Win32.autorun.tmp

Ich würde jetzt noch einen Vollscan mit Malwarebytes (chip.de) machen und Ergebnis dann hier posten.
Achtung: Unbedingt Vollscan (dauert ca. 1 Stunde) und immer neu aktualisieren - s.Bild.

Gruß
Bosco
 

Sieh auch mal hier:

http://www.emsisoft.de/de/malware/?worm.win32.autorun.drg

Gruß
Bosco

muss der malwarebytes scan auch im abgesicherten modus durchgeführt werden oder reicht im normalen betrieb?


Danke schon mal 

Wenn nichts weiter angegeben sollten die Scans immer im normalen Modus ausgeführt werden.

Alles klar, hab ich auch gemacht, der Schädling scheint weg zu sein. Der RAM-Verbrauch ist auch optimal (wie früher halt)

Danke sehr  

Und warum postest du das Log nicht?

Welchen etwa von Malwarebyte´s oder HiJackThis ?

Am besten beide.

Gruß
Bosco 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:24:56, on 21.07.2011
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Clipdiary\ClipDiary.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Users\Paul\Portable Software\Foxit Reader\Foxit Reader\Foxit Reader.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\Paul\Portable Software\HijackThis Portable\HijackThis Portable.exe
C:\Users\Paul\Portable Software\HijackThis Portable\net-und-web_App\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=0407&m=easynote_tm86&r=27360810d525l04c4z105f45i2a333
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=0407&m=easynote_tm86&r=27360810d525l04c4z105f45i2a333
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe,
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [clipdiary] C:\Program Files (x86)\Clipdiary\clipdiary.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: AutorunsDisabled
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7E1B29E-3A20-4946-B607-EABB2A6C6BB0}: NameServer = 213.191.74.19 62.109.123.197
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Geschützter Speicher (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Druckwarteschlange (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: Volumeschattenkopie (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

--
End of file - 4157 bytes

und der von Malwarebyte´s:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7213

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

20.07.2011 21:36:37
mbam-log-2011-07-21 (21-36-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 284210
Laufzeit: 28 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
 

Witzig! Jetzt postest du ein Log von Malwarebytes ohne Funde, das macht richtig Sinn! 

Hmm wenn du genau liest, wurde der [url=http://www.computerhilfen.de/fachbegriffe-t-Trojaner.html]Trojaner[/url] durch Spyboot entdeckt, dann anschließend entfernt, daraufhin hab ich malwarebytes nach der anweisung (siehe oben) angewendet, dieser hat jedoch nichts mehr entdeckt (da wahrscheinlich spyboot im abges. modus alles erledigt hat). Macht das jetzt Sinn ?

Dein POsting nach der Anleitung von Malwarebytes kann man aber auch so verstehen, dass es was gefunden hat und "nun der Schädling weg sei!"

Naja, ob es wirklich was gefunden hat wirst nur du wissen.   

Hier der Bericht von Spyboot:


--- Report generated: 2011-07-20 18:01 ---

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Settings (Registry change, nothing done)
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Settings (Registry change, nothing done)
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Win32.AutoRun.tmp: [SBI $751B1850] Settings (Registry value, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman


--- Spybot - Search & Destroy version: 1.6.2  (build: 20090126) ---

2009-01-27 blindman.exe (1.0.0.
2009-01-27 SDFiles.exe (1.6.1.7)
2009-01-27 SDMain.exe (1.0.0.6)
2009-01-27 SDUpdate.exe (1.6.0.12)
2009-01-27 SpybotSD.exe (1.6.2.46)
2009-01-27 TeaTimer.exe (1.6.4.26)
2009-01-27 Update.exe (1.6.0.7)
2009-01-27 advcheck.dll (1.6.2.15)
2007-04-03 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-27 SDHelper.dll (1.6.2.14)
2008-06-20 sqlite3.dll
2009-01-27 Tools.dll (2.1.6.10)
2010-06-29 Includes\Adware.sbi (*)
2010-10-12 Includes\AdwareC.sbi (*)
2010-08-13 Includes\Cookies.sbi (*)
2010-09-22 Includes\Dialer.sbi (*)
2010-10-12 Includes\DialerC.sbi (*)
2010-01-26 Includes\HeavyDuty.sbi (*)
2009-05-27 Includes\Hijackers.sbi (*)
2010-10-12 Includes\HijackersC.sbi (*)
2010-09-16 Includes\iPhone.sbi (*)
2010-08-03 Includes\Keyloggers.sbi (*)
2010-10-12 Includes\KeyloggersC.sbi (*)
2010-09-14 Includes\Malware.sbi (*)
2010-10-19 Includes\MalwareC.sbi (*)
2010-05-18 Includes\PUPS.sbi (*)
2010-10-12 Includes\PUPSC.sbi (*)
2010-01-26 Includes\Revision.sbi (*)
2009-01-14 Includes\Security.sbi (*)
2010-10-12 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2010-06-29 Includes\Spyware.sbi (*)
2010-10-12 Includes\SpywareC.sbi (*)
2010-03-08 Includes\Tracks.uti
2010-08-04 Includes\Trojans.sbi (*)
2010-10-12 Includes\TrojansC-02.sbi (*)
2010-10-12 Includes\TrojansC-03.sbi (*)
2010-10-12 Includes\TrojansC-04.sbi (*)
2010-10-20 Includes\TrojansC-05.sbi (*)
2010-10-12 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

 

Spybot und Hijackthis kannst du so runterkloppen, die Tools bringen rein garnichts.

