Trojaner auf Windows\MSACM32. ?

Hallo Leute!

Ich hoffe es kann mir jemand helfen.
Seit ca.2 Wochen habe ich Spyware Terminator installiert mit Echtzeitschutz. Da hat er mir angezeigt das der Trojaner.PSW.Yaludle.A.4 sich in c:windows\msacm32.drv festsetzen will, aber er wurde automatisch verboten. Jetzt wird er seit 2 Tagen nicht mehr angezeigt. Ich hoffe nicht das er sich doch noch festgesetzt hat, da ich gelesen habe, wenn sich msacm32 unter c:windows befindet ist es ein Trojaner. Was soll ich machen?

Hier die Logfile von Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:36:22, on 03.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\windows\Explorer.EXE
C:\windows\zHotkey.exe
C:\windows\system32\VTTimer.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\windows\system32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\windows\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe


O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de/
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130494658982
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130499039640
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\windows\System32\TuneUpDefragService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9092 bytes

 

lasse bitte dein System mit >Malwarebytes Anti-Malware< Scannen- lasse vorerst nichts beheben, und poste hier das log

 

Hallo skipp

Dein Java (JRE) ist total veraltet. Das solltest du dringend aktualisieren. Aktuell ist JRE 6.0 Update 11.

Gruß
Nevok

 

Die Java-Version ist total veraltet und damit ein Sicherheitsrisiko.

 

btw:
wo kommen die Leerzeilen im Log her? hast du da etwas rausgenommen?

 

Hallo!
Danke erstmal für die schnellen Antworten.

Wo bekomme ich denn eine aktuelle Java Version her und muss ich die alte vorher deinstallieren oder überschreibt die sich selber?
Die Leerzeilen kommen aus 2 gelöschten.

Mir ist aufgefallen, das beim hochfahren des Computers (vor der Anmledung) aber links kanz kurz folgende Nachricht steht:
Fehlerhafte Datei: boot.ini auf c:windows
Hat das was zu sagen?

Hier der bericht von Malewarebytes:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1708
Windows 5.1.2600 Service Pack 3

03.02.2009 12:15:18
mbam-log-2009-02-03 (12-15-18).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 131801
Laufzeit: 1 hour(s), 5 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

 

die alte deinstallieren, die neue rauf..
http://java.com/de/download/manual.jsp

und was hast du da gelöscht?
auf so nen "Spass" hat hier keiner Lust

 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:11:09, on 03.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\windows\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\windows\zHotkey.exe
C:\windows\system32\VTTimer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\windows\system32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Full Tilt Poker\FullTiltPoker.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: UltimateBet - {3EB3B7E8-1466-405A-B5BC-44513AF85E34} - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\UltimateBet\UltimateBet.lnk (HKCU)
O9 - Extra 'Tools' menuitem: UltimateBet - {3EB3B7E8-1466-405A-B5BC-44513AF85E34} - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\UltimateBet\UltimateBet.lnk (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de/
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130494658982
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130499039640
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\windows\System32\TuneUpDefragService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9140 bytes

 

Lass mal die c:windows\msacm32.drv bei www.virustotal.com/de untersuchen und posten den Link zur Auswertung.
Microsoft Soundmapper msacm32.drv ist bei mir unter c:\windows\system32 gespeichert.

 

Du kannst den Spyware Terminator wieder deinstallieren und dafür auf Avira Antivir Premium für 6 Monate kostenlos aufrüsten.
http://www.pcwelt.de/downloads/vire...ra_antivir_premium_fuer_pc_welt_leser_gratis/

 

So, habe soebend über Virus Total durchsuchen lassen und er hat glaube ich 4 gefunden. Was muss man jetzt machen? Aber seht selbst.
danke euch.

