Virus msjfan.dll

#1 Hallo,
habe mir lt. AntiVirus einen Virus eingefangen, der sich aber leider nicht löschen lässt. Nun habe HJ gestartet und füge nachstehend die hj-log ein, vielleicht kann mir jemand helfen, ich weiß nämlich nicht was alles gelöscht werden kann und was nicht und ob dieser blöde Virus überhaupt dabei ist.
Gruß
Uli

Logfile of HijackThis v1.99.1
Scan saved at 17:13:53, on 23.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\unzipped\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = t-online.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab
O16 - DPF: {00000000-DCCD-0704-0B53-2C8830E9FAEC} - http://install.questnet.de/soft/ieloader.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096810129343
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139855078187
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

#2 uli64

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo,
könntest Du mir sagen, welche 6 Textdateien Du meinst. Hab leider keine Ahnung.
Gruß
Uli

#4 bitte durchlesen - und abarbeiten
http://virus-protect.org/datfindbat.html

1.Log Verzeichnis von C:\WINDOWS\system32\
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp\
3.Log Verzeichnis von C:\WINDOWS\
4.Log Verzeichnis von C:\WINDOWS\temp\
5.Log Verzeichnis von C:\WINDOWS\Downloaded Program Files
6.Log Verzeichnis von C:\
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo,
also ich hoffe ich habe alles verstanden und versuche jetzt mal mein Glück.
Vielen Dank für Deine Hilfe.
Gruß
Uli

Verzeichnis von C:\

25.12.2006 20:50 0 sys.txt
25.12.2006 20:49 162 ~$down.txt
25.12.2006 20:49 2.736 down.txt
25.12.2006 20:49 162 ~$tmp.txt
25.12.2006 20:49 329 tmp.txt
25.12.2006 20:49 162 ~$system.txt
25.12.2006 20:49 17.968 system.txt
25.12.2006 20:48 162 ~$stemtemp.txt
25.12.2006 20:48 20.511 systemtemp.txt
25.12.2006 20:47 162 ~$stem32.txt
25.12.2006 20:47 114.971 system32.txt
25.12.2006 20:39 157.571 dirdat.txt
25.12.2006 19:09 804.839.424 hiberfil.sys
25.12.2006 19:09 402.653.184 pagefile.sys
24.12.2006 12:15 7.586 prefetch.txt
24.12.2006 12:14 20.965 Dsystemp.txt
24.12.2006 12:13 114.971 DSYS32.txt
24.12.2006 12:12 3.912 OW.txt
24.12.2006 12:12 17.968 DW.txt
24.12.2006 12:11 4.668 OP.txt
24.12.2006 12:10 1.712 DP.txt
24.12.2006 12:07 1.644 OC.txt
24.12.2006 12:06 4.051 DC.txt
24.12.2006 12:02 17.968 textsystem.txt
24.12.2006 12:02 20.664 textsystemtemp.txt
24.12.2006 12:01 114.971 textsystem32.txt
24.12.2006 12:00 329 texttmp.txt
24.12.2006 12:00 2.736 textdown.txt
24.12.2006 11:59 3.946 textc.txt
14.12.2006 10:16 192 BcBtRmv.log
09.11.2006 18:15 128 Valid.Ext
07.09.2006 20:16 21.214 Manu40.nri

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.06.2006 11:09 1.249 erma.inf

