Blauer Bildschirm - PC startet neu

#16 Ja über Filesharing erhaltene Malware!!!!

#17 komme wieder nicht zum scannen, bin jetzt erst daheim

starte den rechner, hatte seit gestern eingestellt, dass ich mich mit nem kennwort anmelden muss. jetzt kommt immer folgenden:



und dann



und dann



nervt total ;((((
hab ich was falsch gemacht??
oder ist das der iran wurm?

gruß
moka

#18 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

#19 hey

here it is:

Code

ComboFix 10-09-27.05 - Administrator 28.09.2010  21:40:17.1.4 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2813 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\Combo-Fix.exe
AV: avast! antivirus 4.8.1368 [VPS 100928-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PriceGong\Data\z.xml
c:\windows.0\system32\fldlckun.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-08-28 bis 2010-09-28  ))))))))))))))))))))))))))))))
.

2010-09-26 20:12 . 2010-09-26 20:12    --------    d-----w-    c:\programme\ESET
2010-09-25 17:33 . 2010-09-25 17:33    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-09-25 17:32 . 2010-04-29 13:39    38224    ----a-w-    c:\windows.0\system32\drivers\mbamswissarmy.sys
2010-09-25 17:32 . 2010-09-25 17:32    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-09-25 17:32 . 2010-09-25 17:32    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-25 17:32 . 2010-04-29 13:39    20952    ----a-w-    c:\windows.0\system32\drivers\mbam.sys
2010-09-25 17:19 . 2010-09-25 17:19    144696    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-09-23 15:56 . 2010-09-23 15:56    --------    d-----w-    c:\programme\Trend Micro
2010-09-12 20:43 . 2010-09-12 20:43    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java
2010-09-12 19:20 . 2010-08-05 00:14    875296    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\JRERunOnce.exe
2010-09-12 11:24 . 2010-09-12 11:27    --------    d-----w-    c:\dokumente und einstellungen\Administrator\P5JavaClientSettings

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-28 19:32 . 2009-09-02 19:31    --------    d-----w-    c:\programme\Trillian
2010-09-26 09:18 . 2009-09-02 21:05    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Winamp
2010-09-25 17:30 . 2009-09-02 15:07    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-25 17:20 . 2010-03-21 17:00    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-09-25 17:16 . 2009-09-11 15:01    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent
2010-09-23 17:58 . 2009-09-15 15:03    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2010-09-23 17:08 . 2010-03-21 17:14    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DivX
2010-09-14 21:12 . 2009-09-03 15:45    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-09-12 19:29 . 2009-09-04 17:01    --------    d-----w-    c:\programme\Java
2010-08-25 13:56 . 2009-09-04 20:31    --------    d---a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-08-25 13:55 . 2009-09-04 20:30    --------    d-----w-    c:\programme\ElfBot NG
2010-08-25 13:54 . 2009-09-03 21:19    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Tibia
2010-08-24 14:40 . 2009-09-03 21:11    --------    d-----w-    c:\programme\Tibia
2010-08-17 13:17 . 2004-11-11 12:00    58880    ----a-w-    c:\windows.0\system32\spoolsv.exe
2010-08-14 12:33 . 2010-08-14 12:33    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-08-14 12:33 . 2009-09-03 15:48    --------    d-----w-    c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-14 12:33 . 2009-09-03 15:48    --------    d-----w-    c:\programme\DVDVideoSoft
2010-08-12 21:24 . 2004-11-11 12:00    90726    ----a-w-    c:\windows.0\system32\perfc007.dat
2010-08-12 21:24 . 2004-11-11 12:00    476804    ----a-w-    c:\windows.0\system32\perfh007.dat
2010-08-12 14:53 . 2010-08-12 14:53    503808    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7a8a79ec-n\msvcp71.dll
2010-08-12 14:53 . 2010-08-12 14:53    499712    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7a8a79ec-n\jmc.dll
2010-08-12 14:53 . 2010-08-12 14:53    348160    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7a8a79ec-n\msvcr71.dll
2010-08-12 14:53 . 2010-08-12 14:53    61440    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-658af756-n\decora-sse.dll
2010-08-12 14:53 . 2010-08-12 14:53    12800    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-658af756-n\decora-d3d.dll
2010-07-22 15:48 . 2004-11-11 12:00    590848    ----a-w-    c:\windows.0\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25    5632    ----a-w-    c:\windows.0\system32\xpsp4res.dll
2010-07-17 03:00 . 2010-04-18 16:14    423656    ----a-w-    c:\windows.0\system32\deployJava1.dll
2010-07-13 19:39 . 2009-12-31 16:28    68    ----a-w-    c:\windows.0\system32\mslck.dat
2009-09-29 15:10 . 2009-09-29 15:10    24    --sh--w-    c:\windows.0\SBAC70765.tmp
.

