Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?
 

Hallo Boarder.
Seitdem ich antivir 10 personal draufgespielt habe, blended es regelmäßig Hinweise,wie "Guard: Autrun blockiert [...] zur ihrer Sicherheit wurde der Zugriff auf die Datei D:\autorun.inf blockiert." ein.
Außerdem kommen Warnungen hinsichtlich eines Trojanischen Pferds: TR/PSW.Frethog.111104.H in unterschiedlichen Dateien mehrfach am Tag.
Die Dateien stehen alle in [Laufwerk D, E oder F]:\System Volume Information\restore***\RP541\A0139838.exe (und ähnlichen Ziffernbeschreibungen).
Habe bereits Spybot und Malwarebytes AM laufen lassen, aber nicht beheben können.
Ggf. kommt der USB-Stick als Urheber des Übels in Frage.
Liegt eine "heilbare" Infektion mit Viren und/oder Trojanern vor? Wie kann ich vorgehen.
Anbei nun das Logfile von Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:00:06, on 09.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Spybot\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\CleanTemp.exe
C:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\HijackThis\HijackThis.exe
D:\Programme\Opera\opera.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite5.1\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite5.1\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1227114119
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - hxxp://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - hxxp://secro.dyndns.org/activex/AxisCamControl.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1215119249
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - hxxp://game06.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CleanTempDir - Océ-Deutschland GmbH - C:\WINDOWS\CleanTemp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
--
End of file - 7857 bytes

Gruß sigg

1. Deinstalliere Spybot. Das Teil wird versuchen, Systemänderungen rückgängig zu machen, was bei einer Bereinigung problematisch ist. Kannst ihn später wieder installieren, wobei das Programm heutzutage relativ nutzlos ist.

2. Hol dir Flash Disinfector
Schließe alle USB-Sticks, extrene Festplatten usw. an.
Starte Flash Disinfector.
Nicke alles ab.
Warte bis der Scan beendet ist.

3. Poste das Log von Malwarebytes Scan. Kein neuer Scan, das alte Log posten.

4. http://www.trojaner-board.de/74908-a...t-scanner.html
Log posten.

5. Hol dir OTL
Starte OTL
Kopiere unten in das Skript-Feld rein:


Schließe alle anderen Programme.
Klicke auf Quick Scan.
Poste die beiden Logs - OTL.txt und Extras.txt

Hallo Sion, vorab bedanke ich mich für deine Anleitung.
Beim Durchlauf des Flash Desinfectors kam letztlich nur ein abschließendes Fenster mit: "Done!".

Anbei das Malewarebytes Log:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.04.2010 15:45:33
mbam-log-2010-04-09 (15-45-12).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 416
Laufzeit: 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
k:\USBSYSTEM\usp.exe (Malware.packer) -> No action taken.

Fahre nun so fort, wie vorgeschlagen.
Salut.

Öhm ein vollständiger Scan wäre besser

Nummero Eins: Die Logdatei von GMER.

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-04-10 20:43:30
Windows 5.1.2600 Service Pack 3
Running: gmer0ld9qe1g.exe; Driver: D:\temp\fwlyapoc.sys


---- System - GMER 1.0.15 ----

SSDT F7EE90C6 ZwCreateKey
SSDT F7EE90BC ZwCreateThread
SSDT F7EE90CB ZwDeleteKey
SSDT F7EE90D5 ZwDeleteValueKey
SSDT F7EE90DA ZwLoadKey
SSDT F7EE90A8 ZwOpenProcess
SSDT F7EE90AD ZwOpenThread
SSDT F7EE90E4 ZwReplaceKey
SSDT F7EE90DF ZwRestoreKey
SSDT F7EE90D0 ZwSetValueKey

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Nummero Zwei: Die OTL.txt.

Nummero Drei: Die Extra.txt.