Führe erstmal ESET aus, danach sehen wir weiter.

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.[/COLOR]

• Dein Anti-Virus-Programm während des Scans deaktivieren.

Button (<< klick) drücken.

• Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
• IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.

• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.
"%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"
Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"
Poste nun den Inhalt der log.txt.n.

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=a03dfe1635e0cb49b8a81c100c563e84
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-22 09:33:31
# local_time=2011-07-22 11:33:31 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=768 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776574 100 94 8100237 62953758 0 0
# compatibility_mode=8192 67108863 100 0 103 103 0 0
# scanned=126587
# found=0
# cleaned=0
# scan_time=3303
 

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
  
• Kopiere nun den Inhalt in die Textbox.

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT


• Schliesse bitte nun alle Programme. (Wichtig)
  
• Klicke nun bitte auf den Quick Scan Button.
  
• Klick auf .
  
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

hab alles fertig, aber der Text passt hier nicht rein, da 1600 Zeichen überschritten.

Wie soll ich´s dir vermitteln ? 

Zippen und hier hochladen => http://file-upload.net

http://www.file-upload.net/download-3604915/OTL.zip.html

Sieht gut aus!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Ich hab zwar Avast als Standard Antivirus aber hab den scan mal trotzdem durchlaufen lassen.

Hier die Einzelheiten:

aswMBR version 0.9.8.977 Copyright(c) 2011 AVAST Software
Run date: 2011-07-22 18:21:09
-----------------------------
18:21:09.917    OS Version: Windows x64 6.1.7601 Service Pack 1
18:21:09.917    Number of processors: 4 586 0x2502
18:21:09.917    ComputerName: PAUL-PC  UserName: Paul
18:21:11.540    Initialize success
18:21:11.665    AVAST engine defs: 11072101
18:21:55.797    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
18:21:55.797    Disk 0 Vendor: WDC_WD50 01.0 Size: 476940MB BusType: 3
18:21:55.813    Disk 0 MBR read successfully
18:21:55.813    Disk 0 MBR scan
18:21:55.813    Disk 0 Windows 7 default MBR code
18:21:55.813    Service scanning
18:21:56.733    Service cpudrv64 C:\Program Files (x86)\SystemRequirementsLab\cpudrv64.sys **LOCKED** 3
18:21:59.291    Modules scanning
18:21:59.291    Disk 0 trace - called modules:
18:21:59.323    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
18:21:59.338    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8006fdb060]
18:21:59.338    3 CLASSPNP.SYS[fffff88001da143f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004fb3050]
18:22:01.132    AVAST engine scan C:\Windows
18:22:03.878    AVAST engine scan C:\Windows\system32
18:23:09.429    AVAST engine scan C:\Windows\system32\drivers
18:23:17.401    AVAST engine scan C:\Users\Paul
18:24:44.979    AVAST engine scan C:\ProgramData
18:26:51.917    Scan finished successfully
18:29:28.250    Disk 0 MBR has been saved successfully to "C:\Users\Paul\Desktop\MBR.dat"
18:29:28.266    The log file has been saved successfully to "C:\Users\Paul\Desktop\aswMBR.txt"
 

Auch der MBR scheint ok zu sein, sonst keine Auffälligkeiten mehr am PC?

Nein, ansonsten läuft alles stabil :=)

Ich würde außerdem gerne wissen ob die Schritte die du mir genannt hast, sprich: otl.exe, eset onine scanner usw. universell zu jeder Art von Trojanern/Viren-Angriffen einsetzbar sind?

und bei dem Otl.exe hast du mir einige Zeilen genannt die ich vor dem Scann in das Programm einfügen sollte. Was haben die bewirkt ?

Die Textbox für OTL ist zB da wenn man bestimmte Bereiche zusätzlich scannen will, die im Standardscan bei OTL (wenn man die Textbox leer lässt und ein Log erstellt) nicht unetrsucht werden.
Auch wenn wir mit OTL einen Fix durchführen muss man die zu fixenden Zeilen dort eintragen. OTL ist aber nichts fü Anfänger, man muss schon wissen wie das Programm bedient wird.

Als Routinekontrolle kannst du aber ESET und malwarebytes benutzen. Nur immer darauf achten, dass v.a. Malwarebytes vor dem Scan aktualisiert wird.

Ich danke dir sehr für deine Hilfe