Trojaner-Board - tr/sirefef.bv.2 Befall

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - tr/sirefef.bv.2 Befall (https://www.trojaner-board.de/111814-tr-sirefef-bv-2-befall.html)

tr/sirefef.bv.2 Befall

Guten Abend,
auch ich wurde von diesem heimtükischen tr/sirefef.bv.2 heimgesucht.
Ich bin schon einmal den Anweisungen von Sunny gefolgt

DDS.TXT
[CODE].DDS Logfile:

Code:

DDS (Ver_2011-08-26.01) - NTFSx86 

Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 10.3.1

Run by Daniel at 0:03:14 on 2012-03-19

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2047.1326 [GMT 1:00]

.

AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

============== Running Processes ===============

.

G:\Avira\AntiVir Desktop\avguard.exe

G:\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

G:\Avira\AntiVir Desktop\sched.exe

svchost.exe

C:\WINDOWS\Explorer.EXE

G:\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\avmwlanstick\wlangui.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\avmwlanstick\WlanNetService.exe

G:\Itunes\iTunesHelper.exe

C:\Programme\Bonjour\mDNSResponder.exe

G:\PDF24\pdf24.exe

G:\HTC Sync 3.0\htcUPCTLoader.exe

C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\HTC\Internet Pass-Through\PassThruSvr.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE

C:\Programme\GamersFirst\LIVE!\Live.exe

C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe

G:\Open Office\program\soffice.exe

G:\Open Office\program\soffice.bin

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSvcM.exe

C:\Programme\Pando Networks\Media Booster\PMB.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

G:\Avira\AntiVir Desktop\avnotify.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\TEMP\bgkmkx\setup.exe

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://www.facebook.com/home.php?

uInternet Settings,ProxyOverride = *.local

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File

BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\programme\gemeinsame dateien\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\oracle\javafx 2.0 runtime\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [msnmsgr] "c:\programme\windows live\messenger\msnmsgr.exe" /background

uRun: [RGSC] f:\rockstar games\rockstar games social club\RGSCLauncher.exe /silent

uRun: [{017229C4-5992-2F4F-AE39-D7C7AE5C2280}] "c:\dokumente und einstellungen\daniel\anwendungsdaten\kya\esvylem.exe"

mRun: [avgnt] "g:\avira\antivir desktop\avgnt.exe" /min

mRun: [RTHDCPL] RTHDCPL.EXE

mRun: [Alcmtr] ALCMTR.EXE

mRun: [AVMWlanClient] c:\programme\avmwlanstick\wlangui.exe

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime

mRun: [iTunesHelper] "g:\itunes\iTunesHelper.exe"

mRun: [PDFPrint] g:\pdf24\pdf24.exe

mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"

mRun: [AppleSyncNotifier] c:\programme\gemeinsame dateien\apple\mobile device support\AppleSyncNotifier.exe

mRun: [HTC Sync Loader] "g:\htc sync 3.0\htcUPCTLoader.exe" -startup

mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\dokume~1\daniel\startm~1\progra~1\autost~1\openof~1.lnk - g:\open office\program\quickstart.exe

StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\gamers~1.lnk - c:\programme\gamersfirst\live!\Live.exe

StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\mcafee~1.lnk - c:\programme\mcafee security scan\2.0.181\SSScheduler.exe

IE: Free YouTube Download - c:\dokumente und einstellungen\daniel\anwendungsdaten\dvdvideosoftiehelpers\freeyoutubedownload.htm

IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\daniel\anwendungsdaten\dvdvideosoftiehelpers\freeyoutubetomp3converter.htm

IE: Nach Microsoft &Excel exportieren - g:\micros~1\office11\EXCEL.EXE/3000

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - g:\micros~1\office11\REFIEBAR.DLL

LSP: mswsock.dll

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab

DPF: {CAFEEFAC-0017-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

TCP: DhcpNameServer = 192.168.178.1

TCP: Interfaces\{BDEE96B7-E5D2-4E98-8A37-DF050D93FB16} : DhcpNameServer = 192.168.178.1

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

.

================= FIREFOX ===================

.

