Einmal mehr: windows recovery
 

Hallo und guten Abend,

auch ich habe das Problem, dass ich mir den "windows recovery" eingefangen habe. Entsprechend der Anleitung aus diesem Forum habe ich zunächst "rkill.com" runtergeladen und gestartet. Das eigenmächtige Runterfahren des PC´s konnte damit gestoppt werden. Weiterhin habe ich anschließend malwarebytes runtergeladen und einen vollständigen Scan laufen lassen.

Die Log-Datei lautet:



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6540

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

09.05.2011 22:51:28
mbam-log-2011-05-09 (22-51-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 262481
Laufzeit: 46 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 3
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\programme\MyWaySA\SrchAsDe\deSrcAs.dll (Adware.MyWebSearch) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{4D25F926-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4D25F921-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D25F921-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4D25F921-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{4D25F920-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4D25F923-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MyWaySearchAssistantDE.Auxiliary (Adware.MyWaySearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MyWaySearchAssistantDE.Auxiliary.1 (Adware.MyWaySearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\H8SRTd.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\efHhjWihQgMsG (Trojan.FakeAlert) -> Value: efHhjWihQgMsG -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{4D25F926-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Value: {4D25F926-B9FE-4682-BF72-8AB8210D6D75} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{4D25F926-B9FE-4682-BF72-8AB8210D6D75} (Adware.MyWebSearch) -> Value: {4D25F926-B9FE-4682-BF72-8AB8210D6D75} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\***\startmenü\programme\windows recovery (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\programme\MyWaySA (Adware.MyWebSearch) -> Delete on reboot.
c:\programme\MyWaySA\SrchAsDe (Adware.MyWebSearch) -> Delete on reboot.

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\efhhjwihqgmsg.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\programme\MyWaySA\SrchAsDe\deSrcAs.dll (Adware.MyWebSearch) -> Delete on reboot.
c:\dokumente und einstellungen\all users\anwendungsdaten\18472756.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\Desktop\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\startmenü\programme\windows recovery\uninstall windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\startmenü\programme\windows recovery\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\sysreserve.ini (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\h8srtefyoeirxtn.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.



Es ist nach dem Scan leider so, dass offensichtlich noch nicht alles bereinigt ist. So fehlen z.B. die gespeicherten Favoriten, der Destop-Hintergrund, das Startmenü, die Linkliste im IE, die Taskleiste sind leer...

Wie kann ich weiter verfahren?
Ich bitte um Eure freundliche Hilfe. Falls weitere Angaben benötigt werden, bitte ich um einen Hinweis.


Vielen Dank schon jetzt für die Unterstützung!
Gruß

schaun wir mal.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Danke schon mal für die Hilfe!

Beim Hochfahren des PC ist mir folgende Fehlermeldung aufgefallen:

"Fehler beim Laden von CTMBHA.DLL
Unzulässiger Zugriff auf einen Speicherbereich"

Habe das Fenster weggeclickt.

OTL habe ich laufen lassen, hier die Reports:

OTL Logfile:
--- --- ---

Und hier der 2.:
OTL EXTRAS Logfile:
--- --- ---


Vielen Dank für die freundliche Hilfe!

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Danke, werde ich abends machen.
Kannst Du denn jetzt schon erkennen, wie gravierend das Problem ist bzw. wie stark sich der Trojaner eingenistet hat?

bisher hab ich noch nicht viel erkannt, deswegen schaun wir mal weiter.

Beim ursprünglichen Hochfahren des PC kam wieder diese Meldung:

"Fehler beim Laden von CTMBHA.DLL
Unzulässiger Zugriff auf einen Speicherbereich"

Hat das weiter was zu bedeuten?


So, dann schaun wir mal weiter ;-)

hier der log von Combofix:

Combofix Logfile:
--- --- ---

Vielen Dank für die Hilfe!

jo der gehts jetzt an den kragen:
start programme zubehör editor, reinkopieren:

killall::
Rootkit::
C:\WINDOWS\System32\CTMBHA.DLL


Datei speichern unter, ort wo sich combofix.exe befindet
typ alle dateien
name cfscript.txt
ziehe cfscript auf combofix programm startet log posten.

Der haben wir nun offensichtlich den Kragen umgedreht ;-)
Das Fenster mit der Meldung kam nun beim Hochfahren nicht mehr!

