TR/Keygen.BF - was tun ?!

#1 Bitte um HIlfe !!!

Hallo
Gestern hatte mein AntiVir einen Trojaner mit dem Namen TR/Keygen.BF gefunden.
Habe ihn in quarantäne verschoben, bin in den abgesicherten Modus, dort hat Antivir nichts gefunden.
Neu gebootet (normal), und nach 2 Stunden hat AntiVir wieder angeschlagen.
Anbei der AntiVir Fehlerreport.

Kann mir vielleicht jemand helfen, wie ich weiter tun soll ? Bin irgendwie ratlos. Sitze gerade nicht daheim vor dem PC, kann also nicht mit weiteren Logfiles,.. .dienen derzeit (

Danke schon mal

> AntiVir PersonalEdition Classic
> Erstellungsdatum der Reportdatei: Donnerstag, 13. September 2007 20:50
>
> Es wird nach 1069729 Virenstämmen gesucht.
>
> Lizenznehmer: Avira AntiVir PersonalEdition Classic
> Seriennummer: 0000149996-ADJIE-0001
> Plattform: Windows XP
> Windowsversion: (Service Pack 2) [5.1.2600]
> Benutzername: SYSTEM
> Computername: TU-F9F8B408F592
>
> Versionsinformationen:
> BUILD.DAT : 268 15604 Bytes 31.08.2007 13:01:00
> AVSCAN.EXE : 7.0.6.1 290856 Bytes 11.09.2007 05:52:35
> AVSCAN.DLL : 7.0.6.0 57384 Bytes 11.09.2007 05:52:35
> LUKE.DLL : 7.0.5.3 147496 Bytes 11.09.2007 05:52:35
> LUKERES.DLL : 7.0.6.0 10792 Bytes 11.09.2007 05:52:35
> ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 12:09:29
> ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 20:34:19
> ANTIVIR2.VDF : 6.39.1.120 1918464 Bytes 12.09.2007 18:53:56
> ANTIVIR3.VDF : 6.39.1.127 92672 Bytes 13.09.2007 16:04:09
> AVEWIN32.DLL : 7.6.0.10 2789888 Bytes 12.09.2007 18:53:57
> AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.04.2007 09:13:57
> AVPREF.DLL : 7.0.2.2 25640 Bytes 11.09.2007 05:52:34
> AVREP.DLL : 7.0.0.1 155688 Bytes 26.04.2007 09:13:58
> AVPACK32.DLL : 7.3.0.15 360488 Bytes 14.08.2007 19:35:20
> AVREG.DLL : 7.0.1.6 30760 Bytes 11.09.2007 05:52:34
> AVARKT.DLL : 1.0.0.20 278568 Bytes 11.09.2007 05:52:32
> AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 11.09.2007 05:52:32
> NETNT.DLL : 7.0.0.0 7720 Bytes 26.04.2007 09:13:57
> RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 11.09.2007 05:52:28
> RCTEXT.DLL : 7.0.62.0 90152 Bytes 11.09.2007 05:52:28
> SQLITE3.DLL : 3.3.17.1 339968 Bytes 11.09.2007 05:52:36
>
> Konfiguration für den aktuellen Suchlauf:
> Job Name.........................: Vollständige Systemprüfung
> Konfigurationsdatei..............: c:\programme\antivir personaledition
> classic\sysscan.avp
> Protokollierung..................: niedrig
> Primäre Aktion...................: interaktiv
> Sekundäre Aktion.................: ignorieren