Verzeichnis von C:\WINDOWS\Temp

25.12.2006 20:37 255 WGAErrLog.txt
25.12.2006 19:14 408 WGANotify.settings

Verzeichnis von C:\WINDOWS

25.12.2006 19:21 254 wiadebug.log
25.12.2006 19:09 0 0.log
25.12.2006 19:09 2.032.030 WindowsUpdate.log
25.12.2006 19:09 50 wiaservc.log
25.12.2006 19:09 32.376 SchedLgU.Txt
25.12.2006 19:09 2.048 bootstat.dat
24.12.2006 23:51 64.048 wmsetup.log
24.12.2006 21:32 482.723 setupapi.log
23.12.2006 11:58 4.873 setupact.log
21.12.2006 14:12 213 wininit.ini
17.12.2006 22:06 1.021.399 FaxSetup.log
17.12.2006 22:06 239.465 ntdtcsetup.log
17.12.2006 22:06 200.433 iis6.log
17.12.2006 22:06 103.561 comsetup.log
17.12.2006 22:06 593 imsins.log
17.12.2006 22:06 440.832 tsoc.log
17.12.2006 22:06 10.654 KB925398.log
17.12.2006 22:06 82.944 ocgen.log
17.12.2006 22:06 58.581 msgsocm.log
17.12.2006 22:05 593 imsins.BAK
17.12.2006 22:05 13.674 KB926255.log
17.12.2006 22:04 61.407 updspapi.log
15.12.2006 22:04 13.521 KB923694.log
14.12.2006 12:29 24.556 DPINST.LOG
13.12.2006 11:36 617 avmcoins.log
29.11.2006 19:43 11.114 mozver.dat
29.11.2006 19:43 1.352 win.ini
23.11.2006 09:44 67.696 spupdsvc.log
23.11.2006 09:42 24.035 ie7_main.log
23.11.2006 09:41 51.716 ie7.log
23.11.2006 09:39 11.133 IDNMitigationAPIs.log
23.11.2006 09:39 10.811 NLSDownlevelMapping.log
23.11.2006 09:38 7.841 KB915865.log
23.11.2006 09:38 5.568 KB914440.log
23.11.2006 09:38 21.913 KB920213.log
23.11.2006 09:38 10.630 KB904942.log
17.11.2006 20:42 15.285 KB923980.log
17.11.2006 20:42 15.652 KB924270.log
17.11.2006 20:41 17.802 KB922760.log
08.11.2006 18:15 134 Valid.Ext
01.11.2006 09:45 5.307 KB926239.log
01.11.2006 09:45 3.455 MSCompPackV1.log
01.11.2006 09:44 18.932 wmp11.log
01.11.2006 09:44 2.992 wmsetup10.log
01.11.2006 09:43 30.358 WMFDist11.log
01.11.2006 09:42 11.617 Wudf01000Inst.log
29.10.2006 13:43 1.902 uninst_8235.dat
29.10.2006 13:43 637.620 uninst_8235.exe
12.10.2006 06:59 13.065 KB924191.log
12.10.2006 06:59 12.880 KB922819.log
12.10.2006 06:59 12.058 KB923414.log
12.10.2006 06:58 12.053 KB924496.log
12.10.2006 06:58 9.555 KB923191.log
04.10.2006 16:19 253 tm.ini
27.09.2006 18:53 10.526 KB925486.log
13.09.2006 13:14 12.007 KB920685.log
13.09.2006 13:14 14.486 KB920872.log
13.09.2006 13:14 12.168 KB919007.log
13.09.2006 13:13 8.231 KB922582.log

Verzeichnis von C:\WINDOWS\system32

20.12.2006 19:25 1.158 wpa.dbl
20.12.2006 19:24 391.184 FNTCACHE.DAT
20.12.2006 19:24 667.020 ikhcore.log
08.12.2006 00:13 10.716.584 MRT.exe
17.11.2006 18:54 1.040.384 ieframe.dll.mui
17.11.2006 18:53 12.288 advpack.dll.mui
08.11.2006 06:06 679.424 inetcomm.dll
07.11.2006 21:03 27.136 jsproxy.dll
07.11.2006 21:03 191.488 iepeers.dll
07.11.2006 21:03 1.162.240 urlmon.dll
07.11.2006 21:03 818.688 wininet.dll
07.11.2006 21:03 413.696 vbscript.dll
07.11.2006 21:03 231.424 webcheck.dll
07.11.2006 21:03 156.160 msls31.dll
07.11.2006 21:03 180.736 ieui.dll
07.11.2006 21:03 6.049.280 ieframe.dll
07.11.2006 21:03 475.648 mshtmled.dll
07.11.2006 21:03 3.577.856 mshtml.dll
07.11.2006 21:03 670.720 mstime.dll
07.11.2006 21:03 458.752 msfeeds.dll
07.11.2006 21:03 50.688 msfeedsbs.dll
07.11.2006 21:03 131.584 extmgr.dll
07.11.2006 03:27 382.976 iedkcs32.dll
07.11.2006 03:27 229.376 ieaksie.dll
07.11.2006 03:26 152.064 ieakeng.dll
07.11.2006 03:26 71.680 admparse.dll
07.11.2006 03:26 55.296 iesetup.dll
07.11.2006 03:26 13.312 ieudinit.exe
07.11.2006 03:26 43.008 iernonce.dll
07.11.2006 03:26 54.784 ie4uinit.exe
07.11.2006 03:26 123.904 advpack.dll
07.11.2006 03:26 92.672 inseng.dll
07.11.2006 03:25 161.792 ieakui.dll
07.11.2006 03:24 56.483 ieuinit.inf
04.11.2006 14:14 1.245.696 msxml4.dll
01.11.2006 09:45 43.166 perfc009.dat
01.11.2006 09:45 318.940 perfh009.dat
01.11.2006 09:45 325.542 perfh007.dat
01.11.2006 09:45 52.142 perfc007.dat
01.11.2006 09:45 746.944 PerfStringBackup.INI
01.11.2006 09:44 16.832 amcompat.tlb
01.11.2006 09:44 23.392 nscompat.tlb
24.10.2006 20:33 8.282.112 wmploc.dll
24.10.2006 20:04 99.840 wmpshell.dll
24.10.2006 20:04 275.968 wmerror.dll
24.10.2006 20:02 8.192 asferror.dll
20.10.2006 02:38 715.776 sxs.dll
19.10.2006 20:38 831.048 WudfUpdate_01005.dll
18.10.2006 23:03 43.008 wpdshextres.dll
18.10.2006 22:58 8.704 uwdf.exe
18.10.2006 22:58 8.704 wdfmgr.exe
18.10.2006 22:47 4.096 wmvdmod.dll
18.10.2006 22:47 1.543.680 WMVDECOD.dll
18.10.2006 22:47 2.450.944 wmvcore.dll
18.10.2006 22:47 1.382.912 WMVSDECD.dll
18.10.2006 22:47 4.096 WMVADVE.DLL
18.10.2006 22:47 4.096 WMVADVD.dll
18.10.2006 22:47 767.488 WMVSENCD.dll
18.10.2006 22:47 4.096 wmvdmoe2.dll
18.10.2006 22:47 656.896 WMVXENCD.dll
18.10.2006 22:47 1.329.152 WMSPDMOE.dll
18.10.2006 22:47 35.840 wpdconns.dll
18.10.2006 22:47 154.624 wpdmtp.dll
18.10.2006 22:47 63.488 wpdmtpus.dll
18.10.2006 22:47 2.603.008 WpdShext.dll
18.10.2006 22:47 603.648 WMSPDMOD.dll
18.10.2006 22:47 629.760 wpd_ci.dll
18.10.2006 22:47 4.096 wmsdmoe2.dll
18.10.2006 22:47 1.574.912 WMVENCOD.dll
18.10.2006 22:47 356.352 wpdsp.dll
18.10.2006 22:47 4.096 wmsdmod.dll
18.10.2006 22:47 133.632 WPDShServiceObj.dll
18.10.2006 22:47 130.048 wmpps.dll
18.10.2006 22:47 1.661.440 wmpencen.dll
18.10.2006 22:47 314.880 wmpdxm.dll
18.10.2006 22:47 613.376 wmpmde.dll
18.10.2006 22:47 242.688 wmpasf.dll
18.10.2006 22:47 204.288 wmpsrcwp.dll
18.10.2006 22:47 10.834.432 wmp.dll
18.10.2006 22:47 937.984 WMNetMgr.dll
18.10.2006 22:47 157.184 wmidx.dll
18.10.2006 22:47 535.040 wmdrmsdk.dll