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.04 -
AhnLab-V3 5.0.0.2 2009.02.03 -
AntiVir 7.9.0.71 2009.02.03 -
Authentium 5.1.0.4 2009.02.03 -
Avast 4.8.1281.0 2009.02.03 -
AVG 8.0.0.229 2009.02.03 -
BitDefender 7.2 2009.02.04 -
CAT-QuickHeal 10.00 2009.02.03 -
ClamAV 0.94.1 2009.02.03 -
Comodo 961 2009.02.03 -
DrWeb 4.44.0.09170 2009.02.04 -
eSafe 7.0.17.0 2009.02.01 -
eTrust-Vet 31.6.6340 2009.02.04 -
F-Prot 4.4.4.56 2009.02.03 -
F-Secure 8.0.14470.0 2009.02.04 Trojan.Win32.Pakes.muj
Fortinet 3.117.0.0 2009.02.04 -
GData 19 2009.02.04 -
Ikarus T3.1.1.45.0 2009.02.04 -
K7AntiVirus 7.10.617 2009.02.03 -
Kaspersky 7.0.0.125 2009.02.04 Trojan.Win32.Pakes.muj
McAfee 5515 2009.02.03 -
McAfee+Artemis 5515 2009.02.03 -
Microsoft 1.4306 2009.02.04 PWS:Win32/Yaludle.A
NOD32 3823 2009.02.03 -
Norman 6.00.02 2009.02.03 -
nProtect 2009.1.8.0 2009.02.03 -
Panda 9.5.1.2 2009.02.03 Trj/Agent.LGI
PCTools 4.4.2.0 2009.02.03 -
Prevx1 V2 2009.02.04 -
Rising 21.15.10.00 2009.02.03 -
SecureWeb-Gateway 6.7.6 2009.02.04 -
Sophos 4.38.0 2009.02.04 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.02.04 -
TheHacker 6.3.1.5.246 2009.02.03 -
TrendMicro 8.700.0.1004 2009.02.03 -
VBA32 3.12.8.12 2009.02.03 -
ViRobot 2009.2.3.1587 2009.02.03 -
VirusBuster 4.5.11.0 2009.02.03 -
weitere Informationen
File size: 87552 bytes
MD5...: d5847634273bcfe1a184632081f92987
SHA1..: ede9848a8b4977238ccca6220c0ab9ebf1411fd0
SHA256: 591d5e85de6b27ca1a54c2e1083c3c63a490f2c2de45d966be88fdc4723fcf8c
SHA512: 4332de3092a665a73f7069222cb893813afe33b12ee9f75d9c4f61e32efc46dc
86a2426a0e2960bf062bf71d288bd3dea80703a720e235028a27e2e13f3443d3
ssdeep: 1536:S1zX0ICS4AYICS4AiFL6+KnYm1ChCJ0CyjWwc2T0UjQuJv4exKC:UP9wFmo
hCJ0Rlv4exKC
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xdf33
timedatestamp.....: 0x49844c54 (Sat Jan 31 13:04:20 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14540 0x12e00 6.95 ea4b1a00e65d21035ca60311d4e8ced6
.rdata 0x16000 0xae0 0xc00 5.09 59e8075e5a48afc0f1274fae518f3eee
.rsrc 0x17000 0x348 0x400 2.81 3b97ef956c4113742be2418af7a3360a
.reloc 0x18000 0x136c 0x1400 5.03 4d19a4460c9f090da649c2f053b35063

( 1 imports )
> KERNEL32.dll: GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, HeapReAlloc, HeapAlloc, HeapSize, EnterCriticalSection, LeaveCriticalSection, HeapFree, GetLastError, CloseHandle, InitializeCriticalSection, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, WriteFile, VirtualAlloc, SetStdHandle, FlushFileBuffers, InterlockedDecrement, InterlockedIncrement, MultiByteToWideChar, CreateFileA, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, SetFilePointer, GetStringTypeA, GetStringTypeW, ReadFile, SetEndOfFile, LCMapStringA, LCMapStringW, RtlUnwind

( 0 exports )

 

c:windows\msacm32.drv kannst du mal zum Virenlabor von Avira schicken.
http://analysis.avira.com/samples/index.php
Die Datei würde ich vorsichtshalber an einen anderen Ort in Quarantäne verschieben und mit Winrar oder Zip passwortgeschützt packen.
Dann kannst du den PC mit Malwarebytes' Anti-Malware überprüfen.
http://www.pcwelt.de/forum/1875357-post2.html

 

c:windows\msacm32.drv habe ich zum Avira gesendet. Habe noch nichts zurück bekommen.

