Virus oder unerwünschtes Programm "TR/Spy.Gen" [trojan] taucht immer wieder auf

#31 das ist nichts gefährliches was gefunden wurde, mirc um genau zu sein.
hast du den CCleaner noch mal angewendet und geschaut obs läuft?

#32 mirc brauche ich nicht, daher habe ich jetzt auch gar nicht versucht es zu starten. Das nutze ich seit Jahren nicht mehr.

Vorhin habe ich mit F-Secure einen Online-Scan durchgeführt:

Scanned:

* Files: 31457
* System: 3973
* Not scanned: 6

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* Not cleaned: 0
* Submitted: 0

Files not scanned:

* J:\PAGEFILE.SYS
* J:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* J:\WINDOWS\SYSTEM32\CONFIG\SAM
* J:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* J:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* J:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

Anschließend neu gestartet und mit Eset gescannt, der hat einen Treffer gehabt:

J:\System Volume Information\_restore{DEDE8F54-D1AB-48A5-A5CE-189AE4F32B4C}\RP4\A0000876.DLL Win32/Agent.QOH trojan cleaned by deleting - quarantined

Ich habe das Gefühl, das System ist langsam sauber. Dann wundern mich aber solche Treffer wie der oben um so mehr...Tipps?

#33 es ist die systemwiederherstellung.
j:\windows\system32\wupd.dat
kannst du die bitte noch löschen?

#34 Finde die Datei nicht, auch nicht mit der Windows-Suche.

#35 bitte lade erneut combofix, erstelle erneut ein script wie auf seite 1


File::
j:\windows\system32\wupd.dat


poste das log

#36 Gestern gab es erneut einige Virenmeldungen, insbesondere durch Anti-Vir.

Habe CCleaner genutzt und erneut PC sauber gemacht, die Viren aus der Quarantäne gelöscht. Jetzt deine Anweisung befolgt und die wupd.dat mit Combofix gelöscht. Hier ist das Logfile von Combofix:

ComboFix 10-01-04.01 - Andrej 09.01.2010 16:14:24.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1323 [GMT 1:00]
ausgeführt von:: j:\dokumente und einstellungen\Andrej.ANDREJ\Desktop\Test-123.exe
Benutzte Befehlsschalter :: j:\dokumente und einstellungen\Andrej.ANDREJ\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"j:\windows\system32\wupd.dat"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

j:\windows\system32\wupd.dat

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-09 bis 2010-01-09 ))))))))))))))))))))))))))))))
.