FF - ProfilePath - c:\dokumente und einstellungen\daniel\anwendungsdaten\mozilla\firefox\profiles\tn1nuagx.default\

FF - component: c:\dokumente und einstellungen\daniel\anwendungsdaten\mozilla\firefox\profiles\tn1nuagx.default\extensions\fb_add_on@avm.de\platform\winnt_x86-msvc\components\FB_AddOn.dll

FF - plugin: c:\programme\adobe\reader 10.0\reader\air\nppdf32.dll

FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\programme\oracle\javafx 2.0 runtime\bin\plugin2\npjp2.dll

FF - plugin: c:\programme\pando networks\media booster\npPandoWebPlugin.dll

FF - plugin: c:\windows\system32\npdeployJava1.dll

FF - plugin: c:\windows\system32\npptools.dll

FF - plugin: g:\itunes\mozilla plugins\npitunes.dll

.

---- FIREFOX POLICIES ----

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

============= SERVICES / DRIVERS ===============

.

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [2007-5-25 137728]

R1 avgio;avgio;g:\avira\antivir desktop\avgio.sys [2010-12-13 11608]

R2 AntiVirSchedulerService;Avira AntiVir Planer;g:\avira\antivir desktop\sched.exe [2010-12-13 136360]

R2 AntiVirService;Avira AntiVir Guard;g:\avira\antivir desktop\avguard.exe [2010-12-13 269480]

R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2010-12-13 66616]

R2 PassThru Service;Internet Pass-Through Service;c:\programme\htc\internet pass-through\PassThruSvr.exe [2010-9-7 79872]

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2010-12-13 38656]

R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2009-5-7 265088]

S2 AMService;AMService;c:\windows\temp\bgkmkx\setup.exe run --> c:\windows\temp\bgkmkx\setup.exe run [?]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]

S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2009-5-7 4352]

S3 EagleXNt;EagleXNt;\??\c:\windows\system32\drivers\eaglexnt.sys --> c:\windows\system32\drivers\EagleXNt.sys [?]

S3 HTCAND32;HTC Device Driver;c:\windows\system32\drivers\ANDROIDUSB.sys [2011-12-18 24576]

S3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\drivers\htcnprot.sys [2010-6-22 21248]

S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\mcafee security scan\2.0.181\McCHSvc.exe [2010-1-15 227232]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]

S3 XDva379;XDva379;\??\c:\windows\system32\xdva379.sys --> c:\windows\system32\XDva379.sys [?]

S3 XDva380;XDva380;\??\c:\windows\system32\xdva380.sys --> c:\windows\system32\XDva380.sys [?]

S3 XDva382;XDva382;\??\c:\windows\system32\xdva382.sys --> c:\windows\system32\XDva382.sys [?]

S3 XDva383;XDva383;\??\c:\windows\system32\xdva383.sys --> c:\windows\system32\XDva383.sys [?]

S3 XDva385;XDva385;\??\c:\windows\system32\xdva385.sys --> c:\windows\system32\XDva385.sys [?]

S3 XDva386;XDva386;\??\c:\windows\system32\xdva386.sys --> c:\windows\system32\XDva386.sys [?]

S3 XDva387;XDva387;\??\c:\windows\system32\xdva387.sys --> c:\windows\system32\XDva387.sys [?]

S3 XDva388;XDva388;\??\c:\windows\system32\xdva388.sys --> c:\windows\system32\XDva388.sys [?]

S3 XDva390;XDva390;\??\c:\windows\system32\xdva390.sys --> c:\windows\system32\XDva390.sys [?]

S3 XDva391;XDva391;\??\c:\windows\system32\xdva391.sys --> c:\windows\system32\XDva391.sys [?]

.

=============== Created Last 30 ================

.

2012-03-16 21:33:18        0        --sha-w-        c:\windows\system32\dds_trash_log.cmd

2012-03-13 20:44:03        --------        d-----w-        c:\dokumente und einstellungen\daniel\lokale einstellungen\anwendungsdaten\Sun

2012-03-12 02:02:32        --------        d-----w-        c:\dokumente und einstellungen\daniel\.android

2012-03-12 01:55:46        --------        d-----w-        c:\programme\Oracle

2012-03-12 01:53:52        637848        ----a-w-        c:\windows\system32\npdeployJava1.dll

2012-03-12 01:51:01        --------        d-----w-        c:\dokumente und einstellungen\daniel\jdk1.7.0_03_combo

2012-03-05 18:27:33        --------        d-----w-        c:\dokumente und einstellungen\daniel\anwendungsdaten\Rii

2012-03-05 18:27:33        --------        d-----w-        c:\dokumente und einstellungen\daniel\anwendungsdaten\Kya

2012-03-04 21:48:54        --------        d-----w-        c:\dokumente und einstellungen\daniel\anwendungsdaten\Dev-Cpp

2012-03-04 15:36:40        --------        d-----w-        c:\dokumente und einstellungen\daniel\anwendungsdaten\OpenOffice.org

.

