Entfernen von trojanischem Pferd TR/PSW.QQPass.VT.1?

#1 Hallo zusammen!

Habe von Antivir ein Trojanisches Pferd gemeldet bekommen TR/PSW.QQPass.VT.1
Hab das Ding beim ersten Melden löschen lassen, beim folgenen Scan war er allerdings in der System Volume INformation.
Dort habe ich ihn dann in Quarantäne schicken lassen.
Gerne würd ich das Ding loswerden ;-).

1. Log vom Virenscanner

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 28. März 2007 11:31

Es wird nach 714453 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Alex
Computername: ALEXANDRAPRIVAT

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 15.01.2007 19:46:34
AVSCAN.DLL : 7.0.3.0 35880 Bytes 13.12.2006 19:50:10
LUKE.DLL : 7.0.3.2 143400 Bytes 13.12.2006 19:50:12
LUKERES.DLL : 7.0.2.0 9256 Bytes 13.12.2006 19:50:12
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:37:28
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 20:00:26
ANTIVIR2.VDF : 6.38.0.111 406528 Bytes 23.03.2007 09:52:58
ANTIVIR3.VDF : 6.38.0.127 47616 Bytes 27.03.2007 14:13:16
AVEWIN32.DLL : 7.3.1.44 2363904 Bytes 21.03.2007 11:48:20
AVPREF.DLL : 7.0.2.0 23592 Bytes 13.12.2006 19:50:10
AVREP.DLL : 6.38.0.90 1204264 Bytes 21.03.2007 11:48:20
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 05.05.2006 16:59:48
AVPACK32.DLL : 7.3.0.6 360488 Bytes 22.03.2007 12:31:50
AVREG.DLL : 7.0.1.2 30760 Bytes 15.01.2007 19:46:34
NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 06:56:48
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 13.12.2006 19:49:44
RCTEXT.DLL : 7.0.12.0 77864 Bytes 13.12.2006 19:49:44

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus
Erweiterte Sucheinstellungen.....: 0x00007000

Beginn des Suchlaufs: Mittwoch, 28. März 2007 11:31

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'trillian.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'aoltray.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SsAAD.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wzcsldr2.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'AirGCFG.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'AVGNT.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'JUSCHED.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SensKbd.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'HKCMD.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'KPF4GUI.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'WDFMGR.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'KPF4GUI.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'KPF4SS.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SAgent2.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CDAC11BA.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'AOLacsd.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Module wurden durchsucht
Es wurden '38' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 25 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{FE55F41D-0F38-4E2A-A6F6-623A55DDF598}\RP465\A0108774.exe
[FUND] Ist das Trojanische Pferd TR/PSW.QQPass.VT.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '463b45f2.qua' verschoben!
C:\System Volume Information\_restore{FE55F41D-0F38-4E2A-A6F6-623A55DDF598}\RP470\A0109633.exe
[FUND] Ist das Trojanische Pferd TR/PSW.QQPass.VT
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '463b465a.qua' verschoben!
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Mittwoch, 28. März 2007 12:41
Benötigte Zeit: 1:10:15 min

Der Suchlauf wurde vollständig durchgeführt.

5512 Verzeichnisse wurden überprüft
251134 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
251132 Dateien ohne Befall
6479 Archive wurden durchsucht
2 Warnungen
0 Hinweise

2. Hijackthis log

Logfile of HijackThis v1.99.1
Scan saved at 12:47:05, on 28.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Dokumente und Einstellungen\Alex\Desktop\Alex-Ordner\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.webpuzzle.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] "C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124659065548
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

3. Cleanup laufen lassen.

4. Combofix:


"Alex" - 07-03-28 13:19:08 Service Pack 2
ComboFix 07-03-27.4 - Running from: "C:\Dokumente und Einstellungen\Alex\Desktop"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\install.log
C:\WINDOWS\system32\test.dll


((((((((((((((((((((((((((((((( Files Created from 2007-02-28 to 2007-03-28 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))




(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IgfxTray"="C:\\WINDOWS\\System32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\System32\\hkcmd.exe"
"SENS Keyboard V4 Launcher"="\"C:\\Programme\\SAMSUNG\\SENS Keyboard V4 Launcher\\SENSKBD.EXE\""
"NeroCheck"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_04\\bin\\jusched.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"D-Link AirPlus G"="C:\\Programme\\D-Link\\AirPlus G\\AirGCFG.exe"
"ANIWZCS2Service"="C:\\Programme\\ANI\\ANIWZCS2 Service\\WZCSLDR2.exe"
"SsAAD.exe"="C:\\PROGRA~1\\Sony\\SONICS~1\\SsAAD.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SpeedTouch USB Diagnostics"="\"C:\\Programme\\Alcatel\\SpeedTouch USB\\Dragdiag.exe\" /icon"
"Ulead Memory Card Detector"="C:\\Programme\\Ulead Systems\\Ulead Photo Explorer 7.0\\Monitor.exe"
"AWatch"="C:\\Programme\\FRITZ!DSL\\Awatch.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"Omnipage"="C:\\Programme\\ScanSoft\\OmniPageSE\\opware32.exe"
"AOLDialer"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{898bd2c0-74ab-11da-a864-00038a000015}]
Shell\AutoRun\command E:\setupSNK.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job
C:\WINDOWS\tasks\1-Klick-Wartung.job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-28 13:27:28

