Drive-Cleaner-Problem

#16 das ist gut. wenn du fertig bist, sag mir bescheid. dann stellen wir antivir richtig ein und lassen deine festplatten überprüfen...

#17 Tja, Vundofix hat wieder nichts gefunden, dafür kommt hier das aktuelle hijack log.
Kannst du in all diesen Zahlenkolonnen etwas erkennen?

Logfile of HijackThis v1.99.1
Scan saved at 19:24:07, on 17.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Brother\Brmfcmon\brmfcwnd.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis_199\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Microsoft Webcam Enhance V2.1] C:\WINDOWS\runtfs32.exe
O4 - Global Startup: Corel DAD 8.LNK = C:\Corel\Suite8\Programs\DAD8.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O17 - HKLM\System\CCS\Services\Tcpip\..\{D55F4907-84E7-4B0E-B37A-80E95BA9AD01}: NameServer = 195.50.140.252 195.50.140.114
O20 - AppInit_DLLs:
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Ich hoffe, dass sich das Problem heute noch beseitigen lässt, da ich morgen leider keinen Brückentag habe...

#18 bitte verwende für die deinstalation von norton dies:
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2005033108162039?Open&src=&docid=2001092114452606&nsf=nav.nsf&view=docid&dtype=&prod=&ver=&osv=&osv_lvl=
instaliere und update danach antivir prem. sag mir bescheid, wenn geschehen, dann gehts weiter.

#19 hi, stell antivir so ein:
http://board.protecus.de/t23979.htm
zusätzlich masterbootsektoren durchsuchen on
rootkitschutz on
wenn du diese einstellungen gemacht hast, antivir geupdatet hast, dann geh in den abgesicherten modus. lass all deine festplatten durchscannen. funde in quarantäne! log posten.
im normalen modus auf den schirm klicken dann auf scan dort den rootkitscan laufen lassen, dieses log ebenfalls posten.

#20 So, auch das ist geschafft.

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 17. Mai 2007 20:05


Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 11:37:10
AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:20
LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:02
LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:08
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 13:09:02
ANTIVIR2.VDF : 6.38.1.100 1168384 Bytes 06.05.2007 17:53:44
ANTIVIR3.VDF : 6.38.1.155 147456 Bytes 17.05.2007 17:53:44
AVEWIN32.DLL : 7.4.0.23 2454016 Bytes 17.05.2007 17:53:44
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:24
AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:46
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.8 360488 Bytes 27.03.2007 07:48:30
AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:06
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:02
AVARKT.DLL : 1.0.0.17 278568 Bytes 02.05.2007 10:32:24
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:04
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13.03.2007 09:46:02
RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:39:02

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 17. Mai 2007 20:05

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '33945' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'WUAUCLT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIPRVSE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUAUCLT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDFMGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NVSVC32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Brmfrmps.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BlueSoleil.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcWnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DAD8.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSMSGS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSS01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSVC01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '36' Prozesse mit '36' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
Masterbootsektor HD2
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
Masterbootsektor HD3
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
Masterbootsektor HD4
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
Masterbootsektor HD5
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'F:\'
[HINWEIS] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[HINWEIS] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
[HINWEIS] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
[HINWEIS] Im Laufwerk 'I:\' ist kein Datenträger eingelegt!
Bootsektor 'K:\'
[HINWEIS] Im Laufwerk 'K:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '21' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\QooBox\Quarantine\C\WINDOWS\system32\tmp5.tmp.dll.vir
[FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46bc9b65.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\tmpA.tmp.dll.vir
[FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46bc9b69.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\lsasss.exe.vir
[FUND] Ist das Trojanische Pferd TR/Agent.37673
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46ad9b73.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\dhcdll.dll.vir
[FUND] Ist das Trojanische Pferd TR/Agent.AUQ
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46af9b6b.qua' verschoben!
C:\WINDOWS\kbdcan32.exe
[FUND] Ist das Trojanische Pferd TR/Agent.7168.35
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46b09b69.qua' verschoben!
C:\WINDOWS\bmfcr43.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46b29b76.qua' verschoben!
C:\WINDOWS\ntmaspi32.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46b99b7f.qua' verschoben!
C:\WINDOWS\nnmjhg.dll
[FUND] Ist das Trojanische Pferd TR/BHO.AW.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46b99b7b.qua' verschoben!
C:\WINDOWS\ljghij.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46b39b7a.qua' verschoben!
C:\WINDOWS\system32\bak\lsasss.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46ad9bdd.qua' verschoben!
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe1173639168
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46a29daa.qua' verschoben!
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe1174588494
[FUND] Ist das Trojanische Pferd TR/Agent.37320
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46a29dae.qua' verschoben!
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe1174770596
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46a29db0.qua' verschoben!
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe1175190112
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46a29db2.qua' verschoben!
C:\Programme\Spiele\johnnie_walker_moorhuhnjagd\Moorhuhn.exe
[FUND] Enthält Signatur des Spielprogrammes GAME/Moorhuhn
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP321\A0032841.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f21.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP321\A0032842.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f23.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP321\A0032843.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f25.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP321\A0032844.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f28.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP321\A0032845.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f2b.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP321\A0032846.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f2d.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP321\A0032847.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f2f.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP321\A0032848.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f31.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP321\A0032849.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f33.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP321\A0032850.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f36.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP327\A0035647.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f4c.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP327\A0035648.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f4f.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP327\A0035649.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f51.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP327\A0035650.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f53.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP327\A0035651.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f55.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP327\A0035652.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f57.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP327\A0035653.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f59.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP327\A0035654.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f5b.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP327\A0035655.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f5d.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037778.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.37320
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f62.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037779.exe
[FUND] Ist das Trojanische Pferd TR/Agent.37320
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f64.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037780.exe
[FUND] Ist das Trojanische Pferd TR/Agent.37320
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f66.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037781.exe
[FUND] Ist das Trojanische Pferd TR/Agent.37320
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f67.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037782.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.37320
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f69.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037783.exe
[FUND] Ist das Trojanische Pferd TR/Agent.37320
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f6b.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037784.exe
[FUND] Ist das Trojanische Pferd TR/Agent.37320
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f6c.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037785.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.37320
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f6e.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037786.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.37320
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f6f.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037787.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.37320
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f71.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037807.EXE
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f73.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037808.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f74.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037809.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f76.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037810.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f78.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037811.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f79.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037812.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f7b.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037813.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f7d.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037814.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f7e.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037815.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f80.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP331\A0037816.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f81.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP335\A0037913.EXE
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f86.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP335\A0037914.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f88.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP335\A0037915.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f89.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP335\A0037916.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f8b.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP335\A0037917.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f8d.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP335\A0037918.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f8e.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP335\A0037919.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f90.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP335\A0037920.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f92.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP335\A0037921.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f93.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP335\A0037922.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agent.JH.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f95.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP336\A0037935.rbf
[FUND] Ist das Trojanische Pferd TR/Agent.37673
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9f97.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP356\A0039382.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fb5.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP356\A0039383.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fb9.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP357\A0039395.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fbd.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP357\A0039396.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fc0.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP358\A0039402.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fc5.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP358\A0039403.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fc7.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP358\A0039413.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fc9.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP358\A0039414.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fcb.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP358\A0039422.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fcd.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP358\A0039423.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fcf.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP359\A0039433.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fd1.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP359\A0039434.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fd2.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP359\A0039445.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fd4.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP359\A0039446.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fd6.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP359\A0039457.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fd8.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP359\A0039458.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fda.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP359\A0039466.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fdb.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP359\A0039467.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fdd.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP359\A0039482.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fdf.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP359\A0039483.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fe0.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP361\A0039495.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fe3.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP361\A0039496.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fe5.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP361\A0039505.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fe7.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP361\A0039506.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fe8.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP361\A0039515.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fea.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP361\A0039516.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fec.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP361\A0039523.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fee.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP361\A0039524.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9ff0.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP361\A0039532.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9ff2.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP361\A0039533.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9ff4.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP361\A0039547.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9ff6.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP361\A0039548.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9ff8.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP361\A0039560.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9ffa.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP361\A0039561.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9ffc.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0039570.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9ffd.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0039571.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467c9fff.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0039583.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca001.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0039584.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca003.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0039790.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca009.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0039791.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca00b.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0039819.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca00c.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0039820.exe
[FUND] Ist das Trojanische Pferd TR/Agent.37673
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca00e.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0039822.dll
[FUND] Ist das Trojanische Pferd TR/Agent.AUQ
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca010.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0039823.DLL
[FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca013.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0039830.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca015.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0039831.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca017.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0040018.rbf
[FUND] Ist das Trojanische Pferd TR/Agent.37673
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca01e.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0040069.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca024.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0040070.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca026.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0040086.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca028.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0040087.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca02a.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0040140.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca02c.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0040141.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca02e.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0040150.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca031.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0040151.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca032.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0040260.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca036.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP362\A0040261.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca038.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP364\A0040294.EXE
[FUND] Ist das Trojanische Pferd TR/Hijack.Explor.2504
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca03b.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP364\A0040295.exe
[FUND] Ist das Trojanische Pferd TR/Agent.37673
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca03d.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP364\A0040296.exe
[FUND] Ist das Trojanische Pferd TR/Agent.37673
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca03e.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP364\A0040297.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.37673
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca040.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP364\A0040298.exe
[FUND] Ist das Trojanische Pferd TR/Agent.37673
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca041.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP364\A0040299.exe
[FUND] Ist das Trojanische Pferd TR/Agent.37673
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca043.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP364\A0040300.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.37673
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca045.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP364\A0040301.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.37673
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca047.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP364\A0040302.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.37673
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca048.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP364\A0040314.exe
[FUND] Ist das Trojanische Pferd TR/Agent.7168.35
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca04a.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP364\A0040315.DLL
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca04c.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP364\A0040316.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.RM.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca04e.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP364\A0040317.dll
[FUND] Ist das Trojanische Pferd TR/BHO.AW.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca050.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP364\A0040318.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca052.qua' verschoben!
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP364\A0040319.exe
[FUND] Ist das Trojanische Pferd TR/Agent.36441
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467ca054.qua' verschoben!
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'K:\'
Der zu durchsuchende Pfad K:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Unzulässige Funktion.

Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Donnerstag, 17. Mai 2007 20:34
Benötigte Zeit: 29:19 min

Der Suchlauf wurde vollständig durchgeführt.

4374 Verzeichnisse wurden überprüft
167039 Dateien wurden geprüft
137 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
136 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
166902 Dateien ohne Befall
6288 Archive wurden durchsucht
3 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden

***********************************

Die Datei, die nicht in die Quarantäne verschoben, sondern von mir ignoriert wurde, betraf das Moorhuhn-Game.

Der Rootkit-Scan brachte kein negatives Ergebnis, alles war sauber.

Ich hoffe, mein Problem ist jetzt behoben bzw. du kannst erkennen, was ich tun muss, damit es soweit ist?

#21 hi, bitte geh in die quarantäne und stell folgende datei wieder her:
C:\WINDOWS\bmfcr43.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.OR
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46b29b76.qua' verschoben!
auf schirm klicken, auf quarantäne, datei widerherstellen. sende diese dann an antivir:
http://analysis.avira.com/samples/index.php
auf verdächtige dateien gehen und senden. den link für die auswertung bekommst du per mail. kannst reinstellen. die moorhuhndatei auch mal bei fehlalarme diesmal hochladen.
kannst du nochmal updaten, und diesmal im abgesicherten modus scannen? nur den normalen scan. die hochgeladene datei bitte wieder zurück ins quarantäneverzeichniss. befor du nun im abgesicherten modus scannst, tu folgendes.
mach nen rechtsklick auf arbeitsplatz, eigenschaften, systemwiderherstellung dort auf allen laufwerken deaktiviren einstellen. warte mindestens 5 minuten. mache danach deinen rechner komplett aus. fahre ihn erneut hoch, gleich in den abgesicherten modus. scanne mit antivir und poste falls funde das log. schau mal das log durch, der hat auch
CyberLink dateien erkannt, diese sollten zu deinem dvd-programm gehören. sende diese nachdem du sie widerhergestellt hast, bitte auch an avira, wähle fehlalarm aus. bis die antwort da ist, erst mal wieder in quarantäne verschieben.

#22 bitte poste noch zuvor:
1. hijackthis log
2. combofix log
3. filelist und zwar bis 1 jahr zurück. hast du noch spürbare probleme?

#23 da du ein backdoor hattest, wird die reinigung länger dauern... formatieren währe schneller... wir müssen deshalb weitere scans durchführen... wenn du die anderen sachen erledigt hast, lad dir counterspy und führe es nach dieser anleitung aus:
www.hijackthis-forum.de/showthread.php?t=14738 - 37k -
im normalen modus updaten, dann im abgesicherten modus so lange scannen, bis steht no spyware found. ich möchte jedes log sehen!!!

#24 Die genaue Antwort von antivir steht noch aus. Auf der Website wurde der Virus bestätigt, in der Mail lautet es: ...ist in Bearbeitung

***************************************

Hier kommt der hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 21:20:16, on 17.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Corel\Suite8\Programs\DAD8.EXE
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis_199\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Microsoft Webcam Enhance V2.1] C:\WINDOWS\runtfs32.exe
O4 - Global Startup: Corel DAD 8.LNK = C:\Corel\Suite8\Programs\DAD8.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O17 - HKLM\System\CCS\Services\Tcpip\..\{D55F4907-84E7-4B0E-B37A-80E95BA9AD01}: NameServer = 195.50.140.252 195.50.140.114
O20 - AppInit_DLLs:
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



********************************

...und hier der Combofix log:

"Biering" - 2007-05-17 21:22:04 Service Pack 2
ComboFix 07-05.17.V - Running from: "C:\Dokumente und Einstellungen\Biering\Eigene Dateien\"


((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-17 ))))))))))))))))))))))))))))))))))