Starte OTL.
Kopiere unten in das Skript-Feld rein:

Klicke auf Run Fix.
Neustart zulassen, wenn gefragt.
Poste das Fix Log. Zu finden unter c:\_OTL

2. Mach einen erneuten Durchlauf mit Malwarebytes. Du hast beim letzten mal anscheinend vergessen, die Funde auch zu entfernen. Außerdem war Malwarebytes veraltet. Mach einen Update. Mit dem ersten Update kriegt man die Version 1.45. Dann muss man wahrscheinlich noch ein Update machen, um auch die neueste Dantenbank zu kriegen. Schließe nach den Updates wieder alles an und mach diesmal einen Vollscan. Lass die Funde nach dem Scan diesmal auch entfernen.

Zunächst die Fixlog Datei:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{855F3B16-6D32-4fe6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{C4069E3A-68F1-403E-B40E-20066696354B} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C4069E3A-68F1-403E-B40E-20066696354B}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SunJavaUpdateSched deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\TaskMan:C:\RECYCLER\S-1-5-21-1977589172-3705503834-750880670-8777\MsMxEng.exe deleted successfully.
C:\RECYCLER\S-1-5-21-1977589172-3705503834-750880670-8777\MsMxEng.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ac02ea13-239b-11de-883b-000c7831a1a5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ac02ea13-239b-11de-883b-000c7831a1a5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ac02ea13-239b-11de-883b-000c7831a1a5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ac02ea13-239b-11de-883b-000c7831a1a5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8db6ddb-33fd-11df-8a53-000c6e54a277}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8db6ddb-33fd-11df-8a53-000c6e54a277}\ not found.
File I:\nhx.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8db6ddb-33fd-11df-8a53-000c6e54a277}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8db6ddb-33fd-11df-8a53-000c6e54a277}\ not found.
File I:\nhx.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dce76ed2-7cd0-11dc-85c9-000c7831a1a5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dce76ed2-7cd0-11dc-85c9-000c7831a1a5}\ not found.
File AdobeR.exe e not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dce76ed2-7cd0-11dc-85c9-000c7831a1a5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dce76ed2-7cd0-11dc-85c9-000c7831a1a5}\ not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:912389B7 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Amelie_ssaver

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 40110 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Steve
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 158331 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 27638047 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 4145 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 36051335 bytes
%systemroot%\System32\dllcache .tmp files removed: 333056 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
Session Manager Temp folder emptied: 0 bytes
Session Manager Tmp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 63,00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
Restore points cleared and new OTL Restore Point set!

OTL by OldTimer - Version 3.2.1.1 log created on 04112010_121401

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Und nun die Logdatei nach dem vollständigen Scan mit aktueller Malewarebytessoftware:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3976

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.04.2010 13:59:38
mbam-log-2010-04-11 (13-59-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 175933
Laufzeit: 57 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

------------------

Nichts gefunden, nichts zu entfernen.
Bislang kam auch keine Viren oder Trojanermeldung mehr.
Nur die Info "Zugriff auf autorun.inf blockiert" erscheint fortwährend. Wie lässt sich das abschalten?

Gruß, sigg

Da ist noch irgendetwas aktiv.

1. Hol dir AVZ
Entpacke und starte AVZ.
Führe einen Update durch (Button auf der rechten Seite unten ("Database Update") - dann auf Start).
Nach dem Update:
Setze oben links ein Häkchen beim Laufwerk C:
Wechsle zu "File Types" und wähle All Files.
Wechsle zu "Search Parameters", setze zusätzlich ein Häkchen bei
Block User-Mode Rootkits und
Block Kernel-Mode Rootkits

Schließe alle anderen Programme.
Klicke auf Start, der Scan wird eine Weile in Anspruch nehmen.
Speichere nach dem Scan das Log mit dem Button unten rechts "Save Log" und poste es.