5. datfind.bat

system32:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 206B-5E21

Verzeichnis von C:\WINDOWS\system32

28.03.2007 13:01 1.158 wpa.dbl
28.03.2007 13:00 3.284 ANIWZCS{4835A301-A493-4439-B036-90408D01FEE8}
25.03.2007 10:38 142.832 FNTCACHE.DAT
07.03.2007 21:36 12.619.736 MRT.exe
16.02.2007 22:09 122.142 TZLog.log
29.01.2007 08:58 60.416 tzchange.exe
25.01.2007 12:52 617.472 urlmon.dll
23.01.2007 19:30 546.304 hhctrl.ocx
04.01.2007 13:41 664.576 wininet.dll
04.01.2007 13:41 474.624 shlwapi.dll
04.01.2007 13:41 1.494.528 shdocvw.dll
04.01.2007 13:41 39.424 pngfilt.dll
04.01.2007 13:41 532.480 mstime.dll
04.01.2007 13:41 146.432 msrating.dll
04.01.2007 13:40 448.512 mshtmled.dll
04.01.2007 13:40 3.077.632 mshtml.dll
04.01.2007 13:40 16.384 jsproxy.dll
04.01.2007 13:40 96.768 inseng.dll
04.01.2007 13:40 251.392 iepeers.dll
04.01.2007 13:40 357.888 dxtmsft.dll
04.01.2007 13:40 205.312 dxtrans.dll
04.01.2007 13:40 55.808 extmgr.dll
04.01.2007 13:40 1.056.256 danim.dll
04.01.2007 13:40 1.023.488 browseui.dll
04.01.2007 13:40 152.064 cdfview.dll
04.01.2007 11:52 123.392 xpsp3res.dll
19.12.2006 21:49 135.168 shsvcs.dll
19.12.2006 21:49 8.494.592 shell32.dll
19.12.2006 19:21 2.182.656 ntoskrnl.exe
19.12.2006 19:21 2.059.904 ntkrnlpa.exe
19.12.2006 18:17 334.336 wiaservc.dll
07.12.2006 05:29 2.374.472 wmvcore.dll
05.12.2006 19:25 34.064 lhacm.acm

systemtemp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 206B-5E21

Verzeichnis von C:\DOKUME~1\Alex\LOKALE~1\Temp

system:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 206B-5E21

Verzeichnis von C:\WINDOWS

28.03.2007 13:00 0 0.log
28.03.2007 13:00 159 wiadebug.log
28.03.2007 12:58 2.048 bootstat.dat
28.03.2007 12:57 32.622 SchedLgU.Txt
28.03.2007 12:57 50 wiaservc.log
28.03.2007 12:56 1.173.252 WindowsUpdate.log
27.03.2007 16:09 778 win.ini
15.03.2007 10:37 12.125 KB929338.log
15.03.2007 10:37 166.335 iis6.log
15.03.2007 10:37 408.762 tsoc.log
15.03.2007 10:37 190.746 ntdtcsetup.log
15.03.2007 10:37 314.438 comsetup.log
15.03.2007 10:37 52.596 msgsocm.log
15.03.2007 10:37 41.750 ocmsn.log
15.03.2007 10:37 1.044.027 FaxSetup.log
15.03.2007 10:37 522.870 ocgen.log
15.03.2007 10:37 902.569 setupapi.log
15.03.2007 10:37 1.374 imsins.log
12.03.2007 08:47 583 Ulead32.ini
06.03.2007 09:44 1.115 wincmd.ini
06.03.2007 09:40 474 wcx_ftp.ini
28.02.2007 21:56 27.564 WgaNotify.log
16.02.2007 22:11 1.374 imsins.BAK
16.02.2007 22:11 21.758 KB927779.log
16.02.2007 22:11 56.322 updspapi.log
16.02.2007 22:11 18.729 KB927802.log
16.02.2007 22:10 18.362 KB928255.log
16.02.2007 22:10 9.461 KB923723.log
16.02.2007 22:10 14.732 KB924667.log
16.02.2007 22:09 27.250 KB931836.log
16.02.2007 22:09 17.173 KB926436.log
16.02.2007 22:08 16.394 KB918118.log
16.02.2007 22:06 20.277 KB928090.log
16.02.2007 22:05 15.733 KB928843.log
18.01.2007 21:09 259.014.656 MEMORY.DMP
11.01.2007 23:00 14.669 KB929969.log
24.12.2006 19:59 3.001 dasetup.log
18.12.2006 21:43 2.324 ie7_main.log
16.12.2006 21:15 21.896 KB925454.log
16.12.2006 21:14 11.730 KB926255.log
16.12.2006 21:14 11.581 KB923694.log
13.12.2006 22:11 9.398 KB925398.log
13.12.2006 22:11 702 avmcoins.log
13.12.2006 22:09 11.377 KB923689.log

