"Sie haben ein Sicherheitsproblem" Virus

#1 Moin !!

Seit gestern habe Ich in der Taskleiste ein Rotes X stehen und viele Virusmeldungen aus dem Internet :-(

Hier mal der Log aus dem Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:32:05, on 06.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\PROGRA~1\eScan\Download.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\Programme\internet explorer\iexplore.exe
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - Unknown owner - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE

--
End of file - 6064 bytes


Bitte um Hilfe !!



Gruß Schumi

#2 Download MalwareBytes' Anti-Malware
Malwarebytes Anti-Malware fuer Windows NT/2000/XP/2003 Server/Vista/2008 Server
Download link 1 MalwareBytes' Anti-Malware
Download link 2 MalwareBytes' Anti-Malware
Download link 3 MalwareBytes' Anti-Malware
Download link 4 MalwareBytes' Anti-Malware
Download link 5 MalwareBytes' Anti-Malware
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Update “> klicke “Suche nache Aktualisierungen “
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
“Scanner”> "Quick-scan durchführen".
Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !
__________
MfG Argus

#3 Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1733
Windows 5.1.2600 Service Pack 2

06.02.2009 10:57:55
mbam-log-2009-02-06 (10-57-55).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 54538
Laufzeit: 2 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Buitteschön der Log :-)

#4 ComboFix(by sUBs)

Download ComboFix und speichert es auf den Desktop!
Download ComboFix1
Download ComboFix2
Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut
Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen
Starte combofix.exe
Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Befolge diese Anleitung
__________
MfG Argus

#5 ComboFix 09-02-05.02 - Albertsmeier 2009-02-06 11:14:00.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.767.272 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Albertsmeier\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\c_966467.nls

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-06 bis 2009-02-06 ))))))))))))))))))))))))))))))
.

2009-02-06 09:31 . 2009-02-06 09:31 <DIR> d-------- c:\programme\Trend Micro
2009-02-05 13:15 . 2009-02-05 13:15 <DIR> d-------- c:\dokumente und einstellungen\Albertsmeier\Anwendungsdaten\Malwarebytes
2009-02-05 13:14 . 2009-02-05 13:15 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-05 13:14 . 2009-02-05 13:14 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-05 13:14 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-05 13:14 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-02 17:29 . 2008-09-05 01:01 480,560 --------- c:\windows\instwcli.dex
2009-02-02 17:23 . 2009-02-02 17:23 21,980 --a------ c:\windows\WSSPORD.DAT
2009-02-02 17:13 . 2008-09-05 01:01 4,352 -ra------ c:\windows\system32\drivers\avmeject.sys
2009-02-02 17:12 . 2008-09-05 01:01 265,088 -ra------ c:\windows\system32\drivers\fwlanusb.sys
2009-02-02 17:12 . 2008-09-05 01:01 97,360 -ra------ c:\windows\system32\drivers\Fwusb1b.bin
2009-02-02 17:12 . 2008-09-05 01:01 74,240 -ra------ c:\windows\system32\fwlanci.dll
2009-02-02 17:10 . 2009-02-02 17:10 <DIR> d-------- c:\windows\AVM_Driver
2009-02-02 17:10 . 2009-02-02 17:10 <DIR> d-------- c:\dokumente und einstellungen\Albertsmeier\AVM_Driver
2009-02-02 16:09 . 2003-06-18 17:31 17,920 --a------ c:\windows\system32\mdimon.dll
2009-02-02 16:06 . 2009-02-02 16:06 <DIR> d-------- c:\programme\Microsoft.NET

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-06 10:11 --------- d-----w c:\programme\eScan
2009-01-31 12:57 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-07-28 14:30 396,681 ----a-w c:\dokumente und einstellungen\Albertsmeier\Anwendungsdaten\mdb.bin
2007-12-09 13:37 87,600 ----a-w c:\dokumente und einstellungen\Albertsmeier\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-19 17:24 16 ----a-w c:\dokumente und einstellungen\Albertsmeier\p73v73.dll
2001-11-23 04:08 712,704 ----a-w c:\windows\inf\OTHER\AUDIO3D.DLL
.

