Trojaner-Board - Antivir findet Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Antivir findet Trojaner (https://www.trojaner-board.de/118254-antivir-findet-trojaner.html)

Antivir findet Trojaner

Anhang 36799
Hallo,
ich bin neu im Forum und brauche jetzt Hilfe, mein Antivir hat folgende Funde gemacht.
Was kann ich tun?

In der Datei 'C:\Dokumente und Einstellungen\benutzer\Lokale Einstellungen\Anwendungsdaten\{e484cca8-67d1-490d-9adc-4b44b3955f60}\U\80000000.@'
wurde ein Virus oder unerwünschtes Programm 'TR/Sirefef.AG.35' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\benutzer\Lokale Einstellungen\Anwendungsdaten\{e484cca8-67d1-490d-9adc-4b44b3955f60}\U\800000cb.@'
wurde ein Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen2' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\benutzer\Lokale Einstellungen\Anwendungsdaten\{e484cca8-67d1-490d-9adc-4b44b3955f60}\U\00000001.@'
wurde ein Virus oder unerwünschtes Programm 'TR/Small.FI' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Danke für eine individuelle Hilfe

Virus oder unerwünschtes Programm 'TR/Sirefef.P.875' [trojan] gefunden.

Hallo liebe Helfer,

wie bei so vielen Fragenden, hat bei mir Avira den TR/Atraps.Gen2 und TR/Sirefelag.35 sowie TR/Small.F gefunden.
habe gestern gemäß Anleitung OTL Quickscan durchgeführt,

danach noch heute den Gmerscan gemacht siehe Anhang,
hoffe dass ich jetzt aller richtig gemacht habe, kenn mich nicht so gut aus.

Während ich das ganze durchführe, poppt gerade die Meldung von Antivir auf:
In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\{e484cca8-67d1-490d-9adc-4b44b3955f60}\n'
wurde ein Virus oder unerwünschtes Programm 'TR/Sirefef.P.875' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Ist mein Computer noch zu retten, oder soll ich mir gleich einen neuen kaufen?

Wer kann mir helfen dass System zu bereinigen. Danke für die Hilfe!

Code:

OTL logfile created on: 30.06.2012 18:03:10 - Run 1

OTL by OldTimer - Version 3.2.53.0     Folder = C:\Dokumente und Einstellungen\benutzer\Desktop

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

382,42 Mb Total Physical Memory | 239,72 Mb Available Physical Memory | 62,69% Memory free

921,15 Mb Paging File | 647,96 Mb Available in Paging File | 70,34% Paging File free

Paging file location(s): C:\pagefile.sys 576 1152 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 19,01 Gb Total Space | 10,34 Gb Free Space | 54,41% Space Free | Partition Type: NTFS

 

Computer Name: PRIVAT | User Name: benutzer | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - [2012.06.30 17:58:17 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\benutzer\Desktop\OTL.exe

PRC - [2012.01.03 09:37:53 | 000,843,712 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

PRC - [2011.06.28 21:57:58 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe

PRC - [2011.05.06 10:43:49 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe

PRC - [2010.12.13 09:39:19 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe

PRC - [2010.01.15 14:49:20 | 000,255,536 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe

PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe

PRC - [2008.11.09 22:48:14 | 000,602,392 | ---- | M] (Yahoo! Inc.) -- C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe

PRC - [2008.08.04 01:02:20 | 000,036,352 | ---- | M] () -- C:\Programme\Winamp\winampa.exe

PRC - [2008.01.22 08:00:00 | 000,188,928 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIEJE.EXE

PRC - [2006.11.17 15:16:10 | 000,050,736 | ---- | M] (America Online, Inc.) -- C:\Programme\Gemeinsame Dateien\aol\1177755743\ee\aolsoftware.exe

PRC - [2006.10.23 14:50:35 | 000,046,640 | R--- | M] (AOL LLC) -- C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe

PRC - [2004.08.04 01:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

PRC - [2004.05.10 22:05:50 | 000,156,784 | -H-- | M] (America Online, Inc.) -- C:\Programme\AOL 9.0\aoltray.exe

PRC - [2003.10.24 12:08:56 | 000,119,808 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\MDM.EXE