Hab combofix mit der Editor-Datei laufen lassen, hier der Log:


Combofix Logfile:
--- --- ---



Startmenü zeigt nun wieder die Programme an, Taskleiste offensichtlich auch wieder vollständig.

Was kannst du aus diesem und dem ersten Log rauslesen? Kann man noch irgendwo Plagegeister erkennen?

Nochmals vielen Dank für Deine Hilfe!!

Habe inzwischen noch Antivir laufen lassen, es meldet 8 Funde

Das wäre der Log dazu, vielleicht nützen die Ergebnisse etwas!?



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 13. Mai 2011 09:48

Es wird nach 2727309 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DHWPK82J

Versionsinformationen:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 09:59:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:49:20
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 16:22:04
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 06:43:31
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 06:43:33
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 06:43:33
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 06:43:34
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 06:43:34
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 06:43:34
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 06:43:34
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 06:43:34
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 06:43:34
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 06:43:34
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 20:48:58
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 06:53:25
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 06:53:25
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 09:02:17
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 09:02:15
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 19:57:10
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 18:57:45
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 18:57:46
VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 18:57:46
VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 18:57:46
VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 18:57:47
VBASE024.VDF : 7.11.7.218 133120 Bytes 11.05.2011 22:20:16
VBASE025.VDF : 7.11.7.234 139776 Bytes 11.05.2011 22:20:16
VBASE026.VDF : 7.11.7.235 2048 Bytes 11.05.2011 22:20:16
VBASE027.VDF : 7.11.7.236 2048 Bytes 11.05.2011 22:20:16
VBASE028.VDF : 7.11.7.237 2048 Bytes 11.05.2011 22:20:17
VBASE029.VDF : 7.11.7.238 2048 Bytes 11.05.2011 22:20:17
VBASE030.VDF : 7.11.7.239 2048 Bytes 11.05.2011 22:20:17
VBASE031.VDF : 7.11.8.2 93184 Bytes 13.05.2011 06:33:55
Engineversion : 8.2.4.228
AEVDF.DLL : 8.1.2.1 106868 Bytes 05.08.2010 07:51:57
AESCRIPT.DLL : 8.1.3.61 1253754 Bytes 09.05.2011 18:57:49
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 22:40:23
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 22:40:25
AERDL.DLL : 8.1.9.9 639347 Bytes 26.03.2011 09:45:18
AEPACK.DLL : 8.2.6.0 549237 Bytes 08.04.2011 06:44:38
AEOFFICE.DLL : 8.1.1.22 205178 Bytes 09.05.2011 18:57:48
AEHEUR.DLL : 8.1.2.113 3494263 Bytes 09.05.2011 18:57:48
AEHELP.DLL : 8.1.16.1 246134 Bytes 04.02.2011 07:50:07
AEGEN.DLL : 8.1.5.4 397684 Bytes 05.04.2011 16:49:36
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 22:40:19
AECORE.DLL : 8.1.20.2 196982 Bytes 08.04.2011 06:43:41
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 17:32:17
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 10.0.0.9 174120 Bytes 06.03.2011 21:19:44
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 13. Mai 2011 09:48

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '63546' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'remind32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ltsstart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTDetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MediaDetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CamService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CreativeLicensing.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'clclean.0001' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AndreaVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSysVol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DMXLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ELService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSVCCDA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '59' Prozesse mit '59' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '69' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\mario.jar-216038d6-74188b48.zip
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BO
--> advert/market_patch.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BO
--> search/market.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BP
--> search/parser.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BJ.3
--> search/searchers.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BK.3
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP981\A0079764.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP981\A0079765.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP981\A0079773.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\mario.jar-216038d6-74188b48.zip
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BO
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e3ef4b8.qua' verschoben!
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP981\A0079764.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dfcf487.qua' verschoben!
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP981\A0079765.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c8a18d8.qua' verschoben!
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP981\A0079773.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c8b0090.qua' verschoben!