2010-01-05 22:00 . 2010-01-05 22:00 -------- d-----w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Malwarebytes
2010-01-05 22:00 . 2010-01-05 22:00 -------- d-----w- j:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2010-01-05 21:46 . 2010-01-05 21:48 -------- d-----w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\QuickScan
2010-01-05 21:46 . 2010-01-02 23:26 697672 ----a-w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Mozilla\Firefox\Profiles\z8surrg5.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
2010-01-05 21:46 . 2010-01-02 23:26 789320 ----a-w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Mozilla\Firefox\Profiles\z8surrg5.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2010-01-05 21:38 . 2010-01-05 21:38 152576 ----a-w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-05 21:15 . 2010-01-05 21:38 79488 ----a-w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-01-02 22:09 . 2010-01-02 22:09 -------- d-----w- j:\programme\Windows Media Connect 2
2010-01-02 22:06 . 2010-01-02 22:07 -------- d-----w- j:\windows\system32\drivers\UMDF
2010-01-02 22:06 . 2010-01-02 22:06 -------- d-----w- j:\windows\system32\LogFiles
2009-12-31 14:03 . 2009-11-21 15:54 471552 -c----w- j:\windows\system32\dllcache\aclayers.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-09 14:03 . 2008-03-16 20:07 -------- d---a-w- j:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2010-01-08 18:08 . 2008-03-16 20:14 -------- d-----w- j:\programme\Gemeinsame Dateien\Symantec Shared
2010-01-08 18:07 . 2008-03-16 20:04 -------- d-----w- j:\programme\Norton Security Scan
2010-01-08 08:28 . 2008-03-16 20:07 -------- d-----w- j:\programme\Spyware Doctor
2010-01-07 18:54 . 2009-04-25 13:11 604416 ----a-w- j:\windows\system32\TUProgSt.exe
2010-01-07 18:54 . 2010-01-07 18:54 361216 ----a-w- j:\windows\system32\TuneUpDefragService.exe
2010-01-07 12:08 . 2010-01-07 12:08 -------- d-----w- j:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\F-Secure
2010-01-07 11:34 . 2008-03-16 16:35 79648 ----a-w- j:\dokumente und einstellungen\Andrej.ANDREJ\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-06 21:16 . 2010-01-06 21:16 -------- d-----w- j:\programme\ESET
2010-01-05 23:49 . 2009-05-02 14:27 -------- d-----w- j:\programme\Bonjour
2010-01-05 22:11 . 2008-03-17 19:09 -------- d-----w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\ICQ
2010-01-05 21:39 . 2008-09-24 11:17 -------- d-----w- j:\programme\Java
2010-01-05 21:02 . 2004-08-04 12:00 81126 ----a-w- j:\windows\system32\perfc007.dat
2010-01-05 21:02 . 2004-08-04 12:00 452300 ----a-w- j:\windows\system32\perfh007.dat
2010-01-05 10:30 . 2008-03-17 19:09 -------- d-----w- j:\programme\ICQToolbar
2010-01-04 13:52 . 2009-03-19 10:04 -------- d-----w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\TeamViewer
2010-01-04 13:52 . 2009-06-22 12:44 -------- d-----w- j:\programme\TeamViewer
2010-01-04 00:38 . 2008-03-16 20:10 -------- d-----w- j:\programme\Gemeinsame Dateien\Adobe
2010-01-01 22:10 . 2008-03-21 03:27 232 ----a-w- j:\windows\system32\mslck.dat
2009-12-29 21:42 . 2008-03-27 13:53 -------- d-----w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Skype
2009-12-29 21:36 . 2008-03-27 13:55 -------- d-----w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\skypePM
2009-12-07 21:37 . 2009-07-29 18:59 56816 ----a-w- j:\windows\system32\drivers\avgntflt.sys
2009-12-04 09:03 . 2009-12-04 09:03 251376 ----a-w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Mozilla\plugins\npgoogletalk.dll
2009-12-03 21:09 . 2009-12-03 21:09 34062 ----a-w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Move Networks\ie_bin\Uninst.exe
2009-12-03 21:09 . 2009-12-03 20:58 -------- d-----w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Move Networks
2009-11-21 15:54 . 2004-08-04 12:00 471552 ----a-w- j:\windows\AppPatch\aclayers.dll
2009-11-21 13:19 . 2009-09-05 07:39 -------- d-----w- j:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-11-21 13:19 . 2009-11-21 13:19 -------- d-----w- j:\programme\DVDVideoSoft
2009-11-13 13:26 . 2008-07-20 18:50 -------- d-----w- j:\programme\Safari
2009-11-13 13:24 . 2009-11-13 13:24 79144 ----a-w- j:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer\Installer Cache\Safari 5.31.21.10\SetupAdmin.exe
2009-11-13 13:22 . 2009-11-13 13:22 -------- d-----w- j:\programme\iPod
2009-11-13 13:22 . 2008-03-17 19:23 -------- d-----w- j:\programme\Gemeinsame Dateien\Apple
2009-11-13 13:17 . 2009-11-13 13:17 79144 ----a-w- j:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
2009-10-29 07:40 . 2004-08-04 12:00 916480 ------w- j:\windows\system32\wininet.dll
2009-10-21 05:38 . 2004-08-04 12:00 75776 ----a-w- j:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2004-08-04 12:00 25088 ----a-w- j:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-04 12:00 265728 ----a-w- j:\windows\system32\drivers\http.sys
2009-10-13 10:32 . 2004-08-04 12:00 271360 ----a-w- j:\windows\system32\oakley.dll
2009-10-12 13:38 . 2004-08-04 12:00 79872 ----a-w- j:\windows\system32\raschap.dll
2009-10-12 13:38 . 2004-08-04 12:00 150528 ----a-w- j:\windows\system32\rastls.dll
2009-12-04 09:17 . 2008-09-29 13:00 119808 ----a-w- j:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
2008-07-20 19:10 . 2008-03-16 20:05 67696 ----a-w- j:\programme\mozilla firefox\components\jar50.dll
2008-07-20 19:10 . 2008-03-16 20:05 54376 ----a-w- j:\programme\mozilla firefox\components\jsd3250.dll
2008-07-20 19:10 . 2008-03-16 20:05 34952 ----a-w- j:\programme\mozilla firefox\components\myspell.dll
2008-07-20 19:10 . 2008-03-16 20:05 46720 ----a-w- j:\programme\mozilla firefox\components\spellchk.dll
2008-07-20 19:10 . 2008-03-16 20:05 172144 ----a-w- j:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="j:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-16 68856]
"ICQ"="p:\icq6.5\ICQ.exe" [2009-11-16 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bluetooth Connection Assistant"="LBTWIZ.EXE -silent" [X]
"StartCCC"="j:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"PHIME2002ASync"="j:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="j:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"ISUSScheduler"="j:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-04-13 69632]
"ISUSPM Startup"="j:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 196608]
"Google Desktop Search"="j:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2009-12-04 30192]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 18944]
"CTHelper"="CTHELPER.EXE" [2006-08-11 17920]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"avgnt"="p:\avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ISTray"="j:\programme\Spyware Doctor\pctsTray.exe" [2008-02-01 1103240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="j:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

