Hallo,

Habe folgendes Problem: Zwei Trojaner endeckt zum einen TR/kazy.mal.1,
TR/trash.gen,

Daraufhin, die Forumseinträge zum TR/kazy.mal.1 durchgeackert und Malwarebytes und OTL heruntergeladen, da primär nur kazy troubles verursachte. (Schwarzer Bildschirm, Icons weg bzw. unsichtbar, und Computer schaltet sich schnell aus)

Malwarebytes Scan hat mir dann 3 infizierte Dateien gefunden die ich schnell enfernt habe bevor sich der Computer abgeschaltet hat. Danach noch mal 5 Infizierte Dateien/ und entfernt. (Danach hat sich der Computer nicht mehr abgedreht)

Danach habe ich wie im Forum beschrieben die Dateien und Ordner wieder sichtbar gemacht, mit unhide.



Hier nun alle Scans :

Die Malwarebytes Scans sind im Anhang, (Otl files häng ich gleich noch im nächsten an)

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 23. April 2011 09:16

Es wird nach 2593763 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir Personal - FREE Antivirus
Seriennummer: 0000149996-ADJIE-0000001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ACER-DDC3515F70

Versionsinformationen:
BUILD.DAT : 8.2.0.354 17048 Bytes 23.10.2009 13:15:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 23.12.2008 18:02:04
AVSCAN.DLL : 8.1.4.0 48897 Bytes 22.07.2008 11:44:32
LUKE.DLL : 8.1.4.5 164097 Bytes 22.07.2008 11:44:32
LUKERES.DLL : 8.1.4.0 12545 Bytes 22.07.2008 11:44:32
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 12:53:10
ANTIVIR1.VDF : 7.11.5.234 17292144 Bytes 07.04.2011 16:59:48
ANTIVIR2.VDF : 7.11.6.205 724384 Bytes 20.04.2011 14:49:44
ANTIVIR3.VDF : 7.11.6.235 154112 Bytes 22.04.2011 07:15:24
Engineversion : 8.2.4.214
AEVDF.DLL : 8.1.2.1 106868 Bytes 31.07.2010 13:48:18
AESCRIPT.DLL : 8.1.3.59 1261947 Bytes 22.04.2011 14:49:50
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 18:39:26
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 18:39:24
AERDL.DLL : 8.1.9.9 639347 Bytes 28.03.2011 19:23:28
AEPACK.DLL : 8.2.6.0 549237 Bytes 09.04.2011 16:54:16
AEOFFICE.DLL : 8.1.1.20 205177 Bytes 05.04.2011 09:00:48
AEHEUR.DLL : 8.1.2.105 3453303 Bytes 22.04.2011 14:49:48
AEHELP.DLL : 8.1.16.1 246134 Bytes 06.02.2011 14:38:02
AEGEN.DLL : 8.1.5.4 397684 Bytes 05.04.2011 09:00:38
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 18:39:18
AECORE.DLL : 8.1.20.2 196982 Bytes 09.04.2011 16:53:32
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 10:48:00
AVWINLL.DLL : 1.0.0.12 15105 Bytes 22.07.2008 11:44:32
AVPREF.DLL : 8.0.2.0 38657 Bytes 22.07.2008 11:44:32
AVREP.DLL : 10.0.0.9 174120 Bytes 17.02.2011 15:54:52
AVREG.DLL : 8.0.0.1 33537 Bytes 22.07.2008 11:44:32
AVARKT.DLL : 1.0.0.23 307457 Bytes 23.04.2008 13:50:02
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 22.07.2008 11:44:32
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.04.2008 13:50:06
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 22.07.2008 11:44:34
NETNT.DLL : 8.0.0.1 7937 Bytes 23.04.2008 13:50:06
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 22.07.2008 11:44:28
RCTEXT.DLL : 8.0.52.0 86273 Bytes 22.07.2008 11:44:28

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 23. April 2011 09:16

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogitechUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LULnchr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ForceField.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'COCIManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CameraHelperShell.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TTTvRc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NkMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RealPlay.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QtZgAcer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'epm-dm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSloader.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'admtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JQS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'admServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISWSVC.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'VSMON.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'VPNAGENT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '68' Prozesse mit '68' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '78' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\Downloads\zaSetup_92_057_000_en.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> WINDOWS6.0-KB929547-V2-X64.MSU
[1] Archivtyp: CAB (Microsoft)
--> Windows6.0-KB929547-v2-x64.cab
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{8480B5F8-FB24-4513-A7C5-455B2E64E485}\RP433\A0172836.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <ACERDATA>


Ende des Suchlaufs: Samstag, 23. April 2011 12:02
Benötigte Zeit: 2:45:34 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

13408 Verzeichnisse wurden überprüft
739138 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
739135 Dateien ohne Befall
10197 Archive wurden durchsucht
3 Warnungen
1 Hinweise

Lg thomas

Hier nun die Otl extras file:

So das ist der Rest: Otl 1, und Extra1 sind die zuletzt durchgeführten Scans!