((((((((((((((((((((((((((((( snapshot@2009-02-05_14.47.17,39 )))))))))))))))))))))))))))))))))))))))))
.
- 2000-08-31 07:00:00 28,672 ----a-w c:\windows\NIRCMD.exe
+ 2000-08-31 07:00:00 29,696 ----a-w c:\windows\NIRCMD.exe
- 2009-02-02 16:26:50 63,580 ----a-w c:\windows\system32\perfc007.dat
+ 2009-02-05 14:00:08 63,580 ----a-w c:\windows\system32\perfc007.dat
- 2009-02-02 16:26:50 52,764 ----a-w c:\windows\system32\perfc009.dat
+ 2009-02-05 14:00:08 52,764 ----a-w c:\windows\system32\perfc009.dat
- 2009-02-02 16:26:50 391,000 ----a-w c:\windows\system32\perfh007.dat
+ 2009-02-05 14:00:08 391,000 ----a-w c:\windows\system32\perfh007.dat
- 2009-02-02 16:26:50 380,350 ----a-w c:\windows\system32\perfh009.dat
+ 2009-02-05 14:00:08 380,350 ----a-w c:\windows\system32\perfh009.dat
- 2009-02-04 17:49:31 46,080 ----a-w c:\windows\system32\userinit.exe
+ 2004-08-04 12:00:00 25,088 ----a-w c:\windows\system32\userinit.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-04 1667584]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2004-09-07 1871872]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-03 339968]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"MailScan Dispatcher"="c:\programme\eScan\LAUNCH.EXE" [2004-08-03 65536]
"eScan Updater"="c:\progra~1\eScan\TRAYICOS.EXE" [2004-08-03 988672]
"eScan Monitor"="c:\progra~1\eScan\AVPMWrap.EXE" [2004-08-03 94208]
"ToADiMon.exe"="c:\programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe" [2003-11-11 229443]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2003-07-07 233472]
Kodak EasyShare Software.lnk - c:\programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2003-04-09 598150]
KODAK Software Updater.lnk - c:\programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe [2002-03-13 16384]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
NkbMonitor.exe.lnk - c:\programme\Nikon\PictureProject\NkbMonitor.exe [2005-03-05 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"99966498"= 30333833433246432d354333352d343231462d394534452d324345303332413332374544
"99966487"= de8c9296a3b226d05495c1ee41f13a5f01bf2777e96d2
"aux2"= c_966467.nls
"wave1"= c_966467.nls
"mixer2"= c_966467.nls
"midi2"= c_966467.nls
"aux1"= c_966467.nls
"mixer1"= c_966467.nls
"midi1"= c_966467.nls
"wave2"= c_966467.nls

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\backWeb-7288971.exe"=

R2 eScan-trayicos;eScan Server-Updater;c:\progra~1\eScan\TRAYSSER.EXE [2004-05-11 98304]
R2 KAVMonitorService;eScan Monitor Service;c:\progra~1\eScan\avpm.exe [2003-12-24 622750]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [2004-05-17 17280]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmcowan.sys [2004-01-12 53120]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2009-02-02 4352]
S3 FUS2BASE;FRITZ!Card USB;c:\windows\system32\drivers\fus2base.sys [2004-01-12 547712]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2009-02-02 265088]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{00ba9662-f144-11dd-bda3-000b6a78c434}]
\Shell\AutoRun\command - H:\pushinst.exe
.
Inhalt des "geplante Tasks" Ordners

2009-02-04 c:\windows\Tasks\At1.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At10.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-06 c:\windows\Tasks\At11.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At12.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At13.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At14.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-05 c:\windows\Tasks\At15.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-05 c:\windows\Tasks\At16.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At17.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At18.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At19.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At2.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At20.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At21.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At22.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At23.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At24.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At3.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At4.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At5.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At6.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At7.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At8.job
- c:\windows\system32\4va1LJTW.exe []

2009-02-04 c:\windows\Tasks\At9.job
- c:\windows\system32\4va1LJTW.exe []
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = fritz.box;localhost
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: mwtsp.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-06 11:15:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(636)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(692)
c:\windows\system32\mwtsp.dll
.
Zeit der Fertigstellung: 2009-02-06 11:16:51
ComboFix-quarantined-files.txt 2009-02-06 10:16:46
ComboFix2.txt 2009-02-05 14:31:46
ComboFix3.txt 2009-02-05 13:48:03

Vor Suchlauf: 17 Verzeichnis(se), 88.853.143.552 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 88,847,224,832 Bytes frei

197

#6 Dein Rechner ist infiziert mit Silentbanker
Hoffenlich machst du kein Onlinebanking,wenn doch, Neu aufsetzen !!

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als del.bat mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

@ECHO OFF
IF EXIST log.txt DEL log.txt
ECHO Deleting files>>log.txt
FOR %%g in (
"c:\windows\Tasks\At*.job") DO (
IF EXIST %%g (
ATTRIB -r -s -h %%g
DEL %%g
IF EXIST %%g (
ECHO %%g not deleted>>log.txt
) ELSE (
ECHO %%g deleted successfully>>log.txt)
) ELSE (
ECHO %%g not found>>log.txt))
START NOTEPAD.EXE log.txt
DEL %0

Doppelklick del.bat und poste den Inhalt vom Logfile

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

File::
c:\windows\system32\4va1LJTW.exe

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"=-
"wave1"=-
"mixer2"=-
"midi2"=-
"aux1"=-
"mixer1"=-
"midi1"=-
"wave2"=-
"99966498"=-
"99966487"=-

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen


Combofix noch mal anwenden
poste dann nach neustart das neue Log
__________
MfG Argus