Trojaner infizieren alle ausführbaren Dateien
 

Guten Tag,

nach dem Hören einiger Songs auf Grooveshark (und nur dieser einen Seite seit dem Hochfahren des Laptops) meldete Aviras Antivir (letztes Update wenige Tage her) ungefähr zehn Trojaner und verdächtige Scripts.
Diese wurden in Quarantäne verschoben und umgehend gelöscht. Außerdem hab ich das WLAN ausgeschaltet. Nun gibt es am laufenden Band Popups von:
Antimalware Doctor und
Antivir Solution Pro
Mit der Warnung vor einer Vielzahl Dialer und Co und natürlich der Aufforderung, die Vollversion zu erwerben. Google hat mir gesagt, dass das nichts nützen wird, weil die Programme selbst Schadsoftware sind.
Außerdem kommen immer Windows Security Alerts und Antivirus Software Alerts.

Ich habe eurer Anleitung nach CCleaner, Malwarebytes und OTL runtergeladen(auf dem anderen Rechner, und den Laptop mit den Setup-Dateien gefüttert. Folgendes Problem:
Direkt nach der Installation von CCleaner kann dieses nicht gestartet werden. "The file ccleaner.exe is infected. Do you want to activate your antivirus software now?"
Nachdem Aviras Antivir im Suchlauf ein Rootkit gefunden und entfernt hat, habe ich neugestartet und Avira ist nun genauso nicht mehr ausführbar.

Soll ich nun trotzdem Malwarebytes installieren? Obwohl ich ja dazu eine Internetverbindung offen haben muss, was mir momentan sehr brenzlig erscheint, wo ich nur mit dem wegklicken von Fehlermeldungen beschäftigt bin.

Ich wäre für einen Hinweis echt dankbar.
Viele Grüße
Christin

die fehlermeldung ist nicht von avira, die ist von der rogue.
starte den pc mal im abgesicherten modus, sollte nach pc start die f8-taste sein, dort abges modus auswählen und malwarebytes nen komplett scan machen lassen, wenns geht nach update. und dann ccleaner.
dann neustart und malwarebytes öffnen, klicke auf logdateien, log posten.
dann otl logs

ok, bin grade beim Scan.
Vielen, vielen Dank erstmal für die schnelle Antwort!

kein prob :-)

Hallo,
hier ist das Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

05.08.2010 13:56:19
mbam-log-2010-08-05 (13-56-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 216431
Laufzeit: 27 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ed94ce5e-890c-4b73-b1df-39bdc2a578eb} (Adware.EZlife) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{ed94ce5e-890c-4b73-b1df-39bdc2a578eb} (Adware.EZlife) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{ed94ce5e-890c-4b73-b1df-39bdc2a578eb} (Adware.EZlife) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ed94ce5e-890c-4b73-b1df-39bdc2a578eb} (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> No action taken.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> No action taken.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr (Adware.Adrotator) -> No action taken.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr.1.0 (Adware.Adrotator) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\vpjwp.dll (Adware.EZlife) -> No action taken.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> No action taken.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
C:\Dokumente und Einstellungen\***\Startmenü\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.

CCleaner hat nach dreimal Registry-säubern nichts mehr gefunden.

OTL fragt mich nach dem Scan, ob es zwei neue Dateien erstellen soll, weil die Logfiles noch nicht existieren. Nach dem Bestätigen kommt zweimal das Editorfenster mit unbenannt.txt, beide Fenster bleiben aber leer.

merkwürdig.
ok dann versuche mal combofix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Combofix beschwert sich, dass AntiVir Desktop noch läuft, ich kann aber im TaskManager keine derartigen Anwendungen oder Prozesse finden.
Ich befinde mich immer noch im abgesicherten Modus. Ist mit Antivir Desktop ein anderer Schädling gemeint oder Avira?

dann überspringe die meldung.

