Avira Antivir teilt mir 7 Virenfunde mit

#0
14.02.2008, 19:56
Member

Beiträge: 23
#1 Hallo an alle,

ich hoffe, Ihr könnt mir mal wieder helfen. Ich habe die kleine Hoffnung, das trotz der Warnmeldung alles in Ordnung ist.

Ursache meiner Prüfung ist zum einen eine Mahnung eines Inkassobüros durch die Firma Interserv AG (laut Internetrecherche eine sehr dubiose Firma).
Geht auf jedenfall mal an die Verbraucherzentrale!

Der hier befallene PC wird von meinem Kind zum Chatten und Spielen genutzt und somit immer sehr anfällig.

Daher habe Ich unter anderem keine Ahnung, wo z.Bsp. die Programme - "Router.exe" und "Dot1xcfg.exe" herkommen, da Sie auf meinen anderen Rechnern nicht drauf sind. Sind aber auch nicht im Windows System Ordner sondern unter Programme. Ich selber habe einen Netgear Hardwarerouter mit Firewall.

Ich füge nun die Logs von Antivir und HiJackThis an, bittet berücksichtig, das ich im Hintergrund Protector Pro laufen habe, falls jemand sich wundern sollte.

Log Antivir:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 12. Februar 2008 20:15

Es wird nach 1100573 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: **

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 19.11.2007 18:06:28
AVSCAN.DLL : 7.0.6.0 57384 Bytes 19.11.2007 18:06:28
LUKE.DLL : 7.0.5.3 147496 Bytes 19.11.2007 18:06:29
LUKERES.DLL : 7.0.6.0 10792 Bytes 19.11.2007 18:06:29
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 18:06:34
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 19:13:25
ANTIVIR2.VDF : 7.0.2.113 1673728 Bytes 08.02.2008 19:13:25
ANTIVIR3.VDF : 7.0.2.126 56320 Bytes 12.02.2008 19:13:25
AVEWIN32.DLL : 7.6.0.65 3240448 Bytes 12.02.2008 19:13:26
AVWINLL.DLL : 1.0.0.7 14376 Bytes 14.05.2007 23:52:21
AVPREF.DLL : 7.0.2.2 25640 Bytes 19.11.2007 18:06:27
AVREP.DLL : 7.0.0.1 155688 Bytes 14.05.2007 23:52:23
AVPACK32.DLL : 7.6.0.3 360488 Bytes 12.02.2008 19:13:26
AVREG.DLL : 7.0.1.6 30760 Bytes 19.11.2007 18:06:27
AVARKT.DLL : 1.0.0.20 278568 Bytes 19.11.2007 18:06:24
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 19.11.2007 18:06:25
NETNT.DLL : 7.0.0.0 7720 Bytes 14.05.2007 23:52:22
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 19.11.2007 18:06:05
RCTEXT.DLL : 7.0.62.0 90152 Bytes 19.11.2007 18:06:05
SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.11.2007 18:06:30

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 12. Februar 2008 20:15

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QuickDCF2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\Programme\Dot1XCfg\Dot1XCfg.exe'
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Update.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bgsvcgen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Smc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '42' Prozesse mit '42' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '29' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jule\Lokale Einstellungen\Temp\b122.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.hvj.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e3f8b1.qua' verschoben!
C:\Dokumente und Einstellungen\Jule\Lokale Einstellungen\Temp\b128.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.ezc.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e3f8ba.qua' verschoben!
C:\Dokumente und Einstellungen\Jule\Lokale Einstellungen\Temp\b151.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.fjn.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e6f8c2.qua' verschoben!
C:\Programme\Dot1XCfg\Dot1XCfg.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Adload.PR.2
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\Programme\Router\Router.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Textrec
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
C:\Programme\Router\UnInstall.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Temporary\kernInst.exe
[FUND] Ist das Trojanische Pferd TR/Agent.edq
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48240026.qua' verschoben!
Beginne mit der Suche in 'D:\' <Daten>


Ende des Suchlaufs: Dienstag, 12. Februar 2008 22:14
Benötigte Zeit: 1:58:59 min

Der Suchlauf wurde vollständig durchgeführt.

6270 Verzeichnisse wurden überprüft
535103 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
535096 Dateien ohne Befall
1450 Archive wurden durchsucht
5 Warnungen
0 Hinweise

**********************************************

Log HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:17:28, on 14.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
D:\programme\QuickTime6\qttask.exe
C:\Programme\iTunes70216\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\{14071AC5-0299-1031-0207-001013990031}\Update.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Programme\FinePixViewer\QuickDCF2.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMIndexStoreSvr.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
D:\Sicherungen\System\HiJackThis\HiJackThis\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes70216\iTunesHelper.exe"
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Dot1XCfg] C:\Programme\Dot1XCfg\Dot1XCfg.exe
O4 - HKCU\..\Run: [Router] C:\Programme\Router\Router.exe
O4 - HKCU\..\Policies\Explorer\Run: [{14071AC5-0299-1031-0207-001013990031}] "C:\Programme\Gemeinsame Dateien\{14071AC5-0299-1031-0207-001013990031}\Update.exe" mc-110-12-0000904
O4 - HKCU\..\Policies\Explorer\Run: [{14071AC5-029B-1031-0207-001013990031}] "C:\Programme\Gemeinsame Dateien\{14071AC5-029B-1031-0207-001013990031}\Update.exe" mc-110-12-0000904
O4 - HKCU\..\Policies\Explorer\Run: [{14071AC5-029A-1031-0207-001013990031}] "C:\Programme\Gemeinsame Dateien\{14071AC5-029A-1031-0207-001013990031}\Update.exe" mc-110-12-0000904
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?4cf79315fbed4e899d6530d6cef0e1d6
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?4cf79315fbed4e899d6530d6cef0e1d6
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O21 - SSODL: Excelset - {A9DF11C9-7F06-470C-A91B-ED3D0AC6C84D} - C:\WINDOWS\system32\drvovbmp.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 9605 bytes
Seitenanfang Seitenende
14.02.2008, 20:17
Passwort: gast
Avatar Gastaccount

