Trojan Horse Generic 10.AYRQ/AYUI/AZGR/AZGU/BAJM. Gelöschte dll.Dateien

#1 Habe am 6.7. idiotischerweise eine fremde Software installiert (sollte ein KeyGen für Photoshop sein) und damit den Trojaner gefangen. Ich glaube der Link kam von hier: freeserials.ws/?q=adobe%20photoshop%20key%20generator. Die Seite ist aber nicht mehr erreichbar.

AVG 8.0.138 hat ihn gefunden, zuerst im Windows-Ordner System 32, in den dll. Dateien. Leider habe ich zwei dieser Dateien komplett gelöscht, nachdem ich zuerst mit dem Virus Vault nicht umgehen konnte. Bekomme also immer zwei Meldungen beim Hochfahren, dass sie fehlen. Kann ich darauf verzichten? Kann ich sie wieder bekommen? Es handelt sich um C:\WINDOWS\system32\drvras.dll und fqhesnkh.dll

Außerdem - nach wiederholtem Virenscannen - waren folgende Dateien betroffen (in chronologischer Reihenfolge der Scan-Ergebnisse):
*C:\RECYCLER\S-1-5-21-1659004503-926492609-725345543-1004\Dc620.rar
*C:\RECYCLER\S-1-5-21-1659004503-926492609-725345543-1004\Dc620.rar:\keygen.exe
*C:\WINDOWS\system32\jJCtron.dll
C:\System Volume
Information\_restore{1A35CC9D-BA52-4BF7-BA18-2D16C0539E72}\RP72\A0044347.dll
C:\System Volume Information\_restore{1A35CC9D-BA52-4BF7-BA18-2D16C0539E72}\RP72\A0044349.dll
C:\System Volume Information\_restore{1A35CC9D-BA52-4BF7-BA18-2D16C0539E72}\RP72\A0044433.dll
C:\WINDOWS\system32\fqhesnkh.dll
C:\WINDOWS\system32\jkkIBUkl.dll [2x im selben Scan angezeigt]
*C:\WINDOWS\system32\lsass.exe (812)
C:\System Volume
Information\_restore{1A35CC9D-BA52-4BF7-BA18-2D16C0539E72}\RP72\A0044454.dll
C:\System Volume
Information\_restore{1A35CC9D-BA52-4BF7-BA18-2D16C0539E72}\RP72\A0044462.dll
C:\WINDOWS\system32\winepi32.dll
C:\System Volume
Information\_restore{1A35CC9D-BA52-4BF7-BA18-2D16C0539E72}\RP72\A0044560.dll

Außer den mit * markierten Dateien befinden sich alle anderen im Virus Vault vom AVG. Seit dem 8.7. (letzter infektiöser Scan) bekomme ich keine Viren-Meldungen mehr, habe täglich z.T. mehrmals gescannt.

Meine Fragen sind:
Was mache ich mit den infizierten Dateien im Virus Vault?
Kann man die reparieren?
Kann ich sie engültig löschen - braucht man die??
Ist der Rechner jetzt virenfrei?

Ich bitte um schnelle Hilfe und um Anleitungen für eventuelle weitere Überprüfungsprogramme.

Danke - jessy02

#2 Hallo jessy02

«
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Ich habe Malwarebytes' Anti-Malware laufen lassen.
Hier der Bericht.
Werde jetzt Combofix anwenden.

-----------------------------------------
Malwarebytes' Anti-Malware 1.20
Datenbank Version: 957
Windows 5.1.2600 Service Pack 2

13:01:37 16.07.2008
mbam-log-7-16-2008 (13-01-37).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 95953
Scan Dauer: 39 minute(s), 39 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 3
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{c6ea321d-ee5f-4ed5-b1ff-3a87f9d81abf} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winepi32 (Dialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{c6ea321d-ee5f-4ed5-b1ff-3a87f9d81abf} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\58dae20b (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSDisp32 (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\winepi32.dll (Dialer) -> Quarantined and deleted successfully.

#4 Hallo jessy02

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hier ist der ComboFix-Bericht und weiter unten Hijackthis Log:

---------------------------------------------------------------------------
ComboFix 08-07-15.4 - user 2008-07-16 17:18:50.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\user\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\hknsehqf.ini
C:\WINDOWS\system32\lkUBIkkj.ini
C:\WINDOWS\system32\lkUBIkkj.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\pqkvrjvl.ini
C:\WINDOWS\system32\test.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-16 bis 2008-07-16 ))))))))))))))))))))))))))))))
.

2008-07-16 12:09 . 2008-07-16 12:09 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-16 12:09 . 2008-07-16 12:09 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Malwarebytes
2008-07-16 12:09 . 2008-07-16 12:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-16 12:09 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-16 12:09 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-16 11:59 . 2008-07-16 11:59 <DIR> d-------- C:\Programme\CCleaner
2008-07-06 14:09 . 2008-07-08 21:07 <DIR> d--h----- C:\$AVG8.VAULT$
2008-07-01 12:40 . 2008-07-01 12:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2008-07-01 12:40 . 2008-07-01 12:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems
2008-07-01 12:39 . 2008-07-01 13:13 <DIR> d-------- C:\Programme\Photoshop CS2

