Mein Rechner lässt sich seit öffnen einer email nicht herunterfahren!

#1 Hallo

Ich heiße Jana und bin hier eigentlich nicht regestriert.Ich benutze den Login von meinem Freund,andessen Rechner ich auch "Mist" gebaut habe...
Ich habe wie gesagt ne email aufgemacht und per msn geschrieben,mehr nicht!
Nun reagiert der Rechner auf zb. Ausschalten nicht mehr,das "firefox lässt das löschen Privater Daten nicht mehr zu und antivire was aktuell ist,zeigt irgendwelche "trojanischen Pferde",ebenfalls Windowsupdates müssten aktuell sein,da er sonst immer mal downloadet und installiert.

Bitte helft mir das Prob in den Griff zu bekomm

Danke Jana

#2 Poste bitte folgende Reporte: http://board.protecus.de/t23188.htm
Stelle dein Antivir ein wie hier beschrieben: http://board.protecus.de/t23979.htm
und poste auch den Atnivir report.
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo

Besten Dank für die schnelle Antwort.Ich versuch mein Bestes und werde die Anweisungen befolgen.Danach poste ich alles.


Vielen lieben Dank

Hier nun die logs erstmal


ComboFix 07-11-01.1 - Tnaf 2007-11-08 16:08:18.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1550 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Tnaf\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-10-08 bis 2007-11-08 ))))))))))))))))))))))))))))))
.

2007-11-06 19:46 <DIR> d-------- C:\Programme\Grinbo
2007-11-06 19:42 <DIR> d-------- C:\Programme\Alice_in_Wonderland
2007-11-06 15:33 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-11-02 12:18 512 --a------ C:\WINDOWS\system32\WTCY9853.dat
2007-10-24 15:01 <DIR> d-------- C:\Programme\Power Presenter RE
2007-10-24 15:01 <DIR> d-------- C:\Programme\Free Notes & Office Ink
2007-10-24 15:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tablet
2007-10-21 21:25 <DIR> d-------- C:\totalcmd
2007-10-21 21:25 545 --a------ C:\WINDOWS\UC.PIF
2007-10-21 21:25 545 --a------ C:\WINDOWS\RAR.PIF
2007-10-21 21:25 545 --a------ C:\WINDOWS\PKZIP.PIF
2007-10-21 21:25 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2007-10-21 21:25 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2007-10-21 21:25 545 --a------ C:\WINDOWS\LHA.PIF
2007-10-21 21:25 545 --a------ C:\WINDOWS\ARJ.PIF
2007-10-21 11:40 <DIR> d-------- C:\Programme\Google
2007-10-18 12:14 818 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\amlistx.dat
2007-10-18 12:14 54 --a------ C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\amopn.dat
2007-10-14 22:48 <DIR> d-------- C:\Programme\SoftActivity
2007-10-14 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AM
2007-10-14 22:48 1,588 --ah----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\amprm.dat
2007-10-14 22:48 674 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\awmsg.dat
2007-10-14 22:48 16 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\amguid.dat
2007-10-14 22:48 4 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\winam.dat
2007-10-12 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2007-10-12 15:54 <DIR> d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2007-10-12 15:54 <DIR> d--h----- C:\Programme\CanonBJ
2007-10-12 15:53 <DIR> d-------- C:\Programme\Canon
2007-10-12 15:43 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2007-10-12 15:42 197,632 --a------ C:\WINDOWS\system32\CNMLM86.DLL
2007-10-11 14:39 <DIR> d-------- C:\Programme\Windows Live Safety Center
2007-10-10 17:09 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2007-10-09 22:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage(2)
2007-10-09 21:54 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-09 17:49 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Contacts
2007-10-08 18:03 <DIR> d-------- C:\Programme\iPod
2007-10-08 18:02 <DIR> d-------- C:\Programme\iTunes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-07 22:18 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\teamspeak2
2007-11-06 15:47 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-02 11:17 --------- d-----w C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\The Bat!
2007-10-21 10:30 --------- d-sh--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK
2007-10-12 15:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2007-10-09 16:49 --------- d-----w C:\Programme\MSN Messenger
2007-10-08 16:59 --------- d-----w C:\Programme\Apple Software Update
2007-10-06 14:20 --------- d-----w C:\Programme\Calamus
2007-09-30 16:34 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-09-30 16:34 --------- d--h--r C:\Dokumente und Einstellungen\Tnaf\Anwendungsdaten\SecuROM
2007-09-22 20:34 --------- d-----w C:\Programme\eMule
2007-09-22 16:34 --------- d-----w C:\Programme\Reality Pump
2007-09-21 08:50 --------- d-----w C:\Programme\Microsoft.NET
2007-09-13 03:04 --------- d-----w C:\Programme\CCleaner
2007-09-12 18:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-09-12 18:37 --------- d-----w C:\Programme\AGEIA Technologies
2007-09-11 15:21 --------- d-----w C:\Programme\Easy CD-DA Extractor 9
2007-09-10 02:09 --------- d-----w C:\Programme\NetAnts
2007-09-09 10:08 --------- d-----w C:\Programme\LucasArts
2007-09-08 21:16 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-09-08 11:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Vbox
2007-09-08 11:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-09-08 08:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2007-09-08 08:18 --------- d-----w C:\Programme\Bonjour
2007-09-08 08:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared
2007-09-06 23:02 43,520 ----a-w C:\WINDOWS\system32\CBNDLL.DLL
2007-09-06 23:02 364,544 ----a-w C:\WINDOWS\system32\MPIWIN32.DLL
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-06-21 21:57 25,600 ----a-w C:\Dokumente und Einstellungen\Tnaf\usbsermptxp.sys
2007-06-21 21:57 22,768 ----a-w C:\Dokumente und Einstellungen\Tnaf\usbsermpt.sys
2006-05-03 09:06:54 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47:16 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 16:28]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2006-10-17 02:20]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02]
"SWClient"="C:\Programme\SoftActivity\AMSys\swsys.exe" [2007-10-10 11:16]
"MacroKeyManager"="WTMKM.exe" [2006-12-26 13:02 C:\WINDOWS\system32\WTMKM.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" [2006-11-23 16:46]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-21 16:39]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=D:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
"GhostStartTrayApp"=C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
"RTHDCPL"=RTHDCPL.EXE
"SkyTel"=SkyTel.EXE
"SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"ICQ Lite"="D:\Programme\ICQLite\ICQLite.exe" -minimize
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"Alcmtr"=ALCMTR.EXE
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"NBKeyScan"="F:\Nero 7\Nero BackItUp\NBKeyScan.exe"

