Hallo,

Ich habe mir den Virus mit meinem Netbook eingefangen und weiß nicht wie ich mein System retten kann, ich hoffe hier kann mir jemand helfen.
Windows XP Home war vorinstalliert und ich habe keine CD.
Das System von meinem Hauptrechner ist leider schon hin, der lässt sich nur noch mit der Notfall CD starten.
Avira Antivir, Malwarebytes, Ccleaner habe ich bereits auf dem Netbook instaliiert und ausgeführt bevor ich hier gelesen habe. cofi.exe habe ich jetzt auch auf dem Rechner aber natürlich nicht angewandt, weiß leider nicht was da rein muss und was ich zuerst machen muss.

Bitte um Hilfe!!!

Zitat:

Windows XP Home war vorinstalliert und ich habe keine CD.

Im Handbuch sollte stehen, dass man sich Recovery-CDs brennen muss. Aber wer liest schon Handbücher.

Zitat:

Das System von meinem Hauptrechner ist leider schon hin, der lässt sich nur noch mit der Notfall CD starten.

Was genau wurde gemacht unmittelbar bevor das System nicht mehr startete?

Das Netbook hatte ich geschenkt bekommen deshalb habe ich kein Handbuch und das System läuft ja noch aber ich bekam laufend Meldungen wegen Trojaner und bei einem Scan mit Antivir stand dann das ich den BOD/TDss.M zwei mal im Sektor habe, die Trojaner sind in Quarantäne.
Mein Hauptrechner ist bestimmt nicht mehr zu retten, ein Freund hat den Fehler gemacht und versucht den so zu löschen, ich denke die Regestrierung ist kaputt.
Wichtig ist mein Netbook, meinen Hauptrechner muss ich wohl formatieren.

Beschränk dich hier bitte nur auf einen Rechner, sonst kommt man mit den Logs durcheinander. Ich geh davon aus, dass wir uns hier nur ums Netbook jetzt kümmern.

Zitat:

Das Netbook hatte ich geschenkt bekommen

Genauer Modelltyp? Betriebssystem?

Zitat:

aber ich bekam laufend Meldungen wegen Trojaner

Alles sehr ungenau. Poste alle vorhanden Logs vom Virenscanner.

Auf meinem Netbook steht Acer ASPIRE one.
Betriebssystem ist Windows XP Home Edition.

Muss ich jetzt noch mal Scannen?
Ich weiß nicht einmal wo ich die Logs finde.

Ich habe das von Antivir gefunden.



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 16. Mai 2011 23:27

Es wird nach 2736061 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ACER-6BE374CDFF

Versionsinformationen:
BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 03.05.2011 15:32:46
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 07.04.2011 21:14:40
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 22:15:44
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 21:14:36
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 21:14:36
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 21:14:37
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 21:14:37
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 21:14:37
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 21:14:37
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 21:14:37
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 21:14:37
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 21:14:37
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 21:14:37
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 21:14:37
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 21:14:37
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 22:22:23
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 22:22:24
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 22:22:25
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 22:22:25
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 22:22:26
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 22:22:27
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 15:32:45
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 15:32:45
VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 15:32:46
VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 19:51:22
VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 20:42:38
VBASE024.VDF : 7.11.7.218 133120 Bytes 11.05.2011 20:42:38
VBASE025.VDF : 7.11.7.234 139776 Bytes 11.05.2011 20:42:39
VBASE026.VDF : 7.11.8.16 147456 Bytes 13.05.2011 22:29:27
VBASE027.VDF : 7.11.8.17 2048 Bytes 13.05.2011 22:29:27
VBASE028.VDF : 7.11.8.18 2048 Bytes 13.05.2011 22:29:27
VBASE029.VDF : 7.11.8.19 2048 Bytes 13.05.2011 22:29:27
VBASE030.VDF : 7.11.8.20 2048 Bytes 13.05.2011 22:29:27
VBASE031.VDF : 7.11.8.22 65024 Bytes 15.05.2011 22:29:27
Engineversion : 8.2.4.228
AEVDF.DLL : 8.1.2.1 106868 Bytes 07.04.2011 21:14:38
AESCRIPT.DLL : 8.1.3.61 1253754 Bytes 05.05.2011 19:51:43
AESCN.DLL : 8.1.7.2 127349 Bytes 07.04.2011 21:14:38
AESBX.DLL : 8.1.3.2 254324 Bytes 07.04.2011 21:14:38
AERDL.DLL : 8.1.9.9 639347 Bytes 07.04.2011 21:14:38
AEPACK.DLL : 8.2.6.0 549237 Bytes 07.04.2011 21:14:38
AEOFFICE.DLL : 8.1.1.22 205178 Bytes 05.05.2011 19:51:38
AEHEUR.DLL : 8.1.2.113 3494263 Bytes 05.05.2011 19:51:37
AEHELP.DLL : 8.1.16.1 246134 Bytes 07.04.2011 21:14:37
AEGEN.DLL : 8.1.5.4 397684 Bytes 07.04.2011 21:14:37
AEEMU.DLL : 8.1.3.0 393589 Bytes 07.04.2011 21:14:37
AECORE.DLL : 8.1.20.2 196982 Bytes 07.04.2011 21:14:37
AEBB.DLL : 8.1.1.0 53618 Bytes 07.04.2011 21:14:37
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.9 174120 Bytes 03.05.2011 15:32:46
AVREG.DLL : 10.0.3.2 53096 Bytes 07.04.2011 21:14:38
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 03.05.2011 15:32:46
AVARKT.DLL : 10.0.22.6 231784 Bytes 07.04.2011 21:14:38
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 07.04.2011 21:14:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Montag, 16. Mai 2011 23:27

