TR/Drop.Troplex.A wie entfernen?

#1 AntiVir zeigt mir einen TR/Drop.Troplex.A an, ich kann jetzt leider relativ wenig machen, malwarebytes geht nicht, combofix, geht auch nicht, ich kann nichts starten ausser antivir und CCleaner! kann mir jemand helfen?

hier noch das hijack file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:52:37, on 26.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151603956094
O16 - DPF: {D27CDC6B-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe

--
End of file - 5882 bytes

#2 Aktualisiere Antivir, stelle es so ein wie hier beschrieben

http://board.protecus.de/t23979.htm

Ueberpruefe den Rechner und poste den erzeugten Report.

Sollte der Updatet nicht funktioniern, lade diese Datei herunter

http://dl.antivir.de/down/vdf/ivdf_fusebundle_nt_en.zip

speicher sie. Starte Antivir, waehle Update/Manuelles Update und gehe in den Ordner, in dem du die Datei gespeichert hast. Waehle die heruntergeladene datei aus und waehle ok
__________
MfG Ralf
SEO-Spam Hunter

#3 Hmmm, ich kann bei Antivir keinen kompletten scan durchführen, werde immer zum neustart aufgefordert, habe ich auch gemacht aber wenn ich nachher wieder scanne kommt wieder dasselbe! hier die berichte:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 26. Februar 2009 12:03

Es wird nach 1266872 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: User
Computername: PIT-PC

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:24:54
ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 00:14:05
ANTIVIR3.VDF : 7.1.2.86 125952 Bytes 26.02.2009 10:44:21
Engineversion : 8.2.0.93
AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 21:40:24
AESCRIPT.DLL : 8.1.1.55 352634 Bytes 26.02.2009 10:44:28
AESCN.DLL : 8.1.1.7 127347 Bytes 14.02.2009 19:24:56
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.8 397684 Bytes 04.02.2009 21:47:28
AEOFFICE.DLL : 8.1.0.35 201082 Bytes 26.02.2009 10:44:28
AEHEUR.DLL : 8.1.0.100 1618295 Bytes 26.02.2009 10:44:27
AEHELP.DLL : 8.1.2.1 119158 Bytes 26.02.2009 10:44:25
AEGEN.DLL : 8.1.1.22 336245 Bytes 26.02.2009 10:44:25
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 19:54:26
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 26. Februar 2009 12:03

Der Suchlauf nach versteckten Objekten wird begonnen.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090226-120354-23A1D4CA\AVSCAN-00000002.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090226-120354-23A1D4CA\AVSCAN-00000002.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090226-120354-23A1D4CA\AVSCAN-00000005.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090226-120354-23A1D4CA\AVSCAN-00000005.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.eyj.65
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090226-120354-23A1D4CA\AVSCAN-00000007.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090226-120354-23A1D4CA\AVSCAN-00000007.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.eyj.66
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090226-120354-23A1D4CA\AVSCAN-0000000C.sys
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090226-120354-23A1D4CA\AVSCAN-0000000C.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\AVSCAN-20090226-120529-37D3897E.avp' geschrieben.
c:\windows\system32\uacagyytjhd.dll
[FUND]
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0977d9.qua' verschoben!
c:\windows\system32\drivers\uacgrmkxppu.sys
[FUND]
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0977da.qua' verschoben!
c:\windows\system32\uacinit.dll
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacjndiucnp.dll
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacjuatauhv.dll
[FUND]
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\uacsaevncvm.dll
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uactfapwryo.dll
[FUND]
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\uactmp.db
[INFO] Die Datei ist nicht sichtbar.
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\uacwqbmxhdl.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacxccftokv.db
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\uacytblgkll.log
[INFO] Die Datei ist nicht sichtbar.
c:\windows\temp\uac4365.tmp
[INFO] Die Datei ist nicht sichtbar.
c:\dokumente und einstellungen\user\lokale einstellungen\temp\uacf763.tmp
[INFO] Die Datei ist nicht sichtbar.