tmp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 206B-5E21

Verzeichnis von C:\WINDOWS\temp

down:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 206B-5E21

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 11:41 5.032 swflash.inf
15.10.2005 15:04 2.072 vscanmsx.dat

sys:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 206B-5E21

Verzeichnis von C:\

28.03.2007 13:32 0 sys.txt
28.03.2007 13:32 2.869 down.txt
28.03.2007 13:32 117 tmp.txt
28.03.2007 13:32 16.403 system.txt
28.03.2007 13:31 132 systemtemp.txt
28.03.2007 13:31 103.764 system32.txt
28.03.2007 13:27 4.061 ComboFix.txt
28.03.2007 12:58 258.985.984 hiberfil.sys
28.03.2007 12:58 390.070.272 pagefile.sys
14.03.2007 01:06 190 drwtsn32.log
24.10.2006 00:59 1.239 sti.log


Ich hoffe das sind alle Logs die ihr braucht.

Danke schonmal für die Hilfe!!

Grüße,

Alex

#2 Hallo,

finde nichts auffälliges;

Bitte prüfen lassen:

Zitat

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\SYSTEM32\igfxsrvc.dll
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe

Ansonsten die Systemwiederherstellung kurz aus- und dann wieder anschalten, das löscht alle Restore-Punkte:
Deaktivierung der Systemwiederherstellung von Windows XP:

Zitat

Das geschieht in folgenden Schritten.
1. rechte Maustaste auf Arbeitsplatz, Eigenschaften wählen.
2. Systemwiederherstellung wählen und Systemwiederherstellung auf allen Laufwerken deaktivieren wählen.
3. Diesen Vorgang mit OK bestätigen.

Booten und danach wieder einschalten...

Um sicher zu gehen danach bitte noch einen Scann machen:

Zitat

Kaskpersky OnlineScanner
http://www.kaspersky.com/de/virusscanner

Chris

#3 Hier die Ergebnisse von virustotal:
Complete scanning result of "igfxsrvc.dll", received in VirusTotal at 03.28.2007, 17:43:29 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.3.27.0 03.28.2007 no virus found
AntiVir 7.3.1.44 03.28.2007 no virus found
Authentium 4.93.8 03.28.2007 no virus found
Avast 4.7.936.0 03.28.2007 no virus found
AVG 7.5.0.447 03.27.2007 no virus found
BitDefender 7.2 03.28.2007 no virus found
CAT-QuickHeal 9.00 03.27.2007 no virus found
ClamAV devel-20070312 03.28.2007 no virus found
DrWeb 4.33 03.28.2007 no virus found
eSafe 7.0.14.0 03.27.2007 no virus found
eTrust-Vet 30.6.3518 03.28.2007 no virus found
Ewido 4.0 03.28.2007 no virus found
FileAdvisor 1 03.28.2007 No Thread detected
Fortinet 2.85.0.0 03.28.2007 no virus found
F-Prot 4.3.1.45 03.28.2007 no virus found
F-Secure 6.70.13030.0 03.28.2007 no virus found
Ikarus T3.1.1.3 03.28.2007 no virus found
Kaspersky 4.0.2.24 03.28.2007 no virus found
McAfee 4993 03.27.2007 no virus found
Microsoft 1.2306 03.28.2007 no virus found
NOD32v2 2150 03.28.2007 no virus found
Norman 5.80.02 03.28.2007 no virus found
Panda 9.0.0.4 03.28.2007 no virus found
Prevx1 V2 03.28.2007 no virus found
Sophos 4.15.0 03.27.2007 no virus found
Sunbelt 2.2.907.0 03.24.2007 no virus found
Symantec 10 03.28.2007 no virus found
TheHacker 6.1.6.080 03.23.2007 no virus found
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.2 03.27.2007 no virus found
VirusBuster 4.3.7:9 03.28.2007 no virus found
Webwasher-Gateway 6.0.1 03.28.2007 no virus found

Aditional Information
File size: 315392 bytes
MD5: c0f42b0d114e60f9f308c5fe48c679f9
SHA1: 9582ad44859455b72ad49c2143ad3ba2597aaf23
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=c0f42b0d114e60f9f308c5fe48c679f9