Danke und durchgeführt. Hier die Logdatei von avz:

AVZ Antiviral Toolkit log; AVZ version is 4.32
Scanning started at 13.04.2010 19:42:30
Database loaded: signatures - 270191, NN profile(s) - 2, malware removal microprograms - 56, signature database released 12.04.2010 23:34
Heuristic microprograms loaded: 382
PVS microprograms loaded: 9
Digital signatures of system files loaded: 194145
Heuristic analyzer mode: Medium heuristics mode
Malware removal mode: disabled
Windows version is: 5.1.2600, Service Pack 3 ; AVZ is run with administrator rights
System Restore: enabled
1. Searching for Rootkits and other software intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=083220)
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 8055A220
KiST = 804E26B8 (284)
Function NtCreateKey (29) intercepted (80572E9D->F7F0C98E), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtCreateThread (35) intercepted (8057BD7A->F7F0C984), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtDeleteKey (3F) intercepted (805952BE->F7F0C993), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtDeleteValueKey (41) intercepted (80592D50->F7F0C99D), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtLoadKey (62) intercepted (805AED5D->F7F0C9A2), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenProcess (7A) intercepted (805741D0->F7F0C970), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenThread (80) intercepted (8058B58D->F7F0C975), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtReplaceKey (C1) intercepted (8064F16A->F7F0C9AC), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtRestoreKey (CC) intercepted (8064ED01->F7F0C9A7), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtSetValueKey (F7) intercepted (80579A43->F7F0C998), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Functions checked: 284, intercepted: 10, restored: 10
1.3 Checking IDT and SYSENTER
Analyzing CPU 1
CmpCallCallBacks = 0013A78E
Disable callback OK
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking IRP handlers
Checking - complete
2. Scanning RAM
Number of processes found: 27
Number of modules loaded: 374
Scanning RAM - complete
3. Scanning disks
Direct reading: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
Direct reading: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
Direct reading: C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat
Direct reading: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading: C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
Direct reading: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading: C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
Direct reading: C:\Dokumente und Einstellungen\Steve\Cookies\index.dat
Direct reading: C:\Dokumente und Einstellungen\Steve\IETldCache\index.dat
Direct reading: C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading: C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading: C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading: C:\Dokumente und Einstellungen\Steve\NTUSER.DAT
Direct reading: C:\System Volume Information\_restore{9D2ECD88-9F7B-45F7-954C-F1405FF4ADA1}\RP549\change.log
Direct reading: C:\WINDOWS\SchedLgU.Txt
Direct reading: C:\WINDOWS\SoftwareDistribution\ReportingEvents.log
Direct reading: C:\WINDOWS\system32\CatRoot2\edb.log
Direct reading: C:\WINDOWS\system32\CatRoot2\tmp.edb
Direct reading: C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
Direct reading: C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Direct reading: C:\WINDOWS\system32\config\AppEvent.Evt
Direct reading: C:\WINDOWS\system32\config\default
Direct reading: C:\WINDOWS\system32\config\Internet.evt
Direct reading: C:\WINDOWS\system32\config\SAM
Direct reading: C:\WINDOWS\system32\config\SecEvent.Evt
Direct reading: C:\WINDOWS\system32\config\SECURITY
Direct reading: C:\WINDOWS\system32\config\SysEvent.Evt
Direct reading: C:\WINDOWS\system32\config\system
Direct reading: C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Direct reading: C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
Direct reading: C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
Direct reading: C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
Direct reading: C:\WINDOWS\WindowsUpdate.log
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious software
Checking - disabled by user
7. Heuristic system check
Non-standard Shell\Open key for "scrfile": ""%1" /S "%3""
>>> C:\autorun.inf HSC: suspicion for hidden startup (high degree of probability)
>>> D:\autorun.inf HSC: suspicion for hidden startup (high degree of probability)
>>> E:\autorun.inf HSC: suspicion for hidden startup (high degree of probability)
>>> F:\autorun.inf HSC: suspicion for hidden startup (high degree of probability)
>>> K:\autorun.inf HSC: suspicion for hidden startup (high degree of probability)
>>> C:\autorun.inf HSC: suspicion for File with suspicious name (CH) (high degree of probability)
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierung)
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: terminal connections to the PC are allowed
Checking - complete
9. Troubleshooting wizard
>> Abnormal SCR files association
>> HDD autorun is allowed
>> Network drives autorun is allowed
>> Removable media autorun is allowed
Checking - complete
Files scanned: 99370, extracted from archives: 58177, malicious software found 0, suspicions - 0
Scanning finished at 13.04.2010 20:11:44
!!! Attention !!! Restored 10 KiST functions during Anti-Rootkit operation
This may affect execution of certain software, so it is strongly recommended to reboot
Time of scanning: 00:29:16
If you have a suspicion on presence of viruses or questions on the suspected
objects, you can address hxxp://virusinfo.info conference
-------------------

Autorun ist noch aktiv...