PRC - [2003.08.27 11:29:46 | 000,065,536 | ---- | M] (America Online, Inc.) -- C:\WINDOWS\wanmpsvc.exe

Code:

OTL Extras logfile created on: 30.06.2012 18:03:10 - Run 1

OTL by OldTimer - Version 3.2.53.0     Folder = C:\Dokumente und Einstellungen\benutzer\Desktop

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

382,42 Mb Total Physical Memory | 239,72 Mb Available Physical Memory | 62,69% Memory free

921,15 Mb Paging File | 647,96 Mb Available in Paging File | 70,34% Paging File free

Paging file location(s): C:\pagefile.sys 576 1152 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 19,01 Gb Total Space | 10,34 Gb Free Space | 54,41% Space Free | Partition Type: NTFS

 

Computer Name: PRIVAT | User Name: benutzer | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l

 

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]

.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

exefile [open] -- "%1" %*

htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)

htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation)

InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)

Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)

Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 1

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 
 ========== Firewall Settings ==========

 
 ========== Authorized Applications List ==========

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{225AF9A1-B556-88D5-94AA-0010B5426419}" = My DSC

"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 20

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0

"{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}" = EPSON Web-To-Page

"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

"{9A97D672-6C93-4DFA-B527-DE005A761495}" = Video Stream Driver for Panasonic DVC

"{A43BF6A5-D5F0-4AAA-BF41-65995063EC44}" = MSXML 6.0 Parser

"{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X - Deutsch

"{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint

"{DEDB47A3-C988-4A43-A645-E2CEA571E680}" = Epson Easy Photo Print 2

"{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0

"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

"AOL Deinstallation" = AOL Deinstallation

"AOL YGP Screensaver" = AOL Meine Fotos Bildschirmschoner

"AOLCoach de" = AOL Coach Version 1.0(Build:20040229.1 de)

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

"DEICHMANN_FUCHS VERLAG AKTUELLES  BUNDESDATENSCHUTZGESET 3_0" = Deichmann+Fuchs Verlag Aktuelles  Bundesdatenschutzgeset 3.0

"ElsterFormular 13.1.0.8394p" = ElsterFormular

"EPSON BX300F Series" = EPSON BX300F Series Printer Uninstall

"EPSON Scanner" = EPSON Scan

"EPSON Stylus Office BX300F_TX300F Benutzerhandbuch" = EPSON Stylus Office BX300F_TX300F Handbuch

"InstallShield_{9A97D672-6C93-4DFA-B527-DE005A761495}" = Video Stream Driver for Panasonic DVC

"McAfee Security Scan" = McAfee Security Scan Plus

"Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de)

"MozillaMaintenanceService" = Mozilla Maintenance Service

"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP

"POIbase_is1" = POIbase 1.036

"PROSet" = Intel(R) PRO Network Connections Drivers

"QuickTime" = QuickTime

"RealPlayer 6.0" = RealPlayer Basic

"ViewpointMediaPlayer" = Viewpoint Media Player

"Winamp" = Winamp

"Winamp Toolbar for Firefox" = Winamp Toolbar for Firefox

"Windows Media Format Runtime" = Windows Media Format 11 runtime

"Windows Media Player" = Windows Media Player 11

"Windows XP Service Pack" = Windows XP Service Pack 2

"WMFDist11" = Windows Media Format 11 runtime

"wmp11" = Windows Media Player 11

"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0

"Yahoo! Companion" = Yahoo! Toolbar

"Yahoo! Customizations" = Yahoo! Browser Services

"Yahoo! Internet Mail" = Yahoo! Internet Mail

"Yahoo! Messenger" = Yahoo! Messenger

"Yahoo! Software Update" = Yahoo! Software Update

"YInstHelper" = Yahoo! Install Manager

 
 ========== Last 20 Event Log Errors ==========

 

[ Application Events ]

Error - 28.06.2012 03:43:49 | Computer Name = PRIVAT | Source = Avira AntiVir | ID = 4112

Description = Bei der Anforderung nach einer Resource des Betriebssystems trat ein

 Fehler auf.  Die Resource 'ThreadInit' wurde nicht zugewiesen.  Der Grund hierfür könnte

 zu wenig Hauptspeicher oder ein anderer Systemfehler sein.  Fehlercode: 0x18

 

Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5014

Description = Volumeschattenkopie-Dienstfehler: Vorgang "5" kann nicht angefordert

 werden, da kein Arbeiterthread für Autor "Microsoft Writer (Bootable State)" vorhanden

 ist.