R0 mv614x;mv614x;C:\WINDOWS\system32\DRIVERS\mv614x.sys
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys
R1 GhPciScan;GhostPciScanner;\??\C:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R2 WTService;WTService;C:\WINDOWS\system32\atwtusb.exe
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys
R3 SAgentDriver;SAgent Driver;\??\C:\Programme\SoftActivity\AMSys\sagendrv.sys
S3 BTNetFilter;Bluetooth Network Filter;\??\C:\WINDOWS\system32\drivers\BTNetFilter.sys
S3 musbehco;musbehco;\??\C:\DOKUME~1\Tnaf\LOKALE~1\Temp\musbehco.sys
S3 Usblink;Usblink Driver;C:\WINDOWS\system32\Drivers\ulink.sys
S3 usbsermptxp;Motorola USB Modem Driver for MPT XP;C:\WINDOWS\system32\DRIVERS\usbsermptxp.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2007-11-06 16:16:16 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
"2007-10-29 10:06:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-08 16:09:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-08 16:10:56
C:\ComboFix-quarantined-files.txt ... 2007-04-21 23:09
C:\ComboFix2.txt ... 2007-11-04 22:06
C:\ComboFix3.txt ... 2007-11-04 19:57
.
--- E O F ---



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:16:58, on 08.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\system32\WTMKM.exe
C:\DOKUME~1\Tnaf\LOKALE~1\Temp\msmsgs.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Tnaf\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HJT.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [SWClient] C:\Programme\SoftActivity\AMSys\swsys.exe
O4 - HKLM\..\Run: [MacroKeyManager] WTMKM.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169112239375
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169289655500
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - F:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe

--
End of file - 10075 bytes



.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3821-9C66

Verzeichnis von C:\WINDOWS\system32

06.11.2007 18:22 512 WTCY9853.dat
04.11.2007 22:59 2.300 wpa.dbl
01.11.2007 21:53 2.516 KGyGaAvL.sys
28.10.2007 08:45 404.144 perfh009.dat
28.10.2007 08:45 63.362 perfc009.dat
28.10.2007 08:45 419.320 perfh007.dat
28.10.2007 08:45 76.246 perfc007.dat
28.10.2007 08:45 3.462 PerfStringBackup.TMP
12.10.2007 03:28 2.129.624 FNTCACHE.DAT
30.09.2007 17:34 108.144 CmdLineExt.dll
28.09.2007 06:19 18.089.592 MRT.exe
07.09.2007 00:02 43.520 CBNDLL.DLL
07.09.2007 00:02 364.544 MPIWIN32.DLL
29.08.2007 23:22 249.852 TZLog.log
22.08.2007 14:13 664.576 wininet.dll
22.08.2007 14:13 617.472 urlmon.dll
22.08.2007 14:13 474.624 shlwapi.dll
22.08.2007 14:13 1.494.528 shdocvw.dll
22.08.2007 14:13 3.079.168 mshtml.dll
22.08.2007 14:13 146.432 msrating.dll
22.08.2007 14:13 39.424 pngfilt.dll
22.08.2007 14:13 532.480 mstime.dll
22.08.2007 14:13 449.024 mshtmled.dll
22.08.2007 14:13 205.312 dxtrans.dll
22.08.2007 14:13 16.384 jsproxy.dll
22.08.2007 14:13 96.768 inseng.dll
22.08.2007 14:13 55.808 extmgr.dll
22.08.2007 14:13 251.392 iepeers.dll
22.08.2007 14:13 152.064 cdfview.dll
22.08.2007 14:13 1.022.976 browseui.dll
22.08.2007 14:13 357.888 dxtmsft.dll
22.08.2007 14:13 1.056.256 danim.dll
21.08.2007 11:53 123.904 xpsp3res.dll
21.08.2007 07:16 683.520 inetcomm.dll

.
.
.
Datenträger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3821-9C66

Verzeichnis von C:\DOKUME~1\Tnaf\LOKALE~1\Temp

08.11.2007 16:17 110.251 datfind.txt
08.11.2007 16:16 114.688 ~DFEF2E.tmp
08.11.2007 16:02 512 ~DFFDB2.tmp
08.11.2007 16:02 81.920 ~DFFDA0.tmp
08.11.2007 16:02 512 ~DFEE72.tmp
08.11.2007 16:02 81.920 ~DFEE60.tmp
08.11.2007 13:05 16.384 Perflib_Perfdata_7f0.dat
06.11.2007 14:35 53.550 msmsgs.exe
8 Datei(en) 459.737 Bytes
0 Verzeichnis(se), 5.326.307.328 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3821-9C66

Verzeichnis von C:\WINDOWS

08.11.2007 13:05 0 0.log
08.11.2007 13:05 1.243.005 WindowsUpdate.log
08.11.2007 13:05 799 win.ini
08.11.2007 13:05 159 wiadebug.log
08.11.2007 13:05 50 wiaservc.log
08.11.2007 13:04 2.048 bootstat.dat
08.11.2007 07:44 32.574 SchedLgU.Txt
08.11.2007 05:21 54.156 QTFont.qfn
07.11.2007 05:27 116 NeroDigital.ini
06.11.2007 19:42 372 DirectX.log
06.11.2007 18:22 24 Artcut6.INI
06.11.2007 16:47 121 disney.ini
06.11.2007 16:43 25 SIERRA.INI
06.11.2007 16:41 33.859 setupapi.log
06.11.2007 16:13 195 setupact.log
06.11.2007 00:06 1.409 QTFont.for
04.11.2007 19:23 1.927 wincmd.ini
29.10.2007 18:56 136.192 catchme.exe
27.10.2007 15:44 151 PhotoSnapViewer.INI
24.10.2007 14:53 0 setuperr.log
23.10.2007 19:43 288 nscstiu_error.txt
17.10.2007 14:17 1.783 IE4 Error Log.txt
02.10.2007 14:57 161.108 FontData.fdb
11.09.2007 16:21 5.134 CDPLAYER.INI
11.09.2007 15:29 1.080 AUTOLNCH.REG
08.09.2007 22:30 315 COVERE~1.INI
24.08.2007 15:11 1.229 Illuminator Settings.ini
24.08.2007 13:01 1.035.228 setupapi.log.1.old
22.08.2007 13:34 483 rsagent.ini
14.08.2007 13:00 19.554 hpoins01.dat