Ende des Suchlaufs: Donnerstag, 26. Februar 2009 12:05
Benötigte Zeit: 01:38 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
13 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
8 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
2 Hinweise
40728 Objekte wurden beim Rootkitscan durchsucht
18 Versteckte Objekte wurden gefunden

und:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 26. Februar 2009 12:07

Es wird nach 1266872 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: PIT-PC

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:24:54
ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 00:14:05
ANTIVIR3.VDF : 7.1.2.86 125952 Bytes 26.02.2009 10:44:21
Engineversion : 8.2.0.93
AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 21:40:24
AESCRIPT.DLL : 8.1.1.55 352634 Bytes 26.02.2009 10:44:28
AESCN.DLL : 8.1.1.7 127347 Bytes 14.02.2009 19:24:56
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.8 397684 Bytes 04.02.2009 21:47:28
AEOFFICE.DLL : 8.1.0.35 201082 Bytes 26.02.2009 10:44:28
AEHEUR.DLL : 8.1.0.100 1618295 Bytes 26.02.2009 10:44:27
AEHELP.DLL : 8.1.2.1 119158 Bytes 26.02.2009 10:44:25
AEGEN.DLL : 8.1.1.22 336245 Bytes 26.02.2009 10:44:25
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 19:54:26
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: unknown
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\AVSCAN-20090226-120529-37D3897E.avp
Protokollierung..................: niedrig
Primäre Aktion...................: ignorieren
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: 1:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 26. Februar 2009 12:07

Die Reparatur des Systems wird gestartet.
c:\windows\system32\uacagyytjhd.dll
[FUND]
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\drivers\uacgrmkxppu.sys
[FUND]
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!


Ende des Suchlaufs: Donnerstag, 26. Februar 2009 12:07
Benötigte Zeit: 00:03 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise

#4 Ja, ist ein rootkit. Hilft es, wenn du die installationsdatei von Mbam umbenennst und dann startest? Das selbe gilt fuer Combofix. Beides am besten neu laden und gleich unter anderem Namen speichern. Als test.exe oder aehnlichem...

Ansonsten kann ich hier eine aktuelle Version anhaengen...
__________
MfG Ralf
SEO-Spam Hunter

#5 Ok, das mit dem umbenennen hat geklappt, mit combofix und antimalwarebytes

hier die berichte:

ComboFix 09-02-25.02 - User 2009-02-26 12:43:28.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1023.704 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\Teste.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\UACgrmkxppu.sys
c:\windows\system32\UACagyytjhd.dll
c:\windows\system32\UACcjnuofig.log
c:\windows\system32\UACjndiucnp.dll
c:\windows\system32\UACjuatauhv.dll
c:\windows\system32\UACsaevncvm.dll
c:\windows\system32\UACtfapwryo.dll
c:\windows\system32\UACvqrnhcal.log
c:\windows\system32\UACwqbmxhdl.dat
c:\windows\system32\UACxccftokv.db
c:\windows\system32\UACytblgkll.log

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys


((((((((((((((((((((((( Dateien erstellt von 2009-01-26 bis 2009-02-26 ))))))))))))))))))))))))))))))
.

2009-02-26 11:37 . 2009-02-26 11:37 1,917 --a------ c:\windows\imsins.BAK
2009-02-25 23:43 . 2009-02-26 12:07 1,896,749 --a------ c:\windows\system32\uactmp.db
2009-02-25 22:33 . 2009-02-25 22:33 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2009-02-25 22:33 . 2009-02-25 22:33 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2009-02-25 22:33 . 2009-02-25 22:33 81,920 --a------ c:\windows\ALCFDRTM.VER
2009-02-25 22:33 . 2009-02-25 22:33 81,920 --a------ c:\windows\ALCFDRTM.EXE
2009-02-25 21:37 . 2009-02-25 21:37 <DIR> d-------- c:\programme\WinPcap
2009-02-25 21:35 . 2009-02-26 10:09 5,166 --a------ c:\windows\system32\uacinit.dll
2009-02-23 08:30 . 2009-02-23 08:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd
2009-02-23 08:26 . 2009-02-23 08:26 <DIR> d-------- c:\programme\Gemeinsame Dateien\Logishrd
2009-02-23 08:26 . 2008-05-02 02:38 301,656 --a------ c:\windows\system32\BtCoreIf.dll
2009-02-07 17:59 . 2009-02-07 17:59 <DIR> d-------- c:\dokumente und einstellungen\User\eee