2007-05-17 19:45 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys
2007-05-17 19:45 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys
2007-05-17 19:45 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-05-17 19:42 <DIR> d-------- C:\Programme\antivir_workstation_win7u_de_h
2007-05-17 19:37 17,222,360 --a------ C:\Programme\antivir_workstation_win7u_de_h.exe
2007-05-17 18:37 <DIR> d--h----- C:\WINDOWS\PIF
2007-05-17 18:19 <DIR> d-------- C:\Programme\VirusTotalUploader
2007-05-17 18:15 78,518 --a------ C:\Programme\vtsetup.exe
2007-05-17 17:22 102,800 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-05-17 17:21 <DIR> d-------- C:\Programme\RootkitBusterv1.6-1055
2007-05-17 17:13 <DIR> d-------- C:\Programme\PandaAntiRootKit
2007-05-17 17:11 <DIR> d-------- C:\Programme\IZArc
2007-05-17 16:39 1,058,646 --a------ C:\Programme\IZArcCL.exe
2007-05-17 16:38 3,550,028 --a------ C:\Programme\IZArc_Setup.exe
2007-05-17 16:22 682,864 --a------ C:\Programme\blacklight.exe
2007-05-17 14:09 <DIR> d-------- C:\Programme\RootkitRevealer
2007-05-17 13:20 <DIR> d-------- C:\Programme\hijackthis_199
2007-05-17 13:12 <DIR> d-------- C:\VundoFix Backups
2007-05-17 12:40 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-05-12 10:37 <DIR> d-------- C:\tinos


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-05-04 14:21:50 111,552 ----a-w C:\WINDOWS\desctemp.dat
2007-03-30 17:43:18 -------- d-----w C:\Programme\Steam
2007-03-19 14:30:50 -------- d-----w C:\Programme\Koch
2007-03-16 17:26:14 20 ----a-w C:\WINDOWS\usage.dat
2007-03-08 13:10:22 0 ----a-w C:\svcipa.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 01:56]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-04-23 12:24]
"nwiz"="nwiz.exe" []
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-04-23 12:24]
"SoundMan"="SOUNDMAN.EXE" []
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" []
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" []
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" []
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" []
"SetDefPrt"="C:\Programme\Brother\Brmfl04a\BrStDvPt.exe" []
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" []
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" []
"Arcor Online"="" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" []
"Steam"="c:\programme\steam\steam.exe" [2007-03-30 19:45]
"Microsoft Webcam Enhance V2.1"="C:\WINDOWS\runtfs32.exe" []
"Arcor Online"="" []


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0
Security Packages kerberos msv1_0 schannel wdigest
Notification Packages scecli

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HTTPFilter HTTPFilter
LocalService Alerter WebClient LmHosts RemoteRegistry upnphost SSDPSRV
NetworkService DnsCache
DcomLaunch DcomLaunch TermService
rpcss RpcSs
imgsvc StiSvc
termsvcs TermService

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*


********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-17 21:23:36
Windows 5.1.2600 Service Pack 2 FAT

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0


********************************************************************

Completion time: 2007-05-17 21:24:39 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-05-17 21:24
C:\ComboFix3.txt ... 2007-05-17 16:02
C:\ComboFix2.txt ... 2007-05-17 17:37


--- E O F ---

Code

2005-03-20 11:48      1120    --a------    C:\Qoobox\Quarantine\C\INSTALL.LOG.vir
2007-05-17 21:22      232    --a------    C:\Qoobox\Quarantine\catchme.log


Auflistung der Ordnerpfade f�r Volume ACER
Volumenummer: 320D-180E
C:\QOOBOX
\---Quarantine
    |   catchme.log
    |   
    +---Registry_backups
    \---C
        |   INSTALL.LOG.vir
        |   
        \---WINDOWS
            \---system32

************************

...und die filelist:


----- Root -----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\

17.05.2007 21:33 43 filelist.txt
17.05.2007 21:24 5.090 ComboFix.txt
17.05.2007 21:24 434 ComboFix-quarantined-files.txt
17.05.2007 21:23 536.399.872 hiberfil.sys
17.05.2007 21:23 805.306.368 pagefile.sys
17.05.2007 19:23 633 VundoFix.txt
17.05.2007 17:37 5.000 ComboFix2.txt
17.05.2007 16:02 4.505 ComboFix3.txt
08.03.2007 15:10 0 svcipa.exe
02.10.2005 12:35 13.030 PDOXUSRS.NET
12.09.2005 21:48 92 ExportStats.txt
15.03.2005 22:05 211 boot.ini
28.01.2005 09:19 173 iv5setup.log
28.01.2005 08:57 512 BOOTSECT.DOS
28.01.2005 08:57 78 BOOTLOG.TXT
28.01.2005 08:54 0 MSDOS.SYS
04.08.2004 05:00 47.564 NTDETECT.COM
04.08.2004 05:00 251.184 ntldr
04.08.2004 05:00 4.952 bootfont.bin
20.04.2004 11:31 5 xpsp2.id
20.04.2004 11:31 5 flag.id
20.04.2004 11:31 5 de.id
09.04.2004 16:42 0 AUTOEXEC.BAT
09.04.2004 16:22 0 CONFIG.SYS
24.05.2001 12:59 162.304 UNWISE.EXE
23.04.1999 22:22 0 IO.SYS
26 Datei(en) 1.342.202.060 Bytes
0 Verzeichnis(se), 61.085.057.024 Bytes frei