Starte OTL.
Kopiere unten un das Skript-Feld rein:

Klicke auf Run Fix.
Neustart zulassen.
Poste das Fix Log.
Berichte ob die Info noch erscheint.

Die aktuelle OTL-Logdatei:

========== FILES ==========
C:\RECYCLER\S-1-5-21-1977589172-3705503834-750880670-8777 folder moved successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoDriveTypeAutoRun" | dword:000000ff /E : value set successfully!
========== COMMANDS ==========

OTL by OldTimer - Version 3.2.1.1 log created on 04142010_140951

-----------------

Die Autoruninformation kommt nach wie vor.

Das ist nicht nett.
Zeit für schwere Geschütze:

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Den Leitfaden genau beachten und befolgen, ComboFix versteht kein Spaß.
Poste anschließend das ComboFix-Log.

Habe ComboFix entsprechend dem Tutorial durchgeführt. Die Autoruninformation erschien seit dem Neustart nicht.
Nun das logfile:

ComboFix 10-04-14.01 - Steve 14.04.2010 22:52:08.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.735.449 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Steve\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\dokumente und einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\wykyo.dat
c:\dokumente und einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\wykyo_nav.dat
c:\dokumente und einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\wykyo_navps.dat
c:\recycler\NPROTECT
c:\recycler\S-1-5-21-7389561245-5566612519-093244711-9483
c:\recycler\S-1-5-21-7455675266-7084949627-719753023-4988
c:\windows\system32\_000008_.tmp.dll
D:\Autorun.inf
E:\autorun.inf
F:\autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2010-03-14 bis 2010-04-14 ))))))))))))))))))))))))))))))
.

