Kann bitte jemand diese Logs checken...

#1 Hallo zusammen,

irgendwie habe ich mir (durch Eigenverschulden) heute wohl etwas eingefangen und direkt recherchiert was da los sein könnte.

Angefangen hat übrigens alles damit, dass nach Neustart meines Systems plötzlich Windows User-Anmeldemaske erschienen ist. Ich mußte mich nie im System einloggen! Anschließend habe ich die Meldung erhalten, dass die CRC Summe bei meinem AntiVir nicht passt.

Ich habe daraufhin Malwarebytes laufen lassen und ein paar infizierte Dateien entdeckt. Anschließend habe ich ComboFix laufen lassen. Zum Schluss habe ich dann noch ein HiJackThis Logfile und eine uninstall_list erstellt.

Diese Files werde ich nun hier posten, in der Hoffnung, dass man mir "entwarnung" gibt und ich den Virus oder Trojaner auf einfachem Wege entfernen kann.

=================
Die ComboFix Logdatei
=================

ComboFix 09-02-15.01 - ****** 2009-02-16 9:51:33.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2047.1542 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\*****\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\inf\rundll33.exe
c:\windows\xccwinsys.ini

[COLOR=RED] c:\windows\system32\userinit.exe . . . ist infiziert!![/COLOR]

[COLOR=RED] c:\windows\explorer.exe . . . ist infiziert!![/COLOR]

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-16 bis 2009-02-16 ))))))))))))))))))))))))))))))
.

2009-02-16 09:25 . 2009-02-16 09:25 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-16 09:25 . 2009-02-16 09:25 <DIR> d-------- c:\dokumente und einstellungen\*****\Anwendungsdaten\Malwarebytes
2009-02-16 09:25 . 2009-02-16 09:25 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-16 09:25 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-16 09:25 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-16 09:14 . 2009-02-16 09:14 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth
2009-02-16 09:00 . 2009-02-16 09:00 <DIR> d-------- c:\programme\IVT Corporation
2009-02-16 09:00 . 2004-09-21 18:18 148,830 --a------ c:\windows\system32\drivers\bcbthub.sys
2009-02-16 09:00 . 2004-09-21 18:18 116,021 --a------ c:\windows\system32\drivers\fw203x.sys
2009-02-16 09:00 . 2004-11-05 11:39 82,148 --a------ c:\windows\system32\drivers\VcommMgr.sys
2009-02-16 09:00 . 2004-10-19 13:37 61,312 --a------ c:\windows\system32\drivers\VComm.sys
2009-02-16 09:00 . 2004-10-19 13:40 28,207 --a------ c:\windows\system32\drivers\BTHidMgr.sys
2009-02-16 09:00 . 2004-11-08 10:22 24,152 --a------ c:\windows\system32\drivers\btcusb.sys
2009-02-16 09:00 . 2004-10-19 11:39 20,096 --a------ c:\windows\system32\drivers\blueletaudio.sys
2009-02-16 09:00 . 2004-09-21 18:18 13,299 --a------ c:\windows\system32\drivers\packet.sys
2009-02-16 09:00 . 2004-09-22 18:08 12,504 --a------ c:\windows\system32\drivers\VHIDMini.sys
2009-02-16 09:00 . 2004-09-21 18:18 11,604 --a------ c:\windows\system32\drivers\vbtenum.sys
2009-02-16 09:00 . 2004-09-21 18:15 10,804 --a------ c:\windows\system32\drivers\BtNetDrv.sys
2009-02-16 09:00 . 2004-09-21 18:18 7,680 --a------ c:\windows\system32\btinstall.dll
2009-02-16 08:49 . 2009-02-16 09:51 <DIR> d-------- c:\windows\system32\inf
2009-02-16 08:49 . 2009-02-16 08:49 74,603 --a------ c:\windows\system32\sgkqyuk
2009-02-16 08:27 . 2009-02-16 08:59 32 --a------ c:\windows\0
2009-02-16 08:27 . 2009-02-16 08:27 0 --a------ c:\windows\system32\0
2009-01-29 09:20 . 2009-01-29 09:20 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-01-29 09:19 . 2009-01-29 09:19 <DIR> d-------- c:\programme\Gemeinsame Dateien\Skype