18.10.2006 22:47 295.936 wmpeffects.dll
18.10.2006 22:47 348.672 wmdrmnet.dll
18.10.2006 22:47 166.912 PortableDeviceTypes.dll
18.10.2006 22:47 757.248 WMADMOD.dll
18.10.2006 22:47 1.117.696 WMADMOE.dll
18.10.2006 22:47 222.208 WMASF.dll
18.10.2006 22:47 101.888 PortableDeviceClassExtension.dll
18.10.2006 22:47 33.792 wmdmlog.dll
18.10.2006 22:47 211.456 qasf.dll
18.10.2006 22:47 284.160 PortableDeviceApi.dll
18.10.2006 22:47 37.376 wmdmps.dll
18.10.2006 22:47 429.056 wmdrmdev.dll
18.10.2006 22:47 4.096 wdfapi.dll
18.10.2006 22:47 199.168 PortableDeviceWMDRM.dll
18.10.2006 22:47 132.096 PortableDeviceWiaCompat.dll
18.10.2006 22:47 414.208 msscp.dll
18.10.2006 22:47 179.712 msnetobj.dll
18.10.2006 22:47 321.536 mswmdm.dll
18.10.2006 22:47 175.616 mspmsp.dll
18.10.2006 22:47 27.136 mspmsnsv.dll
18.10.2006 22:47 259.072 MP43DECD.dll
18.10.2006 22:47 4.096 MP43DMOD.dll
18.10.2006 22:47 11.264 LAPRXY.dll
18.10.2006 22:47 259.072 MPG4DECD.dll
18.10.2006 22:47 4.096 MPG4DMOD.dll
18.10.2006 22:47 317.440 MP4SDECD.dll
18.10.2006 22:47 4.096 MP4SDMOD.dll
18.10.2006 22:47 212.992 MFPLAT.dll
18.10.2006 22:47 229.376 cewmdm.dll
18.10.2006 22:47 542.720 blackbox.dll
18.10.2006 22:47 991.744 drmv2clt.dll
18.10.2006 22:47 276.992 audiodev.dll
18.10.2006 21:05 232.448 l3codecp.acm
18.10.2006 21:03 100.864 logagent.exe
18.10.2006 21:00 249.856 drmupgds.exe
18.10.2006 21:00 17.408 wpdshextautoplay.exe
17.10.2006 12:06 443.904 html.iec
17.10.2006 12:06 78.336 ieencode.dll
17.10.2006 12:05 206.336 WinFXDocObj.exe
17.10.2006 12:05 1.817.088 inetcpl.cpl
17.10.2006 12:05 105.984 url.dll
17.10.2006 12:05 40.960 licmgr10.dll
17.10.2006 12:05 192.000 msrating.dll
17.10.2006 12:04 101.376 occache.dll
17.10.2006 12:03 17.408 corpol.dll
17.10.2006 12:00 491.520 jscript.dll
17.10.2006 11:58 12.288 msfeedssync.exe
17.10.2006 11:58 61.952 icardie.dll
17.10.2006 11:58 44.544 pngfilt.dll
17.10.2006 11:58 346.624 dxtmsft.dll
17.10.2006 11:57 36.352 imgutil.dll
17.10.2006 11:57 214.528 dxtrans.dll
17.10.2006 11:57 266.752 iertutil.dll
17.10.2006 11:56 45.568 mshta.exe
17.10.2006 11:55 66.560 tdc.ocx
17.10.2006 11:28 48.128 mshtmler.dll
17.10.2006 11:27 380.928 ieapfltr.dll
17.10.2006 11:19 1.383.424 mshtml.tlb
16.10.2006 12:19 270.336 xpsp3res.dll
13.10.2006 13:35 146.432 nwprovau.dll
10.10.2006 08:54 50.688 nmwcdcls.dll
10.10.2006 08:54 30.720 nmwcdcocls.dll
10.10.2006 08:54 4.608 nmwcdlog.dll
02.10.2006 15:28 312.128 msdelta.dll
23.09.2006 12:12 1.497.088 shdocvw.dll
23.09.2006 12:12 474.624 shlwapi.dll
23.09.2006 12:12 82.428 IE7Eula.rtf
23.09.2006 12:12 1.022.976 browseui.dll
16.09.2006 03:02 14.640 spmsg.dll
16.09.2006 03:02 23.856 spupdsvc.exe
15.09.2006 23:30 308.224 WUDFx.dll
15.09.2006 23:30 87.040 WUDFCoinstaller.dll
15.09.2006 23:30 55.296 WudfSvc.dll
15.09.2006 23:30 142.848 WudfHost.exe
15.09.2006 22:29 163.840 WudfPlatform.dll
14.09.2006 09:39 152.064 cdfview.dll
14.09.2006 09:39 1.056.256 danim.dll
13.09.2006 06:02 1.084.416 msxml3.dll
05.09.2006 23:01 2.451.824 ieapfltr.dat
01.09.2006 07:44 1.988 ticrf.rat
01.09.2006 07:44 8.798 icrav03.rat