> Durchsuche Masterbootsektoren....: aus
> Durchsuche Bootsektoren..........: ein
> Bootsektoren.....................: D:,
> Durchsuche Speicher..............: ein
> Durchsuche aktive Programme......: ein
> Durchsuche Registrierung.........: ein
> Suche nach Rootkits..............: aus
> Datei Suchmodus..................: Intelligente Dateiauswahl
> Durchsuche Archive...............: ein
> Rekursionstiefe einschränken.....: 20
> Archiv Smart Extensions..........: ein
> Makrovirenheuristik..............: ein
> Dateiheuristik...................: mittel
>
> Beginn des Suchlaufs: Donnerstag, 13. September 2007 20:50
>
> Der Suchlauf über gestartete Prozesse wird begonnen:
> Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'mspaint.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden
> durchsucht
> Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'GoogleUpdater.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'msconfig.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'sstray.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
> Es wurden '40' Prozesse mit '40' Modulen durchsucht
>
> Der Suchlauf über die Bootsektoren wird begonnen:
> Bootsektor 'C:\'
> [HINWEIS] Es wurde kein Virus gefunden!
> Bootsektor 'D:\'
> [HINWEIS] Es wurde kein Virus gefunden!
>
> Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird
> begonnen.
> Die Registry wurde durchsucht ( '32' Dateien ).
>
>
> Der Suchlauf über die ausgewählten Dateien wird begonnen:
>
> Beginne mit der Suche in 'C:\'
> C:\hiberfil.sys
> [WARNUNG] Die Datei konnte nicht geöffnet werden!
> C:\pagefile.sys
> [WARNUNG] Die Datei konnte nicht geöffnet werden!
> C:\System Volume
> Information\_restore{4DC902BB-DC0C-4039-A9DF-296957BDBAE3}\RP464\A0031747.exe
> [FUND] Ist das Trojanische Pferd TR/Keygen.BF
> [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen
> '47198e4e.qua' verschoben!
> Beginne mit der Suche in 'D:\' <Daten>
>
>
> Ende des Suchlaufs: Donnerstag, 13. September 2007 21:39
> Benötigte Zeit: 48:52 min
>
> Der Suchlauf wurde vollständig durchgeführt.
>
> 6074 Verzeichnisse wurden überprüft
> 374234 Dateien wurden geprüft
> 1 Viren bzw. unerwünschte Programme wurden gefunden
> 0 Dateien wurden als verdächtig eingestuft
> 0 Dateien wurden gelöscht
> 0 Viren bzw. unerwünschte Programme wurden repariert
> 1 Dateien wurden in die Quarantäne verschoben
> 0 Dateien wurden umbenannt
> 2 Dateien konnten nicht durchsucht werden
> 374233 Dateien ohne Befall
> 2229 Archive wurden durchsucht
> 2 Warnungen
> 0 Hinweise