2010-04-12 09:52 . 2010-04-12 09:52 -------- d-----w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\DivX
2010-03-30 20:23 . 2010-03-30 20:23 503808 ----a-w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-412d8748-n\msvcp71.dll
2010-03-30 20:23 . 2010-03-30 20:23 499712 ----a-w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-412d8748-n\jmc.dll
2010-03-30 20:23 . 2010-03-30 20:23 348160 ----a-w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-412d8748-n\msvcr71.dll
2010-03-30 20:23 . 2010-03-30 20:23 61440 ----a-w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-51743631-n\decora-sse.dll
2010-03-30 20:23 . 2010-03-30 20:23 12800 ----a-w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-51743631-n\decora-d3d.dll
2010-03-25 12:17 . 2010-03-25 12:17 -------- d-----w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-14 20:26 . 2007-02-19 12:12 -------- d-----w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\Skype
2010-04-14 17:31 . 2009-03-01 19:17 -------- d-----w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\skypePM
2010-04-11 10:27 . 2009-04-06 07:51 -------- d-----w- c:\programme\Malwarebytes
2010-04-11 10:26 . 2009-11-10 12:11 5918776 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-04-10 16:14 . 2009-04-07 17:43 -------- d-----w- c:\programme\Spybot
2010-04-10 16:03 . 2009-04-07 17:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-04-10 09:13 . 2007-02-19 09:46 -------- d-----w- c:\programme\Lx_cats
2010-04-07 14:08 . 2008-02-17 18:50 -------- d-----w- c:\programme\Java
2010-04-07 14:08 . 2008-02-17 18:49 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-04-06 21:07 . 2009-04-06 07:35 -------- d-----w- c:\programme\CCleaner
2010-03-30 20:23 . 2001-08-23 12:00 85542 ----a-w- c:\windows\system32\perfc007.dat
2010-03-30 20:23 . 2001-08-23 12:00 462652 ----a-w- c:\windows\system32\perfh007.dat
2010-03-29 22:46 . 2009-04-06 07:51 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2009-04-06 07:51 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-12 21:17 . 2010-03-12 21:17 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2010-03-10 06:15 . 2004-08-03 23:57 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-09 02:28 . 2009-02-26 01:43 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-01 08:05 . 2009-06-29 18:36 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-02-25 06:15 . 2004-08-03 23:57 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-03 22:15 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-19 21:14 . 2010-02-19 21:14 -------- d-----w- c:\programme\MSXML 4.0
2010-02-18 10:44 . 2010-02-18 10:44 -------- d--h--r- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Atheros
2010-02-18 10:44 . 2010-02-18 10:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TP-LINK
2010-02-18 10:39 . 2007-02-18 19:11 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-02-17 12:04 . 2004-08-03 23:50 2192256 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:04 . 2004-08-04 00:50 2069120 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-16 12:24 . 2009-06-29 18:36 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-02-12 04:33 . 2004-08-03 23:57 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-03 22:07 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-02-07 18:16 . 2010-02-08 18:27 26810888 ----a-w- C:\3740_deu_win2k_xp.exe
2010-01-30 21:37 . 2007-02-18 20:05 43808 ----a-w- c:\dokumente und einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"LXBTCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll" [2004-02-23 61440]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
2003-12-22 07:38 241664 ----a-w- c:\programme\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2004-05-13 01:17 49152 ----a-w- c:\programme\Hewlett-Packard\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
2004-05-13 01:17 172032 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2009-11-16 15:36 172792 ----a-w- d:\programme\ICQ6.5\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark 5200 series]
2004-02-24 17:12 57344 ----a-w- c:\programme\Lexmark 5200 Series\lxbtbmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect]
2008-07-04 11:52 2072576 ----a-w- c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ccEvtMgr"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\ICQ6.5\\ICQ.exe"=
"d:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [29.06.2009 20:36 135336]
R2 CleanTempDir;CleanTempDir;c:\windows\CleanTemp.exe [18.02.2007 21:08 424448]
R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [04.07.2008 13:52 14336]
S3 arusb(TP-LINK);Atheros Wireless Network Adapter Service(TP-LINK);c:\windows\system32\DRIVERS\arusb.sys --> c:\windows\system32\DRIVERS\arusb.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2010-04-14 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-13 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1215119249
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game06.zylom.com/activex/zylomgamesplayer.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-14 22:56
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXBTCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-04-14 22:58:33
ComboFix-quarantined-files.txt 2010-04-14 20:58

Vor Suchlauf: 7 Verzeichnis(se), 12.931.969.024 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 12.932.415.488 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP
Professional" /noexecute=optin /fastdetect

- - End Of File - - 447DDCCD0518D1CB7F5391994432CD00

ComboFix hat autorun.inf Ordner weggelöscht, die vom Flash Disinfector erstellt wurden. Irgendetwas hat da versucht, auf diese Ordner zuzugreifen und ist gescheitert. Deswegen die Meldungen. Naturgemäß gibt es jetzt keine Meldungen mehr.

Führe Flash Disinfector noch einmal aus. Wenn die Meldungen wiederkommen, starte OTL klicke auf Run Scan und poste die beiden Logs.

Beim Durchlauf von FlashDesinfector tauchten die autoruninfos auf.
OTL lief nun erneut durch mit dem folgenden Logfile als Ergebnis:

Krieg ich noch die Extras.txt zu sehen? Vielleicht steht jetzt was in den Ereignissen.

Wo bekomme ich die Extra.txt her?
Das Programm erstellt beim Run Scan und Quick Scan "nur" die OTL.txt Datei.