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

17.05.2007 21:23 159 wiadebug.log
17.05.2007 21:23 0 0.log
17.05.2007 21:23 2.048 bootstat.dat
17.05.2007 20:04 50 wiaservc.log
17.05.2007 20:04 32.544 SchedLgU.Txt
17.05.2007 20:04 1.674.330 WindowsUpdate.log
17.05.2007 19:43 17 obclient.ini
17.05.2007 18:37 758.032 setupapi.log
17.05.2007 17:14 832 win.ini
17.05.2007 16:54 250 gmer.ini
17.05.2007 16:54 573.503 gmer.dll
17.05.2007 16:54 80 gmer_uninstall.cmd
17.05.2007 14:57 395 LUINSTALL.LOG
17.05.2007 12:38 861.331 jihgjl.ini
17.05.2007 12:03 862.755 tsrtwa.ini
16.05.2007 18:25 139.521 wmsetup.log
15.05.2007 19:47 865.277 ghjmnn.ini
15.05.2007 19:45 5.390 ModemLog_Bluetooth Fax Modem.txt
15.05.2007 19:45 5.396 ModemLog_Bluetooth DUN Modem.txt
15.05.2007 19:45 3.842 ModemLog_Agere Systems PCI Soft Modem.txt
12.05.2007 10:31 232.259 setupact.log
08.05.2007 18:26 4.552 ModemLog_Bluetooth LAP Modem #2.txt
04.05.2007 16:21 111.552 desctemp.dat
03.05.2007 15:59 0 Jcmkr32.INI
02.05.2007 19:52 3.428 PI2000.ini
29.04.2007 14:25 30 CDMKR32.INI
21.04.2007 03:52 86.528 catchme.exe
12.04.2007 17:04 577.536 gmer.exe
25.03.2007 18:18 1.863 disney.ini
25.03.2007 18:14 1.393 disney.old
16.03.2007 19:26 20 usage.dat
21.02.2007 15:10 6.357 ocmsn.log
21.02.2007 15:10 18.226 iis6.log
21.02.2007 15:10 48.382 comsetup.log
21.02.2007 15:10 49.242 tsoc.log
21.02.2007 15:10 3.667 KB884020.log
21.02.2007 15:10 27.584 ntdtcsetup.log
21.02.2007 15:10 1.374 imsins.log
21.02.2007 15:10 5.815 msgsocm.log
21.02.2007 15:10 61.341 ocgen.log
21.02.2007 15:10 113.741 FaxSetup.log
21.02.2007 15:03 1.203 KB928090-IE7.log
21.02.2007 14:56 460 wmsetup10.log
11.02.2007 16:39 403 tm.ini
27.01.2007 19:24 10.698 KB893803v2.log
27.01.2007 19:24 1.374 imsins.BAK
06.01.2007 11:43 2.906 COM+.log
06.01.2007 11:35 260 buhl.ini
29.12.2006 22:29 0 setuperr.log
26.12.2006 16:59 482 WSST_Screen_Saver.ini
27.10.2006 10:35 54.156 QTFont.qfn
27.10.2006 10:35 1.409 QTFont.for
26.10.2006 20:25 316.640 WMSysPr9.prx
13.09.2006 17:59 282 stinfo.inf
04.09.2006 16:51 582 eReg.dat
27.08.2006 13:26 468 BRWMARK.INI
27.08.2006 10:49 609 tlknw18.ini
27.08.2006 10:24 24 wldtlk18.ini
24.07.2006 01:38 49.152 nircmd.exe
06.05.2006 15:56 0 Brownie.ini
03.05.2006 20:21 27 BRPP2KA.INI
16.04.2006 11:06 35 tdf.dii
23.09.2005 05:51 2.510 Microsoft.MIF
23.09.2005 05:50 421 ODBC.INI
02.09.2005 12:49 122 ALBUM.INI
02.09.2005 12:25 0 P2kRotate.ini
13.08.2005 18:34 1.252.762 Camel Screen Saver.dat
13.08.2005 18:34 462 UninstallLog0.log
13.08.2005 18:34 466.944 Camel Screen Saver.scr
13.08.2005 18:34 180.224 UninstallWSST.exe
04.08.2005 15:59 4.096 d3dx.dat
10.07.2005 14:25 0 iPlayer.INI
05.07.2005 18:39 229 arde.ini
05.06.2005 19:34 229 areu.ini
22.05.2005 17:33 10 evypaths.bin
27.04.2005 17:17 0 TEXTART.INI
10.04.2005 09:57 38 Approach.ini
10.04.2005 09:57 128 winhelp.ini
01.04.2005 19:22 13.010 123R5.INI
01.04.2005 19:19 755 lotus.ini
01.04.2005 19:19 4.298 ODBCINST.INI
31.03.2005 21:18 14.638 KB885835.log
31.03.2005 21:18 14.230 KB885250.log
31.03.2005 21:18 13.474 KB890175.log
31.03.2005 21:18 10.250 KB867282.log
31.03.2005 21:18 11.336 KB890047.log
29.03.2005 10:33 42.078 PFP80JPR.{PB
29.03.2005 10:33 8.438 PFP80JCM.{PB
28.03.2005 16:26 78.336 pysoft_uninstaller.exe
28.03.2005 16:01 47 winhlp32.ini
25.03.2005 20:25 12.955 KB885836.log
25.03.2005 20:25 12.749 KB873339.log
25.03.2005 20:25 13.676 KB888113.log
25.03.2005 20:25 14.219 KB887742.log
25.03.2005 20:25 13.616 KB887472.log
25.03.2005 20:25 13.719 KB891781.log
25.03.2005 20:24 14.250 KB873333.log
25.03.2005 20:24 11.682 KB888302.log
23.03.2005 08:27 6.204 KB886185.log
21.03.2005 20:15 2.464 $_hpcst$.hpc
20.03.2005 12:25 169 RtlRack.ini
15.03.2005 22:05 1.174 OEWABLog.txt
15.03.2005 22:04 3.941 sessmgr.setup.log
15.03.2005 22:04 641 DtcInstall.log
15.03.2005 22:03 6.874 regopt.log
15.03.2005 22:03 231 system.ini
28.01.2005 09:21 61 smscfg.ini
28.01.2005 09:20 8.192 REGLOCS.OLD
28.01.2005 09:13 0 control.ini
28.01.2005 09:11 749 WindowsShell.Manifest
28.01.2005 09:10 36 vb.ini
28.01.2005 09:10 37 vbaddin.ini
28.01.2005 09:09 200 cmsetacl.log
28.01.2005 09:08 0 Sti_Trace.log