#2 Hi,

bitte das hier abarbeiten:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html)
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Chris

(Wer benutzt auch Cracks, SW lieber kaufen!)

#3 Mach ich, ich meld mich dann entweder heute oder montags (je nachdem, wie ich vor meinem Business-Trip noch dazukomme)

Danke !

#4 Anbei die Files...

> Logfile of Trend Micro HijackThis v2.0.2
> Scan saved at 21:24:23, on 14.09.2007
> Platform: Windows XP SP2 (WinNT 5.01.2600)
> MSIE: Internet Explorer v7.00 (7.00.6000.16512)
> Boot mode: Normal
>
> Running processes:
> C:\WINDOWS\System32\smss.exe
> C:\WINDOWS\system32\winlogon.exe
> C:\WINDOWS\system32\services.exe
> C:\WINDOWS\system32\lsass.exe
> C:\WINDOWS\system32\svchost.exe
> C:\WINDOWS\System32\svchost.exe
> C:\WINDOWS\system32\spoolsv.exe
> C:\Programme\Winamp\winampa.exe
> C:\WINDOWS\system32\sstray.exe
> C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
> C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
> C:\WINDOWS\system32\RUNDLL32.EXE
> C:\Programme\ICQLite\ICQLite.exe
> C:\Programme\QuickTime\qttask.exe
> C:\Programme\iTunes\iTunesHelper.exe
> C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
> C:\WINDOWS\system32\ctfmon.exe
> C:\Programme\Skype\Phone\Skype.exe
> C:\Programme\Google\Google Updater\GoogleUpdater.exe
> C:\WINDOWS\system32\rundll32.exe
> C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
> C:\Programme\AntiVir PersonalEdition Classic\sched.exe
> C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
> C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
> C:\WINDOWS\system32\nvsvc32.exe
> C:\WINDOWS\system32\svchost.exe
> C:\Programme\iPod\bin\iPodService.exe
> C:\Programme\Internet Explorer\iexplore.exe
> C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows
> Live\WLLoginProxy.exe
> C:\WINDOWS\explorer.exe
> C:\DOKUME~1\Heidi\LOKALE~1\Temp\Temporäres Verzeichnis 1 für
> HJT.zip\HijackThis.exe
>
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
> http://www.wetter.at/wetter/oesterreich/wien/huetteldorf
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
> http://go.microsoft.com/fwlink/?LinkId=69157
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
> http://go.microsoft.com/fwlink/?LinkId=54896
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
> http://go.microsoft.com/fwlink/?LinkId=54896
> R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
> http://go.microsoft.com/fwlink/?LinkId=69157
> R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
> http://g.msn.at/0SEDEAT/SAOS01?FORM=TOOLBR
> R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
> http://www.tuwien.ac.at/
> R3 - URLSearchHook: ICQ Toolbar -
> {855F3B16-6D32-4fe6-8A56-BBB695989046} -
> C:\Programme\ICQToolbar\toolbaru.dll
> O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
> C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
> O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
> C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
> O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
> O2 - BHO: Windows Live Sign-in Helper -
> {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame
> Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
> O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
> c:\programme\google\googletoolbar4.dll
> O2 - BHO: Google Toolbar Notifier BHO -
> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -
> C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
> O2 - BHO: Windows Live Toolbar Helper -
> {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live
> Toolbar\msntb.dll
> O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -
> C:\Programme\ICQToolbar\toolbaru.dll
> O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
> c:\programme\google\googletoolbar4.dll
> O3 - Toolbar: Windows Live Toolbar -
> {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live
> Toolbar\msntb.dll
> O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
> O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
> O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
> O4 - HKLM\..\Run: [SunJavaUpdateSched]
> "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
> O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition
> Classic\avgnt.exe" /min
> O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
> C:\WINDOWS\system32\NvCpl.dll,NvStartup
> O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
> O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
> C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
> O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
> O4 - HKLM\..\Run: [QuickTime Task]
> "C:\Programme\QuickTime\qttask.exe" -atboottime
> O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
> O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader
> 8.0\Reader\Reader_sl.exe"
> O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google
> Desktop Search\GoogleDesktop.exe" /startup
> O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
> O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
> O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash
> /minimized
> O4 - HKCU\..\Run: [swg]
> C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
> O4 - HKCU\..\RunOnce: [ICQ Lite]
> C:\Programme\ICQLite\ICQLite.exe -trayboot
> O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
> (User 'LOKALER DIENST')
> O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
> (User 'NETZWERKDIENST')
> O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
> (User 'SYSTEM')
> O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
> (User 'Default user')
> O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame
> Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
> O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google
> Updater\GoogleUpdater.exe
> O8 - Extra context menu item: &Windows Live Search -
> res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
> O8 - Extra context menu item: Add to Windows &Live Favorites -
> http://favorites.live.com/quickadd.aspx
> O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
> res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
> O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
> C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
> O9 - Extra 'Tools' menuitem: Sun Java Konsole -
> {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
> C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
> O9 - Extra button: Recherchieren -
> {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
> C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
> O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -
> C:\Programme\ICQLite\ICQLite.exe
> O9 - Extra 'Tools' menuitem: ICQ Lite -
> {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
> O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
> C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
> O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
> {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network
> Diagnostic\xpnetdiag.exe
> O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
> C:\Programme\Messenger\msmsgs.exe
> O9 - Extra 'Tools' menuitem: Windows Messenger -
> {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
> O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
> O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
> O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame
> Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
> O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH -
> C:\Programme\AntiVir PersonalEdition Classic\sched.exe
> O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) -
> Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
> O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google
> Desktop Search\GoogleDesktop.exe
> O23 - Service: Google Updater Service (gusvc) - Google -
> C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
> O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. -
> C:\Programme\iPod\bin\iPodService.exe
> O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA
> Corporation - C:\WINDOWS\system32\nvsvc32.exe
>
> --
> End of file - 8078 bytes
>