------- Sigcheck -------

[-] 2004-11-11 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows.0\system32\mspmsnsv.dll
[-] 2004-11-11 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows.0\system32\dllcache\mspmsnsv.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-02 39408]
"bluebirds"="c:\dokumente und einstellungen\Administrator\Bluebirds\BlueBirds.exe" [2009-04-29 270336]
"Google Update"="c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2010-03-21 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2009-04-30 1657376]
"NvMediaCenter"="c:\windows.0\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows.0\system32\NvCpl.dll" [2009-04-30 13750272]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"HDAudDeck"="c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-06-05 33628160]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
2008-03-19 13:09    89024    ----a-w-    c:\programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-03-05 15:32    1135912    ----a-w-    c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 14:44    3883840    ----a-w-    c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2010-06-21 06:06    199488    ----a-w-    c:\programme\pdf24\pdf24.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\PPLive\\PPLive.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\TVAnts\\Tvants.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=

R1 aswSP;avast! Self Protection;c:\windows.0\system32\drivers\aswSP.sys [02.09.2009 17:08 114768]
R2 aswFsBlk;aswFsBlk;c:\windows.0\system32\drivers\aswFsBlk.sys [02.09.2009 17:08 20560]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows.0\system32\drivers\viahduaa.sys [02.09.2009 22:46 1381632]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [07.02.2010 11:15 135664]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [16.09.2009 21:11 544768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
vvdsvc    REG_MULTI_SZ       vvdsvc
.
Inhalt des "geplante Tasks" Ordners

2010-09-28 c:\windows.0\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-07 09:15]

2010-09-28 c:\windows.0\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-07 09:15]

2010-09-27 c:\windows.0\Tasks\GoogleUpdateTaskUserS-1-5-21-1454471165-562591055-725345543-500Core.job
- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-05-18 15:25]

2010-09-27 c:\windows.0\Tasks\GoogleUpdateTaskUserS-1-5-21-1454471165-562591055-725345543-500UA.job
- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-05-18 15:25]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows.0\system32\GPhotos.scr/200
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Save YouTube Video - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm
IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)
Toolbar-{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - (no file)
AddRemove-Folder Access 2.1 Free Version - c:\progra~1\FOLDER~1\UNWISE.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-28 21:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HDAudDeck = c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe 1???????????????????????????????????????????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1454471165-562591055-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,88,d3,5b,81,42,38,c7,47,a6,27,fe,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,88,d3,5b,81,42,38,c7,47,a6,27,fe,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS.0\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS.0\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(700)
c:\windows.0\system32\SAMLIB.dll
.
Zeit der Fertigstellung: 2010-09-28  21:45:16
ComboFix-quarantined-files.txt  2010-09-28 19:45
ComboFix2.txt  2008-04-04 14:06

Vor Suchlauf: 9 Verzeichnis(se), 301.024.149.504 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 301.873.885.184 Bytes frei

- - End Of File - - 25452BE1B3040C6B6F9CFE36A4B213D6

#20 Und wie läufts?

