Trojanerüberfall
 

Hallo!

Ich hoffe, ihr könnt mir weiterhelfen. Heute früh startete mein Rechner nicht mehr normal wie sonst immer, sondern begann gleich mit einem Windows-Systemreparaturprogramm. Danach ging erstmal alles wieder und heute nachmittag begann das gleiche Spielchen. Ausserdem tauchen ständig Meldungen von einem Adobe plug dingsbums auf, irgendwas mit could not lounch... tut mir leid, ich verstehe von Computern rein gar nichts :( Opera verabschiedet sich auch am laufenden Band. jetzt hab ich mal mein antivir aktualisiert und einen Systemchek gemacht. Heraus kaum, dass ich wohl einige Trojaner beherberge?! Hier der report dazu:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 21. Februar 2011 21:20

Es wird nach 2419316 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : NADINE-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 20.12.2010 13:07:18
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 20.12.2010 13:07:19
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:06:41
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 17:46:05
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 17:46:05
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 17:46:05
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 17:46:05
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 17:46:05
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 17:46:05
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 17:46:05
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 17:46:05
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 17:46:05
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 17:46:05
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 17:46:05
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 17:46:05
VBASE014.VDF : 7.11.3.97 120320 Bytes 16.02.2011 17:46:06
VBASE015.VDF : 7.11.3.148 128000 Bytes 19.02.2011 20:19:44
VBASE016.VDF : 7.11.3.149 2048 Bytes 19.02.2011 20:19:44
VBASE017.VDF : 7.11.3.150 2048 Bytes 19.02.2011 20:19:44
VBASE018.VDF : 7.11.3.151 2048 Bytes 19.02.2011 20:19:44
VBASE019.VDF : 7.11.3.152 2048 Bytes 19.02.2011 20:19:44
VBASE020.VDF : 7.11.3.153 2048 Bytes 19.02.2011 20:19:44
VBASE021.VDF : 7.11.3.154 2048 Bytes 19.02.2011 20:19:44
VBASE022.VDF : 7.11.3.155 2048 Bytes 19.02.2011 20:19:44
VBASE023.VDF : 7.11.3.156 2048 Bytes 19.02.2011 20:19:44
VBASE024.VDF : 7.11.3.157 2048 Bytes 19.02.2011 20:19:44
VBASE025.VDF : 7.11.3.158 2048 Bytes 19.02.2011 20:19:44
VBASE026.VDF : 7.11.3.159 2048 Bytes 19.02.2011 20:19:44
VBASE027.VDF : 7.11.3.160 2048 Bytes 19.02.2011 20:19:44
VBASE028.VDF : 7.11.3.161 2048 Bytes 19.02.2011 20:19:44
VBASE029.VDF : 7.11.3.162 2048 Bytes 19.02.2011 20:19:44
VBASE030.VDF : 7.11.3.163 2048 Bytes 19.02.2011 20:19:44
VBASE031.VDF : 7.11.3.172 58368 Bytes 21.02.2011 20:19:44
Engineversion : 8.2.4.170
AEVDF.DLL : 8.1.2.1 106868 Bytes 31.10.2010 15:13:27
AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 31.01.2011 01:32:11
AESCN.DLL : 8.1.7.2 127349 Bytes 20.12.2010 13:07:07
AESBX.DLL : 8.1.3.2 254324 Bytes 20.12.2010 13:07:12
AERDL.DLL : 8.1.9.2 635252 Bytes 31.10.2010 15:13:27
AEPACK.DLL : 8.2.4.9 512374 Bytes 31.01.2011 01:32:10
AEOFFICE.DLL : 8.1.1.16 205179 Bytes 31.01.2011 01:32:10
AEHEUR.DLL : 8.1.2.78 3277175 Bytes 21.02.2011 20:19:45
AEHELP.DLL : 8.1.16.1 246134 Bytes 06.02.2011 15:27:55
AEGEN.DLL : 8.1.5.2 397683 Bytes 21.01.2011 06:26:54
AEEMU.DLL : 8.1.3.0 393589 Bytes 20.12.2010 13:06:49
AECORE.DLL : 8.1.19.2 196983 Bytes 21.01.2011 06:26:54
AEBB.DLL : 8.1.1.0 53618 Bytes 31.10.2010 15:13:24
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 07.11.2010 09:47:11
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 20.12.2010 13:07:18
AVARKT.DLL : 10.0.22.6 231784 Bytes 20.12.2010 13:07:14
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 07.11.2010 09:47:10

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Montag, 21. Februar 2011 21:20

Der Suchlauf nach versteckten Objekten wird begonnen.
Fehler in der ARK Library

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avnotify.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEUser.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'hphc_service.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeUpdate.exe' - '42' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Users\nadine\AppData\Roaming\Adobe\AdobeUpdate.exe>
[FUND] Ist das Trojanische Pferd TR/Karagany.A.7
[HINWEIS] Prozess 'AdobeUpdate.exe' wurde beendet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48946dd3.qua' verschoben!
Durchsuche Prozess 'ehmsas.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'gStart.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '151' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'symlcsvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSvcHst.exe' - '127' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\nadine\AppData\Roaming\Woaquh\dykyo.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.149