----- System ---
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system


----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

17.05.2007 15:14 1.876 RootkitReveal.txt
13.05.2007 14:10 1.158 wpa.dbl
02.04.2007 14:21 428.032 swreg.exe
25.03.2007 10:50 184.224 FNTCACHE.DAT
27.01.2007 20:32 401.064 perfh009.dat
27.01.2007 20:32 62.344 perfc009.dat
27.01.2007 20:32 960.848 PerfStringBackup.INI
27.01.2007 20:32 415.470 perfh007.dat
27.01.2007 20:32 74.996 perfc007.dat
06.01.2007 11:35 3.593 german.lng
01.12.2006 05:20 212.480 swxcacls.exe
29.11.2006 17:21 370.688 swsc.exe
27.11.2006 02:34 49.152 vfind.exe
26.10.2006 20:32 23.392 nscompat.tlb
26.10.2006 20:32 16.832 amcompat.tlb
24.09.2006 17:14 7.006 jupdate-1.5.0_06-b05.log
17.05.2006 14:01 1.060.864 mfc71.dll
03.05.2006 20:21 30 brss01a.ini
03.05.2006 20:21 184 brsvc01a.bsi
03.05.2006 19:52 50 BRIDF04A.dat
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
09.11.2005 00:26 38.400 moveex.exe
23.09.2005 07:28 150.016 mscorier.dll
23.09.2005 07:28 270.848 mscoree.dll
23.09.2005 07:28 74.240 mscories.dll
23.09.2005 07:28 83.456 dfshim.dll
12.09.2005 12:00 53.248 btfunc.dll
13.08.2005 18:34 28.672 ssconfig.exe
13.08.2005 18:31 29.184 sstunst2.exe
13.08.2005 18:31 657.282 Baby Animals.msf
13.08.2005 18:31 400.896 Baby Animals.scr
13.08.2005 17:59 1.809.272 camel schoner.exe
13.08.2005 17:42 962.440 babyanimals1.exe
09.08.2005 19:21 65.536 WinRas32.ocx
01.08.2005 19:51 4.608 w95inf32.dll
01.08.2005 19:51 2.272 w95inf16.dll
21.06.2005 10:29 245.408 unicows.dll
09.06.2005 14:35 1.300.312 MRT.exe
26.05.2005 04:16 41.240 wups.dll
26.05.2005 04:16 173.536 wuweb.dll
26.05.2005 04:16 18.200 wups2.dll
26.05.2005 04:16 1.343.768 wuaueng.dll
26.05.2005 04:16 198.424 iuengine.dll
26.05.2005 04:16 75.544 cdm.dll
26.05.2005 04:16 128.280 wucltui.dll
26.05.2005 04:16 174.872 wuaucpl.cpl
26.05.2005 04:16 466.200 wuapi.dll
26.05.2005 04:16 194.840 wuaueng1.dll
26.05.2005 04:16 124.696 wuauclt.exe
26.05.2005 04:16 174.872 wuauclt1.exe
03.05.2005 12:58 2.890.240 msi.dll
03.05.2005 12:58 884.736 msimsg.dll
03.05.2005 12:58 15.360 msisip.dll
03.05.2005 12:58 78.848 msiexec.exe
03.05.2005 12:58 271.360 msihnd.dll
03.05.2005 12:58 15.072 spmsg.dll
28.03.2005 16:26 2.118.900 winni.scr
28.03.2005 16:01 484 mapisvc.inf
15.03.2005 22:05 741 $winnt$.inf
31.01.2005 19:20 333 $ncsp$.inf
28.01.2005 15:23 228.352 wmerror.dll
28.01.2005 15:23 9.216 asferror.dll
28.01.2005 15:23 86.016 wmpshell.dll
28.01.2005 15:23 3.407.872 WMPLOC.DLL
28.01.2005 15:23 3.407.872 WMPLOC(2).DLL
28.01.2005 15:23 486.400 Audiodev(2).dll
28.01.2005 15:23 486.400 Audiodev.dll
28.01.2005 15:23 316.416 MSWMDM.dll
28.01.2005 13:32 2.370.296 WMVCORE.DLL
28.01.2005 13:32 895.736 wmvdmod.dll
28.01.2005 13:32 2.370.296 WMVCORE(2).DLL
28.01.2005 13:32 1.218.808 wmvadvd.dll
28.01.2005 13:32 774.904 wmsdmod.dll
28.01.2005 13:32 258.296 DRMClien.DLL
28.01.2005 13:32 413.944 wmspdmod.dll
28.01.2005 13:32 364.784 msscp.dll
28.01.2005 13:32 396.528 wmadmod.dll
28.01.2005 13:32 258.296 DRMClien(2).DLL
28.01.2005 09:27 1.024 ntiembed.dll
28.01.2005 09:26 1.024 NTICDMK32.dll
28.01.2005 09:26 1.024 NTIMPEG2.dll
28.01.2005 09:13 2.953 CONFIG.NT
28.01.2005 09:11 488 WindowsLogon.manifest
28.01.2005 09:11 488 logonui.exe.manifest
28.01.2005 09:11 749 cdplayer.exe.manifest
28.01.2005 09:11 749 wuaucpl.cpl.manifest
28.01.2005 09:11 749 ncpa.cpl.manifest
28.01.2005 09:11 749 sapi.cpl.manifest
28.01.2005 09:11 749 nwc.cpl.manifest
28.01.2005 09:11 21.740 emptyregdb.dat
28.01.2005 09:09 0 h323log.txt
28.01.2005 08:53 290.816 WMDRMNet.dll
28.01.2005 08:53 335.872 WMDRMdev.dll
28.01.2005 08:53 502.272 drmv2clt.dll
28.01.2005 08:53 502.272 drmv2clt(2).dll
28.01.2005 08:53 294.912 blackbox.dll
28.01.2005 08:53 142.336 msnetobj.dll
28.01.2005 08:53 96.768 drmstor.dll
28.01.2005 08:53 142.336 msnetobj(2).dll
28.01.2005 08:53 221.184 qasf.dll
28.01.2005 08:53 164.864 cewmdm.dll
28.01.2005 08:53 173.568 MsPMSP.dll
28.01.2005 08:53 25.088 MsPMSNSv.dll
28.01.2005 08:53 282.624 wmpdxm(2).dll
28.01.2005 08:53 33.792 WMDMPS.dll
28.01.2005 08:53 135.168 wmpasf.dll
28.01.2005 08:53 282.624 wmpdxm.dll
28.01.2005 08:53 1.512.448 WMVADVE.DLL
28.01.2005 08:53 28.160 WMDMLOG.dll
28.01.2005 08:53 940.544 wmspdmoe.dll
28.01.2005 08:53 175.104 wmpsrcwp.dll
28.01.2005 08:53 1.594.880 wmpencen.dll
28.01.2005 08:53 1.119.744 wmsdmoe2.dll
28.01.2005 08:53 1.003.008 wmvdmoe2.dll
28.01.2005 08:53 716.288 wmadmoe.dll
28.01.2005 08:53 5.525.504 WMP(2).DLL
28.01.2005 08:53 224.768 WMASF.DLL
28.01.2005 08:53 6.656 laprxy.dll
28.01.2005 08:53 1.027.072 wmnetmgr(2).dll
28.01.2005 08:53 224.768 WMASF(2).DLL
28.01.2005 08:53 150.016 wmidx.dll
28.01.2005 08:53 1.027.072 wmnetmgr.dll
28.01.2005 08:53 5.525.504 WMP.DLL
28.01.2005 08:52 20.480 wmpcd.dll
28.01.2005 08:52 20.480 wmpcore.dll
28.01.2005 08:52 20.480 wmpui.dll
28.01.2005 08:52 20.480 wmp.ocx
28.01.2005 01:36 331.264 wpdsp.dll
28.01.2005 01:36 38.912 wpd_ci.dll
28.01.2005 01:36 331.776 wpdmtpdr.dll
28.01.2005 01:36 114.176 wpdmtp.dll
28.01.2005 01:36 66.560 wpdmtpus.dll
28.01.2005 01:36 61.952 wpdconns.dll
28.01.2005 01:36 10.752 wpdtrace.dll
28.01.2005 01:36 47.104 uwdf.exe
28.01.2005 01:36 38.912 WDFMGR.EXE
28.01.2005 01:35 15.872 wdfapi.dll
28.01.2005 01:26 360.448 l3codecp.acm
28.01.2005 01:21 96.768 logagent.exe
27.01.2005 19:13 605.696 urlmon.dll
27.01.2005 19:13 474.112 shlwapi.dll
27.01.2005 19:13 1.483.776 shdocvw.dll
27.01.2005 19:13 3.006.976 mshtml.dll
27.01.2005 19:13 662.528 wininet.dll
27.01.2005 19:13 96.768 inseng.dll
27.01.2005 19:13 249.856 iepeers.dll
27.01.2005 19:13 152.064 cdfview.dll
27.01.2005 19:13 1.016.832 browseui.dll
14.01.2005 09:57 74.752 olecli32.dll
14.01.2005 09:57 395.776 rpcss.dll
14.01.2005 09:57 37.888 olecnv32.dll
14.01.2005 09:57 1.285.120 ole32.dll