.
.
Datenträger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3821-9C66

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datenträger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 3821-9C66

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06.08.2007 11:10 68.480 PURde-de.dll
02.08.2007 14:47 569 MSNPUpld.inf
02.08.2007 10:31 360.320 MsnPUpld.dll
02.08.2007 10:31 67.456 PURen-us.dll
29.07.2007 17:10 2.072 vscanmsx.dat
11.07.2007 00:00 2.504 catalog.dat
11.07.2007 00:00 9.809.478 virscan7.dat
11.07.2007 00:00 391.224 virscan6.dat
11.07.2007 00:00 4.151.974 virscan5.dat
11.07.2007 00:00 320.253 virscan4.dat
11.07.2007 00:00 6.899 ecbootil.vxd
11.07.2007 00:00 4.708.560 virscan9.dat
11.07.2007 00:00 271.992 ecmsvr32.dll
11.07.2007 00:00 570.636 virscan2.dat
11.07.2007 00:00 989.115 virscan1.dat
11.07.2007 00:00 32 virscant.dat
11.07.2007 00:00 1.772.318 virscan8.dat
11.07.2007 00:00 106.244 virscan.inf
11.07.2007 00:00 2.267 v.sig
11.07.2007 00:00 4.778 v.grd
11.07.2007 00:00 120.440 naveng32.dll
11.07.2007 00:00 902.776 navex32a.dll
11.07.2007 00:00 149.816 virscan3.dat
11.07.2007 00:00 11.875 symaveng.cat
11.07.2007 00:00 3.199 tscan1hd.dat
11.07.2007 00:00 97.744 scrauth.dat
11.07.2007 00:00 67.060 tscan1.dat
11.07.2007 00:00 224 zdone.dat
11.07.2007 00:00 1.061 symaveng.inf
11.07.2007 00:00 193.003 tcdefs.dat
11.07.2007 00:00 1.604.205 tcscan7.dat
11.07.2007 00:00 364.471 tcscan8.dat
11.07.2007 00:00 867.538 tcscan9.dat
11.07.2007 00:00 453 tinf.dat
11.07.2007 00:00 148 tinfidx.dat
11.07.2007 00:00 1.957 tinfl.dat


Das antivire mache ich jetz.

Es bringt aber dauernt den Fund: TR/Inject.JT

Wenn ich was falsch gemacht habe,sagt es,bin net vom Fach.


Danke erstmal,Jana

#4 Also antivire hat schon 8 Sachen gefunden

#5 SChreibbitte was es gefunden hat. Aus den Reporten ist nicht wirklich was boeses zu sehen. Der TR/Inject.JT ist mal wieder ein Fehlalarm von Antivir!
__________
MfG Ralf
SEO-Spam Hunter

#6 Antivir ist noch net fertig

letzter Fund: APPL/eblaster

ne msn.exe aber nochwas dazu hat er auch gefunden,
C/Recycler.exe aber mehrfach,
HEUR Malware

bisher 64 gefundene

#7 Warte, bis Antivir fertig ist mit dem scannen und poste dann den gesamten Bericht. Sieht aber nach einem Job fuer Arnold aus
__________
MfG Ralf
SEO-Spam Hunter

#8 Mach mir bitte keine Angst...Was heißt das denn bitte?

#9 AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 8. November 2007 16:26

Es wird nach 922323 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: STURMBRINGER