Ende des Suchlaufs: Freitag, 13. Mai 2011 11:05
Benötigte Zeit: 1:07:36 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

11271 Verzeichnisse wurden überprüft
336098 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
336088 Dateien ohne Befall
4544 Archive wurden durchsucht
2 Warnungen
6 Hinweise
63546 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

sieht gut aus soweit.

lade den ccleaner slim:
Piriform - Builds
falls der ccleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

puh, dann bin ich fürs Erste mal erleichert.
In anderen Threads habe ich manchmal deine Empfehlung gelesen, das Konto bei Online-Banking sperren zu lassen. Bei mir besteht da kein Grund?

ok, hab ich gemacht, hier die kommentierte Liste:

3D Designer Software Haus und Wohnung zdynamix Informationstechnologie GmbH nicht notwendig
Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 10.1.85.3 notwendig
Adobe Reader 9.1 - Deutsch Adobe Systems Incorporated 9.1.0 notwendig
Andrea VoiceCenter unbekannt
Apple Application Support Apple Inc. 1.5.0 notwendig
Apple Mobile Device Support Apple Inc. 3.4.0.25 notwendig
Apple Software Update Apple Inc. 2.1.2.120 notwendig
ARTEuro Dell 1.00.0000 unbekannt
Avira AntiVir Personal - Free Antivirus Avira GmbH notwendig
Bonjour Apple Inc. 2.0.4.0 unbekannt
CCleaner Piriform 3.06 notwendig
Corel Paint Shop Pro X Corel Inc 10.0 notwendig
Corel Photo Album 6 Corel, Inc. 6.33 notwendig
Creative MediaSource 3.00 unbekannt
Dell CinePlayer Dell 3.0 unbekannt
Dell Driver Reset Tool Dell Inc. 1.02.0000 unbekannt
Dell System Restore Ihr Firmenname 2.00.0000 unbekannt
ElsterFormular 2006/2007 Steuerverwaltung des Bundes und der Länder 8.2.1.0 notwendig
ElsterFormular 2007/2008 Steuerverwaltung des Bundes und der Länder 9.1.0.0 notwendig
ElsterFormular 2008/2009 Steuerverwaltung des Bundes und der Länder 10.0.0.0 notwendig
ElsterFormular für Privatanwender Landesfinanzdirektion Thüringen 12.0.0.5880p notwendig
Falk Navi-Manager Falk Navigation GmbH 2.6.1 notwendig
GemMaster Mystic unbekannt
Google Earth Plug-in Google 5.2.1.1588 notwendig
Google Toolbar for Internet Explorer notwendig
Hercules DualPix HD Webcam Hercules 1.00.0000 notwendig
High Definition Audio Driver Package - KB835221 Microsoft Corporation 20040219.000000 unbekannt
IKEA HomePlanner Bedroom IKEA IT 1.9.6 nicht notwendig
Intel Matrix Storage Manager unbekannt
Intel(R) PRO Network Connections Drivers unbekannt
Intel(R) PROSet for Wired Connections Dell 9.30.0000 unbekannt
Intel(R) Quick Resume Technology Drivers Intel Corporation 1.0.0.1093 unbekannt
Intel® Viiv™ Intel Corporation 1.0.1.2012 unbekannt
iTunes Apple Inc. 10.2.1.1 notwendig
J2SE Runtime Environment 5.0 Update 6 Sun Microsystems, Inc. 1.5.0.60 unbekannt
J2SE Runtime Environment 5.0 Update 9 Sun Microsystems, Inc. 1.5.0.90 unbekannt
Java 2 Runtime Environment, SE v1.4.2_03 Sun Microsystems, Inc. 1.4.2_03 unbekannt
Lotus SmartSuite 97 notwendig
Malwarebytes' Anti-Malware Malwarebytes Corporation notwendig
Microsoft .NET Framework 1.0 Hotfix (KB953295) Microsoft Corporation unbekannt
Microsoft .NET Framework 1.0 Hotfix (KB979904) Microsoft Corporation unbekannt
Microsoft .NET Framework 1.1 unbekannt
Microsoft .NET Framework 1.1 German Language Pack Microsoft 1.1.4322 unbekannt
Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 2.2.30729 unbekannt
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU Microsoft Corporation 2.2.30729 unbekannt
Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 3.2.30729 unbekannt
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU Microsoft Corporation 3.2.30729 unbekannt
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft Corporation unbekannt
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation unbekannt
Microsoft ActiveSync Microsoft Corporation 4.5.5096.0 unbekannt
Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 1 unbekannt
Microsoft Office PowerPoint Viewer 2007 (German) Microsoft Corporation 12.0.6425.1000 notwendig
Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation unbekannt
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 Microsoft Corporation 9.0.30729 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 9.0.30729 unbekannt
Microsoft Works 7.0 Microsoft Corporation 07.02.0702 notwendig
MSXML 4.0 SP2 (KB927978) Microsoft Corporation 4.20.9841.0 unbekannt
MSXML 4.0 SP2 (KB936181) Microsoft Corporation 4.20.9848.0 unbekannt
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 4.20.9870.0 unbekannt
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 4.20.9876.0 unbekannt
My Way Search Assistant MyWay 1.0.1 unbekannt
MyPhoneExplorer F.J. Wechselberger 1.6.3 notwendig
NVIDIA Drivers unbekannt
Octoshape Streaming Services unbekannt
Otto unbekannt
Paint.NET v3.5.8 dotPDN LLC 3.58.0 notwendig
QuickTime Apple Inc. 7.69.80.9 notwendig
Roxio DLA Roxio 5.2.0 notwendig
Roxio MyDVD LE Roxio 6.1.6 notwendig
Roxio RecordNow Audio Roxio 2.0.4 notwendig
Roxio RecordNow Copy Roxio 2.0.4 notwendig
Roxio RecordNow Data Roxio 2.0.4 notwendig
Sonic Advanced Decoder unbekannt
Sonic Encoders Sonic Solutions 1.00 unbekannt
Sonic Update Manager Sonic Solutions 3.0.0 unbekannt
Sound Blaster Audigy ADVANCED MB 1.0 unbekannt
Sound Blaster Audigy ADVANCED MB Produktregistrierung unbekannt
streamWriter unbekannt
Windows Installer 3.1 (KB893803) Microsoft Corporation notwendig
Windows Internet Explorer 7 Microsoft Corporation 20061107.210142 notwendig
Windows Live Anmelde-Assistent Microsoft Corporation 5.000.818.5 notwendig
Windows Live Essentials Microsoft Corporation 14.0.8089.0726 notwendig
Windows Live-Uploadtool Microsoft Corporation 14.0.8014.1029 notwendig
Windows Media Format 11 runtime notwendig
Windows Media Player 11 notwendig
Windows XP Service Pack 3 Microsoft Corporation 20080414.031514 notwendig