Verzeichnis von C:\DOKUME~1\mudl\LOKALE~1\Temp

25.12.2006 20:47 16.384 ~WRF0004.tmp
25.12.2006 20:47 212.990 ~WRD0003.doc
25.12.2006 20:47 5.409 ~WRS0001.tmp
25.12.2006 20:47 229.940 ~WRD0000.doc
25.12.2006 20:47 512 ~DF34D4.tmp
25.12.2006 20:41 289 datFind.zip
25.12.2006 19:21 929 TWAIN.LOG
25.12.2006 19:21 156 Twunk001.MTX
25.12.2006 19:21 5 Twain001.Mtx
25.12.2006 19:17 163.648 N670UA.shd
24.12.2006 23:56 755 MCLLog.txt
24.12.2006 23:50 1.914 wmplog00.sqm
24.12.2006 21:41 0 NBR4B.tmp
24.12.2006 15:04 289 lvrsyos0.zip
23.12.2006 19:35 1.629.775 9l83olrx.zip
23.12.2006 19:32 9.568 java_install_reg.log
21.12.2006 14:08 394 wget.log
18.12.2006 21:35 192 sedb.ldb
18.12.2006 14:38 229.376 sedb.mdb
16.12.2006 12:51 1.391.398 nsmail-1.eml
14.12.2006 12:30 426 MSI1cc4a.LOG
14.12.2006 12:29 946 NclRegPermissions(8).log
14.12.2006 12:29 1.533.602 PCCS.log
14.12.2006 12:29 319 NclRegPermissions(7).log
14.12.2006 12:29 7.567.872 PCCS.msi
14.12.2006 12:29 145.792 NCCD.log
14.12.2006 12:29 660.992 Nokia_Connectivity_Cable_Driver.msi
14.12.2006 10:25 116.505 btwinlog.txt
14.12.2006 10:17 1.762 dw.log
13.12.2006 19:39 52.851 anal.jpg
13.12.2006 09:42 466 MSId3fad.LOG
13.12.2006 09:42 9.216 MSI93.tmp
13.12.2006 09:41 9.442 NclRegPermissions(6).log
13.12.2006 09:41 340 MSI841aa.LOG
13.12.2006 09:37 466 MSI9bc54.LOG
13.12.2006 09:37 85.504 19bc52.mst
13.12.2006 09:36 466 MSI8bb5f.LOG
13.12.2006 09:36 85.504 18bb5d.mst
13.12.2006 09:35 7.897 NclRegPermissions(5).log
13.12.2006 09:34 85.504 1841a8.mst
13.12.2006 09:17 0 is2B.tmp
13.12.2006 09:15 1.054 MSI5527f.LOG
13.12.2006 09:15 10.036 NclRegPermissions(4).log
13.12.2006 09:14 85.504 5527d.mst
13.12.2006 09:06 2.315 NclRegPermissions(3).log
07.12.2006 17:01 0 j9r11.tmp
07.12.2006 09:57 75 VCA1A.tmp
07.12.2006 09:55 75 VCAA.tmp
07.12.2006 09:55 75 VCA9.tmp
07.12.2006 09:55 75 VCA8.tmp
06.12.2006 22:00 0 5v8130.tmp
06.12.2006 17:19 0 n8511A.tmp
05.12.2006 18:04 0 ee914F.tmp
05.12.2006 18:00 0 x6k14E.tmp
05.12.2006 17:58 0 p9m14D.tmp
05.12.2006 17:58 0 89614C.tmp
05.12.2006 17:54 0 wq714B.tmp
05.12.2006 17:52 0 jzt14A.tmp
05.12.2006 17:48 0 5jb149.tmp
05.12.2006 17:44 0 vry148.tmp
05.12.2006 17:41 0 7ft147.tmp
05.12.2006 17:37 0 8fg146.tmp
05.12.2006 16:26 0 npm12F.tmp
05.12.2006 14:42 96 VCAC9.tmp
05.12.2006 14:42 96 VCAC8.tmp
05.12.2006 14:42 96 VCAC7.tmp
05.12.2006 14:32 81 VCAC2.tmp
05.12.2006 14:32 81 VCAC0.tmp
05.12.2006 10:32 9.216 MSI61.tmp
05.12.2006 10:22 13.222 NclRegPermissions(2).log
05.12.2006 10:22 4.522 NclRegPermissions(1).log
03.12.2006 10:58 143.328 jar_cache40005.tmp