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.9.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 7.9.2007 19:17:22
AVSCAN.DLL : 7.0.6.0 57384 Bytes 7.9.2007 19:17:22
LUKE.DLL : 7.0.5.3 147496 Bytes 7.9.2007 19:17:25
LUKERES.DLL : 7.0.6.0 10792 Bytes 7.9.2007 19:17:25
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.7.2007 19:11:43
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.9.2007 19:24:33
ANTIVIR2.VDF : 7.0.0.172 1092608 Bytes 5.11.2007 13:09:30
ANTIVIR3.VDF : 7.0.0.190 86016 Bytes 8.11.2007 14:41:43
AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 7.11.2007 14:42:35
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.2.2007 09:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 7.9.2007 19:17:22
AVREP.DLL : 7.0.0.1 155688 Bytes 16.4.2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 3.8.2007 18:16:46
AVREG.DLL : 7.0.1.6 30760 Bytes 7.9.2007 19:17:22
AVARKT.DLL : 1.0.0.20 278568 Bytes 7.9.2007 19:17:22
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 7.9.2007 19:17:22
NETNT.DLL : 7.0.0.0 7720 Bytes 8.3.2007 10:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 7.9.2007 19:17:18
RCTEXT.DLL : 7.0.62.0 90152 Bytes 7.9.2007 19:17:18
SQLITE3.DLL : 3.3.17.1 339968 Bytes 7.9.2007 19:17:26

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: G:,
Durchsuche Speicher..............: aus
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 8. November 2007 16:26