Spyware Terminator habe ich deinstalliert und habe mir die Premium version für 6 Monate installiert. Nun habe ich das Problem das er nichts aktiviert ist. Es geht kein Antivir guard, kein Online Schutz, kein update. Vollständige Systemprüfung konnte ich machen, hat nichts gefunden.
Dachte es geht geht wenn ich den Computer runter fahre, aber da war ganz Schluss. Es fährt nicht mehr hoch, folgende Nachricht erscheint:
NT-Autorität\System ausgelöst, Statuscode 1073741819. Er fährt wieder runter und probiert es nochmal, aber geht nicht.
Habe mich dann über die "Letzte bekannte Konfiguration" wieder anmelden können, anders nicht. Im abgesicherten Modus fährt er auch nicht hoch.

Es kommt beim hochfahren auch immernoch "fehlerhafte Datei, boot.ini , c:windows\

Wie kann ich die Datei in Quarantäne verschieben nach winrar und in welche winrar Datei?

Neue Java Version habe ich installiert.

Sorry bin nur Computer Laie.

 

Da scheint mehr kaputt zu sein, als das Log anzeigt.
Wenn das System nach ca. 60 Sekunden automatisch runter f&#228;hrt, hast du m&#246;glicherweise ein Problem mit dem RPC-Systemdienst. Ausl&#246;ser kann ein Computerwurm sein. Das m&#252;ssen nicht Blaster und Sasser sein. Es gibt auch Selbstbaus&#228;tze f&#252;r Scriptkiddies.
Gegen Runterfahren hilft Start - Ausf&#252;hren - shutdown -a
Und dann kannst du mal das Microsoft Windows Malicious Software Removal Tool (KB890830) &#252;ber c:\windows\system32\mrt.exe ausf&#252;hren.
Ich w&#252;rde mich an deiner Stelle dann aber auf ein Neu aufsetzen von Windows nach Formatierung von c: einrichten.

 

Hi Deoroller!

Danke erstmal für deine Vorschläge.

Microsoft Windows Malicious Software Removal Tool (KB890830) über c:\windows\system32\mrt.exe ausführen habe ich gemacht, aber er hat nichts gefunden und obwohl es ein Tiefenscan ist.
Ich hatte über a-squared noch ein scan gemacht, er hat auch einen Trojaner gefunden und gelöscht, aber als ich bei VirusTotal die befallene Datei nochmal durchsuchen lassen habe, war er wieder da. Ich habe jetzt 10 Funde dort (siehe Anhang ).
Ich hatte die Antivire Premium istalliert gehabt, wie empfohlen, aber nachdem diese nicht ging und ich den Computer nicht richtig hochfahren konnte, habe ich Antivir Classic Free wieder installiert und dieser funktioniert auch der Computer fährt wieder hoch.
Ich denke jetzt auch fast eine Neuinstallation ist bei mir das beste, oder?
Hast du Tips dafür wie ich bestimmte Ordner sichern kann, ohne das ich mir einen von den Trojanern mit übernehme und was die beste Variante für eine Neuinstallation ist?
Danke für deine Geduld!