Kommando zurück. Ich war jetzt mal so schlau, ein bisschen zu recherchieren. Scheint ein neuer Gimmicks von Antivir 10 zu sein. Solang da nicht steht "Trojaner xyz wurde blockiert" oder so ähnlich ist es ok. Du kannst es mit

Avira öffnen -> Extras -> Konfiguration -> Expertenmodus -> Guard -> Suche -> Weitere Aktionen -> dort das Häkchen entfernen bei "Autostart-Funktion blockieren" -> Übernehmen und ok

abschalten. Autostart-Funktion ist bei dir jetzt sowieso abgeschaltet und auf die autorun.inf Ordner von Flash Disinfector kann eher nicht zugegriffen werden. Sollte also in Ordnung sein.

Falls weiter nichts ist, können wir aufräumen:

1. Starte OTL.
Klicke auf CleanUp.
OTL entfernt sich daraufhin selbst.

2. Starte AVZ.
Wähle unter File - Standard scripts
"6. Delete all AVZ drivers and registry keys"
Klicke auf Execute selected scripts


3. http://www.trojaner-board.de/51464-a...-ccleaner.html

4. Hol dir Secunia PSI und bringe damit deinen PC auf den neuesten Stand.

Fertig :)

Danke Sion, habe soweit alles ausgeführt und die autoruninformation unterbleibt.

Leider ging gerade eine Avira-Warnung auf:

"Guard: Malware gefunden
Datum/Uhrzeit [...] Fund
In der Datei F:\System Volume Information\...\A0141361.exe wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' gefunden.

Der Zugriff auf die Datei wurde verweigert.

Bitte wählen Sie die weitere Aktion: Entfernen, Details, .."

Wenn ich mich recht erinner, begann es vor einigen Tagen mit einer ähnlichem Meldung.
Was empfiehlst du mir nun?

Gruß siggi_steve

Zu früh gefreut...

Mach mal einen Scan mit Avira mit diesen Einstellungen:

http://www.trojaner-board.de/54192-a...tellungen.html

Die Anleitung ist zwar für Antivir 9, aber sieh halt, was davon zu gebrauchen ist. Wenn nichts davon, dann einfach einen Vollscan machen und Log posten.

Hallo, der Avirascan brachte folgendes Resultat:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 19. April 2010 19:19

Es wird nach 2015860 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Steve
Computername : PC-STEVE

Versionsinformationen:
BUILD.DAT : 10.0.0.565 32097 Bytes 12.04.2010 16:13:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 19.04.2010 15:20:06
AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 15:20:05
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 12:14:44
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 12:14:44
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 12:14:44
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 12:14:44
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 12:14:44
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 12:14:44
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 12:14:44
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 12:14:44
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 12:14:44
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 12:14:44
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 12:14:44
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 12:14:44
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 12:14:44
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 12:14:44
VBASE014.VDF : 7.10.6.91 2048 Bytes 15.04.2010 12:14:44
VBASE015.VDF : 7.10.6.92 2048 Bytes 15.04.2010 12:14:44
VBASE016.VDF : 7.10.6.93 2048 Bytes 15.04.2010 12:14:44
VBASE017.VDF : 7.10.6.94 2048 Bytes 15.04.2010 12:14:44
VBASE018.VDF : 7.10.6.95 2048 Bytes 15.04.2010 12:14:44
VBASE019.VDF : 7.10.6.96 2048 Bytes 15.04.2010 12:14:44
VBASE020.VDF : 7.10.6.97 2048 Bytes 15.04.2010 12:14:44
VBASE021.VDF : 7.10.6.98 2048 Bytes 15.04.2010 12:14:44
VBASE022.VDF : 7.10.6.99 2048 Bytes 15.04.2010 12:14:44
VBASE023.VDF : 7.10.6.100 2048 Bytes 15.04.2010 12:14:44
VBASE024.VDF : 7.10.6.101 2048 Bytes 15.04.2010 12:14:44
VBASE025.VDF : 7.10.6.102 2048 Bytes 15.04.2010 12:14:44
VBASE026.VDF : 7.10.6.103 2048 Bytes 15.04.2010 12:14:44
VBASE027.VDF : 7.10.6.104 2048 Bytes 15.04.2010 12:14:44
VBASE028.VDF : 7.10.6.105 2048 Bytes 15.04.2010 12:14:44
VBASE029.VDF : 7.10.6.106 2048 Bytes 15.04.2010 12:14:44
VBASE030.VDF : 7.10.6.107 2048 Bytes 15.04.2010 12:14:44
VBASE031.VDF : 7.10.6.121 141824 Bytes 19.04.2010 15:20:04
Engineversion : 8.2.1.220
AEVDF.DLL : 8.1.1.3 106868 Bytes 16.04.2010 12:14:42
AESCRIPT.DLL : 8.1.3.26 1286521 Bytes 16.04.2010 12:14:42
AESCN.DLL : 8.1.5.0 127347 Bytes 16.04.2010 12:14:42
AESBX.DLL : 8.1.2.1 254323 Bytes 16.04.2010 12:14:42
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 12:14:42
AEPACK.DLL : 8.2.1.1 426358 Bytes 16.04.2010 12:14:40
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 16.04.2010 12:14:40
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16.04.2010 12:14:40
AEHELP.DLL : 8.1.11.3 242039 Bytes 16.04.2010 12:14:40
AEGEN.DLL : 8.1.3.7 373106 Bytes 16.04.2010 12:14:40
AEEMU.DLL : 8.1.1.0 393587 Bytes 16.04.2010 12:14:40
AECORE.DLL : 8.1.13.1 188790 Bytes 16.04.2010 12:14:40
AEBB.DLL : 8.1.0.3 53618 Bytes 16.04.2010 12:14:40
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 19.04.2010 15:20:08
AVREG.DLL : 10.0.3.0 53096 Bytes 19.04.2010 15:20:07
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 19.04.2010 15:20:08
AVARKT.DLL : 10.0.0.14 227176 Bytes 19.04.2010 15:20:04
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 19.04.2010 15:20:04

