Viren gefunden, obwohl der Antivir immer im Hintergrund läuft?

#1 AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 29. Oktober 2006 19:52

Es wird nach 534989 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Amadeo 1
Computername: ACER-2D60536D59

Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 17.09.2006 19:27:12
AVSCAN.DLL : 7.0.0.45 41000 17.09.2006 19:27:12
LUKE.DLL : 7.0.0.47 118824 17.09.2006 19:27:14
LUKERES.DLL : 7.0.0.47 9256 17.09.2006 19:27:14
ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 11:21:48
ANTIVIR1.VDF : 6.36.0.89 1745920 02.10.2006 11:25:08
ANTIVIR2.VDF : 6.36.0.178 200704 25.10.2006 18:48:24
ANTIVIR3.VDF : 6.36.0.201 50688 29.10.2006 18:48:24
AVEWIN32.DLL : 7.2.0.34 1892864 29.10.2006 18:48:24
AVPREF.DLL : 7.0.0.2 23080 17.09.2006 19:27:12
AVREP.DLL : 6.36.0.144 876584 21.10.2006 15:33:52
AVRPBASE.DLL : 7.0.0.0 2162728 30.03.2006 09:43:10
AVPACK32.DLL : 7.2.0.5 368680 29.10.2006 18:48:24
AVREG.DLL : 6.31.0.90 27688 28.07.2005 11:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 08:56:48
NETNW.DLL : 7.0.0.0 9768 17.09.2006 19:27:14
RCIMAGE.DLL : 7.0.0.74 1642536 17.09.2006 19:27:08
RCTEXT.DLL : 7.0.1.4 77864 30.09.2006 17:44:54

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Festplatten
Konfigurationsdatei...........: C:\Programmi\AntiVir PersonalEdition Classic\alldiscs.avp
Bootsektoren..................: C,D
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: 0
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Sonntag, 29. Oktober 2006 19:52


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 25 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 32 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SYSTEM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SOFTWARE
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\DEFAULT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\Amadeo 1\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\Amadeo 1\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\Amadeo 1\Impostazioni locali\Temp\~DFA31E.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\Amadeo 1\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\Amadeo 1\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP59\A0018557.exe
[FUND] Ist das Trojanische Pferd TR/Zlob.BL
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4574fd43.qua' verschoben!
C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP59\A0018558.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.ajo
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4574fd48.qua' verschoben!
C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP59\A0018601.exe
[FUND] Ist das Trojanische Pferd TR/Zlob.BL
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4574fd50.qua' verschoben!
C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP59\A0018603.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.ajo
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4574fd53.qua' verschoben!
C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP59\A0018606.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.ajo
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4574fd5c.qua' verschoben!
C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP59\A0018607.exe
[FUND] Ist das Trojanische Pferd TR/Zlob.BL
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4574fd65.qua' verschoben!
C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP59\A0018615.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Zlob.CJ.3.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44e68ff6.qua' verschoben!
C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP59\A0018616.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.ajo.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4574fd66.qua' verschoben!
C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP59\A0018620.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.ajo.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44e68ff7.qua' verschoben!
C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP59\A0018642.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.axa
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4574fd67.qua' verschoben!


Ende des Suchlaufs: Sonntag, 29. Oktober 2006 20:17
Benötigte Zeit: 25:28 min

Der Suchlauf wurde vollständig durchgeführt.

3635 Verzeichnisse wurden überprüft
241627 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
10 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
6548 Archive wurden durchsucht
25 Warnungen
2 Hinweise



Logfile of HijackThis v1.99.1
Scan saved at 20:31:35, on 29.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\ltmoh\Ltmoh.exe
C:\Program Files\Arcade\PCMService.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\ICQLite\ICQLite.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Documents and Settings\Amadeo 1\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programmi\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f006.mail.lycos.de/app/uploader/FileUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3427CB2-9F8E-4A1A-8E61-47E34B6EAAA1}: NameServer = 217.237.150.33
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

#2 Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann wieder aktivieren

dann scanne noch mal mit Antivirus + berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#3 können da daten verloren gehen, was passiert bei der systemwiederherstellung?

#4 lies es mal durch:
was verloren geht, sind die Wiederherstellungspunkte der letzten Wochen, inklusive die viren
http://virus-protect.org/systemwiederherstellung.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 so habs gemacht - alles in ordnung nur der media player geht net mehr, kann keine streams schauen.