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBtMnt.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcerVCM.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'M3000Mnt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'Reader_sl.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'iaanotif.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'wtgservice.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'TUProgSt.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'RS_Service.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '168' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[FUND] Enthält Code des Bootsektorvirus BOO/TDss.M
[HINWEIS] Der Sektor wurde nicht neu geschrieben!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[FUND] Enthält Code des Bootsektorvirus BOO/TDss.M
[HINWEIS] Der Sektor wurde nicht neu geschrieben!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '437' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>


Ende des Suchlaufs: Dienstag, 17. Mai 2011 00:07
Benötigte Zeit: 40:37 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4567 Verzeichnisse wurden überprüft
201291 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
201291 Dateien ohne Befall
6826 Archive wurden durchsucht
0 Warnungen
2 Hinweise
291012 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hier ist der LOG von Malwarebytes.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6593

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.05.2011 23:23:47
mbam-log-2011-05-16 (23-23-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 183352
Laufzeit: 27 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
c:\WINDOWS\Temp\Bp2.exe (Trojan.Downloader) -> 2224 -> Unloaded process successfully.
c:\WINDOWS\Temp\Bp0.exe (Trojan.Downloader) -> 2700 -> Unloaded process successfully.
c:\WINDOWS\Temp\Bp3.exe (Trojan.Downloader) -> 3276 -> Unloaded process successfully.

Infizierte Speichermodule:
c:\WINDOWS\WUDM32.dll (Trojan.Hiloti.Gen) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\idgbn5xehg (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tsovimeqagu (Trojan.Hiloti.Gen) -> Value: Tsovimeqagu -> Delete on reboot.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\R8388QA8U8 (Trojan.Downloader) -> Value: R8388QA8U8 -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\5GUTNY6MFK (Trojan.Downloader) -> Value: 5GUTNY6MFK -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{53685EDD-AFED-6156-C9DF-3DC6F61DB99B} (Trojan.Dropper) -> Value: {53685EDD-AFED-6156-C9DF-3DC6F61DB99B} -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\WUDM32.dll (Trojan.Hiloti.Gen) -> Delete on reboot.
c:\WINDOWS\Temp\Bp2.exe (Trojan.Downloader) -> Delete on reboot.
c:\WINDOWS\Temp\Bp0.exe (Trojan.Downloader) -> Delete on reboot.
c:\WINDOWS\Temp\Bp3.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\paul panzer\anwendungsdaten\Qamex\ozavu.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\default user\startmenü\programme\autostart\ytgu.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\paul panzer\lokale einstellungen\Temp\eacxmrswno.tmp (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\Bpz.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.

Wieviele Scans hast du insgesamt mit Malwarebytes jetzt gemacht?

Zwei oder drei?
Ich kenne mich doch gar nicht aus, hatte die Hoffnung den Virus weg zu bekommen.
Soll ich jetzt noch mal scannen?

Wieviele Logs siehst du bei Malwarebytes im Reiter Logdateien?

Oh, das sind vier.

Ich will alle vier sehen.

Hier ist der erste:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3609
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.01.2010 18:42:10
mbam-log-2010-01-21 (18-42-10).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 106350
Laufzeit: 9 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Hier der zweite:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3609
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.01.2010 21:41:50
mbam-log-2010-01-21 (21-41-50).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 141582
Laufzeit: 26 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Der dritte:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.05.2011 22:39:34
mbam-log-2011-05-16 (22-39-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 153571
Laufzeit: 1 Stunde(n), 32 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Temp\jar_cache8972132392409976085.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.


Hier der letzte:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6593

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.05.2011 23:23:47
mbam-log-2011-05-16 (23-23-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 183352
Laufzeit: 27 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
c:\WINDOWS\Temp\Bp2.exe (Trojan.Downloader) -> 2224 -> Unloaded process successfully.
c:\WINDOWS\Temp\Bp0.exe (Trojan.Downloader) -> 2700 -> Unloaded process successfully.
c:\WINDOWS\Temp\Bp3.exe (Trojan.Downloader) -> 3276 -> Unloaded process successfully.

Infizierte Speichermodule:
c:\WINDOWS\WUDM32.dll (Trojan.Hiloti.Gen) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\idgbn5xehg (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tsovimeqagu (Trojan.Hiloti.Gen) -> Value: Tsovimeqagu -> Delete on reboot.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\R8388QA8U8 (Trojan.Downloader) -> Value: R8388QA8U8 -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\5GUTNY6MFK (Trojan.Downloader) -> Value: 5GUTNY6MFK -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{53685EDD-AFED-6156-C9DF-3DC6F61DB99B} (Trojan.Dropper) -> Value: {53685EDD-AFED-6156-C9DF-3DC6F61DB99B} -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\WUDM32.dll (Trojan.Hiloti.Gen) -> Delete on reboot.
c:\WINDOWS\Temp\Bp2.exe (Trojan.Downloader) -> Delete on reboot.
c:\WINDOWS\Temp\Bp0.exe (Trojan.Downloader) -> Delete on reboot.
c:\WINDOWS\Temp\Bp3.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\paul panzer\anwendungsdaten\Qamex\ozavu.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\default user\startmenü\programme\autostart\ytgu.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\paul panzer\lokale einstellungen\Temp\eacxmrswno.tmp (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\Bpz.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.


Einen davon hatte ich abgebrochen.