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-16 08:07 --------- d-----w c:\dokumente und einstellungen\*****\Anwendungsdaten\Skype
2009-02-16 08:05 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-16 07:40 --------- d-----w c:\dokumente und einstellungen\*****\Anwendungsdaten\skypePM
2009-02-15 12:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-13 15:29 --------- d-----w c:\programme\FlashFXP
2009-02-13 12:06 --------- d-----w c:\programme\phpDesigner 2008
2009-02-03 05:59 --------- d-----w c:\dokumente und einstellungen\*****\Anwendungsdaten\Dropbox
2009-01-29 08:19 --------- d-----w c:\programme\Skype
2009-01-15 19:07 --------- d-----w c:\programme\Backlinkcheck
2009-01-15 10:00 --------- d-----w c:\programme\Audiograbber
2009-01-07 22:39 20,744 ----a-w c:\windows\system32\drivers\BtHidBus.sys
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-20 16:26 --------- d-----w c:\programme\Hewlett-Packard
2008-12-19 06:59 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-19 06:59 --------- d-----w c:\programme\Java
2008-12-18 11:01 --------- d-----w c:\programme\Linktausch
2008-03-27 09:37 32 -c--a-w c:\programme\DumpTimererror.log
2008-03-19 08:45 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-09-24 06:25 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008092420080925\index.dat
.

------- Sigcheck -------

2008-04-14 03:22 1054208 c81652d106715caedd5833c9891931d6 c:\windows\explorer.exe
2007-06-13 14:10 1053696 cd4d6c1e3e1af50ff6cb14cd223624d9 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 14:21 1053184 042b013ec104f50ce06494fd8355bae7 c:\windows\$NtServicePackUninstall$\explorer.exe
2006-02-28 13:00 1052160 9cb5503ca4238af5f6158ae4fab80a7a c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-14 03:22 1053696 30d3adf5a2513239407cfcd76294606a c:\windows\ServicePackFiles\i386\explorer.exe

2006-02-28 13:00 41984 841a7a87ee881e3acbf5eb1772e97da7 c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-14 03:23 43520 3fb1330db04007522d5f37705aed7758 c:\windows\ServicePackFiles\i386\userinit.exe
2008-04-14 03:23 43520 56c77b3102b748a14f5cec67c6321548 c:\windows\system32\userinit.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 17:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 17:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 17:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 17:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 17:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 17:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 17:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 17:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 17:52 80384 --a------ c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2008-09-07 08:20 143360 --a------ c:\programme\Dropbox\DropboxExt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2008-09-07 08:20 143360 --a------ c:\programme\Dropbox\DropboxExt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2008-09-07 08:20 143360 --a------ c:\programme\Dropbox\DropboxExt.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2007-04-03 165784]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Google Update"="c:\dokumente und einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-12-12 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 286977]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-19 136600]
"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 244736]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 176128]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 532776]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 c:\windows\SOUNDMAN.EXE]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
BlueSoleil.lnk - c:\programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2009-02-16 1064960]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-05-26 123904]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= c:\dokumente und einstellungen\*****\Desktop\DSC_0226.JPG
FriendlyName=

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\explorer.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3codec"= l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\userinit.exe]
"Debugger"=kcnnnqq.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\xampp\\apache\\bin\\apache.exe"=
"c:\\Programme\\FlashFXP\\FlashFXP.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\xampp\\mysql\\bin\\mysqld.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\RealVNC\\VNC4\\vncviewer.exe"=
"c:\\Programme\\phpDesigner 2008\\phpDesigner2008.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=

R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2009-01-07 20744]
R0 uliagpkx;ULi AGP Bus Filter Driver;c:\windows\system32\drivers\AGPKX.SYS [2007-07-11 45056]
R2 Apache2.2;Apache2.2;c:\xampp\apache\bin\apache.exe [2007-03-05 16896]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [2007-07-11 28672]
S0 m5289;m5289;c:\windows\system32\DRIVERS\m5289.sys --> c:\windows\system32\DRIVERS\m5289.sys [?]
S3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [2008-12-07 30088]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-07-02 26248]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - BLUESOLEIL_HID_SERVICE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{422436bb-d807-11dc-930c-00138f6f320c}]
\Shell\AutoRun\command - H:\LaunchU3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2009-02-16 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-776561741-1958367476-725345543-1003.job
- c:\dokumente und einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-12-12 08:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.tuningsuche.de/
uInternet Settings,ProxyOverride = *.local
IE: Google AdSense Preview-Tool - http://pagead2.googlesyndication.com/pagead/preview/de/preview.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\vum526a3.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\dokumente und einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.141.5\npGoogleOneClick7.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-16 09:53:14
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\ampwo 74603 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(800)
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll
c:\programme\Bonjour\mdnsNSP.dll
.
Zeit der Fertigstellung: 2009-02-16 9:54:56
ComboFix-quarantined-files.txt 2009-02-16 08:54:32