30.11.2006 16:44 4.341.564 nsmail.eml
20.11.2006 20:15 0 fla7C.tmp
18.11.2006 19:40 0 flaC7.tmp
18.11.2006 19:38 0 flaC5.tmp
18.11.2006 19:32 0 89qC0.tmp
18.11.2006 11:00 0 gc266.tmp
13.11.2006 23:00 122 8A56EAB7.TMP
12.11.2006 11:26 0 kp8e0dvj.dll
10.11.2006 06:21 127 DFC5A2B2.TMP
09.11.2006 17:57 369.780 65uidi0g.exe
09.11.2006 17:53 1.661.493 7j94eljc.exe
05.11.2006 19:00 376 MSI24a99.LOG
05.11.2006 14:48 0 fla9B.tmp
05.11.2006 14:48 0 fla9A.tmp
05.11.2006 11:43 0 jbs3F.tmp
05.11.2006 10:45 376 MSI91380.LOG
03.11.2006 19:46 0 jsqD.tmp
03.11.2006 19:30 0 rqbC.tmp
03.11.2006 14:49 0 fla87.tmp
03.11.2006 14:48 0 fla7F.tmp
03.11.2006 09:55 0 mlw16.tmp
03.11.2006 09:46 0 f9o15.tmp
03.11.2006 09:45 0 63d14.tmp
03.11.2006 09:42 0 nrf13.tmp
03.11.2006 09:24 0 fgb12.tmp
03.11.2006 09:23 0 fim11.tmp
02.11.2006 18:51 369.780 4xmoc1k8.exe
02.11.2006 18:48 0 fve736vn.lnk
31.10.2006 07:50 382 MSI1a2b4.LOG
31.10.2006 07:50 382 MSI1a2b3.LOG
27.10.2006 11:00 0 fla1.tmp
22.10.2006 22:44 79 4A2F483A.TMP
21.10.2006 11:01 0 fla88.tmp
21.10.2006 10:57 717 control.xml
20.10.2006 11:00 0 fla132.tmp
20.10.2006 09:37 0 flaE1.tmp
20.10.2006 09:30 0 flaD5.tmp
13.10.2006 17:07 2.589.136 SHAKIRA.mp3
13.10.2006 17:04 38.108.208 RTS71.wav
11.10.2006 18:37 0 fla35.tmp
11.10.2006 18:37 0 fla32.tmp
11.10.2006 18:36 0 fla2F.tmp
11.10.2006 17:48 0 fla26.tmp
11.10.2006 17:47 0 fla25.tmp
11.10.2006 17:46 0 fla24.tmp
11.10.2006 17:44 0 fla23.tmp
11.10.2006 17:44 0 fla22.tmp
11.10.2006 17:43 0 fla21.tmp
11.10.2006 17:43 0 fla20.tmp
11.10.2006 17:41 0 fla1F.tmp
11.10.2006 17:40 0 fla1E.tmp
11.10.2006 17:40 0 fla1D.tmp
11.10.2006 17:39 0 fla1C.tmp
11.10.2006 17:38 0 fla1B.tmp
11.10.2006 17:35 0 fla1A.tmp
11.10.2006 17:34 0 fla19.tmp
11.10.2006 17:32 0 fla18.tmp
11.10.2006 17:31 0 fla17.tmp
11.10.2006 17:30 0 fla16.tmp
11.10.2006 17:29 0 fla15.tmp
11.10.2006 17:27 0 fla14.tmp
11.10.2006 17:26 0 fla13.tmp
11.10.2006 17:25 0 fla12.tmp
11.10.2006 17:24 0 fla11.tmp
11.10.2006 17:20 0 fla10.tmp
11.10.2006 17:19 0 flaD.tmp
11.10.2006 17:17 0 flaC.tmp
11.10.2006 17:16 0 flaB.tmp
11.10.2006 17:15 0 flaA.tmp
11.10.2006 17:14 0 fla9.tmp
05.10.2006 20:25 0 fla7.tmp
24.09.2006 14:34 0 fla34.tmp
24.09.2006 14:33 0 fla31.tmp
24.09.2006 10:32 0 fla5.tmp
24.09.2006 10:24 16.384 ~DFFF9E.tmp
21.09.2006 17:45 797.676 IMT3.xml
21.09.2006 17:45 426 IMT2.xml
21.09.2006 17:45 2.036 IMT1.xml
13.09.2006 18:40 114 IVIApp.tmp
07.09.2006 20:42 8.136 File2.bmp
07.09.2006 20:42 204.162 File1.bmp
07.09.2006 20:42 867.840 TimeDLL.DLL
06.09.2006 12:55 46.080 ADCD_Cleanup.0001
06.09.2006 12:54 382 MSIaf00b.LOG