Ok, Combofix hat gescannt und direkt ein paar Dateien und Ordner gelöscht. Beim selbständigen Neustart (im normalen Modus) kamen dann schonmal keine nervigen Popups mehr. Nur das Modul vpjwp.dll wird vermisst und für eine Datei ist plötzlich das richtige Programm zum öffnen nicht mehr bekannt. Die Datei heißt newreleaseversion70700.exe.vir - das müsste ja der Übeltäter sein.
Hier ist das log vom Combofix:
Combofix Logfile:
--- --- ---

Start programme zubehör, editor, kopiere rein.

stepdel::
Killall::
Rootkit::
c:\windows\system32\drivers\bimijuu.sys
driver::
bimijuu
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bimijuu]rechtsklick auf avira


Datei speichern unter, typ alle dateien, name
cfscript.txt
speichere sie dort ab, wo sich combofix.exe befindet.
ziehe cfscript auf combofix, programm startet, log posten.
rechtsklick avira schirm, guard deaktivieren.
öffne arbeitsplatz, dort laufwerk c:
rechtsklick auf qoobox.
wähle zu qoobox.rar oder zip hinzufügen, das archiv qoobox.zip oder rar an uns hochladen.
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html
machst du online banking oder änliches?

Ok, zip-Archiv ist hochgeladen. An dem Rechner wurde schonmal was mit Kreditkarte bezahlt, ist aber die Ausnahme. Onlinebanking wird am anderen Rechner gemacht.
hier kommt das Combofix-log:
Combofix Logfile:
--- --- ---

Text gelöscht

Mehrfachpost gelöscht. Seite wurde bei mir nicht geladen, habs daher gleich dreimal geschrieben.

ok, jetzt update mal malwarebytes, über die registerkarte aktualisierung.
dann schalte alles an laufenden programmen ab, auch avira.
trenne die internetverbindung!
starte mit malwarebytes nen komplett scan, poste das log nach löschen der funde und einschalten von avira + internet

das ist es:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4394

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.08.2010 18:29:56
mbam-log-2010-08-05 (18-29-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 225225
Laufzeit: 37 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{84c3c236-f588-4c93-84f4-147b2abbe67b} (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\SolutionAV (Rogue.AntivirSolutionPro) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sky-Banners\skb (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Street-Ads (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Street-Ads\sta (Adware.Adrotator) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\***\Anwendungsdaten\20ADD3200A2D7D09E0161988A11E8A72\newreleaseversion70700.exe.vir (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ipjwp.exe.vir (Trojan.Adware) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\rpjwp.dll.vir (Adware.BHO) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\vpjwp.dll.vir (Adware.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027211.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027219.exe (Trojan.Adware) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027220.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027221.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Startmenü\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.

das sieht ja schon mal einigermaßen aus, und zwar gut :-)
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide.

hm, komisch. Am Ende kommt wieder die Frage ob er die beiden report-Dateien neu erstellen soll und nach der Bestätigung entstehen zwei leere, unbenannte txt-Dateien. Vielleicht hilft es ihm weiter, wenn es die beiden Dateien schon gibt...

aah, hab das Problem gefunden. War nen bisschen doof, die exe vom CD-Rom-Laufwerk zu starten, weil OTL dann auch dort seine logfiles ablegen wollte, aber nicht konnte. Fiel mir dann natürlich auf, als ich sie erstellen wollte...

Ok, hier das erste, otl.txt:

OTL Logfile:
--- --- ---

gehts jetzt?

und extras.txt sieht so aus:


OTL EXTRAS Logfile:
--- --- ---

sorry ich hab dich vergessen.
avira

avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

ok, hier ist es:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 8. August 2010 15:18

Es wird nach 2689530 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : B.Büchner
Computername : OL-ORG