Die Registry wurde durchsucht ( '1820' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <COMPAQ>
C:\hp\bin\Python\Lib\test\testtar.tar
[0] Archivtyp: TAR (tape archiver)
--> 0-REGTYPE-TEXT
[WARNUNG] Interner Fehler!
[WARNUNG] Interner Fehler!
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcrst.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Users\nadine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\F48FS8NG\err.log778554
[FUND] Ist das Trojanische Pferd TR/Karagany.A.7
C:\Users\nadine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I5ANJ6AE\err.log19058205
[FUND] Ist das Trojanische Pferd TR/Karagany.A.7
C:\Users\nadine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IGMCTLRJ\bot888[1].exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.149
C:\Users\nadine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IGMCTLRJ\r9HcNz5fP7_setup[1].exe
[FUND] Ist das Trojanische Pferd TR/Bamital.I.11
C:\Users\nadine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\O5T7SFYZ\cWNpNqzz5u_setup[1].exe
[FUND] Ist das Trojanische Pferd TR/Bamital.I.11
C:\Users\nadine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\359I6RT7\h3[1].htm
[FUND] Enthält Erkennungsmuster des Exploits EXP/HTML.psa
C:\Users\nadine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\G6TPH134\index[1].htm
[FUND] Enthält Erkennungsmuster des Exploits EXP/HTML.psa
C:\Users\nadine\AppData\Local\Temp\DF78.tmp
[FUND] Ist das Trojanische Pferd TR/EyeStye.H.87
C:\Users\nadine\AppData\Local\Temp\tmp0617eb15\KillEXE.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\Users\nadine\AppData\Local\Temp\tmp24124634\KillEXE.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.389632
C:\Users\nadine\AppData\Local\Temp\tmp9264dedb\ALL-zahlung.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCNite.cff
C:\Users\nadine\AppData\Local\Temp\tmpe380f48f\ALL.exe
[FUND] Ist das Trojanische Pferd TR/Ramnit.A
C:\Users\nadine\AppData\Local\Windows\igfxtray.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Carberp.C.40
C:\Users\nadine\AppData\Roaming\Adobe\AdobeUpdate.exe19058158
[FUND] Ist das Trojanische Pferd TR/Karagany.A.7
C:\Users\nadine\AppData\Roaming\Woaquh\dykyo.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.149
C:\Users\Public\Documents\19792079
[FUND] Ist das Trojanische Pferd TR/Bamital.I.11
C:\Users\Public\Documents\1979207932
[FUND] Ist das Trojanische Pferd TR/Bamital.I.11
Beginne mit der Suche in 'D:\' <FACTORY_IMAGE>

Beginne mit der Desinfektion:
C:\Users\Public\Documents\1979207932
[FUND] Ist das Trojanische Pferd TR/Bamital.I.11
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '504b544a.qua' verschoben!
C:\Users\Public\Documents\19792079
[FUND] Ist das Trojanische Pferd TR/Bamital.I.11
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '02140ea2.qua' verschoben!
C:\Users\nadine\AppData\Roaming\Adobe\AdobeUpdate.exe19058158
[FUND] Ist das Trojanische Pferd TR/Karagany.A.7
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '646b4157.qua' verschoben!
C:\Users\nadine\AppData\Local\Windows\igfxtray.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Carberp.C.40
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Fehler in der ARK Library
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
C:\Users\nadine\AppData\Local\Temp\tmpe380f48f\ALL.exe
[FUND] Ist das Trojanische Pferd TR/Ramnit.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '12337251.qua' verschoben!
C:\Users\nadine\AppData\Local\Temp\tmp9264dedb\ALL-zahlung.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCNite.cff
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6e2b3201.qua' verschoben!
C:\Users\nadine\AppData\Local\Temp\tmp24124634\KillEXE.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.389632
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43111d51.qua' verschoben!
C:\Users\nadine\AppData\Local\Temp\tmp0617eb15\KillEXE.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5a7926cb.qua' verschoben!
C:\Users\nadine\AppData\Local\Temp\DF78.tmp
[FUND] Ist das Trojanische Pferd TR/EyeStye.H.87
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '36720ad9.qua' verschoben!
C:\Users\nadine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\G6TPH134\index[1].htm
[FUND] Enthält Erkennungsmuster des Exploits EXP/HTML.psa
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47943397.qua' verschoben!
C:\Users\nadine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\359I6RT7\h3[1].htm
[FUND] Enthält Erkennungsmuster des Exploits EXP/HTML.psa
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f5039d.qua' verschoben!
C:\Users\nadine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\O5T7SFYZ\cWNpNqzz5u_setup[1].exe
[FUND] Ist das Trojanische Pferd TR/Bamital.I.11
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0cd17afb.qua' verschoben!
C:\Users\nadine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IGMCTLRJ\r9HcNz5fP7_setup[1].exe
[FUND] Ist das Trojanische Pferd TR/Bamital.I.11
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '05c07e6e.qua' verschoben!
C:\Users\nadine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IGMCTLRJ\bot888[1].exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.149
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5dfd67de.qua' verschoben!
C:\Users\nadine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I5ANJ6AE\err.log19058205
[FUND] Ist das Trojanische Pferd TR/Karagany.A.7
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '710b1e11.qua' verschoben!
C:\Users\nadine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\F48FS8NG\err.log778554
[FUND] Ist das Trojanische Pferd TR/Karagany.A.7
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ff57ecb.qua' verschoben!
C:\Users\nadine\AppData\Roaming\Woaquh\dykyo.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.149
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2ce255a9.qua' verschoben!
Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben.

