virus welches sich als antivirus ausgibt

Ladt dir Hijackthis runter und erstelle damit ein Logfile. Anleitung siehe hier:
Anleitung Hijackthis

Außerdem mache einen Scan mit Malwarebytes, lasse alle Funde löschen und Poste den Report hier:

Anleitung:
Anleitung Malwarebytes

Und zum guten schluss auch Combofix benutzen und Logfile posten!!
Combofix

  hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:50:08, on 22.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\833Oa2fd.exe
C:\WINDOWS\explorer.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\SoulseekNS\slsk.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 3178 bytes


  Maleware

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1883
Windows 5.1.2600 Service Pack 2

22.03.2009 22:01:24
mbam-log-2009-03-22 (22-01-24).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 56344
Laufzeit: 4 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


 

Combofix.  ich hoffe es ist das richtige, weil mein pc hat was anderes gemacht wie in der anleitung.

ComboFix 09-03-19.02 - manu 2009-03-22 22:08:32.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.767.410 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\manu\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\Autorun.inf

Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert
Kopie von - c:\qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir wurde wiederhergestellt

.
(((((((((((((((((((((((   Dateien erstellt von 2009-02-22 bis 2009-03-22  ))))))))))))))))))))))))))))))
.

2009-03-22 21:49 . 2009-03-22 21:49   <DIR>   d--------   c:\programme\Trend Micro
2009-03-22 19:24 . 2009-03-22 19:24   <DIR>   d---s----   c:\dokumente und einstellungen\manu\UserData
2009-03-22 18:26 . 2009-03-22 18:59   <DIR>   d--------   c:\windows\system32\CatRoot_bak
2009-03-22 14:29 . 2009-03-22 18:25   <DIR>   d--h-----   c:\windows\$hf_mig$
2009-03-22 14:29 . 2005-02-25 04:34   22,752   --a------   c:\windows\system32\spupdsvc.exe
2009-03-22 13:31 . 2009-03-22 13:31   <DIR>   d--------   c:\programme\Malwarebytes' Anti-Malware
2009-03-22 13:31 . 2009-03-22 13:31   <DIR>   d--------   c:\dokumente und einstellungen\manu\Anwendungsdaten\Malwarebytes
2009-03-22 13:31 . 2009-03-22 13:31   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-22 13:31 . 2009-02-11 10:19   38,496   --a------   c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-22 13:31 . 2009-02-11 10:19   15,504   --a------   c:\windows\system32\drivers\mbam.sys
2009-03-22 13:26 . 2009-03-22 13:28   <DIR>   d--------   c:\programme\RegistryFix7
2009-03-22 00:36 . 2009-03-22 00:36   <DIR>   dr-------   c:\dokumente und einstellungen\NetworkService\Favoriten
2009-03-21 23:14 . 2009-03-21 23:14   76,288   --a------   c:\windows\system32\833Oa2fd.exe
2009-03-18 21:07 . 2009-03-18 21:07   <DIR>   d--------   c:\programme\Gemeinsame Dateien\DivX Shared
2009-03-18 21:07 . 2009-03-18 21:08   <DIR>   d--------   c:\programme\DivX
2009-03-18 21:07 . 2009-01-27 02:35   120,056   ---------   c:\windows\system32\pxcpyi64.exe
2009-03-18 21:07 . 2009-01-27 02:35   118,520   ---------   c:\windows\system32\pxinsi64.exe
2009-03-16 10:22 . 2009-03-16 10:22   101   --a------   c:\windows\CMMIXER.INI
2009-03-16 01:11 . 2009-03-16 01:11   13,646   --a------   c:\windows\system32\wpa.bak
2009-03-16 00:41 . 2009-03-16 01:10   <DIR>   d--------   c:\programme\MF Shutdown Manager
2009-03-16 00:02 . 2009-03-16 00:02   <DIR>   d--------   c:\dokumente und einstellungen\manu\Anwendungsdaten\Apple Computer
2009-03-16 00:01 . 2008-04-17 12:12   107,368   --a------   c:\windows\system32\GEARAspi.dll
2009-03-16 00:01 . 2009-01-15 12:19   23,848   --a------   c:\windows\system32\drivers\GEARAspiWDM.sys
2009-03-15 23:58 . 2009-03-16 00:01   <DIR>   d--------   c:\programme\iTunes
2009-03-15 23:58 . 2009-03-15 23:58   <DIR>   d--------   c:\programme\iPod
2009-03-15 23:58 . 2009-03-16 00:01   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-03-15 23:57 . 2009-03-15 23:57   <DIR>   d--------   c:\programme\Bonjour
2009-03-15 23:54 . 2009-03-15 23:56   <DIR>   d--------   c:\programme\QuickTime
2009-03-15 23:54 . 2009-03-15 23:58   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-03-15 23:53 . 2009-03-15 23:53   <DIR>   d--------   c:\programme\Apple Software Update
2009-03-15 23:52 . 2009-03-16 00:01   <DIR>   d----c---   c:\windows\system32\DRVSTORE
2009-03-15 23:51 . 2009-03-15 23:58   <DIR>   d--------   c:\programme\Gemeinsame Dateien\Apple
2009-03-15 23:51 . 2009-03-15 23:51   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-16 19:36   ---------   d-----w   c:\programme\ASIO4ALL v2
2009-03-15 22:00   ---------   d-----w   c:\programme\ICQ6.5
2009-03-15 22:00   ---------   d-----w   c:\dokumente und einstellungen\manu\Anwendungsdaten\ICQ
2009-03-15 21:59   ---------   d--h--w   c:\programme\InstallShield Installation Information
2009-03-15 21:58   ---------   d-----w   c:\programme\Winamp
2009-03-15 21:58   ---------   d-----w   c:\dokumente und einstellungen\manu\Anwendungsdaten\Winamp
2009-03-15 21:45   ---------   d-----w   c:\programme\Image-Line
2009-03-15 21:44   ---------   d-----w   c:\programme\VstPlugins
2009-03-15 21:44   ---------   d-----w   c:\programme\Outsim
2009-03-15 21:41   ---------   d-----w   c:\programme\7-Zip
2009-03-15 21:39   ---------   d-----w   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Soulseek
2009-03-15 21:21   ---------   d-----w   c:\programme\SoulseekNS
2009-03-15 21:20   ---------   d-----w   c:\programme\VirtualDJ
2009-03-15 21:18   ---------   d-----w   c:\programme\Avira
2009-03-15 21:18   ---------   d-----w   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-15 21:00   ---------   d-----w   c:\programme\microsoft frontpage
2009-03-15 20:58   ---------   d-----w   c:\programme\Online-Dienste
2009-03-15 20:58   ---------   d-----w   c:\programme\Gemeinsame Dateien\Dienste
2009-01-27 01:34   1,044,480   ----a-w   c:\programme\mozilla firefox\plugins\libdivx.dll
2009-01-27 01:34   200,704   ----a-w   c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"C-Media Mixer"="Mixer.exe" [2002-08-05 c:\windows\mixer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\SoulseekNS\\slsk.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

