Trojaner-Board - Antimaleware Doctor

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Antimaleware Doctor - nicht zu löschen ! (https://www.trojaner-board.de/85397-antimaleware-doctor-loeschen.html)

Antimaleware Doctor - nicht zu löschen !

Hallo Zusammen,
ich hoffe ihr könnt mir helfen! Bin gestern Nacht auf Onlinetvrecorder.de gewesen und wollte einen aufgenommenen Film runterladen. Dummerweise sprang bei der geöffneten "Partner"seite von otr Avira sofort an und flippte total aus.
Ich trennte die Internetverbindung und habe erstmal versucht soviel zu killen von dem Virus wie geht. Soweit so gut. :headbang:
Bdalia.exe im c windows ordner lässt sich nicht löschen..

Ich habe überall bei Google und auch im Forum gesucht und leider nichts gefunden.
Ich habe eine 7Zip Datei hochgeladen in der sich die drei Logs
1 - CCleaner
2 - Malwarebytes anti-malware
3 - rsit

Außerdem ist eine log von avira dabei in der noch infos sind.

(Zusätzlich noch ein Bild mit den verschiedenen Meldungen und den Programmen die sich da mit eingemogelt hatten)

h**p://rapidshare.com/files/380919102/Fehlermeldungen__Logdateien_und_ein_Bild_zur_weiteren_Fehlersuche.7z.html

Vielen Dank im Voraus für eure Hilfe :)

Hallo und :hallo:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

OTL - 2 Logdateien

hxxp://rapidshare.com/files/381878971/otl.7z.html
Hier die beiden Log dateien. Und danke für die schnelle Antwort! :dankeschoen:
Gruß Wanderine

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.

O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O2 - BHO: (kikin Plugin) - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll (kikin)

O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O4 - HKLM..\Run: [Resume copy] C:\WINDOWS\copyfstq.exe ()

O20 - Winlogon\Notify\cbssreg: DllName - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll ()

O32 - AutoRun File - [2007.04.15 12:57:52 | 000,000,025 | -HS- | M] () - C:\autorun.inf -- [ NTFS ]

O33 - MountPoints2\{24d11d06-148e-11df-ab56-00040eff55f6}\Shell\AutoRun\command - "" = H:\Setup.exe -- File not found

O33 - MountPoints2\{64695221-c20e-11dd-b412-d37365d2f3b0}\Shell\AutoRun\command - "" = I:\StartPortableApps.exe -- File not found

O33 - MountPoints2\{6ddbf1dc-da91-11de-aae2-00040eff55f6}\Shell\AutoRun\command - "" = G:\Toshiba\more4you.exe -- File not found

O33 - MountPoints2\{6f160bbd-c451-11dd-a917-00040eff55f6}\Shell\AutoRun\command - "" = mbdm.exe

O33 - MountPoints2\{6f160bbd-c451-11dd-a917-00040eff55f6}\Shell\open\Command - "" = mbdm.exe

O33 - MountPoints2\{71bead8d-95a6-11de-aa66-00040eff55f6}\Shell\AutoRun\command - "" = G:\StartPortableApps.exe -- File not found

O33 - MountPoints2\{71bead9a-95a6-11de-aa66-00040eff55f6}\Shell\Auto\command - "" = MSOCache\doWTP_RESTORE.exe

[2010.04.30 11:00:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At12.job

[2010.04.30 07:00:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At8.job

[2010.04.30 06:00:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At7.job

[2010.04.30 05:00:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At6.job

[2010.04.30 04:00:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At5.job

[2010.04.30 03:00:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At4.job

[2010.04.30 02:00:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At3.job

[2010.04.30 01:00:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At2.job

[2010.04.30 00:02:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At1.job

[2010.04.29 23:00:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At24.job

[2010.04.29 19:00:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At20.job

[2010.04.29 18:00:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At19.job

[2010.04.29 17:00:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At18.job

[2010.04.29 16:00:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At17.job

[2010.04.29 15:00:00 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At16.job

[2010.04.29 14:00:36 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At15.job

[2010.04.29 13:57:31 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At23.job

[2010.04.29 13:57:31 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At22.job

[2010.04.29 13:57:31 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At21.job

[2010.04.29 13:57:30 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At9.job

[2010.04.29 13:57:30 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At14.job

[2010.04.29 13:57:30 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At13.job

[2010.04.29 13:57:30 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At11.job

[2010.04.29 13:57:30 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At10.job