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Prefetch

17.05.2007 21:33 13.266 CMD.EXE-087B4001.pf
17.05.2007 21:29 48.134 HJT.EXE-045FA923.pf
17.05.2007 21:28 15.186 NOTEPAD.EXE-336351A9.pf
17.05.2007 21:25 102.574 IEXPLORE.EXE-2CA9778D.pf
17.05.2007 21:25 59.588 AOBUTLER.EXE-22D1F9ED.pf
17.05.2007 21:24 16.848 ARCOR.EXE-1E95EA5D.pf
17.05.2007 21:24 2.894 VFIND.CFEXE-2033727F.pf
17.05.2007 21:24 4.720 HANDLE.CFEXE-13427ED2.pf
17.05.2007 21:24 13.660 FIND.EXE-0EC32F1E.pf
17.05.2007 21:24 4.078 SED.CFEXE-268D7E58.pf
17.05.2007 21:24 8.476 NIRCMD.CFEXE-19FF4781.pf
17.05.2007 21:24 8.758 SWREG.CFEXE-2BF4FFCD.pf
17.05.2007 21:24 4.948 TREE.COM-0A9AA73A.pf
17.05.2007 21:24 11.282 FINDSTR.EXE-0CA6274B.pf
17.05.2007 21:24 9.788 DUMPHIVE.CFEXE-2ED3B134.pf
17.05.2007 21:24 28.404 WUAUCLT.EXE-399A8E72.pf
17.05.2007 21:24 15.308 RUNDLL32.EXE-415F88EC.pf
17.05.2007 21:24 18.834 RUNDLL32.EXE-1340EF7F.pf
17.05.2007 21:24 17.648 AVGNT.EXE-36CA4640.pf
17.05.2007 21:24 15.212 AGRSMMSG.EXE-0034A7F7.pf
17.05.2007 21:24 10.258 SOUNDMAN.EXE-19745A34.pf
17.05.2007 21:24 54.892 STEAM.EXE-25824B4E.pf
17.05.2007 21:24 72.486 EXPLORER.EXE-082F38A9.pf
17.05.2007 21:24 10.880 SORT.EXE-194AE83C.pf
17.05.2007 21:24 890.874 NTOSBOOT-B00DFAAD.pf
17.05.2007 21:24 26.648 IMAPI.EXE-0BF740A4.pf
17.05.2007 21:22 10.580 NTP.EXE-2B3FE2C5.pf
17.05.2007 21:22 13.166 AT.EXE-2770DD18.pf
17.05.2007 21:22 3.350 REGBINDUMP.CFEXE-28A4A438.pf
17.05.2007 21:22 6.580 SWXCACLS.CFEXE-365F7973.pf
17.05.2007 21:22 8.780 CATCHME.CFEXE-0F2A0789.pf
17.05.2007 21:22 7.268 SWSC.CFEXE-3B4FE4FE.pf
17.05.2007 21:22 2.792 VFIND.EXE-0CB9A64E.pf
17.05.2007 21:22 3.952 MTEE.CFEXE-1E067BC7.pf
17.05.2007 21:22 11.090 ATTRIB.EXE-39EAFB02.pf
17.05.2007 21:22 10.864 REGT.CFEXE-15DB5DAE.pf
17.05.2007 21:22 20.174 SETPATH.CFEXE-034E3D26.pf
17.05.2007 21:22 8.470 SWREG.EXE-3560BE42.pf
17.05.2007 21:22 4.960 CHCP.COM-18156052.pf
17.05.2007 21:22 9.690 NIRCMD.EXE-14D31903.pf
17.05.2007 21:22 42.184 COMBOFIX.EXE-2DF58670.pf
17.05.2007 21:19 16.522 GUARDGUI.EXE-1BD45C30.pf
17.05.2007 21:06 11.954 RUNDLL32.EXE-268BFF96.pf
17.05.2007 21:06 13.576 BRMFCWND.EXE-369A8D07.pf
17.05.2007 20:06 26.314 WMIPRVSE.EXE-28F301A9.pf
17.05.2007 19:54 18.684 CONTROL.EXE-013DBFB5.pf
17.05.2007 19:54 30.624 RUNDLL32.EXE-3910966A.pf
17.05.2007 19:53 39.082 UPDATE.EXE-13D57D76.pf
17.05.2007 19:53 15.204 PREUPD.EXE-358AA1C1.pf
17.05.2007 19:52 15.028 OSA.EXE-0082CBE3.pf
17.05.2007 19:52 7.780 BRMFCMON.EXE-2D9F7716.pf
17.05.2007 19:49 18.426 LOGONUI.EXE-0AF22957.pf
17.05.2007 19:48 7.252 WSCNTFY.EXE-1B24F5EB.pf
17.05.2007 19:48 25.252 SETUP.EXE-1F07D421.pf
17.05.2007 19:48 29.524 SCHED.EXE-236A886F.pf
17.05.2007 19:48 17.882 REGSVR32.EXE-25EEFE2F.pf
17.05.2007 19:48 11.808 UPDATE.EXE-304438C4.pf
17.05.2007 19:45 49.208 AVGUARD.EXE-3490B18B.pf
17.05.2007 19:45 15.300 RUNDLL32.EXE-403583CB.pf
17.05.2007 19:45 16.076 RUNDLL32.EXE-3A3DD707.pf
17.05.2007 19:43 16.270 IS-9BD2I.TMP-33B1C7A1.pf
17.05.2007 19:43 17.580 UPDATE.EXE-1FD6E598.pf
17.05.2007 19:42 71.024 IZARC.EXE-2E6E215D.pf
17.05.2007 19:40 25.648 DWWIN.EXE-30875ADC.pf
17.05.2007 19:40 13.928 DRWTSN32.EXE-2B4B52AC.pf
17.05.2007 19:40 22.926 LUCOMS~1.EXE-3B58BA4B.pf
17.05.2007 19:39 22.316 NORTON_REMOVAL_TOOL.EXE-32A08480.pf
17.05.2007 19:34 71.236 ACRORD32.EXE-0EC716D9.pf
17.05.2007 19:21 14.520 VUNDOFIX.EXE-138EC639.pf
17.05.2007 18:57 30.364 VIRUSTOTALUPLOAD.EXE-12F771E5.pf
17.05.2007 18:48 55.114 WPWIN8.EXE-293D1B5B.pf
17.05.2007 18:39 17.438 RUNDLL32.EXE-327ED30F.pf
17.05.2007 18:19 11.484 VTSETUP.EXE-3818D3B8.pf
17.05.2007 17:49 15.110 IS-MEHHD.TMP-0A2B1266.pf
17.05.2007 17:42 13.282 HJT.EXE.EXE-28D52A2C.pf
17.05.2007 17:37 6.604 RUNTFS32.EXE-0969A75D.pf
17.05.2007 17:30 20.740 BITDEFENDER_ANTIROOTKIT-BETA2-073CF04C.pf
17.05.2007 17:30 22.836 ANTIRO~1.EXE-03C043E7.pf
17.05.2007 17:30 13.980 BDRUNC~1.EXE-39821070.pf
17.05.2007 17:26 17.152 ANTIROOTKIT.EXE-0223EA24.pf
17.05.2007 17:22 24.426 ROOTKITBUSTER.EXE-0D2AA3AF.pf
17.05.2007 17:18 6.482 BLACKLIGHT.EXE-1317C887.pf
17.05.2007 17:13 33.906 PAVARK.EXE-1B364C7A.pf
17.05.2007 17:12 17.148 IS-2ANMF.TMP-05177ED2.pf
17.05.2007 17:12 12.150 IZARCCL.EXE-19259E5B.pf
17.05.2007 17:11 11.918 _REGDLL.TMP-21B17828.pf
17.05.2007 17:10 19.350 IS-KDK9Q.TMP-1F6BA73D.pf
17.05.2007 17:10 14.206 IZARC_SETUP.EXE-039C75BB.pf
17.05.2007 17:07 27.658 AVG_ANTIROOTKIT_1.0.0.13.EXE-209172D8.pf
17.05.2007 16:54 26.154 GMER.EXE-2C6970E0.pf
17.05.2007 16:45 19.182 IS-1F2IS.TMP-29029D4D.pf
17.05.2007 15:56 15.478 RUNDLL32.EXE-2BDC16B4.pf
17.05.2007 15:33 32.320 RUNDLL32.EXE-44A0B4BC.pf
17.05.2007 15:33 11.110 YPBM.EXE-3A1B0077.pf
17.05.2007 15:33 20.992 ROOTKITREVEALER.EXE-36D8A60E.pf
17.05.2007 15:30 24.014 RUNDLL32.EXE-1187FB71.pf
17.05.2007 15:25 14.842 SVCHOST.EXE-3530F672.pf
17.05.2007 15:25 78.214 DUMPREP.EXE-1B46F901.pf
17.05.2007 14:58 10.692 YGITUVFA.EXE-12F26D08.pf
17.05.2007 14:57 31.040 MSIEXEC.EXE-2F8A8CAE.pf
17.05.2007 14:57 13.084 IRALRSHL.EXE-15F83E78.pf
17.05.2007 14:57 14.590 LSETUP.EXE-37ECF0AF.pf
17.05.2007 14:57 4.724 VCCLEANUP0.EXE-0E1C795B.pf
17.05.2007 14:57 30.272 VCSETUP.EXE-11787630.pf
17.05.2007 14:57 10.478 SEVINST.EXE-0885EB4C.pf
17.05.2007 14:57 17.444 SBSERV.EXE-28D943D4.pf
17.05.2007 14:57 19.980 SEVINST.EXE-2AE140C7.pf
17.05.2007 14:56 67.924 NMAIN.EXE-1C7B4910.pf
17.05.2007 14:56 12.236 CCPWDSVC.EXE-265E8DE3.pf
17.05.2007 14:56 18.010 MSI9B.TMP-1651A3FE.pf
17.05.2007 14:56 8.276 SAVSCAN.EXE-3A1B0BAE.pf
17.05.2007 14:56 13.496 NAVAPSVC.EXE-207A81D8.pf
17.05.2007 14:55 26.280 {C6F5B6CF-609C-428E-876F-CA83-2EF87781.pf
17.05.2007 14:55 49.406 RUNDLL32.EXE-13404D23.pf
17.05.2007 14:45 72.254 HELPCTR.EXE-3862B6F5.pf
17.05.2007 14:45 44.758 HELPSVC.EXE-2878DDA2.pf
17.05.2007 14:38 18.714 RUNDLL32.EXE-21D394C8.pf
17.05.2007 14:35 23.570 RUNDLL32.EXE-29A2BA7C.pf
17.05.2007 14:29 29.396 HELPHOST.EXE-247D2792.pf
17.05.2007 14:15 10.664 UVTEGK.EXE-1A6F55D1.pf
17.05.2007 14:10 13.720 RJJNJLELW.EXE-1E2FA0AC.pf
17.05.2007 13:21 13.412 HIJACKTHIS.EXE-0FDFF49A.pf
17.05.2007 12:37 10.260 TMP33.TMP.EXE-366C4CF9.pf
17.05.2007 12:27 15.658 RUNDLL32.EXE-24DB59AB.pf
17.05.2007 12:27 6.892 TMPA.TMP.EXE-041A7153.pf
17.05.2007 12:27 16.508 IS-KHIFF.TMP-16FDC87E.pf
17.05.2007 12:25 3.656 TMP9.TMP.EXE-0067148B.pf
17.05.2007 12:09 18.594 DRF1179396461[1].HTM.EXE-20A7D432.pf
17.05.2007 12:04 10.222 TMP4.TMP.EXE-01E90572.pf
129 Datei(en) 3.600.352 Bytes
0 Verzeichnis(se), 61.084.958.720 Bytes frei

