genuine Advantage Validation Tool (KB892130) Microsoft Corporation unbekannt
Windows Internet Explorer 7 Microsoft Corporation 20070813.185237 notwenig
Windows Media Format 11 runtime unbekannt
Windows Media Player 11 notwendig
Windows XP Service Pack 3 Microsoft Corporation 20080414.031514 notwendig?
WinRAR archiver notwendig?

markusg · 14.12.2010, 20:45

deinstaliere:

Adobe Reader 9.4.1
ersetzen:
Java SE Downloads
klicke download jre

Microsoft SQL Server
PhotoMail Maker
Stay Secure
TuneUp
bereinige, wenn fertig, mit dem CCleaner dateien +registry

anti64 · 14.12.2010, 21:34

Vielen, vielen Dank!! Ich habe jetzt alles gelöscht und bereinigt.
Ich hoffe jetzt habe ich erstmal Ruhe vor den Trojaner und Viren!!

LG

Pia

markusg · 14.12.2010, 21:36

ich würde gern noch deinen pc absichern mit dir zusammen, aber erst morgen, heut war anstrengend :d

anti64 · 14.12.2010, 21:37

Das glaube ich!!!

Morgen früh arbeite ich, aber morgen nachmittag habe ich Zeit.

Schönen Abend

Pia

14.12.2010, 16:55	#17
markusg /// Malware-holic	Trojanisches Pferd TR/Shutdowner.fft kannst du noch mal nen neuen combofix scan posten? möchte nur sicher gehen das alles gelöscht wurde. also neustart, combofix scan bitte. __________________ __________________

Trojanisches Pferd TR/Shutdowner.fft

Plagegeister aller Art und deren Bekämpfung: Trojanisches Pferd TR/Shutdowner.fft