TR/Click.Cycler.akdp

ChaosSpirit · 29.07.2010, 13:00

Hallo =) Ich bin es mal wieder. Diesmal ist mein PC von dem Click.Cycler.akdp Virus befallen ( laut LukeFileWalker). Ich lasse AntiVir gerade ein zweites Mal durchlaufen, aber die tauchen immer wieder auf.

Der AntiVir Bericht:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 29. Juli 2010 12:01

Es wird nach 2581037 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ESPER

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 29.01.2010 19:05:25
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:05:25
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:05:25
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 19:05:25
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:05:25
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 08:14:18
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 08:14:30
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 14:32:16
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 18:12:29
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 18:12:30
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 18:12:30
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 18:12:31
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 18:12:31
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 18:12:31
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 07:12:55
VBASE014.VDF : 7.10.9.230 121856 Bytes 28.07.2010 08:26:47
VBASE015.VDF : 7.10.9.231 2048 Bytes 28.07.2010 08:26:47
VBASE016.VDF : 7.10.9.232 2048 Bytes 28.07.2010 08:26:47
VBASE017.VDF : 7.10.9.233 2048 Bytes 28.07.2010 08:26:47
VBASE018.VDF : 7.10.9.234 2048 Bytes 28.07.2010 08:26:47
VBASE019.VDF : 7.10.9.235 2048 Bytes 28.07.2010 08:26:48
VBASE020.VDF : 7.10.9.236 2048 Bytes 28.07.2010 08:26:48
VBASE021.VDF : 7.10.9.237 2048 Bytes 28.07.2010 08:26:48
VBASE022.VDF : 7.10.9.238 2048 Bytes 28.07.2010 08:26:48
VBASE023.VDF : 7.10.9.239 2048 Bytes 28.07.2010 08:26:48
VBASE024.VDF : 7.10.9.240 2048 Bytes 28.07.2010 08:26:48
VBASE025.VDF : 7.10.9.241 2048 Bytes 28.07.2010 08:26:48
VBASE026.VDF : 7.10.9.242 2048 Bytes 28.07.2010 08:26:48
VBASE027.VDF : 7.10.9.243 2048 Bytes 28.07.2010 08:26:48
VBASE028.VDF : 7.10.9.244 2048 Bytes 28.07.2010 08:26:48
VBASE029.VDF : 7.10.9.245 2048 Bytes 28.07.2010 08:26:49
VBASE030.VDF : 7.10.9.246 2048 Bytes 28.07.2010 08:26:49
VBASE031.VDF : 7.10.9.249 27648 Bytes 28.07.2010 08:26:49
Engineversion : 8.2.4.26
AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 20:03:04
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 21.07.2010 14:36:21
AESCN.DLL : 8.1.6.1 127347 Bytes 14.05.2010 07:12:15
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 20:03:10
AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 14:36:18
AEPACK.DLL : 8.2.3.2 471414 Bytes 21.07.2010 14:36:16
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 17:40:10
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 21.07.2010 14:36:14
AEHELP.DLL : 8.1.13.2 242039 Bytes 21.07.2010 14:36:07
AEGEN.DLL : 8.1.3.17 385396 Bytes 22.07.2010 17:40:06
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 20:02:46
AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 14:36:05
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 20:02:45
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 29.01.2010 19:05:25
AVREP.DLL : 8.0.0.7 159784 Bytes 19.02.2010 07:37:14
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 10.06.2009 06:47:01
RCTEXT.DLL : 9.0.73.0 87297 Bytes 29.01.2010 19:05:24

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,+PCK,

Beginn des Suchlaufs: Donnerstag, 29. Juli 2010 12:01

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '47507' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SoundMan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '36' Prozesse mit '36' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '66' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Sun\Java\D eployment\cache\6.0\48\4cf925b0-4ac2be2d
[FUND] Ist das Trojanische Pferd TR/Click.Cycler.akhq
C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\194234.exe
[FUND] Ist das Trojanische Pferd TR/Click.Cycler.akhq
C:\System Volume Information\_restore{DB21A9E0-2400-4F75-A00D-0926DD10723C}\RP173\A0057759.exe
[FUND] Ist das Trojanische Pferd TR/Click.Cycler.akdp
C:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd7069.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Volume>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Sun\Java\D eployment\cache\6.0\48\4cf925b0-4ac2be2d
[FUND] Ist das Trojanische Pferd TR/Click.Cycler.akhq
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cb75eba.qua' verschoben!
C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\194234.exe
[FUND] Ist das Trojanische Pferd TR/Click.Cycler.akhq
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c855e90.qua' verschoben!
C:\System Volume Information\_restore{DB21A9E0-2400-4F75-A00D-0926DD10723C}\RP173\A0057759.exe
[FUND] Ist das Trojanische Pferd TR/Click.Cycler.akdp
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c815e87.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 29. Juli 2010 12:56
Benötigte Zeit: 54:28 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

12309 Verzeichnisse wurden überprüft
390765 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
390758 Dateien ohne Befall
2504 Archive wurden durchsucht
4 Warnungen
4 Hinweise
47507 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Gerade lass ich Malwarebytes und später HijackThis durchlaufen und die Logs poste ich anschließend.