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\tasks

17.05.2007 21:23 6 SA.DAT
04.08.2004 05:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 61.084.958.720 Bytes frei

----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Temp


----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\Biering\LOKALE~1\Temp

17.05.2007 21:24 16.384 ~DFBE6B.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 61.084.958.720 Bytes frei

*************************************

Zum Schluss habe ich noch eine doofe Frage: Was ist ein abgesicherter Modus? Hört sich bestimmt ziemlich blöd an, aber ich glaube, inzwischen weiß ich bald gar nichts mehr.

Das Popup-Fenster ist seit Stunden nicht mehr aufgetaucht, aber ich surfe ja auch nicht im Internet, sondern öffne und schließe es fortwährend...

#25 files to delete:
C:\svcipa.exe
C:\WINDOWS\jihgjl.ini
C:\WINDOWS\obclient.ini
C:\WINDOWS\tsrtwa.ini
C:\WINDOWS\ghjmnn.ini
C:\WINDOWS\Jcmkr32.INI
C:\WINDOWS\system32\swxcacls.exe
C:\WINDOWS\system32\swsc.exe
nutze den avenger. dort obere zeilen als script reinkopieren.
www.hijackthis-forum.de/showthread.php?t=17724 - 32k -
ich bin sonnabend wieder online und werte die logs aus.

#26 Hallo virenfinder,

hier sind die gewünschten logs:

Hier das log vom erneuten Scan im abgesicherten Modus (habe inzwischen gelernt, was das ist :

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 18. Mai 2007 22:10

Es wird nach 780308 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Biering
Computername: OEM-0060B5FAEA7

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 11:37:10
AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:20
LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:02
LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:08
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 13:09:02
ANTIVIR2.VDF : 6.38.1.100 1168384 Bytes 06.05.2007 17:53:44
ANTIVIR3.VDF : 6.38.1.155 147456 Bytes 17.05.2007 17:53:44
AVEWIN32.DLL : 7.4.0.23 2454016 Bytes 17.05.2007 17:53:44
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:24
AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:46
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.8 360488 Bytes 27.03.2007 07:48:30
AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:06
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:02
AVARKT.DLL : 1.0.0.17 278568 Bytes 02.05.2007 10:32:24
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:04
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13.03.2007 09:46:02
RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:39:02

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 18. Mai 2007 22:10

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBCSSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '13' Prozesse mit '13' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
Masterbootsektor HD2
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
Masterbootsektor HD3
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
Masterbootsektor HD4
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
Masterbootsektor HD5
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'F:\'
[HINWEIS] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[HINWEIS] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
[HINWEIS] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
[HINWEIS] Im Laufwerk 'I:\' ist kein Datenträger eingelegt!
Bootsektor 'K:\'
[HINWEIS] Im Laufwerk 'K:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '21' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'K:\'
Der zu durchsuchende Pfad K:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Unzulässige Funktion.

Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Freitag, 18. Mai 2007 23:00
Benötigte Zeit: 49:46 min

Der Suchlauf wurde vollständig durchgeführt.