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 13:00:05
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 13:00:27
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 13:01:13
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 13:01:13
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 13:01:13
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 13:01:14
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 13:01:14
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 13:01:14
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 13:01:16
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 13:01:26
VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 13:01:27
VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 13:01:28
VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 13:01:30
VBASE018.VDF : 7.10.10.85 1536 Bytes 06.08.2010 13:01:30
VBASE019.VDF : 7.10.10.86 1536 Bytes 06.08.2010 13:01:30
VBASE020.VDF : 7.10.10.87 1536 Bytes 06.08.2010 13:01:31
VBASE021.VDF : 7.10.10.88 1536 Bytes 06.08.2010 13:01:31
VBASE022.VDF : 7.10.10.89 1536 Bytes 06.08.2010 13:01:31
VBASE023.VDF : 7.10.10.90 1536 Bytes 06.08.2010 13:01:32
VBASE024.VDF : 7.10.10.91 1536 Bytes 06.08.2010 13:01:32
VBASE025.VDF : 7.10.10.92 1536 Bytes 06.08.2010 13:01:32
VBASE026.VDF : 7.10.10.93 1536 Bytes 06.08.2010 13:01:32
VBASE027.VDF : 7.10.10.94 1536 Bytes 06.08.2010 13:01:33
VBASE028.VDF : 7.10.10.95 1536 Bytes 06.08.2010 13:01:33
VBASE029.VDF : 7.10.10.96 1536 Bytes 06.08.2010 13:01:33
VBASE030.VDF : 7.10.10.97 1536 Bytes 06.08.2010 13:01:33
VBASE031.VDF : 7.10.10.104 109056 Bytes 08.08.2010 13:01:35
Engineversion : 8.2.4.34
AEVDF.DLL : 8.1.2.1 106868 Bytes 08.08.2010 13:02:07
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 08.08.2010 13:02:07
AESCN.DLL : 8.1.6.1 127347 Bytes 08.08.2010 13:02:03
AESBX.DLL : 8.1.3.1 254324 Bytes 08.08.2010 13:02:08
AERDL.DLL : 8.1.8.2 614772 Bytes 08.08.2010 13:02:02
AEPACK.DLL : 8.2.3.5 471412 Bytes 08.08.2010 13:01:59
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 08.08.2010 13:01:56
AEHEUR.DLL : 8.1.2.11 2834805 Bytes 08.08.2010 13:01:55
AEHELP.DLL : 8.1.13.2 242039 Bytes 08.08.2010 13:01:43
AEGEN.DLL : 8.1.3.19 393587 Bytes 08.08.2010 13:01:42
AEEMU.DLL : 8.1.2.0 393588 Bytes 08.08.2010 13:01:40
AECORE.DLL : 8.1.16.2 192887 Bytes 08.08.2010 13:01:39
AEBB.DLL : 8.1.1.0 53618 Bytes 08.08.2010 13:01:38
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 8. August 2010 15:18