--------------------------------------------------------------------------------



> ComboFix 07-09-14.2 - "Heidi" 2007-09-14 21:06:07.1 - NTFSx86
> Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.152 [GMT
> 2:00]
> * Created a new restore point
> .
>
> ((((((((((((((((((((((( Dateien erstellt von 2007-08-14 bis
> 007-09-14 ))))))))))))))))))))))))))))))
> .
>
> 2007-09-14 21:05 51,200 --a------ C:\WINDOWS\NirCmd.exe
> 2007-09-13 18:55 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
> 2007-09-13 18:55 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen?
> 2007-09-13 18:55 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
> 2007-09-13 18:55 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
> 2007-09-13 18:55 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
> 2007-09-13 18:55 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
> 2007-09-13 18:55 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
> 2007-09-13 18:50 <DIR> d-------- C:\WINDOWS\pss
> 2007-08-15 14:39 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
> 2007-08-15 14:39 207,736 --a------ C:\WINDOWS\system32\muweb.dll
> 2007-08-14 18:51 <DIR> d-------- C:\Programme\Windows Live Toolbar
> 2007-08-14 18:51 <DIR> d-------- C:\DOKUME~1\Heidi\Contacts
> 2007-08-14 18:51 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows
> Live Toolbar
> 2007-08-14 18:48 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
>
> .
> (((((((((((((((((((((((((((((((((((( Find3M
> richt ))))))))))))))))))))))))))))))))))))))))))))))))))))))
> .
> 2007-09-14 21:05 --------- d-------- C:\DOKUME~1\Heidi\ANWEND~1\Skype
> 2007-09-13 20:56 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
> Updater
> 2007-09-11 18:06 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir
> PersonalEdition Classic
> 2007-08-29 19:38 --------- d-------- C:\Programme\Picasa2
> 2007-08-14 18:48 --------- d-------- C:\Programme\MSN Messenger
> 2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
> 2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
> 2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
> 2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
> 2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
> 2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
> 2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
> 2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
> 2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
> 2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
> 2007-02-08 11:56 36808256 --a------ C:\WINDOWS\Cursors\iTunesSetup.exe
> 2006-11-07 13:01 12841064 --a------ C:\WINDOWS\Cursors\SkypeSetup.exe
> .
>
> (((((((((((((((((((((((((((( Autostart Punkte der
> gistrierung ))))))))))))))))))))))))))))))))))))))))
> .
>
> *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht
> angezeigt.
>
> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
> "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2004-12-20 20:41]
> "nForce Tray Options"="sstray.exe" [2003-12-17 12:53
> C:\WINDOWS\system32\sstray.exe]
> "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
> "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
> [2007-07-12 04:00]
> "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe"
> [2007-09-11 07:52]
> "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-09 15:29]
> "nwiz"="nwiz.exe" [2006-03-09 15:29 C:\WINDOWS\system32\nwiz.exe]
> "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-09 15:29]
> "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:06]
> "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 10:54]
> "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-03-14 19:05]
> "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader
> 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
> "Google Desktop Search"="C:\Programme\Google\Google Desktop
> Search\GoogleDesktop.exe" [2007-08-15 11:30]
>
> [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
> "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00]
> "NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-07-14 21:35]
> "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 18:20]
> "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
> [2007-03-29 11:04]
>
> C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
> Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame
> Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-02-25 14:51:06]
> Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe
> [2007-03-29 11:04:03]
>
> [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
> "appinit_dlls"=C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
>
> R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
> R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
> R1 sdcplh;sdcplh;C:\WINDOWS\system32\drivers\sdcplh.sys
> S3
> 275488c3-686d-44e6-b972-829ee0c3521b;275488c3-686d-44e6-b972-829ee0c3521b;\??\F:\Player\cds300.dll
> S3 netrcacm;RCA USB Digital Cable Modem
> Driver;C:\WINDOWS\system32\DRIVERS\netrcacm.sys
>
> *Newly Created Service* - CATCHME
> .
> Inhalt des "geplante Tasks" Ordners
> "2007-04-27 09:50:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
> - C:\Programme\Apple Software Update\SoftwareUpdate.exe
> "2007-09-14 19:07:08 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar
> prüfen.job"
> .
> **************************************************************************
>
> catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
> http://www.gmer.net
> Rootkit scan 2007-09-14 21:07:49
> Windows 5.1.2600 Service Pack 2 NTFS
>
> scanning hidden processes ...
>
> scanning hidden autostart entries ...
>
> scanning hidden files ...
>
> **************************************************************************
> .
> Completion time: 2007-09-14 21:09:04
> .
> --- E O F ---
>