==================== Find3M  ====================

.

2012-02-05 15:17:22        107888        ----a-w-        c:\windows\system32\CmdLineExt.dll

2012-02-03 09:57:08        1860224        ----a-w-        c:\windows\system32\win32k.sys

2012-01-11 19:06:33        3072        ------w-        c:\windows\system32\iacenc.dll

2012-01-10 12:57:46        141312        ----a-w-        c:\windows\system32\javacpl.cpl

2012-01-10 12:57:10        567696        ----a-w-        c:\windows\system32\deployJava1.dll

2012-01-09 16:20:20        139784        ----a-w-        c:\windows\system32\drivers\rdpwd.sys

2006-05-03 09:06:54        163328        --sha-r-        c:\windows\system32\flvDX.dll

2007-02-21 10:47:16        31232        --sha-r-        c:\windows\system32\msfDX.dll

2008-03-16 12:30:52        216064        --sha-r-        c:\windows\system32\nbDX.dll

.

============= FINISH:  0:04:18,78 ===============

--- --- ---

OTL Habe ich noch nicht laufen lassen, da ich nicht wusste, ob diese Textbox ebenfalls erst speziell für meinen Fall angefertigt wird.

Falls ich sonst was vergessen habe entschuldige ich mich schon einmal und werde es dann nachträglich nachreichen.

Danke schon einmal im Voraus

Juker

Edit: Weshalb wird .rar nicht unterstützt?
Hoffe habe es jetzt richtig angehangen

:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1: defogger

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

Starte das Tool mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.

Schritt 2: aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt 3: Scan mit TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

Starte die TDSSKiller.exe
Drücke Start Scan
Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Danke schon einmal.
Vorweg, ich habe mein System in 4 Partionen aufgeteilt, C:(Windows), D:(Sonstiges) E:(Games) und G:(Software). Wie die Namen schon vermuten lassen ist auf C: Windows abgespeichert und auf Games und Software sind jeweils Programm installiert, nur auf Sonstiges sind keine Datein instelliert, sondern nur reine Dokumente.
Wenn ich jetzt mein System neu aufsetzen möchte, weil ich es auch für online Banking benutze und davon ausgehe, dass es einfach sicherer ist, muss ich dann einfach nur C: mit Windows überspielen oder muss ich echt alles neu aufsetzen?

Code:

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 15:56 on 19/03/2012 (Daniel)
 

Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.
 

Checking for services/drivers...
 
 

-=E.O.F=-

Code:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-03-19 15:57:46

-----------------------------

15:57:46.421    OS Version: Windows 5.1.2600 Service Pack 3

15:57:46.421    Number of processors: 4 586 0xF0B

15:57:46.421    ComputerName: BACHMANN  UserName: Daniel

15:57:46.718    Initialize success

16:01:49.250    AVAST engine defs: 12031700

16:07:04.500    Disk 0  \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

16:07:04.500    Disk 0 Vendor: ST3250824AS 3.AAH Size: 238475MB BusType: 3

16:07:04.500    Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T0L0-e

16:07:04.500    Disk 1 Vendor: SAMSUNG_HD252KJ CM100-11 Size: 238475MB BusType: 3

16:07:04.515    Disk 1 MBR read successfully

16:07:04.515    Disk 1 MBR scan

16:07:04.515    Disk 1 Windows XP default MBR code

16:07:04.515    Disk 1 Partition 1 80 (A) 07    HPFS/NTFS NTFS        80003 MB offset 63

16:07:04.515    Disk 1 Partition - 00     0F Extended LBA            158461 MB offset 163846935

16:07:04.515    Disk 1 Partition 2 00     07    HPFS/NTFS NTFS       158461 MB offset 163846998

16:07:04.515    Disk 1 scanning sectors +488376000

16:07:04.593    Disk 1 scanning C:\WINDOWS\system32\drivers

16:07:10.265    Service scanning

16:07:17.562    Modules scanning

16:07:18.468    Module: C:\WINDOWS\System32\drivers\dxgthk.sys  **SUSPICIOUS**

16:07:18.859    Module: C:\WINDOWS\system32\ntdll.dll  **SUSPICIOUS**

16:07:18.859    Disk 1 trace - called modules:

16:07:18.859    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 

16:07:18.859    1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0x89decab8]

16:07:18.859    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\0000006f[0x89df39e8]

16:07:18.859    5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-e[0x89df2940]

16:07:19.078    AVAST engine scan C:\WINDOWS

16:07:29.046    AVAST engine scan C:\WINDOWS\system32

16:09:46.515    AVAST engine scan C:\WINDOWS\system32\drivers

16:09:54.859    AVAST engine scan C:\Dokumente und Einstellungen\Daniel

16:10:52.671    File: C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Kya\esvylem.exe  **INFECTED** Win32:Spyware-gen [Spy]

16:15:03.375    Disk 1 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Daniel\Desktop\MBR.dat"

16:15:03.390    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Daniel\Desktop\aswMBR.txt"

TDSS-Killer
hat nichts gefunden.