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATWTUSB.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GhostStartService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemOptimizer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\DOKUME~1\Tnaf\LOKALE~1\Temp\msmsgs.exe'
Durchsuche Prozess 'WTMKM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'swsys.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SweetIM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'msmsgs.exe' wird beendet
C:\DOKUME~1\Tnaf\LOKALE~1\Temp\msmsgs.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a02b42.qua' verschoben!
Es wurden '41' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '27' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Tnaf\Desktop\call123.mp3
[FUND] Enthält Erkennungsmuster des Droppers DR/Dldr.Tibs.OU
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479f2bdd.qua' verschoben!
C:\Dokumente und Einstellungen\Tnaf\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
--> nircmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a02bf5.qua' verschoben!
C:\Dokumente und Einstellungen\Tnaf\Desktop\Powered_Keylogger_2.2.1.1920_Full_Inc_Patch.zip
[0] Archivtyp: ZIP
--> Powered Keylogger 2.2.1.1920 Full Inc Patch/powered_keylogger.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/PowerLogger.220
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47aa2bfd.qua' verschoben!
C:\Dokumente und Einstellungen\Tnaf\Desktop\Motive\USB Stick\USB\WGA v1.5.708.0 gecrackt.zip
[0] Archivtyp: ZIP
--> WGA v1.5.708.0 gecrackt/WGA v1.5.708.0 gecrackt/1. wga-remover/WGA-Remover.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
--> WGA v1.5.708.0 gecrackt/WGA v1.5.708.0 gecrackt/2. hosts060628/keyfinder.exe
[FUND] Enthält Erkennungsmuster des SPR/RAS.A-Programmes
[1] Archivtyp: RAR SFX (self extracting)
--> findkey.exe
[FUND] Enthält Erkennungsmuster des SPR/XP.Keyfinder-Programmes
--> xpkey.exe
[FUND] Enthält Erkennungsmuster des SPR/PSW.RAS.A.2-Programmes
--> officekey.exe
[FUND] Enthält Erkennungsmuster des SPR/PSW.RAS.A.3-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47742cb0.qua' verschoben!
C:\Dokumente und Einstellungen\Tnaf\Desktop\motive 1\USB Stick\USB\WGA v1.5.708.0 gecrackt.zip
[0] Archivtyp: ZIP
--> WGA v1.5.708.0 gecrackt/WGA v1.5.708.0 gecrackt/1. wga-remover/WGA-Remover.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
--> WGA v1.5.708.0 gecrackt/WGA v1.5.708.0 gecrackt/2. hosts060628/keyfinder.exe
[FUND] Enthält Erkennungsmuster des SPR/RAS.A-Programmes
[1] Archivtyp: RAR SFX (self extracting)
--> findkey.exe
[FUND] Enthält Erkennungsmuster des SPR/XP.Keyfinder-Programmes
--> xpkey.exe
[FUND] Enthält Erkennungsmuster des SPR/PSW.RAS.A.2-Programmes
--> officekey.exe
[FUND] Enthält Erkennungsmuster des SPR/PSW.RAS.A.3-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47742cf1.qua' verschoben!
C:\Dokumente und Einstellungen\Tnaf\Desktop\WGA v1.5.708.0 gecrackt\WGA v1.5.708.0 gecrackt\1. wga-remover\WGA-Remover.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47742d12.qua' verschoben!
C:\Dokumente und Einstellungen\Tnaf\Desktop\WGA v1.5.708.0 gecrackt\WGA v1.5.708.0 gecrackt\2. hosts060628\keyfinder.exe
[FUND] Enthält Erkennungsmuster des SPR/RAS.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ac2d33.qua' verschoben!
C:\Dokumente und Einstellungen\Tnaf\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\tnaf@hotmail.de\Sharing Folders\olli26@msn.com\setup.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Eblaster
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a72d89.qua' verschoben!
C:\Dokumente und Einstellungen\Tnaf\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\tnaf@hotmail.de\Sharing Folders\olli26@msn.com\key\Spector eBlaster v5.0.1082 wKeyGen\keygen.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/FSG). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ac2d8d.qua' verschoben!
C:\Dokumente und Einstellungen\Tnaf\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\tnaf@hotmail.de\Sharing Folders\olli26@msn.com\key\Spector eBlaster v5.0.1082 wKeyGen\setup.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Eblaster
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a72d91.qua' verschoben!
C:\RECYCLER\S-1-5-21-789336058-436374069-725345543-1004\Dc10.zip
[0] Archivtyp: ZIP
--> tras2_trn.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476431ec.qua' verschoben!
C:\RECYCLER\S-1-5-21-789336058-436374069-725345543-1004\Dc16.zip
[0] Archivtyp: ZIP
--> WGA v1.5.708.0 gecrackt/WGA v1.5.708.0 gecrackt/1. wga-remover/WGA-Remover.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
--> WGA v1.5.708.0 gecrackt/WGA v1.5.708.0 gecrackt/2. hosts060628/keyfinder.exe
[FUND] Enthält Erkennungsmuster des SPR/RAS.A-Programmes
[1] Archivtyp: RAR SFX (self extracting)
--> findkey.exe
[FUND] Enthält Erkennungsmuster des SPR/XP.Keyfinder-Programmes
--> xpkey.exe
[FUND] Enthält Erkennungsmuster des SPR/PSW.RAS.A.2-Programmes
--> officekey.exe
[FUND] Enthält Erkennungsmuster des SPR/PSW.RAS.A.3-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476431f9.qua' verschoben!
C:\RECYCLER\S-1-5-21-789336058-436374069-725345543-1004\Dc2.rar
[0] Archivtyp: RAR
--> Spector eBlaster v5.0.1082 wKeyGen\keygen.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/FSG). Bitte verifizieren Sie den Ursprung dieser Datei.
--> Spector eBlaster v5.0.1082 wKeyGen\setup.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Eblaster
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476531fd.qua' verschoben!
C:\RECYCLER\S-1-5-21-789336058-436374069-725345543-1004\Dc17\Spector eBlaster v5.0.1082 wKeyGen\keygen.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/FSG). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ac3205.qua' verschoben!
C:\RECYCLER\S-1-5-21-789336058-436374069-725345543-1004\Dc17\Spector eBlaster v5.0.1082 wKeyGen\setup.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Eblaster
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a73209.qua' verschoben!
C:\RECYCLER\S-1-5-21-789336058-436374069-725345543-1004\Dc19\keygen.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/FSG). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ac320f.qua' verschoben!
C:\RECYCLER\S-1-5-21-789336058-436374069-725345543-1004\Dc19\setup.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Eblaster
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a73212.qua' verschoben!
C:\System Volume Information\_restore{869F5895-D383-4791-9945-9C85BA76E287}\RP454\A0116315.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476431fb.qua' verschoben!
C:\System Volume Information\_restore{869F5895-D383-4791-9945-9C85BA76E287}\RP455\A0117306.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47643271.qua' verschoben!
C:\System Volume Information\_restore{869F5895-D383-4791-9945-9C85BA76E287}\RP455\A0117344.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47643276.qua' verschoben!
C:\System Volume Information\_restore{869F5895-D383-4791-9945-9C85BA76E287}\RP459\A0121462.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47643284.qua' verschoben!
C:\System Volume Information\_restore{869F5895-D383-4791-9945-9C85BA76E287}\RP459\A0121466.exe
[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
--> nircmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47643288.qua' verschoben!
C:\System Volume Information\_restore{869F5895-D383-4791-9945-9C85BA76E287}\RP459\A0121467.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476432ad.qua' verschoben!
C:\System Volume Information\_restore{869F5895-D383-4791-9945-9C85BA76E287}\RP459\A0121468.exe
[FUND] Enthält Erkennungsmuster des SPR/RAS.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476432b2.qua' verschoben!
C:\System Volume Information\_restore{869F5895-D383-4791-9945-9C85BA76E287}\RP459\A0121469.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Eblaster
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4619bc43.qua' verschoben!
C:\System Volume Information\_restore{869F5895-D383-4791-9945-9C85BA76E287}\RP459\A0121470.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/FSG). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476432b3.qua' verschoben!
C:\System Volume Information\_restore{869F5895-D383-4791-9945-9C85BA76E287}\RP459\A0121471.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Eblaster
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4619bc44.qua' verschoben!
C:\System Volume Information\_restore{869F5895-D383-4791-9945-9C85BA76E287}\RP459\A0121472.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/FSG). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476432b5.qua' verschoben!
C:\System Volume Information\_restore{869F5895-D383-4791-9945-9C85BA76E287}\RP459\A0121473.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Eblaster
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476432b4.qua' verschoben!
C:\System Volume Information\_restore{869F5895-D383-4791-9945-9C85BA76E287}\RP459\A0121474.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/FSG). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4619bc45.qua' verschoben!
C:\System Volume Information\_restore{869F5895-D383-4791-9945-9C85BA76E287}\RP459\A0121475.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Eblaster
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476432b6.qua' verschoben!
C:\WINDOWS\nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a5330f.qua' verschoben!
Beginne mit der Suche in 'D:\' <DATENPLATTE>
Beginne mit der Suche in 'F:\' <MULTIMEDIA>
Beginne mit der Suche in 'G:\' <GAMER>
G:\Tomb Raider - Anniversary\tras2_trn.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47943627.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 8. November 2007 17:14
Benötigte Zeit: 47:28 min