Vor Suchlauf: 14 Verzeichnis(se), 27.915.616.256 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 28,874,752,000 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

257 --- E O F --- 2009-02-11 16:03:40



=================
HiJackThis Log
=================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:03:34, on 16.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\xampp\apache\bin\apache.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\xampp\apache\bin\apache.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Dokumente und Einstellungen\*****\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tuningsuche.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\explorer.exe,
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Google AdSense Preview-Tool - http://pagead2.googlesyndication.com/pagead/preview/de/preview.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.tuningsuche.de/libs/tools/imgupload/ImageUploader4.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.tuningsuche.de/libs/tools/imgupload/ImageUploader4.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O24 - Desktop Component 0: (no name) - C:\Dokumente und Einstellungen\*****\Desktop\DSC_0226.JPG

--
End of file - 8419 bytes


---------

Ach ja, eine Info noch: Ich wollte den McAfee Stinger starten aber auch da bekomme ich die Meldung, er sei bereits infiziert obwohl ich ihn erst heruntergeladen habe!!

#2 Hallo und willkommen an Board ;-)
Kannst du das malwarebytes log posten bitte.

#3 Ja klar, hier das Logfile:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1765
Windows 5.1.2600 Service Pack 3

16.02.2009 09:40:35
mbam-log-2009-02-16 (09-40-35).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 68627
Laufzeit: 5 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\8.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\A.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\inf\xccefb090131.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\xccdf32_090131a.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system\xccef090131.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.


Ach ja ich habe jetzt noch den online Scanner von Symantec über meinen Rechner laufen lassen.

Dieser hat folgendes gefunden:

C:\WINDOWS\system32\dllcache\cb32.exe is infected with Suspicious.MH690
C:\Programme\NetMeeting\cb32.exe is infected with Suspicious.MH690
C:\Programme\Gemeinsame Dateien\Java\Update\Base Images\jre1.6.0.b105\patch-jre1.6.0_07.b06\launcher.exe is infected with Suspicious.MH690
C:\Programme\Gemeinsame Dateien\Java\Update\Base Images\jre1.6.0.b105\patch-jre1.6.0_05.b13\launcher.exe is infected with Suspicious.MH690
C:\Programme\Gemeinsame Dateien\Java\Update\Base Images\jre1.6.0.b105\patch-jre1.6.0_03.b05\launcher.exe is infected with Suspicious.MH690
C:\Programme\Gemeinsame Dateien\Java\Update\Base Images\jre1.6.0.b105\patch-jre1.6.0_02.b06\launcher.exe is infected with Suspicious.MH690

Ich werde jetzt mal recherchieren um was es sich dabei handelt...

#4 nur den ersten fund finde ich interesannt... hier hochladen ergebniss posten:
http://www.virustotal.com/en/indexf.html