j:\dokumente und einstellungen\Andrej.ANDREJ\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - j:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

j:\dokumente und einstellungen\All Users.WINDOWS\Startmen�\Programme\Autostart\
Google Desktop.lnk - j:\programme\Google\Google Desktop Search\GoogleDesktop.exe [2008-9-29 30192]
Logitech SetPoint.lnk - p:\logitech\SetPoint\SetPoint.exe [2008-9-24 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 00:42 72208 ----a-w- j:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-09-04 11:08 935288 ----a-r- j:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
2009-08-13 14:51 177440 ----a-w- j:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2009-04-21 21:07 133104 ----atw- j:\dokumente und einstellungen\Andrej.ANDREJ\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-10-28 19:21 141600 ----a-w- p:\itunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 14:40 155648 ----a-w- j:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08 417792 ----a-w- p:\quicktime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-10-11 03:17 149280 ----a-w- j:\programme\Java\jre6\bin\jusched.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Orb"="j:\programme\Winamp Remote\bin\OrbTray.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="p:\quicktime\QTTask.exe" -atboottime
"Adobe Reader Speed Launcher"="p:\adobe\Reader 9.0\Reader\Reader_sl.exe"
"iTunesHelper"="p:\itunes\iTunesHelper.exe"
"Sony Ericsson PC Suite"="p:\sony ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"FreePDF Assistant"=j:\programme\FreePDF_XP\fpassist.exe
"LanguageShortcut"=p:\powerdvd\Language\Language.exe
"IMJPMIG8.1"="j:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"RemoteControl"=p:\powerdvd\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"p:\\Nero 7\\Nero Home\\NeroHome.exe"=
"j:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"j:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"j:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"p:\\Steam\\steamapps\\gara@esl-europe.net\\counter-strike source\\hl2.exe"=
"j:\\Dokumente und Einstellungen\\Andrej.ANDREJ\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
"j:\\Dokumente und Einstellungen\\Andrej.ANDREJ\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
"j:\\Programme\\Bonjour\\mDNSResponder.exe"=
"p:\\ICQ6.5\\ICQ.exe"=
"p:\\iTunes\\iTunes.exe"=
"j:\\Programme\\Skype\\Phone\\Skype.exe"=
"j:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;p:\avira\AntiVir Desktop\sched.exe [29.07.2009 19:59 108289]
R2 sdAuxService;PC Tools Auxiliary Service;j:\programme\Spyware Doctor\pctsAuxs.exe [16.03.2008 21:07 747912]
R2 WF23880;WinFast TV2000/DV2000 WDM Video Capture.;j:\windows\system32\drivers\wf88vcap.sys [16.03.2008 23:28 209171]
R2 WF88XBAR;WinFast TV2000/DV2000 WDM Crossbar.;j:\windows\system32\drivers\WF88XBAR.sys [16.03.2008 23:31 9284]
R2 WFTUNE;WinFast TV2000/DV2000 WDM Tuner.;j:\windows\system32\drivers\wf88tune.sys [16.03.2008 23:31 36261]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;j:\programme\Google\Google Desktop Search\GoogleDesktop.exe [29.09.2008 14:00 30192]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);j:\windows\system32\drivers\s115bus.sys [23.03.2008 00:41 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;j:\windows\system32\drivers\s115mdfl.sys [23.03.2008 00:41 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;j:\windows\system32\drivers\s115mdm.sys [23.03.2008 00:41 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);j:\windows\system32\drivers\s115mgmt.sys [23.03.2008 00:41 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;j:\windows\system32\drivers\s115obex.sys [23.03.2008 00:41 98568]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?]
S3 SPC620;Philips SPC620NC PC Camera;j:\windows\system32\drivers\SPC620.sys [21.04.2009 10:04 484352]
S3 SPC620m;Philips SPC620NC PC Cameram;j:\windows\system32\drivers\SPC620m.sys [21.04.2009 10:04 7680]
S3 WFIOCTL;WFIOCTL;\??\p:\winfast\WFDTV\WFIOCTL.SYS --> p:\winfast\WFDTV\WFIOCTL.SYS [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mchInjDrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-01-09 j:\windows\Tasks\1-Klick-Wartung.job
- p:\tuneup utilities 2009\OneClickStarter.exe [2009-04-27 12:39]