Complete scanning result of "WZCSLDR2.exe", received in VirusTotal at 03.28.2007, 17:52:17 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.3.27.0 03.28.2007 no virus found
AntiVir 7.3.1.44 03.28.2007 no virus found
Authentium 4.93.8 03.28.2007 no virus found
Avast 4.7.936.0 03.28.2007 no virus found
AVG 7.5.0.447 03.27.2007 no virus found
BitDefender 7.2 03.28.2007 no virus found
CAT-QuickHeal 9.00 03.27.2007 no virus found
ClamAV devel-20070312 03.28.2007 no virus found
DrWeb 4.33 03.28.2007 no virus found
eSafe 7.0.14.0 03.27.2007 Win32.Banload.bmq
eTrust-Vet 30.6.3518 03.28.2007 no virus found
Ewido 4.0 03.28.2007 no virus found
FileAdvisor 1 03.28.2007 No Thread detected
Fortinet 2.85.0.0 03.28.2007 no virus found
F-Prot 4.3.1.45 03.28.2007 no virus found
F-Secure 6.70.13030.0 03.28.2007 no virus found
Ikarus T3.1.1.3 03.28.2007 no virus found
Kaspersky 4.0.2.24 03.28.2007 no virus found
McAfee 4993 03.27.2007 no virus found
Microsoft 1.2306 03.28.2007 no virus found
NOD32v2 2150 03.28.2007 no virus found
Norman 5.80.02 03.28.2007 no virus found
Panda 9.0.0.4 03.28.2007 no virus found
Prevx1 V2 03.28.2007 no virus found
Sophos 4.15.0 03.27.2007 no virus found
Sunbelt 2.2.907.0 03.24.2007 no virus found
Symantec 10 03.28.2007 no virus found
TheHacker 6.1.6.080 03.23.2007 no virus found
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.2 03.27.2007 no virus found
VirusBuster 4.3.7:9 03.28.2007 no virus found
Webwasher-Gateway 6.0.1 03.28.2007 no virus found

Aditional Information
File size: 49152 bytes
MD5: 2e72d7c07f48a8fba76241a43b19e3bf
SHA1: 10bead4fcef9de63cfb9de09164118b1fc3cc4dc
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=2e72d7c07f48a8fba76241a43b19e3bf

Aufgrund des Fundes vom eSafe habe ich das mit der Systemwiederherstellung noch nicht gemacht.

Der Kaspersky scan ging leider nicht. Trotz IE 6.0 und dem Fehlen einer Beta-Version ist nach dem installieren des Active-X Elements nichts mehr passiert. Das Fenster mit den Hinweisen kam wieder allerdings konnte ich dort nichts klicken. Habe es mehrmals probiert immer das gleiche.

Scheint ja nun noch was da zu sein oder ist das von eSafe und von Antivir zu Beginn ein Fehlalarm?

#4 Hallo,

Fehlalarm vielleicht nicht (oder hast Du die Heuristik laufen), aber vielleicht
rechtzeitig erwischt...
Wie gesagt kann ich nichts suspektes mehr finden, Alternative zu Kaspersky
[b]FSecure[/]
http://support.f-secure.de/ger/home/ols.shtml
Berichte ob der funktioniert hat uns poste bitte das log...
Chris

#5 Also habe den F-Secure probiert und da habe ich das mit den Active-x Steuerelementen endlich hinbekommen (hab lange keinen IE mehr benutzt).

Leider bekam ich da trotzdem eine Fehlermeldung.

Habe dan den Kaspersky nochmal versucht und nun ging der:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Donnerstag, 29. März 2007 18:39:20
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 29/03/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 272038
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 91400
Viren gefunden: 0
Infizierte Objekte gefunden: 0 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:32:34

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g3p4y3q8.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g3p4y3q8.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g3p4y3q8.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g3p4y3q8.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\Acr6F14.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\udlog.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\g3p4y3q8.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\g3p4y3q8.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\g3p4y3q8.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\g3p4y3q8.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\g3p4y3q8.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\g3p4y3q8.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\debug.log Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\debug.log.idx Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\error.log Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\error.log.idx Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\ids.log Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\ids.log.idx Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\network.log Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\network.log.idx Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\system.log Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\system.log.idx Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\warning.log Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\warning.log.idx Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\web.log Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\web.log.idx Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\hips.log Das Objekt ist gesperrt übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\hips.log.idx Das Objekt ist gesperrt übersprungen
C:\Programme\Trillian\users\default\logs\IRC\Channel\#endzeitspiel.de.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{FE55F41D-0F38-4E2A-A6F6-623A55DDF598}\RP471\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.


scheint also nichts mehr da zu sein, sehe ich das richtig?