Danke vielmals für die Hilfe im voraus, ihr seit die Besten!
Meine Frage ist nun was mein nächster Schritt sein soll...die Scans finden prinzipiell keine Viren mehr?

Lg thomas

Hey, zusätzlich hab ich jetzt noch den CCleaner installiert und die Liste hier heraufgestellt weil ichs in einem anderen Beitrag gelesen hab.

Vielen Dank im voraus für die Mühe.
Lg thomas

Zitat:

Drive C: | 44,37 Gb Total Space | 3,04 Gb Free Space | 6,85% Space Free | Partition Type: FAT32

Wer hat dir den Rechner installiert? FAT32 ist eine sehr schlechte Wahl v.a. bei der Systempartition! Kann man aber noch nachträglich ändern, mehr dazu später.

Zitat:

PRC - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)

ZoneAlarm ist völlig kontraproduktiv, kann man nur von abraten. Deinstallieren und die Windows-Firewall verwenden!

Mach nach der Deinstallation von ZoneAlarm einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.01.04 15:36:42 | 000,000,050 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2010.08.10 14:25:15 | 000,000,051 | RH-- | M] () - E:\AUTORUN.INF -- [ CDFS ]
O32 - AutoRun File - [2010.04.14 22:54:30 | 000,000,166 | ---- | M] () - F:\autorun.inf -- [ FAT32 ]
O33 - MountPoints2\{0746006c-9634-11de-8fde-00166fb36d67}\Shell\AutoRun\command - "" = C:\WINDOWS\System32\setup.exe -- [2008.04.14 04:23:00 | 000,023,040 | -H-- | M] (Microsoft Corporation)
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danke für die Antwort,werde das am freitag sofort umsetzen,bin momentan auf urlaub ohne laptop!danke nochmal thomas

Hey,

Naja den Computer hab ich beim Media Markt so gekauft,...ist aber schon eine Weile her, Laptop ist auch nicht mehr der Jüngste ;-) !

Zone Alarm ist deinstalliert und Windowsfirewall hochgezogen.... OTL Fix hab ich auch gemacht..danach noch mal den Otl durchscannen lassen die Ergebnisse häng ich an!

Danke vielmals,verbleibe in erwartung nächster Schritte..... Liebe Grüße Thomas

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Okay, hab ich gemacht....! Wurde nichts gefunden,....!Report ist im Anhang!
Liebe Grüße Thomas

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo, okay hab ich erledigt! Liebe Grüße Thomas


Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-04-29.03 - Thomas 01.05.2011  11:12:56.1.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1014.491 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Thomas\Eigene Dateien\Downloads\cofi.exe.exe
AV: Avira AntiVir PersonalEdition *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Thomas\WINDOWS
c:\programme\WinPCap
c:\programme\WinPCap\daemon_mgm.exe
c:\programme\WinPCap\npf_mgm.exe
c:\programme\WinPCap\rpcapd.exe
c:\windows\jestertb.dll
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
-------\Service_NPF
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-01 bis 2011-05-01  ))))))))))))))))))))))))))))))
.
.
2011-04-30 16:44 . 2011-04-30 16:44	--------	d--h--w-	c:\windows\PIF
2011-04-30 13:33 . 2011-04-30 13:33	--------	d-----w-	C:\_OTL
2011-04-30 13:27 . 2011-04-30 13:27	--------	d-----w-	c:\windows\Internet Logs
2011-04-23 14:07 . 2011-04-23 14:07	--------	d-----w-	c:\programme\CCleaner
2011-04-23 13:23 . 2011-04-23 13:23	--------	d-----w-	c:\programme\Help
2011-04-23 11:28 . 2011-04-23 11:28	--------	d-----w-	c:\programme\7-Zip
2011-04-23 06:44 . 2011-04-23 06:44	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Malwarebytes
2011-04-23 06:44 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-23 06:44 . 2011-04-23 06:44	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-23 06:44 . 2011-04-23 06:44	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-04-23 06:44 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-23 06:29 . 2011-04-23 06:29	--------	d-----w-	C:\FOUND.006
2011-04-23 00:18 . 2011-04-23 00:18	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\skypePM
2011-04-21 15:01 . 2011-04-21 15:01	--------	d-----w-	c:\programme\Safari
2011-04-21 14:58 . 2011-04-21 14:58	--------	d-----w-	c:\programme\iPod
2011-04-21 14:57 . 2011-04-21 14:57	--------	d-----w-	c:\programme\iTunes
2011-04-21 14:53 . 2011-04-21 14:53	--------	d-----w-	c:\programme\Bonjour
2011-04-06 14:20 . 2011-04-06 14:20	91424	----a-w-	c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20	197920	----a-w-	c:\windows\system32\dnssdX.dll
2011-04-06 14:20 . 2011-04-06 14:20	107808	----a-w-	c:\windows\system32\dns-sd.exe
2011-04-04 13:07 . 2011-04-04 13:07	--------	d-----w-	c:\dokumente und einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Cisco
2011-04-04 13:06 . 2011-04-04 13:06	--------	d-----w-	c:\programme\Cisco
2011-04-04 13:06 . 2011-04-04 13:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Cisco
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-01 05:11 . 2010-11-10 01:49	4333280	----a-w-	c:\windows\system32\drivers\lvuvc.sys
2011-04-01 05:10 . 2010-11-10 01:49	539232	----a-w-	c:\windows\system32\LVUI2RC.dll
2011-04-01 05:10 . 2010-11-10 01:49	543328	----a-w-	c:\windows\system32\LVUI2.dll
2011-04-01 05:09 . 2010-11-10 01:48	291424	----a-w-	c:\windows\system32\drivers\lvrs.sys
2011-04-01 05:08 . 2011-04-01 05:08	195168	----a-w-	c:\windows\system32\lvci13251014.dll
2011-04-01 05:08 . 2010-11-10 01:47	301664	----a-w-	c:\windows\system32\lvcodec2.dll
2011-04-01 05:07 . 2010-11-10 01:45	102744	----a-w-	c:\windows\system32\LogiDPPApp.exe
2011-04-01 05:07 . 2010-11-10 01:45	10877272	----a-w-	c:\windows\system32\LogiDPP.dll
2011-04-01 05:06 . 2010-11-10 01:45	331608	----a-w-	c:\windows\system32\DevManagerCore.dll
2011-04-01 04:56 . 2010-11-10 01:32	39318	----a-w-	c:\windows\system32\Repository.reg
2011-03-22 21:58 . 2011-03-22 21:58	14168	----a-w-	c:\windows\system32\drivers\iKeyLFT2.dll
2011-03-07 05:33 . 2004-08-04 03:00	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-03-04 06:44 . 2004-08-04 03:00	434176	----a-w-	c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-04 03:00	1858048	----a-w-	c:\windows\system32\win32k.sys
2011-02-18 14:36 . 2009-03-28 11:50	4184352	----a-w-	c:\windows\system32\usbaaplrc.dll
2011-02-18 14:36 . 2008-06-03 10:14	41984	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2011-02-17 18:56 . 2004-08-04 03:00	832512	----a-w-	c:\windows\system32\wininet.dll
2011-02-17 18:56 . 2004-08-04 03:00	1830912	------w-	c:\windows\system32\inetcpl.cpl
2011-02-17 18:56 . 2004-08-04 03:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2011-02-17 18:56 . 2004-08-04 03:00	17408	------w-	c:\windows\system32\corpol.dll
2011-02-17 13:18 . 2004-08-04 03:00	455936	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2004-08-04 03:00	357888	----a-w-	c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2011-02-17 11:44 . 2004-08-04 03:00	389120	----a-w-	c:\windows\system32\html.iec
2011-02-15 12:56 . 2004-08-04 03:00	290432	----a-w-	c:\windows\system32\atmfd.dll
2011-02-11 14:44 . 2004-08-04 03:00	236032	----a-w-	c:\windows\system32\fxscover.exe
2011-02-09 12:53 . 2004-08-04 03:00	270848	----a-w-	c:\windows\system32\sbe.dll
2011-02-09 12:53 . 2004-08-04 03:00	186880	----a-w-	c:\windows\system32\encdec.dll
2011-02-08 13:33 . 2004-08-04 03:00	978944	----a-w-	c:\windows\system32\mfc42.dll
2011-02-08 13:33 . 2004-08-04 03:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2011-02-02 06:58 . 2004-08-04 03:00	2067456	----a-w-	c:\windows\system32\mstscax.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-01-26 15026056]
"Remote Control Editor"="c:\programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [2010-06-09 1689088]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"RTHDCPL"="RTHDCPL.EXE" [2005-11-16 15600128]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-01-07 102491]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-01-07 692315]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe" [2005-08-31 147456]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-18 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-18 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-18 114688]
"EPM-DM"="c:\acer\Empowering Technology\ePower\epm-dm.exe" [2005-11-25 212992]
"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2005-11-09 3084288]
"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2006-03-30 471040]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 397312]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-05-20 28160]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 266497]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"RealTray"="c:\programme\Real\RealPlayer\RealPlay.exe" [2006-01-05 26112]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-12-14 47904]
"Nikon Transfer Monitor"="c:\programme\Gemeinsame Dateien\Nikon\Monitor\NkMonitor.exe" [2008-12-16 479232]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
"LWS"="c:\programme\Logitech\LWS\Webcam Software\LWS.exe" [2011-03-01 190808]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-04-14 421160]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Thomas\Startmen�\Programme\Autostart\
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22	1695232	----a-w-	c:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 15:38	421888	----a-w-	c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
2006-01-05 12:34	26112	----a-w-	c:\programme\Real\RealPlayer\realplay.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
2006-03-30 14:45	313472	----a-r-	c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\InstTool.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\VersionCheck\\VersionCheck.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
.
R2 UMVPFSrv;UMVPFSrv;c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\UMVPFSrv.exe [01.04.2011 07:11 428640]
R2 vpnagent;Cisco AnyConnect VPN Agent;c:\programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe [06.05.2010 03:59 583360]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [30.12.2009 20:47 135664]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [30.12.2009 20:47 135664]
S3 IT9135BDA;Cinergy T Stick Mini service;c:\windows\system32\drivers\IT9135BDA.sys [29.01.2011 18:07 100600]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys --> c:\windows\system32\drivers\nmwcdnsu.sys [?]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys --> c:\windows\system32\drivers\nmwcdnsuc.sys [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Inhalt des "geplante Tasks" Ordners
.
2011-05-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-30 18:47]
.
2011-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-30 18:47]
.
2011-04-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\b83w1zzj.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Adobe DLM (powered by getPlus(R)): {E2883E8F-472F-4fb0-9522-AC9BF37916A7} - %profile%\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-mmtask - c:\programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
MSConfigStartUp-MMTray - c:\programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
AddRemove-Malwarebytes' Anti-Malware_is1 - f:\malwarebytes' anti-malware\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-01 11:20
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(776)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(4068)
c:\windows\system32\MSNChatHook.dll
c:\windows\system32\sysenv.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\acer\Empowering Technology\admServ.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\wscntfy.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Logitech\LWS\Webcam Software\CameraHelperShell.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-05-01  11:25:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-05-01 09:25
.
Vor Suchlauf: 7.535.493.120 Bytes frei
Nach Suchlauf: 7.495.483.392 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 6D417828DE48E597041D6482825E6391
         