2010-01-08 j:\windows\Tasks\AppleSoftwareUpdate.job
- j:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-01-08 j:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-1844237615-725345543-1004Core.job
- j:\dokumente und einstellungen\Andrej.ANDREJ\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-04-21 21:07]

2010-01-09 j:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-1844237615-725345543-1004UA.job
- j:\dokumente und einstellungen\Andrej.ANDREJ\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-04-21 21:07]

2010-01-08 j:\windows\Tasks\Norton Security Scan.job
- j:\programme\Norton Security Scan\Nss.exe [2007-09-18 22:42]

2010-01-09 j:\windows\Tasks\User_Feed_Synchronization-{187701C6-96ED-42FC-BEEC-F09F9CDB9C9B}.job
- j:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://ionas.rz.uni-mannheim.de/system/start.pl
uInternet Settings,ProxyOverride = *.local
IE: An vorhandene PDF-Datei anfügen - j:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Linkziel an vorhandene PDF-Datei anhängen - j:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - j:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft &Excel exportieren - p:\micros~1\OFFICE11\EXCEL.EXE/3000
IE: Save YouTube Video as MP3 - j:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - j:\programme\PokerStars.NET\PokerStarsUpdate.exe
FF - ProfilePath - j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Mozilla\Firefox\Profiles\z8surrg5.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.faz.net
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Mozilla\Firefox\Profiles\z8surrg5.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Mozilla\plugins\npgoogletalk.dll
FF - plugin: j:\dokumente und einstellungen\Andrej.ANDREJ\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: p:\adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF - plugin: p:\itunes\Mozilla Plugins\npitunes.dll
FF - plugin: p:\quicktime\Plugins\npqtplugin.dll
FF - plugin: p:\quicktime\Plugins\npqtplugin2.dll
FF - plugin: p:\quicktime\Plugins\npqtplugin3.dll
FF - plugin: p:\quicktime\Plugins\npqtplugin4.dll
FF - plugin: p:\quicktime\Plugins\npqtplugin5.dll
FF - plugin: p:\quicktime\Plugins\npqtplugin6.dll
FF - plugin: p:\quicktime\Plugins\npqtplugin7.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - j:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-09 16:22
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="J?\\WINDOWS\\system32\\FM20ENU.DLL"
"7040710900063D11C8EF10054038389C"="J?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1564)
j:\windows\system32\Ati2evxx.dll
j:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
j:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2010-01-09 16:26:02
ComboFix-quarantined-files.txt 2010-01-09 15:25
ComboFix2.txt 2010-01-09 15:07
ComboFix3.txt 2010-01-06 16:10