#5 Hier das Ergebnis der Datei C:\WINDOWS\system32\dllcache\cb32.exe:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.16 Virus.Win32.Virut.n!IK
AhnLab-V3 2009.2.14.0 2009.02.16 -
AntiVir 7.9.0.79 2009.02.16 -
Authentium 5.1.0.4 2009.02.15 -
Avast 4.8.1335.0 2009.02.16 -
AVG 8.0.0.237 2009.02.16 -
BitDefender 7.2 2009.02.16 -
CAT-QuickHeal 10.00 2009.02.16 -
ClamAV 0.94.1 2009.02.16 -
Comodo 978 2009.02.15 -
DrWeb 4.44.0.09170 2009.02.16 -
eSafe 7.0.17.0 2009.02.15 -
eTrust-Vet 31.6.6358 2009.02.14 -
F-Prot 4.4.4.56 2009.02.15 -
F-Secure 8.0.14470.0 2009.02.16 -
Fortinet 3.117.0.0 2009.02.16 -
GData 19 2009.02.16 -
Ikarus T3.1.1.45.0 2009.02.16 Virus.Win32.Virut.n
K7AntiVirus 7.10.582 2009.01.09 -
Kaspersky 7.0.0.125 2009.02.16 -
McAfee 5527 2009.02.15 New Win32
McAfee+Artemis 5527 2009.02.15 New Win32
Microsoft 1.4306 2009.02.16 -
NOD32 3856 2009.02.16 -
Norman 6.00.02 2009.02.13 -
nProtect 2009.1.8.0 2009.02.16 -
Panda 9.4.3.20 2009.02.15 -
PCTools 4.4.2.0 2009.02.15 -
Prevx1 V2 2009.02.16 -
Rising 21.17.02.00 2009.02.16 -
SecureWeb-Gateway 6.7.6 2009.02.16 -
Sophos 4.38.0 2009.02.16 -
Sunbelt 3.2.1851.2 2009.02.12 -
Symantec 10 2009.02.16 Suspicious.MH690.A
TheHacker 6.3.2.2.258 2009.02.16 -
TrendMicro 8.700.0.1004 2009.02.16 Possible_Virus
VBA32 3.12.8.12 2009.02.16 -
ViRobot 2009.2.16.1609 2009.02.16 -
VirusBuster 4.5.11.0 2009.02.15 -
weitere Informationen
File size: 32768 bytes
MD5...: 7972154150bf72c537ce048a1897c071
SHA1..: 91ad9bc1b61fc0f3d7ed6140d92f4d3007ac150e
SHA256: 5968a023149e618300f4d3cee6e9991fdf9400c951266f089e9dbbb9f5ae3939
SHA512: 621243c50e1df5781dfb967be03993cdee0208a308cca9614058f2157563a5e7
b5870001882460e0fe531215fe00451727ddee6897fc654302583b2099f257ca
ssdeep: 384:VM3FWrs38Kfqc22wf/if2bu0HH6VaDd7NWncDq6wJI2aKvtg79:8M7328/0Q
taVWdpWncDn2F2
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x406f51
timedatestamp.....: 0x3b7d8344 (Fri Aug 17 20:49:08 2001)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x458 0x1000 2.10 f7b6a9c5dcc1ccd594c28b19b33e9f62
.rsrc 0x2000 0x6000 0x6000 6.52 0efa5ca7b78881c4e1fc75cb5be42584

( 2 imports )
> KERNEL32.dll: ExitProcess
> ole32.dll: CoCreateInstance, CoInitialize, CoUninitialize

( 0 exports )

#6 hallo versuche mal kopieren der folgenden daeien zu erstellen in einen neu von dir angelegten ordner:
c:\windows\system32\userinit.exe
c:\windows\explorer.exe

dann lad die bei virus pttal hoch

#7 Hallo Virenfinder,

ich denke du kannst dieses Thema zu den Akten legen, ich habe vorhin beschlossen, meinen Rechner neu aufzusetzen.
Das ist wohl die sauberste Variante, auch wenn ich jetzt ein paar Stunden zeit investieren muss.

Danke für Deine Mühe...

#8 hallo könntest du wenigstens noch so lange mitarbeiten bis ich einige files in eni zip archiv habe, das was du hochgeladen hast, war neu, userinit.exe und explorer.exe sind infiziert das ist für die antivirenhersteller immer interesannt und einen rootkit hast du vllt auch noch. ich möchte die files haben, so das ich sie an antivirenhersteller verteilen kann, so das andere und du in zukunft davor sicher sind!

#9 Ich würde dir gerne noch helfen aber kopieren der Dateien ist leider nicht mehr möglich, es kommt eine Fehlermeldung beim einfügen in ein neues Verzeichnis.
Ich komme auch nur noch auf Umwegen in eine Exploreransicht indem ich über den Arbeitsplatz gehe.

Meine Hauptsorge momentan ist, dass ich noch ein paar Sachen sichern wollte aber auch das nicht mehr geht... der Rechner wird immer langsamer, habe ich den Eindruck.