 

Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5014

Description = Volumeschattenkopie-Dienstfehler: Vorgang "5" kann nicht angefordert

 werden, da kein Arbeiterthread für Autor "Microsoft Writer (Service State)" vorhanden

 ist.

 

Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5013

Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "Microsoft

 Writer (Service State)" aufgerufene Routine "CVssWriterShim::WorkerThreadRequestOperation"

 ist mit Status "0x8000ffff" (konvertiert in 0x800423f4) fehlgeschlagen.

 

Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5013

Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "Microsoft

 Writer (Bootable State)" aufgerufene Routine "CVssWriterShim::WorkerThreadRequestOperation"

 ist mit Status "0x8000ffff" (konvertiert in 0x800423f4) fehlgeschlagen.

 

Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5014

Description = Volumeschattenkopie-Dienstfehler: Vorgang "7" kann nicht angefordert

 werden, da kein Arbeiterthread für Autor "Microsoft Writer (Bootable State)" vorhanden

 ist.

 

Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5013

Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "Microsoft

 Writer (Bootable State)" aufgerufene Routine "CVssWriterShim::WorkerThreadRequestOperation"

 ist mit Status "0x8000ffff" (konvertiert in 0x800423f4) fehlgeschlagen.

 

Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5014

Description = Volumeschattenkopie-Dienstfehler: Vorgang "7" kann nicht angefordert

 werden, da kein Arbeiterthread für Autor "Microsoft Writer (Service State)" vorhanden

 ist.

 

Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5013

Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "Microsoft

 Writer (Service State)" aufgerufene Routine "CVssWriterShim::WorkerThreadRequestOperation"

 ist mit Status "0x8000ffff" (konvertiert in 0x800423f4) fehlgeschlagen.

 

Error - 30.06.2012 03:18:09 | Computer Name = PRIVAT | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung

 zurückgegeben.  .

 

[ System Events ]

Error - 29.06.2012 02:16:13 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7023

Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler

 beendet:   %%2

 

Error - 29.06.2012 02:16:54 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7022

Description = Der Dienst "Avira AntiVir Guard" wurde nicht ordnungsgemäß gestartet.

 

Error - 29.06.2012 02:19:54 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7023

Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1460

 

Error - 30.06.2012 03:12:44 | Computer Name = PRIVAT | Source = SRService | ID = 104

Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.

 

Error - 30.06.2012 03:12:51 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7023

Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler

 beendet:   %%2

 

Error - 30.06.2012 03:15:17 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7022

Description = Der Dienst "Avira AntiVir Guard" wurde nicht ordnungsgemäß gestartet.

 

Error - 30.06.2012 03:18:03 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7023

Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1460

 

Error - 30.06.2012 10:50:01 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7022

Description = Der Dienst "Avira AntiVir Guard" wurde nicht ordnungsgemäß gestartet.

 

Error - 30.06.2012 10:50:26 | Computer Name = PRIVAT | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "BITS"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {4991D34B-80A1-4291-83B6-3328366B9097}

 

Error - 30.06.2012 10:52:01 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7023

Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1460

 

 

< End of report >

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Hallo,

danke für die ersten anweisungen, habe nun den scan mit malwarebytes durchgeführt
hier mein log

Code:

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.07.07.01
 

Windows XP Service Pack 2 x86 NTFS

Internet Explorer 6.0.2900.2180

krause :: PRIVAT [Administrator]
 

07.07.2012 08:31:56

mbam-log-2012-07-07 (08-31-56).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 251081

Laufzeit: 5 Stunde(n), 15 Minute(n), 32 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 1

HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{e484cca8-67d1-490d-9adc-4b44b3955f60}\n.) Gut: (wbemess.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Hallo,

jetzt kommt noch das log vom eset scan

Ich hoffe ich habe alles richtig gemacht. Was muss jetzt noch getan werden,
damit mein System wieder clean ist?