Der Suchlauf wurde vollständig durchgeführt.

10393 Verzeichnisse wurden überprüft
425311 Dateien wurden geprüft
41 Viren bzw. unerwünschte Programme wurden gefunden
9 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
34 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
425270 Dateien ohne Befall
2997 Archive wurden durchsucht
1 Warnungen
2 Hinweise

So das ist alles,hoffe ich war das net wirklich und wir bekomm das zusammen wieder hin?!Ist es sehr schlimm?

Viele Grüße Jana

#10 Schicke bitte die Datei 47a02b42.qua', die du unter C:\Dokumente und Einstellungen\ALL USERS\ANWENDUNGSDATEN\AVIRA\ANTIVIR\INFECTED finden solltest an virus@protecus.de.

Mache auch einen Kontrollscan mit Drweb Cureit http://freedrweb.com/?lng=de

Die call123.mp3 habt ihr hoffentlich nicht gestartet. Dazu gab es hier schon einen Thread: http://board.protecus.de/t31623-lastpage.htm
__________
MfG Ralf
SEO-Spam Hunter

#11 Also,ich glaube doch.da ist aber nichts drin.Mein Freund hatte des Thema erstellt wegen dem ding.Der mußt aber nun kurzfristig auf Montage...
das ist schon länger da,also war ich es garnicht?
was soll ich nun tun?Dr.Web lädt runter


Danke Jana

#12 Also dr. web hat nur ne dll datei angezeigt in c/programme/macrogaming...

Mache aber noch eine intensivprüfung hinterher.


Was soll ich nun tun wegen der 123.....datei?
Ist der Rechner nun total zugevirt???

Danke Jana

#13 DIe Datei hat Antivir schon verschoben... Wichtig ware die Datei aus dem Quarantaeneordner....
__________
MfG Ralf
SEO-Spam Hunter

#14 Was soll ich mit denen im AV-Quarantäne machen??

#15 Das:

Zitat

Schicke bitte die Datei 47a02b42.qua', die du unter C:\Dokumente und Einstellungen\ALL USERS\ANWENDUNGSDATEN\AVIRA\ANTIVIR\INFECTED finden solltest an virus@protecus.de.

__________
MfG Ralf
SEO-Spam Hunter