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-26 11:41 --------- d-----w c:\dokumente und einstellungen\User\Anwendungsdaten\DNA
2009-02-26 11:31 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-02-26 11:07 --------- d-----w c:\programme\DNA
2009-02-23 07:26 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-23 07:26 --------- d-----w c:\programme\Gemeinsame Dateien\Logitech
2009-02-15 15:40 413,696 ----a-w c:\windows\system32\wrap_oal.dll
2009-02-15 15:40 110,592 ----a-w c:\windows\system32\OpenAL32.dll
2009-01-10 14:16 --------- d-----w c:\dokumente und einstellungen\User\Anwendungsdaten\Logitech
2009-01-10 14:15 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2009-01-10 14:15 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_LUsbFilt_01005.Wdf
2009-01-10 14:15 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2009-01-10 14:14 --------- d-----w c:\programme\Logitech
2009-01-10 14:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech
2008-12-31 17:57 --------- d-----w c:\programme\Bonjour
2008-12-31 17:56 --------- d-----w c:\programme\iTunes
2008-12-31 17:56 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-31 17:55 --------- d-----w c:\programme\iPod
2008-12-31 17:55 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-31 17:54 --------- d-----w c:\programme\QuickTime
2008-12-30 18:33 --------- d-----w c:\programme\Electronic Arts
2008-12-30 18:22 --------- d-----w c:\programme\Avira
2008-12-30 18:22 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-12 10:18 87,336 ----a-w c:\windows\system32\dns-sd.exe
2008-12-12 10:11 61,440 ----a-w c:\windows\system32\dnssd.dll
2007-02-05 16:29 61,038 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2007-02-05 16:29 49,256 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2007-02-05 16:29 166,000 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
2008-09-29 08:38 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008092920080930\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2007-04-03 165784]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BitTorrent DNA"="c:\programme\DNA\btdna.exe" [2008-12-16 342848]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-12 339968]
"type32"="c:\programme\Microsoft IntelliType Pro\type32.exe" [2004-03-19 184320]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\point32.exe" [2004-03-19 212992]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-06-17 c:\windows\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2006-06-17 c:\windows\alcwzrd.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-01-10 805392]
Mountit.lnk - c:\programme\Roxio\WinOnCD 6 DVD\MountIt.exe [2003-05-08 1159232]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\EA Games\\Command and Conquer Generäle\\patchget.dat"=
"c:\\Programme\\EA Games\\Command and Conquer Generäle\\game.dat"=
"c:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\patchget.dat"=
"c:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\game.dat"=
"c:\\Programme\\Westwood\\SUN\\GAME.ICD"=
"c:\\Programme\\Westwood\\SUN\\Game.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=
"c:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\generals.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"c:\\Programme\\Ubisoft\\Funatics\\Die Siedler II - Die nächste Generation\\bin\\S2DNG.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"=
"c:\\Programme\\Die Gilde 2\\GuildII.exe"=
"c:\\Programme\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe"=
"c:\\Programme\\Anno 1701\\Anno1701.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bohemia Interactive\\ArmA\\arma.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Railroads!\\RailRoads.exe"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"=
"c:\\Programme\\Die Gilde 2 - Die Seeräuber der Hanse\\GuildII.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.8\\cnc3game.dat"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\SEGA\\Medieval II Total War\\medieval2.exe"=
"c:\\Programme\\SEGA\\Medieval II Total War\\kingdoms.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold_Crusader_Extreme.exe"=
"c:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\OpenTTD\\openttd.exe"=
"c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization IV Colonization\\Colonization.exe"=
"d:\\Microsoft Games\\Zoo Tycoon 2\\zt.exe"=
"d:\\HDEX\\CloneCD-Image Dateien\\Wiggles\\Wiggles.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Bohemia Interactive\\ArmA\\arma_server.exe"=

R0 c2scsi;c2scsi;c:\windows\system32\drivers\C2SCSI.SYS [2003-03-18 215936]
R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [2006-07-23 53760]
R2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-15 34064]
R3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);c:\windows\system32\drivers\A3AB.sys [2005-03-22 396480]
S3 bDMusicb;bDMusicb;\??\c:\dokume~1\User\LOKALE~1\Temp\bDMusicb.sys --> c:\dokume~1\User\LOKALE~1\Temp\bDMusicb.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02029f41-fdcd-11da-8c84-806d6172696f}]
\Shell\AutoRun\command - F:\setup.exe
.
Inhalt des "geplante Tasks" Ordners

2009-02-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath -

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://branding/content/searchconfig.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("signon.prefillForms", true);
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-26 12:47:08
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-776561741-854245398-1425351587-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:72,e1,db,56,6d,4e,45,e3,0a,84,a6,20,ab,43,db,aa,4a,f0,8a,3d,0e,d9,72,
bd,8f,e6,ff,a7,3f,78,34,ff,12,85,93,60,f4,a8,54,48,91,3f,47,5c,22,e2,f6,6b,\
"??"=hex:95,2d,dc,1d,5e,c2,92,df,ad,50,b4,52,0e,45,cc,66