.
Inhalt des "geplante Tasks" Ordners

2009-03-22 c:\windows\Tasks\At1.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At10.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At11.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At12.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At13.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At14.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-22 c:\windows\Tasks\At15.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At16.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At17.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At18.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At19.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At2.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-22 c:\windows\Tasks\At20.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-22 c:\windows\Tasks\At21.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-22 c:\windows\Tasks\At22.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-22 c:\windows\Tasks\At23.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At24.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At3.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At4.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At5.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At6.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At7.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At8.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]

2009-03-21 c:\windows\Tasks\At9.job
- c:\windows\system32\833Oa2fd.exe [2009-03-21 23:14]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\manu\Anwendungsdaten\Mozilla\Firefox\Profiles\m8bmmbie.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-22 22:11:00
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-22 22:13:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-03-22 21:13:24

Vor Suchlauf: 11 Verzeichnis(se), 73.581.223.936 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 73,615,273,984 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

182   --- E O F ---   2009-03-22 13:30:00
 

..hat dein Antivirus angeschlagen?
Wo ist die Report-Datei davon?

Bemängelung des Systems:
Sp2 muß Sp3
IE6 sollte auf IE7 (auch oder gerade weil der Firefox benutzt wird)

Gefällt mir ganz und garnicht, schleunigst formatieren!!

ich hab ehrlich gesagt keine ahung von dem was copy mir gerade gesagt hat. weil ich mich kein bisschen mit computern auskenne. ich kann nur formatieren weil ich das ungefähr alle 5 monate machen muss weil ich immer neue viren habe. aber seit dem ich da das gemacht hab wies in der anleitung steht, oder zumindest so ähnlich. hatte ich keine probleme mehr mit dem virus, ich krig jetzt nur noch alle paa stunden ne meldung von anti-vir.

also dankeschön für die hilfe.

da kannst du dem copy die Hand geben. 2-mal keinen Blassen Schimmer=so schlau wie vorher. Ich beobachte hier schon über einen längeren Zeitraum mehrere Leute. Manch einer schwallt nur, andere schreiben aus langweil, einige wenige wissen wirklich was. Herr/Frau copy zählt nicht zur Elite. Hauptsache was geschrieben.
Habe mir auch mal das Sicherheits/Malwareteam angeschaut. Kindergarten hoch 10. Kaum jemand volljährig........
Manche Nicht-Mitglieder sind wesentlich kompetenter, hauptsächlich im Sicherheits-Bereich (Spielplatz-Forum, aber grosse Klappe und frech drauf!!!!) Gibt trotzdem immer Dumme, die es nicht merken.
Dennoch ganz nett hier, meine Kids (7+11) lachen sich den Ast, denn die sind bereits weiter..........

... weil ich mich kein bisschen mit computern auskenne. ich kann nur formatieren weil ich das ungefähr alle 5 monate machen muss weil ich immer neue viren habe.

also dankeschön für die hilfe.

Du solltest dringend was an deinem Verhalten ändern:

http://community.magnus.de/forum/showthread.php?t=6074