Vor Suchlauf: 7 Verzeichnis(se), 37.624.586.240 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 37.605.842.944 Bytes frei

- - End Of File - - 97D84F80B73A4261D253ABA6FD6CB779

#37 was hat avira gefunden, poste den text der meldungen, zu finden entweder unter berichte oder ereignisse.
wenn das kein ende nimmt, solltest du vllt wirklich neu aufsetzen,
das mit der swh de und reaktivieren hast du auch gemacht?

#38 Gestern hat erst Norton Security Check gefunden:

Cookie:
Cookie:mein Name@atwola.com/

Und dann, während der Scan lief hat Antivir gefunden:

In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\000003DA'
wurde ein Virus oder unerwünschtes Programm 'W32/CTX' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\00000363'
wurde ein Virus oder unerwünschtes Programm 'W32/CTX' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\000003F3'
wurde ein Virus oder unerwünschtes Programm 'W32/CTX' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\000004AE'
wurde ein Virus oder unerwünschtes Programm 'W32/CTX' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Wir kriegen das hin, wir sind schon so viele Schritte gelaufen, jetzt springen wir doch nicht in den Abgrund, der heißt: Neuinstallieren!

Lasse jetzt, nach einem CCleaner und Neustart nochmal die Online-Scanner Eset und f-secure, anschließend Antivir und Norton Security Cleaner laufen, falls die was finden, melde ich mich. Schönen Samstagabend noch und vielen Dank nochmal.

PS.: Ja, Systemwiederherstellung hatte ich deaktiviert, nach 10 Mins etwa wieder aktiviert. Aber ganz ehrlich: Brauch ich die? Will meine Daten ohnehin sichern - aber eben erst, wenn die Dateien clean sind.

#39 sind dateien im tempverzeichniss. hast du zusätzliche ordner bereinigen lassen wie beschrieben, also mit dem CCleaner?
http://www.chip.de/downloads/a-squared-Free_12992945.html
probier das, klicke scan, eigener scan, wähle alle laufwerke, hake heuristik an, funde in quarantäne, log posten.

#40 Oui, erledigt wie beschrieben. Säubere mit CCleaner auch immer gleich die Registry.
F-Secure Online Check hat gerade nichts gefunden!
Statistics
Scanned:

* Files: 31973
* System: 3892
* Not scanned: 6

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* Not cleaned: 0
* Submitted: 0

Files not scanned:

* J:\PAGEFILE.SYS
* J:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* J:\WINDOWS\SYSTEM32\CONFIG\SAM
* J:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* J:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* J:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

Es geht weiter...

#41 Gestern gechecked mit a-squared free:

a-squared Free - Version 4.5
Letztes Update: 09.01.2010 20:25:34

Scan Einstellungen:

Scan Methode: Eigener Scan
Objekte: Speicher, Traces, Cookies, J:\, L:\, M:\, P:\, V:\
Archiv Scan: An
Heuristik: An
ADS Scan: An

Scan Beginn: 09.01.2010 20:27:05

J:\System Volume Information\_restore{437DE610-F43E-430E-B188-96FF4A3C592B}\RP1\A0000339.exe gefunden: Worm.Win32.AutoRun.avit!A2