#6 uli64

1.
Cleanup anwenden
http://virus-protect.org/cleanup.html

2.
poste hier den scanreport vom antivirus
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo,
Danke für die schnelle Antwort. Cleanup habe ich soeben durchgeführt und auch einen Neustart vorgenommen. Kann es sein, dass jetzt alles viel langsamer läuft oder liegt das an dem Virus?

Habe von heute wieder folgende Meldung von AV erhalten, aber die Datei lässt sich weder löschen noch in die Quarantäne verschieben:

In der Datei 'C:\WINDOWS\system32\msjfan.dll'
wurde ein Virus oder unerwünschtes Programm 'BDS/Agent.AC' [BDS/Agent.AC] gefunden.


Hier mein Suchlauf vom 20.12.2006:


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 20. Dezember 2006 22:06

Es wird nach 589367 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: mudl
Computername: HASSLER

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.2 208936 Bytes 13.12.2006 08:08:20
AVSCAN.DLL : 7.0.3.0 35880 Bytes 13.12.2006 08:08:20
LUKE.DLL : 7.0.3.2 143400 Bytes 13.12.2006 08:08:22
LUKERES.DLL : 7.0.2.0 9256 Bytes 13.12.2006 08:08:22
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 19:57:09
ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14.11.2006 18:41:31
ANTIVIR2.VDF : 6.37.0.25 466432 Bytes 15.12.2006 08:29:56
ANTIVIR3.VDF : 6.37.0.31 19968 Bytes 18.12.2006 14:24:09
AVEWIN32.DLL : 7.3.0.19 1995264 Bytes 16.12.2006 08:29:57
AVPREF.DLL : 7.0.2.0 23592 Bytes 13.12.2006 08:08:20
AVREP.DLL : 6.37.0.5 1007656 Bytes 16.12.2006 08:29:56
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 04.05.2006 11:27:44
AVPACK32.DLL : 7.2.0.5 368680 Bytes 28.10.2006 16:21:08
AVREG.DLL : 7.0.1.1 30760 Bytes 13.12.2006 08:08:20
NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 07:56:48
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 13.12.2006 08:08:13
RCTEXT.DLL : 7.0.12.0 77864 Bytes 13.12.2006 08:08:13

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: ShlExt
Konfigurationsdatei..............: C:\DOKUME~1\mudl\LOKALE~1\Temp\53640bb9.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: aus
Durchsuche Registrierung.........: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus
Erweiterte Sucheinstellungen.....: 0x00000032

Beginn des Suchlaufs: Mittwoch, 20. Dezember 2006 22:06

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\system32\msjfan.dll'
C:\WINDOWS\system32\msjfan.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 20. Dezember 2006 22:06
Benötigte Zeit: 00:03 min

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
1 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
1 Dateien ohne Befall
0 Archive wurden durchsucht
1 Warnungen
0 Hinweise

Gruß
Uli

#8 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\msjfan.dll
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\kp8e0dvj.dll
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\4xmoc1k8.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\65uidi0g.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\7j94eljc.exe

Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

nach dem Neustart erscheint ein Log vom Avenger, wenn es im Sicherheitsforum verlangt wird, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo,
habe alles durchgeführt. Ist jetzt alles in Ordnung? PC läuft immer noch langsam.
Gruß
Uli

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lsxbebsc

*******************

Script file located at: \??\C:\WINDOWS\yrhrdmpt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\msjfan.dll deleted successfully.


File C:\Dokumente und Einstellungen\mudl\Lokale Einstellungen\Temp\kp8e0dvj.dll not found!
Deletion of file C:\Dokumente und Einstellungen\mudl\Lokale Einstellungen\Temp\kp8e0dvj.dll failed!

Could not process line:
C:\Dokumente und Einstellungen\mudl\Lokale Einstellungen\Temp\kp8e0dvj.dll
Status: 0xc0000034



File C:\Dokumente und Einstellungen\mudl\Lokale Einstellungen\Temp\4xmoc1k8.exe not found!
Deletion of file C:\Dokumente und Einstellungen\mudl\Lokale Einstellungen\Temp\4xmoc1k8.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\mudl\Lokale Einstellungen\Temp\4xmoc1k8.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

#10 nun scanne noch mal mit antivirus ud berichte, ob sich die dll nicht etwa neu erstellt hat
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo,
tut mir leid, dass ich mich jetzt erst melde, ging aber leider nicht eher.

Irgendwie spinnt der Computer immer noch (langsam).

Habe soeben mit AV geprüft. Hier der Bericht:

Gruß
Uli

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 26. Dezember 2006 21:27

Es wird nach 605067 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: mudl
Computername: HASSLER