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=1321f6adcde63644b89af52b40592522

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-07-07 03:13:38

# local_time=2012-07-07 05:13:38 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 2

# compatibility_mode=crash

# scanned=51146

# found=7

# cleaned=0

# scan_time=10339

C:\Dokumente und Einstellungen\krause\Desktop\jZipV1.exe        a variant of Win32/Toolbar.SearchSuite application (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\krause\Lokale Einstellungen\Temp\nsz15.tmp.exe        a variant of Win32/Toolbar.SearchSuite application (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\krause\Lokale Einstellungen\Temp\SetupDataMngr_jZip.exe        a variant of Win32/Toolbar.SearchSuite application (unable to clean)        00000000000000000000000000000000        I

C:\Programme\Searchqu Toolbar\Datamngr\datamngr.dll        a variant of Win32/Toolbar.SearchSuite application (unable to clean)        00000000000000000000000000000000        I

C:\Programme\Searchqu Toolbar\Datamngr\DnsBHO.dll        a variant of Win32/Toolbar.SearchSuite application (unable to clean)        00000000000000000000000000000000        I

C:\Programme\Searchqu Toolbar\Datamngr\IEBHO.dll        a variant of Win32/Toolbar.SearchSuite application (unable to clean)        00000000000000000000000000000000        I

${Memory}        a variant of Win32/Toolbar.SearchSuite application        00000000000000000000000000000000        I

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Hallo,

habe zum erstenmal mit Malwarebytes gescannt,
habe deshalb keine weiteren logs.

Soll ich noch mal scannen?

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hallo

hier die text datei mit ADW cleaner

Code:

# AdwCleaner v1.701 - Logfile created 07/10/2012 at 15:11:58

# Updated 02/07/2012 by Xplode

# Operating system : Microsoft Windows XP Service Pack 2 (32 bits)

# User : *** - PRIVAT

# Running from : C:\Dokumente und Einstellungen\***\Desktop\adwcleaner.exe

# Option [Search]
 
 

***** [Services] *****
 
 

***** [Files / Folders] *****
 

Folder Found : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Searchqutoolbar

Folder Found : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Viewpoint

Folder Found : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Viewpoint

Folder Found : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess

Folder Found : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint

Folder Found : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint

Folder Found : C:\Programme\Searchqu Toolbar

Folder Found : C:\Programme\Viewpoint

Folder Found : C:\Programme\Viewpoint

File Found : C:\DOKUME~1\***\LOKALE~1\Temp\Searchqu.ini

File Found : C:\DOKUME~1\***\LOKALE~1\Temp\searchqutoolbar-manifest.xml

File Found : C:\Programme\Mozilla FireFox\searchplugins\Search_Results.xml
 

***** [Registry] *****
 

Key Found : HKCU\Software\DataMngr

Key Found : HKCU\Software\DataMngr_Toolbar

Key Found : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl

Key Found : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1

Key Found : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary

Key Found : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1

Key Found : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard

Key Found : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1

Key Found : HKLM\SOFTWARE\DataMngr

Key Found : HKLM\SOFTWARE\MetaStream

Key Found : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}

Key Found : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu Toolbar

Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer

Key Found : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP

Key Found : HKLM\SOFTWARE\SearchquMediabarTb

Key Found : HKLM\SOFTWARE\Viewpoint

Value Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr]
 

***** [Registre - GUID] *****
 

Key Found : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}

Key Found : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

Key Found : HKLM\SOFTWARE\Classes\CLSID\{38EE5CEE-4B62-11D3-854F-00A0C9C898E7}

Key Found : HKLM\SOFTWARE\Classes\CLSID\{8D670533-270B-4549-B19B-414FB9C6EBDB}

Key Found : HKLM\SOFTWARE\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}

Key Found : HKLM\SOFTWARE\Classes\CLSID\{9D717F81-9148-4F12-8568-69135F087DB0}

Key Found : HKLM\SOFTWARE\Classes\CLSID\{A40DC6C5-79D0-4CA8-A185-8FF989AF1115}

Key Found : HKLM\SOFTWARE\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87}