MfG

Juker

Es reicht, wenn du die Windows-Partition formatierst und neu aufsetzt - hinterher sollten wir aber die anderen Platten auf Schädlinge prüfen.

Eine Anleitung zur Neuinstallation: http://www.trojaner-board.de/51262-a...sicherung.html

Das heißt, den Teil in der Anleitung wo drin steht, dass man seine Daten sichern soll kann ich überspringen und in den exe Datein kann sich auch nichts verstecken?
Was soll ich denn machen wenn ich Windows neu aufgesetzt habe?
Mich noch einmal melden?

MfG
Juker

Kannst du! :daumenhoc

Ich lasse das Thema hier offen - wenn du fertig bist, gibst du hier Bescheid und wir schauen uns das mal an! :)

Entschuldigung, dass ich so lange untätig war, aber habe die ganze Zeit meine Windows XP Home CD gesucht und wurde natürlich nicht fündig, mit wid es eine Lehre sein sie nicht ordentlich weggepackt zu haben.
Nun ist meine Frage, kann ich mir von meinem jetzigen System auch eine selber brennen und diese dann benutzen zum neuaufsetzen oder kann es da dann sein, dass sich der Trojaner/Virus mit reinschmuggelt ?

MfG

Juker

Wie willst du denn eine brennen?:confused:
Hast du ein image oder willst du eine CD kopieren?

Product-Key mit Software auslesen und dann hxxp://www.heise.de/ct/artikel/Entfesselt-290296.html

gegebenfalls habe ich auch noch viele Recovery CDs rumliegen von Windows XP Home, allerdings ist mir das ein wenig heikel, da ich nicht weiß, ob es Vollständige Windows CDs sind :)

MfG

Juker

Davon rate ich dir dringend ab!
Das Tool baut sich seine Windows-CD aus bereits auf der Festplatte liegenden Dateien, die bereits infiziert sein können.

Du wirst dir eine andere CD besorgen müssen!

Genau das war auch meine Befürchtung, habe nun aber jemanden gefunden, der noch eine Windows XP Home CD rumliegen hatte. :)

Was soll ich nun tun?
Und wie ist es möglich, meine Programm, die auf einer anderen Partion liegen, wieder zu benutzen?

MfG

Juker

Hier ist eine Anleitung. :)

Die Programme auf den anderen Platten werden im allgemeinen genauso funktionieren wie vorher - allerdings werden sie nicht mehr im Startmenü von windows eingetragen sien, da dies bei der Installation der Software von dieser selbst durchgeführt wird.

Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Entschuldigung, aber ich war durch das Abitur in den letzten Tagen sehr beschäftigt. Ich schaue mir gleich deinen gposteten Link an und werde dann den Eintrag hier editieren. :)

Edit: Alles gemacht was in dem Beitrag steht. Ist Avira als Antivirus System ausreichend oder sollte ich auf Gdatat ausweichen?

Was soll ich als nächstes tun, weitere Scans? :)

Das meine alten Programme wieder im Startmenü auftauchen ist nicht machbar?

MfG
Juker

Na, dann hoffe ich, dass das Abi gut überstanden und der Kater auskuriert ist! :)

Deine Programme wirst du lediglich wieder manuell ins Startmenü einarbeiten können - eine Automatisierung dessen gibt es nicht. Alternativ kannst du die ganze Software neu installieren.

Antivir ist zwar ein recht gutes Programm, ich rate dir jedoch von seiner Nutzung ab, weil es seit Version 11 eine Toolbar mitbringt, die wir als sicherheitstechnisch bedenklich einstufen.

Wenn wir hier fertig sind, werde ich die Alternativen aufzeigen - nun gilt es erst einmal, deine externen Speichermedien/anderen Partitionen auf Malware zu prüfen.

Schließe alle externen Speichermedien an deinen Rechner an und schalte sie ggf. ein!

Schritt 1: MBAM

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen.(Hinweis: Alle Festplatten anhaken!
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2: ESET

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3: GMER

Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
nichts am Rechner arbeiten,
nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!