#21 endlich kam ich mal zum scan
hab ja vor n paar tagen mal den treiber neu installiert für dieses hd audio dings.
seitdem kein absturz mehr, aber war auch sehr wenig am rechner.

aber hier erstmal wie besprochen der eset:

Code

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=1ba538a625dd5f499a47cb8e5bb43928
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-09-26 08:31:06
# local_time=2010-09-26 10:31:06 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 274636 274636 0 0
# compatibility_mode=769 16775141 100 98 17783 221813191 18080 0
# compatibility_mode=8192 67108863 100 0 82 82 0 0
# scanned=30046
# found=9
# cleaned=9
# scan_time=1028
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\1dd6a40c-468490dc    multiple threats (deleted - quarantined)    00000000000000000000000000000000    C
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\1eff1eb1-2d7a7a3e    probably a variant of Win32/Agent.DYXWUMY trojan (deleted - quarantined)    00000000000000000000000000000000    C
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52\e649f74-7f2b6eef    multiple threats (deleted - quarantined)    00000000000000000000000000000000    C
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-7b02a8ed    probably a variant of Win32/Agent.DYXWUMY trojan (deleted - quarantined)    00000000000000000000000000000000    C
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\desktop old one\katja neu\Bundesvision Songcontest 2008  - Paulsrekorder - 11 - Anna.mp3    WMA/TrojanDownloader.GetCodec.C trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\desktop old one\katja neu\die arzte lass leute reden.mp3    WMA/TrojanDownloader.GetCodec.C trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\desktop old one\katja neu\Top of Charts - 2003.wma    WMA/TrojanDownloader.Wimad.D trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Xilisoft Video Converter 5.1.3.0926 Ultimate.rar    a variant of Win32/Kryptik.BDX trojan (deleted - quarantined)    00000000000000000000000000000000    C
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Install\AutoClick.exe    Win32/TrojanClicker.Agent.NFX trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=1ba538a625dd5f499a47cb8e5bb43928
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-09-30 05:38:31
# local_time=2010-09-30 07:38:31 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 604900 604900 0 0
# compatibility_mode=769 16775141 100 98 2849 222143455 0 0
# compatibility_mode=8192 67108863 100 0 330346 330346 0 0
# scanned=198021
# found=18
# cleaned=18
# scan_time=6010
D:\Dokumente und Einstellungen\Moritz\Desktop\katja neu\Bundesvision Songcontest 2008  - Paulsrekorder - 11 - Anna.mp3    WMA/TrojanDownloader.GetCodec.C trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Desktop\katja neu\die arzte lass leute reden.mp3    WMA/TrojanDownloader.GetCodec.C trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Desktop\katja neu\Top of Charts - 2003.wma    WMA/TrojanDownloader.Wimad.D trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\Delicious_Deluxe_v1.0_GERMAN_Cracked-TNT.rar    probably a variant of Win32/Agent.KIEJJIG trojan (deleted - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\mc822.zip    probably a variant of Win32/Agent.LZGETRQ trojan (deleted - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\ps_radio2014.exe    a variant of Win32/Adware.ADON application (deleted - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.1.7.exe    probably a variant of Win32/Agent.HXWJSID trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.1.8.exe    probably a variant of Win32/Agent.HXWJSID trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.2.0.exe    probably a variant of Win32/Agent.HXWJSID trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.7.7.exe    probably a variant of Win32/Agent.ICUQVCO trojan (deleted - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.7.9.exe    probably a variant of Win32/Agent.MKNLXOQ trojan (deleted - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.8.1.exe    probably a variant of Win32/Agent.HGMXCXZ trojan (deleted - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.8.3.exe    probably a variant of Win32/Agent.HSRDUTZ trojan (deleted - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.8.4.exe    probably a variant of Win32/Agent.JTVHUUV trojan (deleted - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\LimeWire\Saved\just for you lionel - greatest hits.wma    probably a variant of Win32/Agent.FNYAFOD trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Sony\Sony ACID Music Studio 5.0\SSG KeyGen\kgsonyacid.exe    a variant of Win32/Keygen.AQ application (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Sony\Sony ACID Pro 5.0\PARADOX KeyGen\keygen.exe    probably a variant of Win32/TrojanClicker.Agent.GJTUZDV trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
D:\Programme\VentriloMIX\Ventrilo 2.2.0.exe    probably a variant of Win32/Agent.DRJCFOS trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C

#22 Was fällt Dir bei den Funden auf???