a-squared 4.0.0.93 2009.02.05 Trojan.Win32.Pakes!IK
AhnLab-V3 5.0.0.2 2009.02.05 -
AntiVir 7.9.0.74 2009.02.05 TR/Pakes.muj
Authentium 5.1.0.4 2009.02.04 -
Avast 4.8.1281.0 2009.02.04 -
AVG 8.0.0.229 2009.02.04 -
BitDefender 7.2 2009.02.05 -
CAT-QuickHeal 10.00 2009.02.05 -
ClamAV 0.94.1 2009.02.05 -
Comodo 965 2009.02.05 -
DrWeb 4.44.0.09170 2009.02.05 -
eSafe 7.0.17.0 2009.02.04 -
eTrust-Vet 31.6.6343 2009.02.05 -
F-Prot 4.4.4.56 2009.02.04 -
F-Secure 8.0.14470.0 2009.02.05 Trojan.Win32.Pakes.muj
Fortinet 3.117.0.0 2009.02.05 W32/Pakes.MUJ!tr
GData 19 2009.02.05 -
Ikarus T3.1.1.45.0 2009.02.05 Trojan.Win32.Pakes
K7AntiVirus 7.10.618 2009.02.04 -
Kaspersky 7.0.0.125 2009.02.05 Trojan.Win32.Pakes.muj
McAfee 5516 2009.02.04 -
McAfee+Artemis 5516 2009.02.04 Generic!Artemis
Microsoft 1.4306 2009.02.05 PWS:Win32/Yaludle.A
NOD32 3829 2009.02.05 -
Norman 6.00.02 2009.02.04 -
nProtect 2009.1.8.0 2009.02.05 -
Panda 9.5.1.2 2009.02.04 Trj/Agent.LGI
PCTools 4.4.2.0 2009.02.05 -
Prevx1 V2 2009.02.05 -
Rising 21.15.30.00 2009.02.05 -
SecureWeb-Gateway 6.7.6 2009.02.05 Trojan.Pakes.muj
Sophos 4.38.0 2009.02.05 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.02.05 -
TheHacker 6.3.1.5.247 2009.02.05 -
TrendMicro 8.700.0.1004 2009.02.05 -
VBA32 3.12.8.12 2009.02.04 -
ViRobot 2009.2.5.1591 2009.02.05 -
VirusBuster 4.5.11.0 2009.02.04 -
weitere Informationen
File size: 87552 bytes
MD5...: d5847634273bcfe1a184632081f92987
SHA1..: ede9848a8b4977238ccca6220c0ab9ebf1411fd0
SHA256: 591d5e85de6b27ca1a54c2e1083c3c63a490f2c2de45d966be88fdc4723fcf8c
SHA512: 4332de3092a665a73f7069222cb893813afe33b12ee9f75d9c4f61e32efc46dc
86a2426a0e2960bf062bf71d288bd3dea80703a720e235028a27e2e13f3443d3
ssdeep: 1536:S1zX0ICS4AYICS4AiFL6+KnYm1ChCJ0CyjWwc2T0UjQuJv4exKC:UP9wFmo
hCJ0Rlv4exKC
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xdf33
timedatestamp.....: 0x49844c54 (Sat Jan 31 13:04:20 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14540 0x12e00 6.95 ea4b1a00e65d21035ca60311d4e8ced6
.rdata 0x16000 0xae0 0xc00 5.09 59e8075e5a48afc0f1274fae518f3eee
.rsrc 0x17000 0x348 0x400 2.81 3b97ef956c4113742be2418af7a3360a
.reloc 0x18000 0x136c 0x1400 5.03 4d19a4460c9f090da649c2f053b35063

( 1 imports )
> KERNEL32.dll: GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, HeapReAlloc, HeapAlloc, HeapSize, EnterCriticalSection, LeaveCriticalSection, HeapFree, GetLastError, CloseHandle, InitializeCriticalSection, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, WriteFile, VirtualAlloc, SetStdHandle, FlushFileBuffers, InterlockedDecrement, InterlockedIncrement, MultiByteToWideChar, CreateFileA, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, SetFilePointer, GetStringTypeA, GetStringTypeW, ReadFile, SetEndOfFile, LCMapStringA, LCMapStringW, RtlUnwind

 

http://www.google.at/search?hl=de&q=daten+sichern+live+system&btnG=Google-Suche&meta=

les dich mal durch ...

 

habe jetzt Antwort von Avira Virus Labor bekommen:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25250774 msacm32.drv 85.5 KB MALWARE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis msacm32.drv MALWARE

Die Datei 'msacm32.drv' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Pakes.muj gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.Ein Erkennungsmuster ist mit Version 7.01.01.228 der Virendefinitionsdatei (VDF) hinzugefügt.


Es wird gesagt man sollte die Premium version haben , aber da hatte ich Probleme ( siehe Thread vorher) und beim Suchlauf hatte er nichts gefunden.

 

Du wirst wohl um eine Neuinstallation von Windows nicht herum kommen. Dann ist das System aber sauber und du kannst das Antivierenprogramm deiner Wahl ohne Schwierigkeiten installieren und ohne dass bereits Malware vorhanden ist, die es auszutricksen kann.

 

Ok, weiss ich bescheid.

Danke euch trotzdem für die schnellen Antworten.