Was ich bisher bemerkt habe an Anomalien ist, dass meine Maus zickt ( keine Reaktion der rechten Maustaste oder des Mausrades, Fenster gehen ständig in den Hintergrund.).

Könnt ihr mir sagen, ob dieser Virus gefährlich ist oder nur ein Spielzeug eines gelangweilten Informatikers?

Grüße =)

**xandros** · 29.07.2010, 13:14

...hmmm! Bei Avira ist die Bezeichnung zwar zu finden, jedoch keinerlei weitere Beschreibung zu dem Ungeziefer. Zumindest ist er nicht als Virus, sondern als Trojaner deklariert - ohne weitere Beschreibungen sehe ich die Dinger als unberechenbar und somit generell als gefährlich an.

Dein Virenprogramm selbst wird kaum in der Lage sein, den Trojaner restlos zu entfernen.
Da werden wohl ein paar andere Anwendungen notwendig sein.
Zunächst würde ein Logfile von HiJackThis nicht schlecht aussehen. Wahrscheinlich wird dir Leonixx dann noch weitere Scanner vorschlagen (u.A. RSIT) und eventuell einige Arbeitsschritte zum Entfernen nennen.

ChaosSpirit · 29.07.2010, 13:42

MalwarebytesLog:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4365

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.07.2010 13:41:48
mbam-log-2010-07-29 (13-41-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 314197
Laufzeit: 44 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

HijackThisLog:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43:02, on 29.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
D:\Downloads\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1241635192561
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1241635180389
O17 - HKLM\System\CCS\Services\Tcpip\..\{57C6FC13-9EE7-4FF0-B5B7-DF6275BDC169}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{57C6FC13-9EE7-4FF0-B5B7-DF6275BDC169}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{57C6FC13-9EE7-4FF0-B5B7-DF6275BDC169}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 7141 bytes

**xandros** · 29.07.2010, 14:20

Der Eintrag
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
kann gefixt werden.
Ansonsten sieht das HJT-Logfile ziemlich sauber - wenn auch lang - aus.

Malwarebytes hat auch nichts finden können.

Da ohnehin danach gefragt wird, kannst du schon mal unter Random's System Information Tool RSIT herunterladen und nach der Anleitung auf der Seite ausführen. Dann die beiden Logdateien (log.txt und info.txt) hier hochladen.

(Ich bin mit meinen Kentnissen zu digitalen Schädlingen bei diesem Fall jedoch am Ende angelangt und würde die weitere Behandlung dann doch lieber von Leonixx und/oder HJTLarusso weiterführen lassen!)

ChaosSpirit · 29.07.2010, 14:44

Die Dateien habe ich, nur wie lade ich die jetzt hoch? Die haben zu viele Buchstaben ( mehr als 20'000 ).

**xandros** · 29.07.2010, 14:59

Die Dateien sollten nur "log.txt" und "info.txt" heissen....

ChaosSpirit · 29.07.2010, 15:33

Die habe ich ja, nur ist der Inhalt zu groß. Ich darf nunmal nicht mehr als 20'000 Wörter posten. Und jetzt schaue ich nach einer Möglichkeit die beiden Dateien hochzuladen.

So hier:

Info Datei:
http://www.file-upload.net/download-.../info.txt.html

Log Datei:
http://www.file-upload.net/download-...1/log.txt.html

Larusso · 29.07.2010, 15:59

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.

Schritt 2

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

ChaosSpirit · 29.07.2010, 19:18

So, erledigt und hier ist das Ergebnis:

MBRCheck, version 1.1.1

(c) 2010, AD

\\.\C: --> \\.\PhysicalDrive0

\\.\D: --> \\.\PhysicalDrive0

Size Device Name MBR Status

--------------------------------------------

465 GB \\.\PhysicalDrive0 Unknown MBR code

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Options:

[1] Dump the MBR of a physical disk to file.

[2] Restore the MBR of a physical disk with a standard boot code.

[3] Exit.

Enter your choice:

Done! Press ENTER to exit...

Anscheinend nichts gefunden.

Ist euch dieser Trojaner bekannt? Ist es vielleicht nur ein Spaßinfekt um Leute wie mich zu ärgern, wenn die linke Maustaste nicht mehr funktioniert?

Larusso · 30.07.2010, 11:02

Zweites Betriebssystem installiert ? (Linux etc)

Was ist Platte C: bzw D: ?

Sie betrachten gerade: TR/Click.Cycler.akdp