--- --- ---

Systempartition nach NTFS konvertieren:

1) Start, Ausführen, cmd eintippen und ok
2) Befehl convert c: /fs:ntfs eintippen bestätigen mit Return oder Enter
3) Die aktuelle Bezeichnung von C: eintippen (siehst Du im Arbeitsplatz auf C:, wenn "Lokaler Datenträger" da nur steht, hat C: keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung)
4) Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neustarten lassen, geduldig sein!

Hey, danke hab ich erledigt. Witzigerweise hat sich mein Computer seit Monaten schon immer extrem langsam abgedreht, und jetzt nach all den Schritten geht das wieder "rucki-Zucki", mag gar nicht wissen was da alles in meinem Computer rumgeschwebt ist. :-)

Soll Laufwerk D: auch konvertiert werden oder ist das nicht notwendig oder andere Schritte?

Ja mach das mit Laufwerk D: bitte auch

Hey, danke für die prompte Antwort!
Hab auch D: jetzt geändert!

Sind noch weitere Schritte erforderlich?

Ich sag schon mal im voraus vielen herzlichen Dank für die kompetente und ausführliche Hilfe mit dem Virus das war echt genial,.....!!
Liebe Grüße Thomas

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Ok, Logfiles sind im Anhang! Lg Thomas

Zitat:

93 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 6A37CCD118436B688B51F6BD4C2B47A895EBDF7F

Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus MBRCheck nochmals aus und poste das neue Log.