Key Found : HKLM\SOFTWARE\Classes\CLSID\{E1164984-B567-47BD-A7FF-240C2594404A}

Key Found : HKLM\SOFTWARE\Classes\CLSID\{FEFD3AF5-A346-4451-AA23-A3AD54915515}

Key Found : HKLM\SOFTWARE\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}

Key Found : HKLM\SOFTWARE\Classes\TypeLib\{5B4144E1-B61D-495A-9A50-CD1A95D86D15}

Key Found : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}

Key Found : HKLM\SOFTWARE\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705}

Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079A25-328F-4BD4-BE04-00955ACAA0A7}

Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079A25-328F-4BD4-BE04-00955ACAA0A7}

Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4F12-8568-69135F087DB0}

Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{03F998B2-0E00-11D3-A498-00104B6EB52E}

Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}

Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
 

***** [Internet Browsers] *****
 

-\\ Internet Explorer v6.0.2900.2180
 

[OK] Registry is clean.
 

*************************
 

AdwCleaner[R1].txt - [4621 octets] - [10/07/2012 15:11:58]
 

########## EOF - C:\AdwCleaner[R1].txt - [4749 octets] ##########

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Hallo,

danke für deine Hilfe, so far - wie geht es weiter?
heir nun das
log

Code:

# AdwCleaner v1.701 - Logfile created 07/12/2012 at 19:40:48

# Updated 02/07/2012 by Xplode

# Operating system : Microsoft Windows XP Service Pack 2 (32 bits)

# User : *** - PRIVAT

# Running from : C:\Dokumente und Einstellungen\***\Desktop\adwcleaner.exe

# Option [Delete]
 
 

***** [Services] *****
 
 

***** [Files / Folders] *****
 

Folder Deleted : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Searchqutoolbar

Folder Deleted : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Viewpoint

Folder Deleted : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess

Folder Deleted : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint

Folder Deleted : C:\Programme\Searchqu Toolbar

Folder Deleted : C:\Programme\Viewpoint

File Deleted : C:\DOKUME~1\***\LOKALE~1\Temp\Searchqu.ini

File Deleted : C:\DOKUME~1\***\LOKALE~1\Temp\searchqutoolbar-manifest.xml

File Deleted : C:\Programme\Mozilla FireFox\searchplugins\Search_Results.xml
 

***** [Registry] *****
 

Key Deleted : HKCU\Software\DataMngr

Key Deleted : HKCU\Software\DataMngr_Toolbar

Key Deleted : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl

Key Deleted : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1

Key Deleted : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary

Key Deleted : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1

Key Deleted : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard

Key Deleted : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1

Key Deleted : HKLM\SOFTWARE\DataMngr

Key Deleted : HKLM\SOFTWARE\MetaStream

Key Deleted : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}

Key Deleted : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu Toolbar

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer

Key Deleted : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP

Key Deleted : HKLM\SOFTWARE\SearchquMediabarTb

Key Deleted : HKLM\SOFTWARE\Viewpoint

Value Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr]
 

***** [Registre - GUID] *****
 

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{38EE5CEE-4B62-11D3-854F-00A0C9C898E7}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{8D670533-270B-4549-B19B-414FB9C6EBDB}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{9D717F81-9148-4F12-8568-69135F087DB0}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{A40DC6C5-79D0-4CA8-A185-8FF989AF1115}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{E1164984-B567-47BD-A7FF-240C2594404A}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{FEFD3AF5-A346-4451-AA23-A3AD54915515}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}

Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{5B4144E1-B61D-495A-9A50-CD1A95D86D15}

Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}

Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705}

Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079A25-328F-4BD4-BE04-00955ACAA0A7}

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079A25-328F-4BD4-BE04-00955ACAA0A7}

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4F12-8568-69135F087DB0}

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{03F998B2-0E00-11D3-A498-00104B6EB52E}

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}

Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
 

***** [Internet Browsers] *****
 

-\\ Internet Explorer v6.0.2900.2180
 

[OK] Registry is clean.
 

*************************
 

AdwCleaner[R1].txt - [4729 octets] - [10/07/2012 15:11:58]

AdwCleaner[S1].txt - [4577 octets] - [12/07/2012 19:40:48]
 

########## EOF - C:\AdwCleaner[S1].txt - [4705 octets] ##########

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?