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RemoteAccess\Performance\error count
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
c:\programme\thinkpad\connectutilities\acfnf5.exe
c:\Programme\ThinkPad\ConnectUtilities\AcFnF5.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\programme\thinkpad\connectutilities\acfnf5.exe
c:\programme\lenovo\rescue and recovery\adm\netwk.exe
c:\Programme\Lenovo\Rescue and Recovery\ADM\netwk.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'DkIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SvcGuiHlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMabcoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvtpwm_tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMab1err.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cssauth.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nmapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LPMGR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Amsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpScrex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPONSCR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scheduler_proxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EzEjMnAp.Exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpShocks.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPOSDSVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tp4serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPFNF7SP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'logmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nmsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IUService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvtsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rrservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rrpservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHDEXLG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvt_reg_monitor_svc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'suservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DkService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcPrfMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IPSSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '539' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Preload>
C:\Qoobox.zip
[0] Archivtyp: ZIP
[FUND] Ist das Trojanische Pferd TR/FakeYak.A.24
--> Qoobox/Quarantine/C/Dokumente und Einstellungen/B.Bﾁchner/Anwendungsdaten/20ADD3200A2D7D09E0161988A11E8A72/newreleaseversion70700.exe.vir
[FUND] Ist das Trojanische Pferd TR/FakeYak.A.24
--> Qoobox/Quarantine/C/Dokumente und Einstellungen/B.Bﾁchner/Lokale Einstellungen/Anwendungsdaten/aydkwmfyo/nijpuhvtssd.exe.vir
[FUND] Ist das Trojanische Pferd TR/FraudPack.beck
--> Qoobox/Quarantine/C/WINDOWS/$NtUninstallMTF1011$/apUninstall.exe.vir
[FUND] Enthält Erkennungsmuster der Adware ADWARE/SmartAdsSolutions.A.12
--> ProgramFilesDir/[PluginsDir]/adInstlPlg.dll
[FUND] Enthält Erkennungsmuster der Adware ADWARE/SmartAdsSolutions.A.9
--> Qoobox/Quarantine/C/WINDOWS/system32/drivers/bimijuu.sys.vir
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.FR
--> Qoobox/Quarantine/C/WINDOWS/system32/ipjwp.exe.vir
[FUND] Ist das Trojanische Pferd TR/Agent.40581
--> Qoobox/Quarantine/C/WINDOWS/system32/rpjwp.dll.vir
[FUND] Ist das Trojanische Pferd TR/BHO.ohu.2
--> Qoobox/Quarantine/C/WINDOWS/system32/vpjwp.dll.vir
[FUND] Ist das Trojanische Pferd TR/BHO.294912
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\B.Büchner\Lokale Einstellungen\Anwendungsdaten\aydkwmfyo\nijpuhvtssd.exe.vir
[FUND] Ist das Trojanische Pferd TR/FraudPack.beck
C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallMTF1011$\apUninstall.exe.vir
[0] Archivtyp: NSIS
[FUND] Enthält Erkennungsmuster der Adware ADWARE/SmartAdsSolutions.A.12
--> ProgramFilesDir/[PluginsDir]/adInstlPlg.dll
[FUND] Enthält Erkennungsmuster der Adware ADWARE/SmartAdsSolutions.A.9
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\bimijuu.sys.vir
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.FR
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027215.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.beck
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027216.exe
[0] Archivtyp: NSIS
[FUND] Enthält Erkennungsmuster der Adware ADWARE/SmartAdsSolutions.A.12
--> ProgramFilesDir/[PluginsDir]/adInstlPlg.dll
[FUND] Enthält Erkennungsmuster der Adware ADWARE/SmartAdsSolutions.A.9
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP69\A0027346.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.FR
Beginne mit der Suche in 'D:\' <05 Aug 2010>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP69\A0027346.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.FR
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '471a1e6a.qua' verschoben!
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027216.exe
[FUND] Enthält Erkennungsmuster der Adware ADWARE/SmartAdsSolutions.A.12
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f8d31cd.qua' verschoben!
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP68\A0027215.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.beck
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0dd26b25.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\bimijuu.sys.vir
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.FR
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6ba0252c.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallMTF1011$\apUninstall.exe.vir
[FUND] Enthält Erkennungsmuster der Adware ADWARE/SmartAdsSolutions.A.12
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2e5c0819.qua' verschoben!
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\B.Büchner\Lokale Einstellungen\Anwendungsdaten\aydkwmfyo\nijpuhvtssd.exe.vir
[FUND] Ist das Trojanische Pferd TR/FraudPack.beck
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '513c3a73.qua' verschoben!
C:\Qoobox.zip
[FUND] Ist das Trojanische Pferd TR/BHO.294912
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1d811633.qua' verschoben!


Ende des Suchlaufs: Sonntag, 8. August 2010 16:10
Benötigte Zeit: 43:39 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

7128 Verzeichnisse wurden überprüft
737098 Dateien wurden geprüft
16 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
737082 Dateien ohne Befall
10775 Archive wurden durchsucht
0 Warnungen
7 Hinweise
43769 Objekte wurden beim Rootkitscan durchsucht
4 Versteckte Objekte wurden gefunden

reinige mit otcleanit:
http://oldtimer.geekstogo.com/OTM.exe
Klicke cleanup!
dein pc wird evtl. neu starten
programm löscht sich selbst, + die verwendeten tools

rechtsklick auf arbeitsplatz, eigenschaften, systemwiederherstellung, auf allen laufwerken deaktivieren, übernehmen, ok
5 min warten, wieder einschalten
gibts noch irgendwelche probleme?

bisher verhält sich alles normal, auch die fehlermeldungen sind weg. von antimalware doctor ist noch die verknüpfung im startmenü da. die verweist aber auf eine datei, die es nicht mehr gibt.

mach e mal nen rechtsklick auf die verknüpfung und wähle löschen aus.
sollte gehen.

ja, das hat funktioniert(war im Urlaub, deswegen hab ich nicht geantwortet). Ist noch mehr zu tun?

treten noch probleme auf?

bisher ist alles wieder normal.