4178 Verzeichnisse wurden überprüft
161436 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert

***************************************************

...und hier das Ergebnis des Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cmiaasgl

*******************

Script file located at: \??\C:\kjvuviqb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\svcipa.exe deleted successfully.
File C:\WINDOWS\jihgjl.ini deleted successfully.
File C:\WINDOWS\obclient.ini deleted successfully.
File C:\WINDOWS\tsrtwa.ini deleted successfully.
File C:\WINDOWS\ghjmnn.ini deleted successfully.
File C:\WINDOWS\Jcmkr32.INI deleted successfully.
File C:\WINDOWS\system32\swxcacls.exe deleted successfully.
File C:\WINDOWS\system32\swsc.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

**************************
Die letzte Aufgabe (Hochladen der CyberLinkDateien) nehme ich morgen in Angriff. Vielleicht kannst du ja aus den oben stehenden Zahlenkolonnen schon was erkennen.
Melde mich morgen Nachmittag wieder!
Bis dann, danke schon mal!

**********************************+

Hallo, bin wieder da. Das Uploaden der CyberLink-Dateien funktioniert nicht. Hier wird von Avira folgende Antwort gesendet:

cannot create /var/share/www/vhosts/vcc.avira.com/vcc/attachvcc/att/43581 directory

Habe die Dateien erst mal wieder in die Quarantäne zurückgelegt und warte auf deine Infos.

Zur ersten an Avira gemeldeten Datei habe ich folgende Antwort erhalten:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
547680 bmfcr43.dll 8.5 KB MALWARE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

Dateiname Ergebnis
bmfcr43.dll MALWARE

Die Datei 'bmfcr43.dll' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen BDS/Small.OR gegeben. Bei der Bezeichnung "BDS/" handelt es sich um ein Backdoor-Server-Programm. Mit Hilfe eines Server-Programms können Daten verändert, gelöscht oder ausspioniert werden.Ein Erkennungsmuster ist mit Version 6.38.01.07 der Virendefinitionsdatei (VDF) hinzugefügt.

#27 hi, versuch das hochladen erneut für die anderen beiden datein. mach bitte auch noch den cunterspyscan.

#28 Hallo,
habe leider durch das Editieren des letzten Beitrages meinen Eintrag vom 17.05. gelöscht. In dem hatte ich mitgeteilt, dass CounterSpy nichts gefunden hat außer drei Cookies, die ich entfernt habe. Natürlich (wenn schon, denn schon) finde ich den Report auch nicht mehr , habe nur noch das Ergebnis des zweiten Scans:

Scan History Details
Start Date: 18.05.2007 21:18:27
End Date: 18.05.2007 21:38:51
Total Time: 20 Min 24 Sec
Detected security risks
No risks were found during this scan.

Die beiden Dateien lassen sich leider nicht hochladen, habe es mehrmals versucht. Gibt es noch irgendeinen Trick?

#29 wenn du in die quarantäene gehst, kannst du doch widerherstellen in auswählen. wähle mal einen anderen ort aus... falls das nciht geht, packe sie als archiv z.B. zip und versuch das hochzuladen.
wir machen jetzt noch ein paar onlinescans:
bitte ncihts löschen, nur logs zeigen damit wir die dateien auch an antivir senden können!
www.pandasoftware.com/activescan/ de/activescan_principal.htm - 20k -
bei diesem scan wird antivir wahrscheinlich eine viruswarnung anzeigen, schalte den guard am besten für die dauer aller onlinescans ab!
www.pandasoftware.com/activescan/ de/activescan_principal.htm - 20k -
www.kaspersky.com/de/virusscanner - 17k -
www.ewido.net/de/onlinescan/ - 12k - 18. Mai 2007 -
bitte immer den gesammten pc scannen lassen. probleme tauchen denke ich keine mehr auf?

#30 Puh, das hat gedauert. Alle Scans sind erledigt, hier kommen die Ergebnisse:

--> Pandasoft (während dieses Scans hatte ich den CounterSpy noch nicht deaktiviert, AntiVir war aber von Beginn an aus):

Incident Status Location

Potentially unwanted tool:application/funweb Not disinfected HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}
Potentially unwanted tool:Application/NirCmd.A Not disinfected C:\WINDOWS\NIRCMD.EXE
Potentially unwanted tool:Application/NirCmd.A Not disinfected C:\Dokumente und Einstellungen\Biering\Eigene Dateien\ComboFix.exe[ComboFixT\nircmd.exe]
Spyware:Cookie/Reliablestats Not disinfected C:\Dokumente und Einstellungen\Biering\Cookies\biering@stats1.reliablestats[1].txt
Spyware:Cookie/WebtrendsLive Not disinfected C:\Dokumente und Einstellungen\Biering\Cookies\biering@statse.webtrendslive[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Biering\Cookies\biering@mediaplex[1].txt
Spyware:Cookie/Apmebf Not disinfected C:\Dokumente und Einstellungen\Biering\Cookies\biering@apmebf[1].txt
Spyware:Cookie/Doubleclick


--> Kaspersky:

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 19. Mai 2007 19:51:22
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 19/05/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 304678
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 75789
Viren gefunden: 0
Infizierte Objekte gefunden: 0 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:28:59

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Biering\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Biering\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Biering\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007051920070520\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Biering\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Biering\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Biering\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Biering\Lokale Einstellungen\Temp\~DFAE3.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Biering\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Biering\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1865392C-BEA7-4959-AFE4-CD10315CDCDE}\RP1\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.


--> Ewido:

ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Reliablestats
Path: C:\Dokumente und Einstellungen\Biering\Cookies\biering@stats1.reliablestats[1].txt
Risk: Medium

Name: TrackingCookie.Webtrends
Path: C:\Dokumente und Einstellungen\Biering\Cookies\biering@m.webtrends[2].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\Biering\Cookies\biering@arcor.122.2o7[1].txt
Risk: Medium

Name: TrackingCookie.Netflame
Path: C:\Dokumente und Einstellungen\Biering\Cookies\biering@ssl-hints.netflame[1].txt
Risk: Medium

Name: TrackingCookie.Webtrendslive
Path: C:\Dokumente und Einstellungen\Biering\Cookies\biering@statse.webtrendslive[1].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\Dokumente und Einstellungen\Biering\Cookies\biering@mediaplex[1].txt
Risk: Medium

Name: TrackingCookie.Paypal
Path: C:\Dokumente und Einstellungen\Biering\Cookies\biering@www.paypal[1].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\Biering\Cookies\biering@paypal.112.2o7[1].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\Dokumente und Einstellungen\Biering\Cookies\biering@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Esomniture
Path: C:\Dokumente und Einstellungen\Biering\Cookies\biering@e-2dj6wjk4ugczccq.stats.esomniture[1].txt
Risk: Medium

*****************************************

Habe heute das Internet mal wieder ganz normal benutzt. Der Drive-Cleaner ist nicht wieder aufgetaucht.
Das Einzige, was mir aufgefallen ist, dass einige Websites teilweise nicht korrekt angezeigt werden, z.B. stehen dort anstelle von Umlauten Sonderzeichen (war vorher auch schon so, dachte aber, es sei eine technische Störung der betreffenden Site).
In den letzten Wochen kam es häufig vor, dass der Arcor-Butler die Internetverbindung selbstständig getrennt hat, in den letzten Tagen ist das nicht passiert.

Jetzt versuche ich nochmals, die Dateien an Avira zu senden. Ich weiß nicht, ob ich mich vorhin falsch ausgedrückt habe: Das Wiederherstellen der Dateien hat funktioniert, nur das Uploaden bei Avira nicht. Ich versuche es auf jeden Fall nochmal...
Bis dann... und danke für die Unterstützung!!!