>.
> .
> Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
> .
> .
> Volume in Laufwerk C: hat keine Bezeichnung.
> Volumeseriennummer: 6C62-68E1
>
> Verzeichnis von C:\WINDOWS\system32
>
> 14.09.2007 20:05 2.206 wpa.dbl
> 14.09.2007 20:04 50.257 nvapps.xml
> 06.09.2007 04:50 17.474.680 MRT.exe
> 29.08.2007 20:04 249.852 TZLog.log
> 19.08.2007 18:24 110.192 FNTCACHE.DAT
> 08.08.2007 22:30 5.214 jupdate-1.6.0_02-b06.log
> 30.07.2007 19:20 30.040 wuaucpl.cpl.mui
> 30.07.2007 19:20 30.040 wuapi.dll.mui
> 30.07.2007 19:19 1.712.984 wuaueng.dll
> 30.07.2007 19:19 549.720 wuapi.dll
> 30.07.2007 19:19 325.976 wucltui.dll
> 30.07.2007 19:19 216.408 wuaucpl.cpl
> 30.07.2007 19:19 203.096 wuweb.dll
> 30.07.2007 19:19 92.504 cdm.dll
> 30.07.2007 19:19 53.080 wuauclt.exe
> 30.07.2007 19:19 43.352 wups2.dll
> 30.07.2007 19:19 271.224 mucltui.dll
> 30.07.2007 19:19 207.736 muweb.dll
> 30.07.2007 19:18 34.136 wucltui.dll.mui
> 30.07.2007 19:18 30.072 mucltui.dll.mui
> 30.07.2007 19:18 33.624 wups.dll
> 30.07.2007 19:18 20.824 wuaueng.dll.mui
> 22.07.2007 18:39 279.552 swreg.exe
> 19.07.2007 08:56 3.583.488 mshtml.dll
> 18.07.2007 14:42 60.416 tzchange.exe
> 12.07.2007 02:22 139.264 javaws.exe
> 12.07.2007 02:22 69.632 javacpl.cpl
> 12.07.2007 01:22 135.168 javaw.exe
> 12.07.2007 01:22 135.168 java.exe
> 27.06.2007 16:05 823.808 wininet.dll
> 27.06.2007 16:05 232.960 webcheck.dll
> 27.06.2007 16:05 1.152.000 urlmon.dll
> 27.06.2007 16:05 102.400 occache.dll
> 27.06.2007 16:05 105.984 url.dll
> 27.06.2007 16:05 671.232 mstime.dll
> 27.06.2007 16:05 193.024 msrating.dll
> 27.06.2007 16:05 477.696 mshtmled.dll
> 27.06.2007 16:05 52.224 msfeedsbs.dll
> 27.06.2007 16:05 459.264 msfeeds.dll
> 27.06.2007 16:05 1.824.256 inetcpl.cpl
> 27.06.2007 16:05 27.648 jsproxy.dll
> 27.06.2007 16:04 267.776 iertutil.dll
> 27.06.2007 16:04 6.058.496 ieframe.dll
> 27.06.2007 16:04 44.544 iernonce.dll
> 27.06.2007 16:04 384.512 iedkcs32.dll
> 27.06.2007 16:04 383.488 ieapfltr.dll
> 27.06.2007 16:04 230.400 ieaksie.dll
> 27.06.2007 16:04 132.608 extmgr.dll
> 27.06.2007 16:04 153.088 ieakeng.dll
> 27.06.2007 16:04 124.928 advpack.dll
> 27.06.2007 10:27 13.824 ieudinit.exe
> 27.06.2007 10:27 63.488 ie4uinit.exe
> 27.06.2007 09:00 161.792 ieakui.dll
> 26.06.2007 08:08 1.104.896 msxml3.dll
> 19.06.2007 15:31 282.112 gdi32.dll
>
> 2152 Datei(en) 432.518.295 Bytes
> 0 Verzeichnis(se), 2.389.446.656 Bytes frei
> .
> .
> .
> Volume in Laufwerk C: hat keine Bezeichnung.
> Volumeseriennummer: 6C62-68E1
>
> Verzeichnis von C:\DOKUME~1\Heidi\LOKALE~1\Temp
>
> 14.09.2007 21:29 105.441 datfind.txt
> 14.09.2007 20:05 16.384 ~DFD966.tmp
> 14.09.2007 20:05 512 ~DFA427.tmp
> 14.09.2007 20:05 16.384 ~DFA416.tmp
> 14.09.2007 20:04 16.384 ~DFA55E.tmp
> 5 Datei(en) 155.105 Bytes