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.4 208936 Bytes 23.12.2006 09:17:53
AVSCAN.DLL : 7.0.3.0 35880 Bytes 13.12.2006 08:08:20
LUKE.DLL : 7.0.3.2 143400 Bytes 13.12.2006 08:08:22
LUKERES.DLL : 7.0.2.0 9256 Bytes 13.12.2006 08:08:22
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 19:57:09
ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14.11.2006 18:41:31
ANTIVIR2.VDF : 6.37.0.56 688128 Bytes 22.12.2006 09:17:54
ANTIVIR3.VDF : 6.37.0.60 15360 Bytes 22.12.2006 09:17:54
AVEWIN32.DLL : 7.3.0.21 1999360 Bytes 23.12.2006 09:17:54
AVPREF.DLL : 7.0.2.0 23592 Bytes 13.12.2006 08:08:20
AVREP.DLL : 6.37.0.5 1007656 Bytes 16.12.2006 08:29:56
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 04.05.2006 11:27:44
AVPACK32.DLL : 7.2.0.5 368680 Bytes 28.10.2006 16:21:08
AVREG.DLL : 7.0.1.1 30760 Bytes 13.12.2006 08:08:20
NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 07:56:48
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 13.12.2006 08:08:13
RCTEXT.DLL : 7.0.12.0 77864 Bytes 13.12.2006 08:08:13

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Dienstag, 26. Dezember 2006 21:27

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'LaunchApplication.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'WkUFind.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CookiePatrol.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'WRSSSDK.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ADCDLicSvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 12 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'A:\' <C:\Dokumente und Einstellungen\mudl\Startmenü\Programme\Autostart\>
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'C:\' <50_01_36>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP1239\A0209872.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.AC
[INFO] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <C:\>
Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'E:\' <D:\>
Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Dienstag, 26. Dezember 2006 22:09
Benötigte Zeit: 42:35 min

Der Suchlauf wurde vollständig durchgeführt.

4257 Verzeichnisse wurden überprüft
332622 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
332621 Dateien ohne Befall
7528 Archive wurden durchsucht
2 Warnungen
1 Hinweise

#12 der Backdoor scheint geloescht zu sein, dennoch schauen wir mal nach versteckten Daten:

lade gmer und wende es nach Anleitung an, poste das log
http://virus-protect.org/artikel/tools/gmer.html

Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, wähle Copy und füge den Bericht ein.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo,
habe gmer gestartet und unten stehende Daten waren unter rootkit sofort da.
Hoffe ich habe alles richtig gemacht. Fragen wurden nämlich nicht gestellt.
Gruß
Uli

GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2006-12-27 20:37:07
Windows 5.1.2600 Service Pack 2


---- Devices - GMER 1.0.12 ----

Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_NAMED_PIPE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_READ [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_WRITE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_SET_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_EA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_SET_EA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_FLUSH_BUFFERS [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_VOLUME_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_SET_VOLUME_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_DIRECTORY_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_FILE_SYSTEM_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_LOCK_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_MAILSLOT [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_SECURITY [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_SET_SECURITY [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_POWER [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_SYSTEM_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CHANGE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_QUOTA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_SET_QUOTA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_PNP [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_NAMED_PIPE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_READ [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_WRITE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_SET_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_EA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_SET_EA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_FLUSH_BUFFERS [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_VOLUME_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_SET_VOLUME_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_DIRECTORY_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_FILE_SYSTEM_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_SHUTDOWN [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_LOCK_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_MAILSLOT [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_SECURITY [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_SET_SECURITY [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_POWER [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_SYSTEM_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CHANGE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_QUOTA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_SET_QUOTA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Tcp IRP_MJ_PNP [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_NAMED_PIPE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_READ [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_WRITE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_SET_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_EA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_SET_EA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_FLUSH_BUFFERS [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_VOLUME_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_SET_VOLUME_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_DIRECTORY_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_FILE_SYSTEM_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_SHUTDOWN [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_LOCK_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_MAILSLOT [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_SECURITY [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_SET_SECURITY [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_POWER [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_SYSTEM_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CHANGE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_QUERY_QUOTA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_SET_QUOTA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\Udp IRP_MJ_PNP [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_NAMED_PIPE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_READ [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_WRITE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_SET_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_EA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_SET_EA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_FLUSH_BUFFERS [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_VOLUME_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_SET_VOLUME_INFORMATION [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_DIRECTORY_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_FILE_SYSTEM_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_SHUTDOWN [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_LOCK_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_MAILSLOT [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_SECURITY [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_SET_SECURITY [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_POWER [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_SYSTEM_CONTROL [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CHANGE [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_QUERY_QUOTA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_SET_QUOTA [F756320C] SSI.SYS
Device \Driver\Tcpip \Device\RawIp IRP_MJ_PNP [F756320C] SSI.SYS

---- EOF - GMER 1.0.12 ----

#14 unter dem Reiter Rootkits wurde nichts gefunden ?
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hallo,
die Daten habe ich aus dem Reiter Rootkits kopiert.
Gruß
Uli