[2010.03.31 15:09:38 | 000,000,058 | ---- | M] () -- C:\WINDOWS\winvidoi.sys

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E601996F-E400-41CA-804B-CD6373A7EEE2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E601996F-E400-41CA-804B-CD6373A7EEE2}\ deleted successfully.
C:\Programme\kikin\ie_kikin.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}\ deleted successfully.
C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{EEE6C35B-6118-11DC-9C72-001320C79847} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}\ deleted successfully.
File C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}\ not found.
File C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Resume copy deleted successfully.
C:\WINDOWS\copyfstq.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg\ deleted successfully.
File move failed. C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll scheduled to be moved on reboot.
C:\autorun.inf moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{24d11d06-148e-11df-ab56-00040eff55f6}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{24d11d06-148e-11df-ab56-00040eff55f6}\ not found.
File H:\Setup.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{64695221-c20e-11dd-b412-d37365d2f3b0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64695221-c20e-11dd-b412-d37365d2f3b0}\ not found.
File I:\StartPortableApps.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6ddbf1dc-da91-11de-aae2-00040eff55f6}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6ddbf1dc-da91-11de-aae2-00040eff55f6}\ not found.
File G:\Toshiba\more4you.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6f160bbd-c451-11dd-a917-00040eff55f6}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6f160bbd-c451-11dd-a917-00040eff55f6}\ not found.
File mbdm.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6f160bbd-c451-11dd-a917-00040eff55f6}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6f160bbd-c451-11dd-a917-00040eff55f6}\ not found.
File mbdm.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{71bead8d-95a6-11de-aa66-00040eff55f6}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71bead8d-95a6-11de-aa66-00040eff55f6}\ not found.
File G:\StartPortableApps.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{71bead9a-95a6-11de-aa66-00040eff55f6}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71bead9a-95a6-11de-aa66-00040eff55f6}\ not found.
File MSOCache\doWTP_RESTORE.exe not found.
C:\WINDOWS\tasks\At12.job moved successfully.
C:\WINDOWS\tasks\At8.job moved successfully.
C:\WINDOWS\tasks\At7.job moved successfully.
C:\WINDOWS\tasks\At6.job moved successfully.
C:\WINDOWS\tasks\At5.job moved successfully.
C:\WINDOWS\tasks\At4.job moved successfully.
C:\WINDOWS\tasks\At3.job moved successfully.
C:\WINDOWS\tasks\At2.job moved successfully.
C:\WINDOWS\tasks\At1.job moved successfully.
C:\WINDOWS\tasks\At24.job moved successfully.
C:\WINDOWS\tasks\At20.job moved successfully.
C:\WINDOWS\tasks\At19.job moved successfully.
C:\WINDOWS\tasks\At18.job moved successfully.
C:\WINDOWS\tasks\At17.job moved successfully.
C:\WINDOWS\tasks\At16.job moved successfully.
C:\WINDOWS\tasks\At15.job moved successfully.
C:\WINDOWS\tasks\At23.job moved successfully.
C:\WINDOWS\tasks\At22.job moved successfully.
C:\WINDOWS\tasks\At21.job moved successfully.
C:\WINDOWS\tasks\At9.job moved successfully.
C:\WINDOWS\tasks\At14.job moved successfully.
C:\WINDOWS\tasks\At13.job moved successfully.
C:\WINDOWS\tasks\At11.job moved successfully.
C:\WINDOWS\tasks\At10.job moved successfully.
C:\WINDOWS\winvidoi.sys moved successfully.
========== COMMANDS ==========
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator

User: All Users

User: Bernd Stromberg

User: Couchposer
->Temp folder emptied: 401736285 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 112803817 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 9926 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 1060024 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 1060024 bytes
->Temporary Internet Files folder emptied: 4467834 bytes
->Flash cache emptied: 3178 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114764 bytes
%systemroot%\System32 .tmp files removed: 1534855 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 60032 bytes
Windows Temp folder emptied: 1372209 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 502,00 mb

OTL by OldTimer - Version 3.2.3.0 log created on 05032010_124926

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll moved successfully.
C:\Dokumente und Einstellungen\Couchposer\Lokale Einstellungen\Temp\~DFD73F.tmp moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T6OA9BZY\Google%20Mail[1].htm moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T6OA9BZY\ifr[1].htm moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T6OA9BZY\ifr[2].htm moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J003OY05\ifr[1].htm moved successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BTOEWO4V\navbar[1].htm moved successfully.
File\Folder C:\WINDOWS\temp\ZLT041d1.TMP not found!

Registry entries deleted on Reboot...

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.