> 0 Verzeichnis(se), 2.389.471.232 Bytes frei
> .
> .
> .
> Volume in Laufwerk C: hat keine Bezeichnung.
> Volumeseriennummer: 6C62-68E1
>
> Verzeichnis von C:\WINDOWS
>
> 14.09.2007 20:05 0 0.log
> 14.09.2007 20:05 1.511.519 WindowsUpdate.log
> 14.09.2007 20:04 159 wiadebug.log
> 14.09.2007 20:04 50 wiaservc.log
> 14.09.2007 20:04 2.048 bootstat.dat
> 14.09.2007 17:02 32.636 SchedLgU.Txt
> 14.09.2007 15:38 227 system.ini
> 14.09.2007 15:38 486 win.ini
> 11.09.2007 22:50 192 winamp.ini
> 29.08.2007 20:04 894.246 iis6.log
> 29.08.2007 20:04 164.560 ntdtcsetup.log
> 29.08.2007 20:04 274.325 comsetup.log
> 29.08.2007 20:04 1.374 imsins.log
> 29.08.2007 20:04 43.977 ocmsn.log
> 29.08.2007 20:04 40.749 tabletoc.log
> 29.08.2007 20:04 368.454 tsoc.log
> 29.08.2007 20:04 21.383 KB933360.log
> 29.08.2007 20:04 385.064 ocgen.log
> 29.08.2007 20:04 55.462 MedCtrOC.log
> 29.08.2007 20:04 40.114 msgsocm.log
> 29.08.2007 20:04 140.331 netfxocm.log
> 29.08.2007 20:04 796.733 FaxSetup.log
> 29.08.2007 20:04 248.960 msmqinst.log
> 23.08.2007 20:48 599.627 setupapi.log
> 15.08.2007 22:47 12.178 spupdsvc.log
> 15.08.2007 18:26 1.374 imsins.BAK
> 15.08.2007 18:26 17.295 KB936021.log
> 15.08.2007 18:26 86.555 updspapi.log
> 15.08.2007 18:26 16.479 KB938828.log
> 15.08.2007 18:26 16.624 KB921503.log
> 15.08.2007 18:25 16.421 KB938829.log
> 15.08.2007 18:25 21.658 KB937143-IE7.log
> 15.08.2007 18:24 11.341 KB938127-IE7.log
> 15.08.2007 18:23 8.103 KB936782.log
> 15.08.2007 18:23 50.383 wmsetup.log
> 15.08.2007 13:33 116 NeroDigital.ini
> 14.08.2007 18:48 6.078 DPINST.LOG
> 21.07.2007 00:49 19.805 KB929969.log
> 21.07.2007 00:48 22.317 KB933566-IE7.log
> 20.07.2007 00:47 109.056 catchme.exe
> 19.07.2007 21:08 24.713 ie7_main.log
> 19.07.2007 21:06 62.381 ie7.log
> 19.07.2007 21:04 11.806 IDNMitigationAPIs.log
> 19.07.2007 21:04 11.511 NLSDownlevelMapping.log
> 19.07.2007 21:03 10.065 KB915865.log
> 19.07.2007 21:02 5.706 KB914440.log
> 19.07.2007 21:02 28.651 KB933566.log
> 19.07.2007 21:02 11.001 KB904942.log
> 17.06.2007 00:11 51.200 NirCmd.exe
> 13.06.2007 22:21 11.611 KB929123.log
> 13.06.2007 22:21 10.914 KB935840.log
> 13.06.2007 22:20 11.276 KB935839.log
> 13.06.2007 15:21 1.036.288 explorer.exe
>
> 220 Datei(en) 14.628.062 Bytes
> 0 Verzeichnis(se), 2.389.454.848 Bytes frei
> .
> .
> .
> Volume in Laufwerk C: hat keine Bezeichnung.
> Volumeseriennummer: 6C62-68E1
>
> Verzeichnis von C:\WINDOWS\temp
>
> .
> .
> .
> Volume in Laufwerk C: hat keine Bezeichnung.
> Volumeseriennummer: 6C62-68E1
>
> Verzeichnis von C:\WINDOWS\Downloaded Program Files
>
> 04.12.2006 16:16 144 QTPlugin.inf
> 09.11.2006 15:36 5.019 swflash.inf
> 25.09.2005 23:37 65 desktop.ini
> 3 Datei(en) 5.228 Bytes
> 0 Verzeichnis(se), 2.389.458.944 Bytes frei