Gescannt

Dateien: 115023
Traces: 647025
Cookies: 19
Prozesse: 44

Gefunden

Dateien: 1
Traces: 0
Cookies: 0
Prozesse: 0
Registry Keys: 0

Scan Ende: 09.01.2010 21:53:15
Scan Zeit: 1:26:10

J:\System Volume Information\_restore{437DE610-F43E-430E-B188-96FF4A3C592B}\RP1\A0000339.exe Gelöscht Worm.Win32.AutoRun.avit!A2

Gelöscht

Dateien: 1
Traces: 0
Cookies: 0


Auch gestern entdeckt von Antivir:

In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\OnlineScanner\updates\aquawin32\cran.cvd'
wurde ein Virus oder unerwünschtes Programm 'Trivial-28 (A)' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\OnlineScanner\updates\aquawin32\cran.ivd'
wurde ein Virus oder unerwünschtes Programm 'HTML/Silly.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\OnlineScanner\updates\aquawin32\jpeg.xmd'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'M:\Downloads\Firefox-Downloads\bigmap.zip'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben


Gerade erneut gechecked mit a-squared free:

a-squared Free - Version 4.5
Letztes Update: 10.01.2010 16:28:49

Scan Einstellungen:

Scan Methode: Eigener Scan
Objekte: Speicher, Traces, Cookies, J:\, L:\, M:\, P:\, V:\
Archiv Scan: An
Heuristik: An
ADS Scan: An

Scan Beginn: 10.01.2010 16:31:09

P:\Cisco Systems\VPN Client\ppptool.exe gefunden: Heuristic.Dialer.RAS!A2

Gescannt

Dateien: 181711
Traces: 647025
Cookies: 40
Prozesse: 44

Gefunden

Dateien: 1
Traces: 0
Cookies: 0
Prozesse: 0
Registry Keys: 0

Scan Ende: 10.01.2010 18:42:48
Scan Zeit: 2:11:39

Die ppptool.exe dürfte aber kein Virus/Trojaner sein, sie ist Bestandteil des VPN-Clients, den ich brauche, um ins Uninetz zu connecten...

Während des Scans mit a-squared free meldete sich Antivir zu Worte mit der Meldung:

In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\OnlineScanner\updates\aquawin32\cran.cvd'
wurde ein Virus oder unerwünschtes Programm 'Trivial-28 (A)' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern


What to do? Vielen Dank für euer Durchhaltevermögen!

#42 avira findet den f-secure scanner, nach CCleaner sollte das weg sein, der heuristische fund war ein fehlalarm, ich kann nichts weiter auf dem system sehen.

#43 Na, das klingt doch schon sehr positiv!
Gerade läuft ein (abschließender) ESET Online Scan, Log poste ich.

Besten Dank und viele Grüße

#44 den aber auch deinstalieren bitte am schluss.

#45 Eset Online Scanner hat nichts gefunden, ist deinstalliert.
Combofix ist auch deinstalliert.
Software in der Systemsteuerung nach wie vor leer, aber nicht weiter tragisch, da ich über ccleaner Programme deinstallieren kann. Aber falls jemand eine Idee hat, woran das liegt, dadrf er es gerne sagen.

Jetzt noch abschließend ein paar Tests und dann nochmal Antivir.
Besten Dank für die Hilfe, bin echt froh, dass es am Ende doch noch geklappt hat! Super Forum hier, werde ich weiterempfehlen.
Beste Grüße.

PS.: Soeben wollte ich den PC auf Windows-Updates checken, das ging nicht. Folgende Meldung kam:
"Von Windows Update benötigte Dateien sind nicht mehr auf Ihrem Computer registriert oder installiert. Gehen Sie folgendermaßen vor:"
- "Erforderliche Dateien jetzt registrieren oder neu installieren (empfohlen)"
Nach einiger Ladezeit erschien:
"Die gewünschte Seite kann nicht angezeigt werden, da auf der Website ein Problem aufgetreten ist. Mit den folgenden Optionen kann das Problem möglicherweise behoben werden. "

Dieses Problem hatte ich noch nie, bisher ging die Installation von Updates problemlos. Hat hier jemand Rat, die FAQ der Windowsseite half nicht wirklich weiter.