Scheinbar greift das Ding alle EXE Dateien an die ich aufrufen möchte.

Ich versuche jetzt noch die beiden dateien direkt hochzuladen:
c:\windows\system32\userinit.exe
c:\windows\explorer.exe

Zur Info:
Hochladen der beiden Dateien ist leider nicht möglich:
0 bytes size received / Se ha recibido un archivo vacio

#10 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

files to delete:
c:\windows\system32\ampwo
C:\WINDOWS\system32\dllcache\cb32.exe
C:\Programme\NetMeeting\cb32.exe
C:\Programme\Gemeinsame Dateien\Java\Update\Base Images\jre1.6.0.b105\patch-jre1.6.0_07.b06\launcher.exe
C:\Programme\Gemeinsame Dateien\Java\Update\Base Images\jre1.6.0.b105\patch-jre1.6.0_05.b13\launcher.exe
C:\Programme\Gemeinsame Dateien\Java\Update\Base Images\jre1.6.0.b105\patch-jre1.6.0_03.b05\launcher.exe
C:\Programme\Gemeinsame Dateien\Java\Update\Base Images\jre1.6.0.b105\patch-jre1.6.0_02.b06\launcher.exe
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

im ordner vom avenger ist nun eine backup.zip die brauch ich
markusg@paules-pc-forum.de
bei wininit.exe und explorer.exe wo cih dich gebeten hab kopieen anzulegen, nutze winzip packe die daetien versieh sie mit nem passwort
infected
sende die an die selbe mailadresse. dann kannst deinen pc formatieren.
danke für die mitarbeit!

#11 ja du hast n file infector. erstelle das erste script mal bitte.
hast du einen 2ten rechn er zur verfügung? mit brenner

#12 Ja, ich habe einen zweiten Rechner zur Verfügung, mit dem bin ich gerade online.
Die Schritte kann ich nicht mehr durchführen, da ich mich nicht mehr in den anderen Rechner einloggen kann.
Ich bekomme die Windows Login Maske zu sehen und lande nachdem ich bestätigt habe wieder bei der Login Maske. Ich denke, mein Userprofil ist zerstört.

Weder im abgesicherten Modus, noch sonstwie komme ich ans System heran.

Schlimmer noch:
Im Moment schaffe ich ich es nicht mal, den Rechner neu zu installieren. Irgendwas liegt da sehr im Argen ... ich habe schon die Vermutung, es könnte sogar an der Hardware liegen... das wäre allerdings ein sehr großer Zufall...

Definiere mal bitte was du unter File Infector verstehst ... also so wie ich das sehe wurden gezielt EXE Dateien zerstört.

#13 also, um deine daten zu retten könntest du zum beispiel das avira rescue system verwenden, dann kannst du auf deinen rechner von cd aus zugreifen.
www.free-av.de/de/tools/12/avira_antivir_rescue_system.html - 9k -
aber keine programme retten nur bilder texte etc

#14 Vielen Dank nochmals für Deine Unterstützung. Ich habe den Rechner nun neu installiert. Auch wenn mich das einen Tag Ausfall gekostet hat war eine Neuinstallation vielleicht auch mal wieder notwendig.

Ich hoffe, du konntest mit meinen Informationen etwas anfangen.

#15 Hätte gern die files gehabt, kann man aber nichts machen.
1. windows updates einspielen auch sp3 und ie7 update dein windows zeitnahe zu jedem 2 dienstag im monat, da kommen win updates raus.
2. surfe nicht als admin, sondern als gast, Arbeitsplatz,systemsteuerung benutzerkonten dort ein eingeschrenktes errichten.
3. For dem ersten gang ins Internet, update dein antivirenprogramm.
4. malwarebytes solltest du auch auf dem system haben, 1 mal pro Woche updaten und dein system Scannen lassen. Auch mit deinem Antivirenprogramm 1 mal pro Woche scannen.
5. Auch der Rest deiner Software muss ein mal pro Monat auf Updates überprüft werden. Nutze dafür den Secunia Software Inspector:
www.pcwelt.de/downloads/datenschutz/sicherheit/88366/secunia_personal_software_inspector_psi/ - 50k -
Diese Schritte sollten dein System sicherer machen.