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-16 14:52 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-07-11 07:23 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-11 07:22 --------- d-----w C:\Programme\ElsterFormular
2008-07-07 16:04 --------- d-----w C:\Programme\OpenOffice
2008-07-03 09:08 76,040 ----a-w C:\WINDOWS\system32\drivers\avgtdix.sys
2008-07-03 09:07 96,520 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys
2008-07-01 10:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-04 08:41 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\Move Networks
2008-05-21 15:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-05-20 08:24 --------- d-----w C:\Programme\AVG
2008-05-20 08:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 22:05 344064]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 14:48 1388544]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 12:12 102492]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 12:11 692316]
"MagicKeyboard"="C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2005-04-11 14:01 151552]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-03-17 02:06 32768]
"EPSON Stylus DX4200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE" [2005-03-08 06:00 98304]
"EPSON Stylus DX4200 Series (Kopie 1)"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE" [2005-03-08 06:00 98304]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-09-22 17:25 185784]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-07-03 11:08 1232152]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 12:01 88209 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Mozilla Thunderbird\\thunderbird.exe"=
"C:\\Programme\\Tipptrainer\\TTN.exe"=
"C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"C:\\Programme\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"C:\\Programme\\AVG\\AVG8\\avgemc.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=

R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-07-03 11:07]
R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-07-03 11:08]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-07-03 11:07]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-07-03 11:08]
R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2000-08-23 10:19]
R2 SNM WLAN Service;SNM WLAN Service;C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe [2005-05-28 09:35]
S2 CiscoVpnInstallService;Cisco Systems, Inc. Installer service;C:\DOKUME~1\user\LOKALE~1\Temp\IXP001.TMP\INSTAL~1.EXE []
S3 SUEPD;SUE NDIS Protocol Driver;C:\WINDOWS\system32\DRIVERS\SUE_PD.sys [2005-05-24 16:26]
.
Inhalt des "geplante Tasks" Ordners
"2007-10-14 16:38:14 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
- - - - ORPHANS REMOVED - - - -

BHO-{1C19E6A5-2E1E-49D4-BEB3-C8B53C740517} - C:\WINDOWS\system32\jkkIBUkl.dll
HKLM-Run-Adobe Photo Downloader - C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
Notify-wvUnKBSk - wvUnKBSk.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-16 17:24:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Samsung\MagicKBD\MagicKBD.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-16 17:29:43 - machine was rebooted [user]
ComboFix-quarantined-files.txt 2008-07-16 15:28:37

9 Verzeichnis(se), 41,874,173,952 Bytes frei
14 Verzeichnis(se), 42,253,918,208 Bytes frei

129

-------------------------------------------------------------------------


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:07:16, on 16.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\user\LOKALE~1\Temp\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xn--janangermller-4ob.de/jsh/verwaltung/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB002" /M "Stylus DX4200"
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P36 "EPSON Stylus DX4200 Series (Kopie 1)" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. Installer service (CiscoVpnInstallService) - Unknown owner - C:\DOKUME~1\user\LOKALE~1\Temp\IXP001.TMP\INSTAL~1.EXE (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6981 bytes

#6 Hallo jessy02

ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

dann scanne noch mal mit malwarebytes, aber im abgesicherten modus.
Dann sollte wieder alles o.k. sein
wenn es noch Probleme geben sollte, melde dich.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Wie starte ich den abgesicherten Modus?

Und was sagten dir die Logs?

Und - was ist mit den gelöschten, infizierten Dateien? Brauche ich die nicht (sauber) wieder?

#8 was entfernt wurde, waren Viren, keine Windowsdateien.
Abgesicherter Modus:
http://www2.tu-berlin.de/www/software/virus/savemode.shtml
Rechner neustarten - wenn er hochfährt,
warte auf die Meldung
Windows wird gestartet...
klickst du mehrmals die Taste F8 - dann wähle das menü: abgesicherter modus.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Jetzt hat Malwarebytes' Anti-Malware nichts mehr gefunden (siehe unten).

Trotzdem gibt's noch Fragen:

1. Fehlt meinem System jetzt nichts mehr?
2. Im Virus Vault von AVG sind ja noch die Viren, bzw. Dateien (siehe Anhang,
auf 200% angucken)? Was mache ich mit denen?? Löschen?
3. Die Fehlermeldungen von Windows (angeblich fehlende Dateien .dll) waren also
virusbedingte Fakes??
4. Bei HJT (Log siehe oben im Thread) bekam ich folgende Fehlermeldung:

Please help us improve HijackThis by reporting this error
Click 'Yes' to submit
Error Details:
An unexpected error has occurred at procedure:
modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=load)
Error #5 - Invalid procedure call or argument
Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 2.0.2


Bitte nochmal um Antwort - und danke für die Hilfe!
jessy02

------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.20
Datenbank Version: 957
Windows 5.1.2600 Service Pack 2

21:32:20 16.07.2008
mbam-log-7-16-2008 (21-32-20).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 80376
Scan Dauer: 3 hour(s), 2 minute(s), 40 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
--------------------------------------------------------

#10 ««
ich kann die doc nicht öffnen, fehlt irgendein Filter (ist mein Testcomputer)
wahrscheinlich sind es nur Angaben im Systemrestore (Systemwiederherstellung)

Zitat

Die Fehlermeldungen von Windows (angeblich fehlende Dateien .dll) waren also
virusbedingte Fakes??

ja, so ist es.

warum HijackThis nicht funktioniert ?
Wahrscheinlich hat dein Virenscanner es ausgelöscht.

--------

Dein Rechner ist wieder sauber, lösche, was dein Scanner noch anzeigt.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Okay, vielen vielen Dank für die schnelle und kompetente Hilfe!

Ich werde mich in Zukunft hüten, aber sollte mein PC wieder befallen werden, komme ich bestimmt wieder zu euch!