#5 Hi,

finde nichts...

Du hast allerdings einen Kopierschutztreiber drauf.

Scannen wir mal mit einem anderen Scanner:

Cureit
Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de
Poste das Ergebnis!

Systemwiederherstellung löschen
http://www.bsi.bund.de/av/texte/wiederher.htm
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Abschließend zur Sicherheit:
Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://board.protecus.de/t23979.htm
Poste auch hier das Ergebniss...


Chris

#6 Anbei (als Attachment) findet ihr das log von cureit.
Ich habe unabsichtlich statt "nicht desinfizierbare verschieben" nur "verschieben" geklickt.
Wo werden die Dateien hinverschoben bzw. gibt das Probleme ?

Es folgt der AntiVir check (neu)

> AntiVir PersonalEdition Classic
> Erstellungsdatum der Reportdatei: Montag, 17. September 2007 21:52
>
> Es wird nach 1073280 Virenstämmen gesucht.
>
> Lizenznehmer: Avira AntiVir PersonalEdition Classic
> Seriennummer: 0000149996-ADJIE-0001
> Plattform: Windows XP
> Windowsversion: (Service Pack 2) [5.1.2600]
> Benutzername: SYSTEM
> Computername: TU-F9F8B408F592
>
> Versionsinformationen:
> BUILD.DAT : 268 15604 Bytes 31.08.2007 13:01:00
> AVSCAN.EXE : 7.0.6.1 290856 Bytes 11.09.2007 05:52:35
> AVSCAN.DLL : 7.0.6.0 57384 Bytes 11.09.2007 05:52:35
> LUKE.DLL : 7.0.5.3 147496 Bytes 11.09.2007 05:52:35
> LUKERES.DLL : 7.0.6.0 10792 Bytes 11.09.2007 05:52:35
> ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 12:09:29
> ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 20:34:19
> ANTIVIR2.VDF : 6.39.1.120 1918464 Bytes 12.09.2007 18:53:56
> ANTIVIR3.VDF : 6.39.1.141 143360 Bytes 17.09.2007 19:38:55
> AVEWIN32.DLL : 7.6.0.10 2789888 Bytes 12.09.2007 18:53:57
> AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.04.2007 09:13:57
> AVPREF.DLL : 7.0.2.2 25640 Bytes 11.09.2007 05:52:34
> AVREP.DLL : 7.0.0.1 155688 Bytes 26.04.2007 09:13:58
> AVPACK32.DLL : 7.3.0.15 360488 Bytes 14.08.2007 19:35:20
> AVREG.DLL : 7.0.1.6 30760 Bytes 11.09.2007 05:52:34
> AVARKT.DLL : 1.0.0.20 278568 Bytes 11.09.2007 05:52:32
> AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 11.09.2007 05:52:32
> NETNT.DLL : 7.0.0.0 7720 Bytes 26.04.2007 09:13:57
> RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 11.09.2007 05:52:28
> RCTEXT.DLL : 7.0.62.0 90152 Bytes 11.09.2007 05:52:28
> SQLITE3.DLL : 3.3.17.1 339968 Bytes 11.09.2007 05:52:36
>
> Konfiguration für den aktuellen Suchlauf:
> Job Name.........................: Vollständige Systemprüfung
> Konfigurationsdatei..............: c:\programme\antivir personaledition
> classic\sysscan.avp
> Protokollierung..................: niedrig
> Primäre Aktion...................: interaktiv
> Sekundäre Aktion.................: ignorieren
> Durchsuche Masterbootsektoren....: aus
> Durchsuche Bootsektoren..........: ein
> Bootsektoren.....................: D:,
> Durchsuche Speicher..............: ein
> Durchsuche aktive Programme......: ein
> Durchsuche Registrierung.........: ein
> Suche nach Rootkits..............: aus
> Datei Suchmodus..................: Alle Dateien
> Durchsuche Archive...............: ein
> Rekursionstiefe einschränken.....: aus
> Archiv Smart Extensions..........: ein
> Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla
> Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook
> Mailbox,
> Makrovirenheuristik..............: ein
> Dateiheuristik...................: hoch
> Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,
>
> Beginn des Suchlaufs: Montag, 17. September 2007 21:52
>
> Der Suchlauf über gestartete Prozesse wird begonnen:
> Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden
> durchsucht
> Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'GoogleUpdater.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'sstray.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
> Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
> Es wurden '36' Prozesse mit '36' Modulen durchsucht
>
> Der Suchlauf über die Bootsektoren wird begonnen:
> Bootsektor 'C:\'
> [HINWEIS] Es wurde kein Virus gefunden!
> Bootsektor 'D:\'
> [HINWEIS] Es wurde kein Virus gefunden!
>
> Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird
> begonnen.
> Die Registry wurde durchsucht ( '31' Dateien ).
>
>
> Der Suchlauf über die ausgewählten Dateien wird begonnen:
>
> Beginne mit der Suche in 'C:\'
> C:\hiberfil.sys
> [WARNUNG] Die Datei konnte nicht geöffnet werden!
> C:\pagefile.sys
> [WARNUNG] Die Datei konnte nicht geöffnet werden!
> Beginne mit der Suche in 'D:\' <Daten>
> D:\emails\Inbox
> [0] Archivtyp: Netscape/Mozilla Mailbox
> --> Mailbox_[Message-ID:
> <01c7d06e$20100810$bbb983d5@zdislav.dadisman>][From: "Frederick Boyd"
> <zdislav.dadisman@bomi.roskild][Subject: Beauty]4760.mim
> [1] Archivtyp: MIME
> --> fungame.zip
> [2] Archivtyp: ZIP
> --> fungame.exe
> [FUND] Ist das Trojanische Pferd TR/Ntech.A
> [WARNUNG] Die Datei wurde ignoriert.
> D:\emails\Trash
> [0] Archivtyp: Netscape/Mozilla Mailbox
> --> Mailbox_[Message-ID:
> <01c7d06e$20100810$bbb983d5@zdislav.dadisman>][From: "Frederick Boyd"
> <zdislav.dadisman@bomi.roskild][Subject: Beauty]2264.mim
> [1] Archivtyp: MIME
> --> fungame.zip
> [2] Archivtyp: ZIP
> --> fungame.exe
> [FUND] Ist das Trojanische Pferd TR/Ntech.A
> [WARNUNG] Die Datei wurde ignoriert.
>
>
> Ende des Suchlaufs: Montag, 17. September 2007 22:46
> Benötigte Zeit: 54:35 min
>
> Der Suchlauf wurde vollständig durchgeführt.
>
> 5905 Verzeichnisse wurden überprüft
> 371746 Dateien wurden geprüft
> 2 Viren bzw. unerwünschte Programme wurden gefunden
> 0 Dateien wurden als verdächtig eingestuft
> 0 Dateien wurden gelöscht
> 0 Viren bzw. unerwünschte Programme wurden repariert
> 0 Dateien wurden in die Quarantäne verschoben
> 0 Dateien wurden umbenannt
> 2 Dateien konnten nicht durchsucht werden
> 371744 Dateien ohne Befall
> 10556 Archive wurden durchsucht
> 4 Warnungen
> 0 Hinweise


Danke schon mal an euch alle

lG
Christian

#7 Hi,

bis auf den von Avira in den Mails gefunden Trojaner

Zitat

> --> Mailbox_[Message-ID:
> <01c7d06e$20100810$bbb983d5@zdislav.dadisman>][From: "Frederick Boyd"
> <zdislav.dadisman@bomi.roskild][Subject: Beauty]4760.mim
> [1] Archivtyp: MIME
> --> fungame.zip
> [2] Archivtyp: ZIP
> --> fungame.exe
> [FUND] Ist das Trojanische Pferd TR/Ntech.A

und den von Cureit verschobenen script-virus sieht es eigentlich gut aus!
(Cureit verschiebt die gefunden Sachen in seinen Qurantäne-Ordner).

Die Mail solltest Du ungeöffnet komplett löschen (anschließend den Ordner gelöschte Objekte komplett löschen)...

Chris