Wie gehts jetzt weiter? und vor allem, wie schütze ich mich in Zukunft davor? Ich befürchte, das mein Rechner durch meine Unwissenheit doch einige Sicherheitslücken aufweist. Könnt ihr mir bitte helfen?

Vielen Dank im Voraus,

Nadine

Bitte beachten => http://www.trojaner-board.de/95173-b...es-posten.html und http://www.trojaner-board.de/69886-a...-beachten.html

hallo arne,

ich hab mir jetzt mal das anti-maleware runtergeladen und einen check gemacht. hier das ergebnis:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5363

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

22.02.2011 21:02:30
mbam-log-2011-02-22 (21-02-30).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 365471
Laufzeit: 2 Stunde(n), 8 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\aquaplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SecuriSoft SARL (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{4268DA44-1E06-949A-0431-E92C3A96D42E} (Trojan.ZbotR.Gen) -> Value: {4268DA44-1E06-949A-0431-E92C3A96D42E} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.
c:\Users\nadine\AppData\Roaming\microsoft\Windows\start menu\antivirus 2009 (Rogue.AntiVirus2008) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\program files\everest poker\CStart.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
c:\program files\everest poker\everest poker.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
c:\Windows\System32\gaopdxmhpyteuk.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
c:\Users\nadine\AppData\Local\Windows\AdbUpd.lnk (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\nadine\AppData\Roaming\microsoft\internet explorer\quick launch\antivirus 2009.lnk (Rogue.AntiVirus2008) -> Quarantined and deleted successfully.
c:\Users\nadine\AppData\Roaming\microsoft\Windows\start menu\antivirus 2009\antivirus 2009.lnk (Rogue.AntiVirus2008) -> Quarantined and deleted successfully.
c:\Users\nadine\AppData\Roaming\microsoft\Windows\start menu\antivirus 2009\uninstall antivirus 2009.lnk (Rogue.AntiVirus2008) -> Quarantined and deleted successfully.

wie gehts jetzt weiter?

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

Aktuell war Malwarebytes aber nicht...

weitere logdateien gibt es nicht unter dem reiter.

das programm war komplett neu auf meinen rechner gekommen, dachte das wäre dann aktuell?

hab es jetzt aktualisieren wollen, bekomme aber eine fehlermeldung: PROGRAMM-ERROR-UPDATING (12007,0,WinHttp Send Request)

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

hier logfile 1:OTL Logfile:
--- --- ---

und logfile 2:OTL EXTRAS Logfile:
--- --- ---

Von sowas wichtigem machst du ja wohl Backups oder sind die einzigen Exemplare der wichtigen Bachelorarbeit nur auf dem Desktop? :pfeiff:

Wenn noch kein backup gemacht wurde, schnell nachholen. Sowas wichtiges speichert man auch auf einem anderen Dateträger falls die Platte ausfällt. Brenn es auf CD oder kopier es auf einen Stick oder so.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

ja ich mache regelmäßig Datensicherungen (cd/stick) :)

hier der logfile:


All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Recycle.Bin.exe deleted successfully.
C:\Recycle.Bin\Recycle.Bin.exe moved successfully.
C:\Users\nadine\AppData\Roaming\Woaquh folder moved successfully.
C:\Users\nadine\AppData\Roaming\Tosyyz folder moved successfully.
ADS C:\test.txt:CheckNtfs deleted successfully.
ADS C:\ProgramData\TEMP:9A2B2B2D deleted successfully.
========== FILES ==========
C:\Recycle.Bin folder moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 33723 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 3417354 bytes

User: Administrator2
->Temp folder emptied: 33345 bytes
->Temporary Internet Files folder emptied: 39571461 bytes
->FireFox cache emptied: 3423210 bytes
->Flash cache emptied: 1211 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: nadine
->Temp folder emptied: 1928566427 bytes
->Temporary Internet Files folder emptied: 1145832480 bytes
->Java cache emptied: 7226452 bytes
->FireFox cache emptied: 2964885 bytes
->Opera cache emptied: 13410476 bytes
->Flash cache emptied: 19503534 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 219474058 bytes
RecycleBin emptied: 11983 bytes

Total Files Cleaned = 3.227,00 mb


OTL by OldTimer - Version 3.2.21.0 log created on 02232011_192824

Files\Folders moved on Reboot...
File\Folder C:\Windows\temp\JET6048.tmp not found!

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur einige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER Logfile:
--- --- ---

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru