Trojaner + 5 Warnungen

#1

Zitat

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: 2007-12-29 14:02

Es wird nach 991527 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: BIERQUARTIER

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 2007-09-19 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 2007-09-11 14:51:51
AVSCAN.DLL : 7.0.6.0 57384 Bytes 2007-09-11 14:51:50
LUKE.DLL : 7.0.5.3 147496 Bytes 2007-09-11 14:51:55
LUKERES.DLL : 7.0.6.0 10792 Bytes 2007-09-11 14:51:55
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 09:34:42
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 2007-12-14 14:34:02
ANTIVIR2.VDF : 7.0.1.96 2048 Bytes 2007-12-14 14:34:02
ANTIVIR3.VDF : 7.0.1.151 271872 Bytes 2007-12-24 16:11:02
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 2007-12-21 14:34:04
AVWINLL.DLL : 1.0.0.7 14376 Bytes 2007-04-23 15:24:17
AVPREF.DLL : 7.0.2.2 25640 Bytes 2007-09-11 14:51:50
AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-23 15:24:21
AVPACK32.DLL : 7.6.0.2 360488 Bytes 2007-12-21 14:34:04
AVREG.DLL : 7.0.1.6 30760 Bytes 2007-09-11 14:51:50
AVARKT.DLL : 1.0.0.20 278568 Bytes 2007-09-11 14:51:48
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 2007-09-11 14:51:49
NETNT.DLL : 7.0.0.0 7720 Bytes 2007-04-23 15:24:20
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 2007-09-11 14:51:08
RCTEXT.DLL : 7.0.62.0 90152 Bytes 2007-09-11 14:51:09
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2007-09-11 14:51:56

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: f:\progz\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: F:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: 2007-12-29 14:02

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '18' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\' <MUSIC>
Beginne mit der Suche in 'E:\' <Windows>
E:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\sptd8845.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\' <PLATTE>
F:\System Volume Information\_restore{8639A142-B3CE-40AB-9C71-3D7B0463BF2E}\RP184\A0045761.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> SETUP_POWERSEARCH.EXE
[FUND] Enthält Erkennungsmuster des Droppers DR/PowerSearch.B.1
--> SETUP_INCREDIFIND_ONLY.EXE
[FUND] Ist das Trojanische Pferd TR/Dldr.Keenval.K.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a66bb7.qua' verschoben!


Ende des Suchlaufs: 2007-12-29 16:45
Benötigte Zeit: 2:43:34 min

Der Suchlauf wurde vollständig durchgeführt.

14927 Verzeichnisse wurden überprüft
428822 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
5 Dateien konnten nicht durchsucht werden
428820 Dateien ohne Befall
1882 Archive wurden durchsucht
5 Warnungen
6 Hinweise

Das ist mein Log vom Scan mit Antivir den ich grad gemacht habe.
Er sagt, das ein Trojaner (TR/Dldr.Keenval.K.1) gefunden wurde. Der wurde in Quarantäne verschoben. Reicht das oder muss ich noch irgendwas machen? Die befallene Datei löschen?

Ausserdem wurden 5 Warnungen ausgegeben. ("Die Datei konnte nicht geöffnet werden!") Über diese wurde nach dem Scan gar nichts weiter gesagt. Sollte ich die Dateien löschen? Kann ich das überhaupt, oder sind die wichtig fürs System?


Danke für ein wenig Licht ins Dunkel,

soegel

ps.: hier noch mein hijackthis-log

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 17:05, on 2007-12-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
F:\PROGZ\AntiVir PersonalEdition Classic\sched.exe
F:\PROGZ\AntiVir PersonalEdition Classic\avguard.exe
E:\WINDOWS\system32\PnkBstrA.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\wscntfy.exe
E:\WINDOWS\Explorer.EXE
F:\PROGZ\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Java\jre1.6.0_03\bin\jusched.exe
E:\WINDOWS\system32\ctfmon.exe
F:\PROGZ\ICQ6\ICQ.exe
F:\PROGZ\Ad-Aware SE Personal\Ad-Aware.exe
F:\PROGZ\HiJack This\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "F:\PROGZ\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGZ\OFFICE~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with BitPump - F:\PROGZ\BitPump\ieint.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\PROGZ\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\PROGZ\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\PROGZ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\PROGZ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA2BFDB2-9DAE-4151-B357-92B0EFFAB99F}: NameServer = 217.237.150.205,217.237.149.142
O23 - Service: Adobe LM Service - Unknown owner - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\PROGZ\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\PROGZ\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: VY - Sysinternals - www.sysinternals.com - E:\DOKUME~1\SOEGEL~1.BIE\LOKALE~1\Temp\VY.exe

#2 Hallo soegel,

deaktiviere die Systemwiederherstellung - dann wieder aktivieren

Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
http://www.virus-protect.org/systemwiederherstellung.html

dann scanne mit Kaspersky und poste den Report (scanne E:/ und F:/ )
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 ich hoffe ich hab jetzt die richtige reihenfolge eingehalten:
ich habe erst deaktiviert -> übernehmen
dann aktiviert -> übernehmen
dann kaspersky online überprüfung.

hier der report:

Zitat

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
2007-12-31 02:07
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 30/12/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 500274
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Ordner
E:\
F:\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 177662
Viren gefunden 2
Infizierte Objekte gefunden 3
Verdächtige Objekte gefunden 0
Untersuchungszeit 07:06:03

Name des infizierten Objekts Virusname Letzte Aktion
E:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Cookies\index.dat Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\NTUSER.DAT Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\NTUSER.DAT Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Anwendungsdaten\ICQ\213398997\Messages.mdb Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Anwendungsdaten\ICQ\213398997\Owner.mdb Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Anwendungsdaten\ICQ\Application.mdb Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Anwendungsdaten\Mozilla\Firefox\Profiles\cuy64av6.default\cert8.db Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Anwendungsdaten\Mozilla\Firefox\Profiles\cuy64av6.default\flashgot.log Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Anwendungsdaten\Mozilla\Firefox\Profiles\cuy64av6.default\history.dat Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Anwendungsdaten\Mozilla\Firefox\Profiles\cuy64av6.default\key3.db Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Anwendungsdaten\Mozilla\Firefox\Profiles\cuy64av6.default\parent.lock Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Anwendungsdaten\Mozilla\Firefox\Profiles\cuy64av6.default\search.sqlite Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Anwendungsdaten\Mozilla\Firefox\Profiles\cuy64av6.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Cookies\index.dat Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\cuy64av6.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\cuy64av6.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\cuy64av6.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\cuy64av6.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Lokale Einstellungen\Temp\JET8F66.tmp Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007123020071231\index.dat Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\NTUSER.DAT Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\soegel.BIERQUARTIER\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\_restore{8639A142-B3CE-40AB-9C71-3D7B0463BF2E}\RP218\change.log Das Objekt ist gesperrt übersprungen
E:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
E:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
E:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
E:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\drivers\sptd8845.sys Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
E:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
E:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
E:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
E:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
F:\MISC\SETUPS\ICQ Link Patch.exe Infizierte Objekte: Backdoor.Win32.Shark.cb übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
F:\System Volume Information\_restore{7146E9AB-1288-4533-9592-8A3F0599A86B}\RP107\A0035211.exe/file56 Infizierte Objekte: not-a-virus:AdTool.Win32.WhenU.a übersprungen
F:\System Volume Information\_restore{7146E9AB-1288-4533-9592-8A3F0599A86B}\RP107\A0035211.exe Inno: infiziert - 1 übersprungen
F:\System Volume Information\_restore{8639A142-B3CE-40AB-9C71-3D7B0463BF2E}\RP218\change.log Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.

#4 Hallo

überprüf diese exe und poste den Report
http://www.virustotal.com/de/
F:\MISC\SETUPS\ICQ Link Patch.exe

und deaktiviere auch auf F:\ die Systemwiederherstellung
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 F:\MISC\SETUPS\ICQ Link Patch.exe

Zitat

Datei ICQ_Link_Patch.exe empfangen 2007.12.31 13:34:16 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 10/32 (31.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.1.10 2007.12.31 -
AntiVir 7.6.0.46 2007.12.31 -
Authentium 4.93.8 2007.12.30 -
Avast 4.7.1098.0 2007.12.30 -
AVG 7.5.0.516 2007.12.30 Generic8.LLJ
BitDefender 7.2 2007.12.31 -
CAT-QuickHeal 9.00 2007.12.29 -
ClamAV 0.91.2 2007.12.31 -
DrWeb 4.44.0.09170 2007.12.31 -
eSafe 7.0.15.0 2007.12.30 suspicious Trojan/Worm
eTrust-Vet 31.3.5417 2007.12.31 -
Ewido 4.0 2007.12.30 -
FileAdvisor 1 2007.12.31 High threat detected
Fortinet 3.14.0.0 2007.12.31 -
F-Prot 4.4.2.54 2007.12.31 -
F-Secure 6.70.13030.0 2007.12.31 Backdoor.Win32.Shark.cb
Ikarus T3.1.1.15 2007.12.31 Backdoor.Win32.Shark.cb
Kaspersky 7.0.0.125 2007.12.31 Backdoor.Win32.Shark.cb
McAfee 5195 2007.12.28 -
Microsoft 1.3109 2007.12.31 -
NOD32v2 2758 2007.12.31 -
Norman 5.80.02 2007.12.31 W32/Smalldoor.ATVE
Panda 9.0.0.4 2007.12.30 -
Prevx1 V2 2007.12.31 Heuristic: Suspicious File Which Interferes With Vulnerable Files Like The HostsFile
Rising 20.24.52.00 2007.12.29 -
Sophos 4.24.0 2007.12.31 -
Sunbelt 2.2.907.0 2007.12.30 -
Symantec 10 2007.12.31 -
TheHacker 6.2.9.175 2007.12.29 -
VBA32 3.12.2.5 2007.12.29 Backdoor.Win32.Shark.cb
VirusBuster 4.3.26:9 2007.12.31 -
Webwasher-Gateway 6.6.2 2007.12.31 Win32.Malware.gen#ASPack!90 (suspicious)
weitere Informationen
File size: 36352 bytes
MD5: b63f2ccc86bf59ff455188c88131c751
SHA1: eda8010381bf8c29d92ffdd716791d12833fa796
PEiD: ASPack v2.12 -> Alexey Solodovnikov
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=b63f2ccc86bf59ff455188c88131c751
packers: Aspack
packers: ASPack
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=475DAECD00AAA40C8EC000AC07A3A000612F503F

danach habe ich nochmal die andere infizierte datei untersucht, da wurde auch einiges gefunden:

F:\System Volume Information\_restore{7146E9AB-1288-4533-9592-8A3F0599A86B}\RP107\A0035211.exe

Zitat

Datei A0035211.exe empfangen 2007.12.31 13:39:48 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 5/32 (15.63%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 7.
Geschätzte Startzeit is zwischen 57 und 81 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.1.10 2007.12.31 -
AntiVir 7.6.0.46 2007.12.31 -
Authentium 4.93.8 2007.12.30 -
Avast 4.7.1098.0 2007.12.30 Win32:Agent-AWB
AVG 7.5.0.516 2007.12.30 -
BitDefender 7.2 2007.12.31 Application.Adware.Savenow.G
CAT-QuickHeal 9.00 2007.12.29 -
ClamAV 0.91.2 2007.12.31 -
DrWeb 4.44.0.09170 2007.12.31 Adware.SaveNow
eSafe 7.0.15.0 2007.12.30 -
eTrust-Vet 31.3.5417 2007.12.31 -
Ewido 4.0 2007.12.31 -
FileAdvisor 1 2007.12.31 -
Fortinet 3.14.0.0 2007.12.31 -
F-Prot 4.4.2.54 2007.12.31 -
F-Secure 6.70.13030.0 2007.12.31 -
Ikarus T3.1.1.15 2007.12.31 -
Kaspersky 7.0.0.125 2007.12.31 not-a-virus:AdTool.Win32.WhenU.a
McAfee 5195 2007.12.28 -
Microsoft 1.3109 2007.12.31 -
NOD32v2 2758 2007.12.31 -
Norman 5.80.02 2007.12.31 -
Panda 9.0.0.4 2007.12.30 -
Prevx1 V2 2007.12.31 -
Rising 20.24.52.00 2007.12.29 -
Sophos 4.24.0 2007.12.31 WhenU Installer
Sunbelt 2.2.907.0 2007.12.30 -
Symantec 10 2007.12.31 -
TheHacker 6.2.9.175 2007.12.29 -
VBA32 3.12.2.5 2007.12.29 -
VirusBuster 4.3.26:9 2007.12.31 -
Webwasher-Gateway 6.6.2 2007.12.31 -
weitere Informationen
File size: 1244877 bytes
MD5: 881ddef2a42729aa1e0d1913d26d0e28
SHA1: 23273a329472f0b79ac12157efc41a2a7fb11ef5
PEiD: -
packers: UPX

#6 Hallo,

«
loesche die exe

F:\MISC\SETUPS\ICQ Link Patch.exe

«
deaktiviere die Systemwiederherstellung (dann wieder aktivieren)

«
scanne mit Sophos (im normalmodus) - poste den Report
http://www.virus-protect.org/artikel/tools/sdfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7

Zitat

SDFix: Version 1.121

Run by Administrator on 02.01.2008 at 13:07

Microsoft Windows XP [Version 5.1.2600]

Running From: E:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found





Removing Temp Files...

ADS Check:

E:\WINDOWS
No streams found.

E:\WINDOWS\system32
No streams found.

E:\WINDOWS\system32\svchost.exe
No streams found.

E:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-02 13:15:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

IPC error: 2 Das System kann die angegebene Datei nicht finden.
scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="F:\PROGZ\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:19,21,eb,19,d4,f8,e1,c8,c0,0b,13,33,80,0d,8a,11,1d,a7,bf,29,1a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,bc,3d,fa,67,9d,01,6e,b8,0c,cd,17,d9,a0,95,61,cf,d2,..
"khjeh"=hex:65,9d,ba,e5,5a,33,f6,c6,2d,c2,b9,b6,37,94,b9,f4,e7,cf,83,47,da,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:05,0a,a0,d7,c3,d1,66,9d,f4,d7,e9,a5,de,fa,35,34,e4,b5,15,45,27,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:bb,9f,84,d5,35,01,98,26,8f,9f,33,22,16,ed,ac,a8,9c,03,07,41,d4,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="F:\PROGZ\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:19,21,eb,19,d4,f8,e1,c8,c0,0b,13,33,80,0d,8a,11,1d,a7,bf,29,1a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,bc,3d,fa,67,9d,01,6e,b8,0c,cd,17,d9,a0,95,61,cf,d2,..
"khjeh"=hex:65,9d,ba,e5,5a,33,f6,c6,2d,c2,b9,b6,37,94,b9,f4,e7,cf,83,47,da,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:05,0a,a0,d7,c3,d1,66,9d,f4,d7,e9,a5,de,fa,35,34,e4,b5,15,45,27,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:bb,9f,84,d5,35,01,98,26,8f,9f,33,22,16,ed,ac,a8,9c,03,07,41,d4,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s0"=dword:81891342
"s1"=dword:db7a010b
"s2"=dword:e800e8b9
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="F:\PROGZ\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:a2,7a,a1,c4,12,8d,7e,89,da,a5,41,3f,43,a5,a2,7a,6e,d1,80,10,18,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,bc,3d,fa,67,9d,01,6e,b8,0c,cd,17,d9,a0,95,61,cf,d2,..
"khjeh"=hex:58,ca,85,9e,ab,c6,1b,80,06,67,07,2b,1c,88,3f,fe,00,49,28,c8,0e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:b6,37,6e,7e,36,1f,6e,6e,9f,29,93,1f,37,ae,de,82,63,16,ba,08,ec,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:25,63,c8,ea,aa,75,f9,1b,70,ae,6b,11,ae,15,88,02,95,0b,ac,e5,c4,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:ea,bb,1c,09,67,47,98,ba,30,92,59,72,8f,77,74,1d,65,09,f8,d7,8d,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:f6,5c,8e,e2,5d,8a,7a,d4,b8,22,2f,df,99,3f,92,2d,59,c9,f1,3c,2c,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="F:\PROGZ\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:a2,7a,a1,c4,12,8d,7e,89,da,a5,41,3f,43,a5,a2,7a,6e,d1,80,10,18,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,bc,3d,fa,67,9d,01,6e,b8,0c,cd,17,d9,a0,95,61,cf,d2,..
"khjeh"=hex:58,ca,85,9e,ab,c6,1b,80,06,67,07,2b,1c,88,3f,fe,00,49,28,c8,0e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:b6,37,6e,7e,36,1f,6e,6e,9f,29,93,1f,37,ae,de,82,63,16,ba,08,ec,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:25,63,c8,ea,aa,75,f9,1b,70,ae,6b,11,ae,15,88,02,95,0b,ac,e5,c4,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:ea,bb,1c,09,67,47,98,ba,30,92,59,72,8f,77,74,1d,65,09,f8,d7,8d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:f6,5c,8e,e2,5d,8a,7a,d4,b8,22,2f,df,99,3f,92,2d,59,c9,f1,3c,2c,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"E:\\Programme\\Microsoft Games\\Age of Empires II\\EMPIRES2.ICD"="E:\\Programme\\Microsoft Games\\Age of Empires II\\EMPIRES2.ICD:*:Disabled:Age of Empires II"
"F:\\GAMEZ\\AOE2CONQ\\age2_x1.exe"="F:\\GAMEZ\\AOE2CONQ\\age2_x1.exe:*:Disabled:Age of Empires II Expansion"
"E:\\Programme\\Microsoft Games\\Age of Empires II\\age2_x1\\AGE2_X1.ICD"="E:\\Programme\\Microsoft Games\\Age of Empires II\\age2_x1\\AGE2_X1.ICD:*:Disabled:Age of Empires II Expansion"
"F:\\GAMEZ\\Battlefield 1942\\BF1942.exe"="F:\\GAMEZ\\Battlefield 1942\\BF1942.exe:*:Disabled:BF1942"
"E:\\Programme\\EA GAMES\\Battlefield 1942\\BF1942.exe"="E:\\Programme\\EA GAMES\\Battlefield 1942\\BF1942.exe:*:Disabled:BF1942"
"E:\\Programme\\BitTorrent\\bittorrent.exe"="E:\\Programme\\BitTorrent\\bittorrent.exe:*:Disabled:BitTorrent"
"F:\\GAMEZ\\Call of Duty 2\\CoD2MP_s.exe"="F:\\GAMEZ\\Call of Duty 2\\CoD2MP_s.exe:*:Disabled:CoD2MP_s"
"F:\\GAMEZ\\Call of Duty I\\CoDMP.exe"="F:\\GAMEZ\\Call of Duty I\\CoDMP.exe:*:Disabled:CoDMP"
"F:\\GAMEZ\\CS 1.5\\cstrike.exe"="F:\\GAMEZ\\CS 1.5\\cstrike.exe:*:Disabled:CounterStrike Launcher"
"F:\\GAMEZ\\Diablo II\\Game.exe"="F:\\GAMEZ\\Diablo II\\Game.exe:*:Disabled:Diablo II"
"F:\\Diablo II\\Diablo II an brain\\Diablo II.exe"="F:\\Diablo II\\Diablo II an brain\\Diablo II.exe:*:Disabled:Diablo II.exe"
"F:\\GAMEZ\\Enemy Territory\\ET.exe"="F:\\GAMEZ\\Enemy Territory\\ET.exe:*:Disabled:ET"
"E:\\Programme\\FlightGear\\bin\\win32\\fgfs.exe"="E:\\Programme\\FlightGear\\bin\\win32\\fgfs.exe:*:Disabled:fgfs"
"F:\\PROGZ\\FileZilla\\FileZilla.exe"="F:\\PROGZ\\FileZilla\\FileZilla.exe:*:Disabled:FileZilla"
"F:\\PROGZ\\Mozilla Firefox\\firefox.exe"="F:\\PROGZ\\Mozilla Firefox\\firefox.exe:*:Disabled:Firefox"
"F:\\GAMEZ\\Half-Life\\hl.exe"="F:\\GAMEZ\\Half-Life\\hl.exe:*:Disabled:Half-Life Launcher"
"F:\\GAMEZ\\CS 1.5\\hl.exe"="F:\\GAMEZ\\CS 1.5\\hl.exe:*:Disabled:Half-Life Launcher"
"E:\\Programme\\Hamachi\\hamachi.exe"="E:\\Programme\\Hamachi\\hamachi.exe:*:Disabled:Hamachi"
"F:\\PROGZ\\ICQ\\Icq.exe"="F:\\PROGZ\\ICQ\\Icq.exe:*:Disabled:ICQ Application"
"F:\\PROGZ\\ICQLite\\ICQLite.exe"="F:\\PROGZ\\ICQLite\\ICQLite.exe:*:Disabled:ICQ Lite"
"F:\\PROGZ\\ICQ6\\ICQ.exe"="F:\\PROGZ\\ICQ6\\ICQ.exe:*:Disabled:ICQ6"
"E:\\Programme\\Internet Explorer\\IEXPLORE.EXE"="E:\\Programme\\Internet Explorer\\IEXPLORE.EXE:*:Disabled:Internet Explorer"
"F:\\PROGZ\\JAlbum\\JAlbumWin.exe"="F:\\PROGZ\\JAlbum\\JAlbumWin.exe:*:Disabled:JAlbumWin"
"F:\\GAMEZ\\Call of Duty 2\\Kopie von CoD2MP_s.exe"="F:\\GAMEZ\\Call of Duty 2\\Kopie von CoD2MP_s.exe:*:Disabled:Kopie von CoD2MP_s"
"F:\\GAMEZ\\Command and Conquer Red Alert 2\\GAME.EXE"="F:\\GAMEZ\\Command and Conquer Red Alert 2\\GAME.EXE:*:Disabled:Main executable for Red Alert 2"
"D:\\D\\Command and Conquer Red Alert 2\\GAME.EXE"="D:\\D\\Command and Conquer Red Alert 2\\GAME.EXE:*:Disabled:Main executable for Red Alert 2"
"D:\\D\\[PC GAME] Command and Conquer Red Alert 2\\Command and Conquer Red Alert 2\\GAME.EXE"="D:\\D\\[PC GAME] Command and Conquer Red Alert 2\\Command and Conquer Red Alert 2\\GAME.EXE:*:Disabled:Main executable for Red Alert 2"
"F:\\GAMEZ\\MW VENGEANCE\\MW4.ICD"="F:\\GAMEZ\\MW VENGEANCE\\MW4.ICD:*:Disabled:MechWarrior IV"
"E:\\Programme\\Microsoft Games\\MechWarrior Vengeance\\MW4.ICD"="E:\\Programme\\Microsoft Games\\MechWarrior Vengeance\\MW4.ICD:*:Disabled:MechWarrior IV"
"E:\\WINDOWS\\system32\\dplaysvr.exe"="E:\\WINDOWS\\system32\\dplaysvr.exe:*:Disabled:Microsoft DirectPlay Helper"
"E:\\WINDOWS\\system32\\dpvsetup.exe"="E:\\WINDOWS\\system32\\dpvsetup.exe:*:Disabled:Microsoft DirectPlay Voice Test"
"F:\\GAMEZ\\RCT\\rct.ICD"="F:\\GAMEZ\\RCT\\rct.ICD:*:Disabled:rct"
"E:\\WINDOWS\\system32\\sessmgr.exe"="E:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"J:\\sögel\\Warhammer\\W40k.exe"="J:\\sögel\\Warhammer\\W40k.exe:*:Disabled:W40K"
"F:\\PROGZ\\WebCraft\\webweaver.exe"="F:\\PROGZ\\WebCraft\\webweaver.exe:*:Disabled:webweaver"
"E:\\Programme\\Winamp Remote\\bin\\Orb.exe"="E:\\Programme\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"
"E:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"="E:\\Programme\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"
"E:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"="E:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"F:\\GAMEZ\\UT\\System\\UnrealTournament.exe"="F:\\GAMEZ\\UT\\System\\UnrealTournament.exe:*:Enabled:UnrealTournament"
"E:\\Programme\\BitTorrent_DNA\\dna.exe"="E:\\Programme\\BitTorrent_DNA\\dna.exe:*:Enabled:BitTorrent DNA"
"F:\\PROGZ\\BitTorrent\\bittorrent.exe"="F:\\PROGZ\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"F:\\GAMEZ\\UT2004\\System\\UT2004.exe"="F:\\GAMEZ\\UT2004\\System\\UT2004.exe:*:Enabled:UT2004"
"E:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe"="E:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"E:\\Programme\\Activision\\Call of Duty 2\\pb\\PnkBstrB.exe"="E:\\Programme\\Activision\\Call of Duty 2\\pb\\PnkBstrB.exe:*:Enabled:PnkBstrB.exe"
"F:\\PROGZ\\Xfire\\xfire.exe"="F:\\PROGZ\\Xfire\\xfire.exe:*:Enabled:Xfire"
"E:\\Programme\\Activision\\Call of Duty 2\\pb\\PnkBstrA.exe"="E:\\Programme\\Activision\\Call of Duty 2\\pb\\PnkBstrA.exe:*:Enabled:PnkBstrA.exe"
"E:\\Programme\\Activision\\HLSW\\hlsw.exe"="E:\\Programme\\Activision\\HLSW\\hlsw.exe:*:Enabled:HLSW Application"
"F:\\GAMEZ\\000 - BACKUPS'n'STUFF\\SOLDAT DWL\\soldatserver252\\soldatserver.exe"="F:\\GAMEZ\\000 - BACKUPS'n'STUFF\\SOLDAT DWL\\soldatserver252\\soldatserver.exe:*:Enabled:soldatserver"
"E:\\Programme\\Soldat\\Soldat.exe"="E:\\Programme\\Soldat\\Soldat.exe:*:Enabled:Soldat"
"F:\\soldatserver263\\soldatserver.exe"="F:\\soldatserver263\\soldatserver.exe:*:Enabled:soldatserver"
"F:\\GAMEZ\\SOLDAT DWL\\soldatserver252\\soldatserver.exe"="F:\\GAMEZ\\SOLDAT DWL\\soldatserver252\\soldatserver.exe:*:Enabled:soldatserver"
"E:\\Programme\\Activision\\Empire Earth\\Empire Earth.exe"="E:\\Programme\\Activision\\Empire Earth\\Empire Earth.exe:*:Disabled:Empire Earth"
"F:\\GAMEZ\\Soldat\\Soldat.exe"="F:\\GAMEZ\\Soldat\\Soldat.exe:*:Enabled:Soldat"
"F:\\GAMEZ\\Soldat1.3.1\\Soldat.exe"="F:\\GAMEZ\\Soldat1.3.1\\Soldat.exe:*:Enabled:Soldat"
"F:\\GAMEZ\\Operation Pigstomach\\OPS_MP.exe"="F:\\GAMEZ\\Operation Pigstomach\\OPS_MP.exe:*:Enabled:FPSC Game"
"F:\\GAMEZ\\Operation Pigstomach 2\\OPS2_MP.exe"="F:\\GAMEZ\\Operation Pigstomach 2\\OPS2_MP.exe:*:Enabled:FPSC Game"
"E:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="E:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)"
"E:\\GAMES\\Flatout\\flatout.exe"="E:\\GAMES\\Flatout\\flatout.exe:*:Enabled:flatout"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------


Files with Hidden Attributes:

Fri 13 May 2005 217,073 A.SHR --- "E:\WINDOWS\meta4.exe"
Mon 24 Oct 2005 66,560 A.SHR --- "E:\WINDOWS\MOTA113.exe"
Thu 14 Jul 2005 27,648 A.SHR --- "E:\WINDOWS\system32\AVSredirect.dll"
Sun 26 Jun 2005 616,448 A.SHR --- "E:\WINDOWS\system32\cygwin1.dll"
Tue 21 Jun 2005 45,568 A.SHR --- "E:\WINDOWS\system32\cygz.dll"
Wed 3 May 2006 163,328 ..SHR --- "E:\WINDOWS\system32\flvDX.dll"
Sun 25 Jan 2004 70,656 A.SHR --- "E:\WINDOWS\system32\i420vfw.dll"
Mon 28 Feb 2005 240,128 A.SHR --- "E:\WINDOWS\system32\x.264.exe"
Wed 18 Apr 2007 4,348 ..SH. --- "E:\Dokumente und Einstellungen\All Users.WINDOWS\DRM\DRMv1.bak"

Finished!

#8 im Normalmodus

RunThis.bat doppelt klicken


reinschreiben: 3

1 : es wird a-squared geladen
2 : wird Norman geladen
3 : wird Sophos geladen - wähle 6 - scanne und poste den Report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#9 wenn ich die 3 drücke, wird sophos runtergeladen. dann öffnet sich eine neue Unzip-Installation, die einen "SAV32CLI"-Ordner entpackt.

Dann steht im "RunThis.cmd"-Fenster "drücken sie eine beliebige Taste", worauf es sich schließt (wenn ich eine Taste drücke).

Wo soll ich die 6 drücken?

#10 ««
eigentlich muesste das hier erscheinen:


wenns nicht klappt, mache einen onlinescan mit Ewido und poste hier das log
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#11 hmmm, muss ich denn den inhalt den runtergeladenen Ordners irgendwo an eine bestimmte stelle packen, damit SDfix das erkennt oder so?

ich werd nochmal ein bisschen rumprobieren.

#12 probier mal ... ich habe das vor einem jahr mal ausgefuehrt , und kann mich nicht mehr erinnern... falls du es nicht schaffst, lade ich das proggie noch mal und erklaere es.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#13 hier ist der scan von sophos, jetzt hat es doch noch funktioniert.

Zitat

Sophos Anti-Virus
Version 4.25.0 [Win32/Intel]
Virus data version 4.25E, January 2008
Includes detection for 332233 viruses, trojans and worms
Copyright (c) 1989-2008 Sophos Plc, www.sophos.com

System time 21:22:09, System date 02 January 2008
Command line qualifiers are: -f -remove -nc -nb --stop-scan

Could not open E:\hiberfil.sys
Could not check E:\Programme\No23 Recorder\No23Recorder.exe\FILE:0000 (archive files nested too deeply)
Could not open E:\WINDOWS\system32\drivers\dtscsi.sys
Could not open E:\WINDOWS\system32\drivers\sptd.sys
Could not open E:\WINDOWS\system32\drivers\sptd8845.sys

4 boot sectors swept.
17872 files swept in 34 minutes and 36 seconds.
5 errors were encountered.
No viruses were discovered.
Ending Sophos Anti-Virus.

#14 Hallo soegel,

du kannst noch mal mit dem Antivirus drüberbügeln (am besten im abges.Modus)
ansonsten sollte wieder alles I.O. sein .
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#15 ich hab noch mal den norman scanner durchlaufen lassen, der hat auch nix gefunden. also ich denke auch das wieder alles clean ist.
Danke für die Unterstützung.

p.s.: vllt. sollte in der Anleitung für sophos drinnstehen, das sdfix sophos nicht läd, wenn vorher das Registry-Backup nicht oder fehlerhaft oder unvollständig durchgeführt wurde. so war es nämlich bei mir. es wird dann stattdessen immerwieder die sophos datei runtergeladen, aber sophos wird eben nicht gestartet.