Vielen Dank!!!!

du hattest keine zusätzliche malware die das nötig macht.

deinstaliere:
3D Designer


Adobe Reader 9
Adobe - Adobe Reader herunterladen - Alle Versionen
nimm den haken bei mcafee security scan raus.
öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus,
internet, ebenfalls alle haken raus.
so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden.
unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken.
unter update, auf instalieren stellen.
klicke übernehmen /ok

deinstaliere.
Andrea VoiceCenter
Bonjour
ElsterFormular brauchst du alle versionen?
GemMaster
Google Toolbar zusätzliches risiko, weg damit.
J2SE alle
Java 2
Java SE Downloads
klicke download jre lade offline installer für dein system.

My Way
Octoshape
Otto

bereinige mit dem ccleaner.
rechtsklick arbeitsplatz eigenschaften systemwiederherstellung.
deaktiviere auf allen laufwerken.
übernehmen ok.
5 min warten, wieder einschalten

Danke für deine Tipps! Echt unglaublich, was Du dir für Mühe gibst!

Hab soweit alles hinbekommen. Unsicher bzw. ohne Plan bin ich mir bei:

-"Java SE Downloads
klicke download jre lade offline installer für dein system."

habe hier geclickt und installiert:
"Product/File Description: Windows x86 Offline
Download: jre-6u25-windows-i586.exe"

Hoffe, das war so ok!?

- mit dem CCleaner wurden offensichtlich alle Cookies gelöscht. Soll ich zukünftig keine mehr speichern? Manche erleichtern ja schon die Arbeit ;-)

-"rechtsklick arbeitsplatz eigenschaften systemwiederherstellung.
deaktiviere auf allen laufwerken."

Soll ich das Kästchen "Systemwiederherstellung deaktivieren" ankreuzen, also aktivieren? (verwirrend ;-))
Bekomme dann folgendes Fenster:
"Sie haben sich entschlossen, die Systemwiederherstellung zu deaktivieren. Falls Sie diesen Vorgang fortsetzen, werden alle bestehenden Wiederherstellungspunkte gelöscht und Computeränderungen können nicht mehr nachverfolgt oder rückgängig gemacht werden.
Sind Sie sicher, dass Sie die Systemwiederherstellung deaktivieren wollen?"

Habe vorerst "Nein" geclickt. Soll ich also die alten Wiederherstellungspunkte löschen?

Vielen Dank!