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, K:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 19. April 2010 19:19

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VMCService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CleanTemp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'K:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '385' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
E:\Belustigung\In Multimedia\EuroPrinter.rar
[0] Archivtyp: RAR
[FUND] Enthält Erkennungsmuster des SPR/Tool.Joke.Europrint.A-Programmes
--> EuroPrinter.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Joke.Europrint.A-Programmes
F:\wir arbeiten clean\usb frethog\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
Beginne mit der Suche in 'D:\' <Programme>
Beginne mit der Suche in 'E:\' <Daten>
E:\Belustigung\In Multimedia\EuroPrinter.rar
[0] Archivtyp: RAR
[FUND] Enthält Erkennungsmuster des SPR/Tool.Joke.Europrint.A-Programmes
--> EuroPrinter.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Joke.Europrint.A-Programmes
Beginne mit der Suche in 'F:\' <Backup>
F:\wir arbeiten clean\usb frethog\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
Beginne mit der Suche in 'K:\' <FLASHPEN>

Beginne mit der Desinfektion:
F:\wir arbeiten clean\usb frethog\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45b30c92.qua' verschoben!
E:\Belustigung\In Multimedia\EuroPrinter.rar
[FUND] Enthält Erkennungsmuster des SPR/Tool.Joke.Europrint.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d37233e.qua' verschoben!


Ende des Suchlaufs: Montag, 19. April 2010 20:57
Benötigte Zeit: 1:37:18 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

8468 Verzeichnisse wurden überprüft
312728 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
312724 Dateien ohne Befall
2030 Archive wurden durchsucht
0 Warnungen
2 Hinweise
43094 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
-------------------------------

Was kann ich nun tun?

Kam die Meldung

denn mittlerweile wieder? War wahrscheinlich ein Fehlalarm.
Avira hat da den armen Flash Disinfector gekillt und den EuroPrinter, den ich jetzt nicht als kritisch einstufe.

Insofern sollte immer noch alles in Ordnung sein :)

Nein, bislang kam nicht mehr dergleichen.

Kann ich die "agressiven" Eintsellungen bei Avira wieder zurücksetzen?

Besten Dank für deinen Rat.
Sigg

Jepp, spricht nichts dagegen.