#23 bis auf java alles von downloads.
und alles auf der alten festplatte.

hat eset denn jetzt alles gelöscht?
muss ich noch was machen?
was ich nicht machen und deinstallieren soll haben wir ja auf seite 1 einvernehmlich geklärt

#24 Ich melde Dich am Abend wieder mit den weiteren Schritten. Aber wichtig ist zu wissen das solche Downloads unsicher sind

Also bis am Abend.

#25 Am besten formatierst Du die alte Festplatte einmal!

Ich würde gerne noch wissen was Kaspersky sagt:

• Kaspersky Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Bitte während des Scans alle Hintergrundwächter abstellen/deaktivieren.
• Java muss installiert, aktiv und erlaubt sein.
• Bebilderte Anleitung von sundavis.
• Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.

• Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
• Die Datenschutzerklärung akzeptieren.
• Programm installieren lassen.
• Update der Signaturen installieren lassen.
• Wenn der Status "Complete" ist,
• Scan-Einstellungen (Settings) Standard lassen
• Links den Link "My Computer" anklicken.
• Scan beginnt automatisch.
• Wenn der Scan fertig ist, auf "View scan report" klicken,
• "Save report as" und Dateityp auf .txt umstellen,
• und auf dem Desktop als Kaspersky.txt speichern.
• Logdatei hier posten.
• Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

#26 sieht fast gut aus oder?

Code

KASPERSKY ONLINE SCANNER 7.0: scan report
 Sunday, October 3, 2010
 Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
 Kaspersky Online Scanner version: 7.0.26.13
 Last database update: Sunday, October 03, 2010 05:10:15
 Records in database: 4280953
--------------------------------------------------------------------------------

Scan settings:
    scan using the following database: extended
    Scan archives: yes
    Scan e-mail databases: yes

Scan area - My Computer:
    C:\
    D:\
    E:\
    F:\

Scan statistics:
    Objects scanned: 198734
    Threats found: 9
    Infected objects found: 19
    Suspicious objects found: 0
    Scan duration: 03:43:06


File name / Threat / Threats count
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive1.pst    Infected: Trojan.Win32.KillAV.hr    2
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive1.pst    Infected: Trojan-Dropper.Win32.Agent.bjmc    1
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive1.pst    Infected: Trojan-Dropper.Win32.MultiJoiner.13.j    1
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive1.pst    Infected: Trojan.WinREG.Disabler.q    1
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\archive1.pst    Infected: Trojan.BAT.Starter.as    1
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst    Infected: Trojan-Dropper.Win32.Agent.agq    2
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\aimpr.zip    Infected: not-a-virus:PSWTool.Win32.AdvancedPR.j    1
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\mspass.zip    Infected: not-a-virus:PSWTool.Win32.Messen.aq    1
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.7.2.exe    Infected: Trojan.Win32.Pasta.als    1
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.7.3.exe    Infected: Trojan.Win32.Pasta.als    1
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.7.4.exe    Infected: Trojan.Win32.Pasta.als    1
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.7.5.exe    Infected: Trojan.Win32.Pasta.als    1
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.8.0.exe    Infected: Trojan.Win32.Pasta.als    1
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.8.2.exe    Infected: Trojan.Win32.Pasta.als    1
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.8.6.exe    Infected: Trojan.Win32.Pasta.als    1
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install\setup-4.8.7.exe    Infected: Trojan.Win32.Pasta.als    1
D:\Programme\ElcomSoft\Advanced IM Password Recovery\aimpr.exe    Infected: not-a-virus:PSWTool.Win32.AdvancedPR.j    1

Selected area has been scanned.

#27 Lösche am besten alles unter:
D:\Dokumente und Einstellungen\Moritz\Eigene Dateien\Install

Zudem entrümple deine Emails unter Outlook.

Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.