[HKEY_USERS\S-1-5-21-776561741-854245398-1425351587-1003\Software\SecuROM\License information*]
"datasecu"=hex:da,20,cb,d8,25,5a,ca,9d,e1,86,60,9b,4d,2f,6f,f7,82,17,06,dc,e4,
2d,9d,c7,95,9e,2c,30,71,76,ae,70,6a,16,e4,6a,e2,e0,cb,bf,7a,3c,e6,2d,50,31,\
"rkeysecu"=hex:88,e4,e9,ba,1a,35,1d,e6,7a,a1,72,5d,f6,d1,3f,2a

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(844)
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2009-02-26 12:48:41
ComboFix-quarantined-files.txt 2009-02-26 11:48:32

Vor Suchlauf: 6,837,161,984 Bytes frei
Nach Suchlauf: 6,825,164,800 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

211 --- E O F --- 2009-02-25 12:42:21

und

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1806
Windows 5.1.2600 Service Pack 3

26.02.2009 12:54:50
mbam-log-2009-02-26 (12-54-50).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 67423
Laufzeit: 4 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.

so und hier noch der komplette scan! sorry

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1806
Windows 5.1.2600 Service Pack 3

26.02.2009 14:07:13
mbam-log-2009-02-26 (14-07-13).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 209379
Laufzeit: 54 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{3D82A26F-FEC4-42DD-817B-0CC08AD50982}\RP157\A0019751.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3D82A26F-FEC4-42DD-817B-0CC08AD50982}\RP157\A0019752.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3D82A26F-FEC4-42DD-817B-0CC08AD50982}\RP157\A0019753.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

siehts schon ein bisschen besser aus?

#6 Ja, bitte noch diese Datei loeschen:

c:\windows\system32\uactmp.db

und dann nochmal mit Antivir scannen... und den Report posten...
__________
MfG Ralf
SEO-Spam Hunter

#7 So ich hab die Datei aus der Quarantäne entfernt die war nicht im windows ordner, ist das auch ok?

und hier der antivir report:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 26. Februar 2009 14:24

Es wird nach 1266872 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: User
Computername: PIT-PC

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:24:54
ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 00:14:05
ANTIVIR3.VDF : 7.1.2.86 125952 Bytes 26.02.2009 10:44:21
Engineversion : 8.2.0.93
AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 21:40:24
AESCRIPT.DLL : 8.1.1.55 352634 Bytes 26.02.2009 10:44:28
AESCN.DLL : 8.1.1.7 127347 Bytes 14.02.2009 19:24:56
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.8 397684 Bytes 04.02.2009 21:47:28
AEOFFICE.DLL : 8.1.0.35 201082 Bytes 26.02.2009 10:44:28
AEHEUR.DLL : 8.1.0.100 1618295 Bytes 26.02.2009 10:44:27
AEHELP.DLL : 8.1.2.1 119158 Bytes 26.02.2009 10:44:25
AEGEN.DLL : 8.1.1.22 336245 Bytes 26.02.2009 10:44:25
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 19:54:26
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 26. Februar 2009 14:24

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '40770' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cidaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKKBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '64' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HD 1>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.F-Programmes
--> SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0f9922.qua' verschoben!
C:\Dokumente und Einstellungen\User\Desktop\Teste.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a199925.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_UACgrmkxppu_.sys.zip
[0] Archivtyp: ZIP
--> UACgrmkxppu.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e7a30e.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <HD 2>


Ende des Suchlaufs: Donnerstag, 26. Februar 2009 15:44
Benötigte Zeit: 1:19:56 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

12261 Verzeichnisse wurden überprüft
414672 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
414666 Dateien ohne Befall
1881 Archive wurden durchsucht
2 Warnungen
3 Hinweise
40770 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

#8 Sehr schoen. deaktiviere bitte den Antivir Guard und gebe unter start/ausfuehren
combofix /u
ein und druecke enter. Das loescht dir Combofix von dem Rechner.....
__________
MfG Ralf
SEO-Spam Hunter

#9 ok hab ich gemacht! kann ich die quarantäne jetzt auch löschen? Dort sind noch verschiedenste dateien!?

#10 Ja, du kannst die Dateien dort loeschen(lassen)
__________
MfG Ralf
SEO-Spam Hunter

#11 Dann ist jetzt alles wieder clean?

Ich danke vielmals für die kompetente Hilfe, auf Euch ist einfach immer Verlass! Besten Dank

#12 Das sieht sauber aus. Halte dich bitte von Software fern, die nicht aus vertrauenswuerdigen Quellen stammen! Normalerweise ist diese Art von Infektionen immer Ursache von Nutzung nicht vertrauenswuerdiger Software!
__________
MfG Ralf
SEO-Spam Hunter

#13 Ok, werd mir Mühe geben. Danke nochmals vielmals

Piterpan