Trojaner-Board - AdobeRd9.0.exe - mit Antivirus-Programm nicht zu entfernen

Hallo,

habe mir in der letzten Woche über meinen USB-Stick einen Virus eingefangen, welcher unter dem Namen AdobeRd9.0.exe zusammen mit den versteckten Dateien autorun.inf und services.exe auf Laufwerk C: liegt.

C:\AdobeRd9.0.exe
C:\autorun.inf
C:\scene.exe

Antivir, Kaspersky und F-Secure Online Scan finden und löschen ihn auch, jedoch erscheint er nach 1 Sekunde wieder. Leider gibt es kaum Informationen zu ergooglen, die mir bisher weiterhelfen konnten. Auch eine realistische Gefährundungseinschätzung ist nicht zu bekommen.

Es wurde bereits ein Beitrag dazu gepostet auch mit den entsprechenden Screenshots allerdings hatte sich dort das Problem denkbar ungünstig erledigt, indem der infizeirte Rechner neu formatiert werden musste. Hoffe es hat jemand eine weniger drastische Lösung für das Problem.

Um einen ersten überblick zu verschaffen, hier einmal den HijackThis-Log

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:07:14, on 30/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\services.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe

C:\WINDOWS\system32\hpnra.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\****\Bureau\HiJackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F3 - REG:win.ini: run=C:\WINDOWS\services.exe

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"

O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINDOWS\system32\hpnra.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Microsoft Windows Update Client] C:\WINDOWS\services.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - h**p://support.f-secure.com/ols/fscax.cab

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
 

--

End of file - 3409 bytes

Sowie das Ergbnis von VirusTotal:

Code:

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 - - -

AntiVir - - HEUR/Malware

Authentium - - -

Avast - - Win32:Rootkit-gen

AVG - - Generic10.AMAT

BitDefender - - BehavesLike:Win32.Malware

CAT-QuickHeal - - (Suspicious) - DNAScan

ClamAV - - -

DrWeb - - -

eSafe - - Suspicious File

eTrust-Vet - - -

Ewido - - -

F-Prot - - -

F-Secure - - -

Fortinet - - -

GData - - Win32:Rootkit-gen

Ikarus - - Virus.Win32.Rootkit

Kaspersky - - -

McAfee - - -

Microsoft - - -

NOD32v2 - - probably unknown NewHeur_PE virus

Norman - - -

Panda - - Suspicious file

Prevx1 - - -

Rising - - Suspicious.Trojan.Win32.Downldr.a

Sophos - - Mal/Behav-232

Sunbelt - - -

Symantec - - -

TheHacker - - -

TrendMicro - - -

VBA32 - - -

VirusBuster - - -

Webwasher-Gateway - - Heuristic.Malware

Information additionnelle

MD5: 1f2e2798f95710d07c7abe1a5b3fb9f7

SHA1: 63d662b7291cfabea62a28e22e668d1e043ee92e

SHA256: 74dd21884f0b89db1c7cc46082f7d4f75568e8e829a9f80b1b 0855391f527a00

SHA512: 7882b949b272aa694c06b39929e66ae6bbf5f58d74fd23485c c79fe4bb2f9a0c8202eb561b0b4997de94f4cfc395512967ef 5e85bca813b9c99fbf1b87d2dcd6

Danke schonmal für jede Hilfe!!