Beiträge: 0
#2 Fuehre den Punkt 1 aus und reiche bitte noch die Reporte aus Punkt 2 und 4 nach : http://board.protecus.de/t23188.htm

Dann aktualisiere dein Antivir und stelle es ein wie hier beschrieben: http://board.protecus.de/t23979.htm
Seitenanfang Seitenende
14.02.2008, 21:27
Member

Themenstarter

Beiträge: 23
#3 So, hier schon mal die Logs von Combofix und Datfind.

Antivir werde ich morgen erst laufen lassen, da der letzte Durchlauf ca. 2 Stunden gebraucht hat.

Combofix:

ComboFix 08-02-15.1 - Jule 2008-02-14 20:56:07.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.81 [GMT 1:00]
ausgeführt von:: D:\Sicherungen\System\Combofix\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Gemeinsame Dateien\{14071~1
C:\Programme\Gemeinsame Dateien\{14071~1\Update.exe
C:\Programme\Gemeinsame Dateien\{14071~2
C:\Programme\Gemeinsame Dateien\{14071~2\Update.exe
C:\Programme\Gemeinsame Dateien\{14071~3
C:\Programme\Gemeinsame Dateien\{14071~3\Update.exe
C:\Programme\Gemeinsame Dateien\Yazzle1560OinUninstaller.exe
C:\Programme\inetget2
C:\Programme\Router
C:\Programme\Temporary
C:\Programme\toolbar888
C:\Programme\toolbar888\Activate.exe
C:\Programme\toolbar888\mytoolbar.dll
C:\Programme\toolbar888\Uninst.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-15 bis 2008-02-15 ))))))))))))))))))))))))))))))
.

2008-01-30 20:21 . 2008-01-30 20:21 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-01-28 20:12 . 2008-01-29 15:05 <DIR> d-------- C:\Programme\Maxis
2008-01-26 19:34 . 2008-01-26 20:03 <DIR> d-------- C:\Programme\ICQToolbar
2008-01-26 19:33 . 2008-01-26 19:37 <DIR> d-------- C:\Dokumente und Einstellungen\Jule\Anwendungsdaten\ICQ
2008-01-26 19:27 . 2008-01-26 19:37 <DIR> d-------- C:\Programme\ICQ6
2008-01-26 19:01 . 2008-02-13 20:02 <DIR> d-------- C:\Programme\Dot1XCfg

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-14 17:50 20,985 ----a-w C:\WINDOWS\system32\tcpomsel.dll
2008-02-14 17:07 --------- d-----w C:\Programme\Messenger Plus! Live
2008-02-13 19:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-02-13 19:04 --------- d-----w C:\Programme\MSN Messenger
2008-02-09 18:52 --------- d-----w C:\Dokumente und Einstellungen\Jule\Anwendungsdaten\LimeWire
2008-01-29 19:42 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-08 18:10 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-01-05 19:33 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-12-26 20:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-12-25 10:58 --------- d-----w C:\Dokumente und Einstellungen\Jule\Anwendungsdaten\cerasus.media
2007-08-04 09:52 21,288 ----a-w C:\Dokumente und Einstellungen\Jule\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2006-06-06 10:07 40960]
"msnmsgr"="~C:\Programme\MSN Messenger\msnmsgr.exe" [ ]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-09-24 14:00 181496]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"Dot1XCfg"="C:\Programme\Dot1XCfg\Dot1XCfg.exe" [ ]
"Router"="C:\Programme\Router\Router.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 16:35 2372760]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-19 19:06 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03 36975]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl]
"iTunesHelper"="C:\Programme\iTunes70216\iTunesHelper.exe" [2007-06-01 15:51 257088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-01-17 06:11:10 124856]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{14071AC5-0299-1031-0207-001013990031}"= "C:\Programme\Gemeinsame Dateien\{14071AC5-0299-1031-0207-001013990031}\Update.exe" mc-110-12-0000904
"{14071AC5-029B-1031-0207-001013990031}"= "C:\Programme\Gemeinsame Dateien\{14071AC5-029B-1031-0207-001013990031}\Update.exe" mc-110-12-0000904
"{14071AC5-029A-1031-0207-001013990031}"= "C:\Programme\Gemeinsame Dateien\{14071AC5-029A-1031-0207-001013990031}\Update.exe" mc-110-12-0000904

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Excelset"= {A9DF11C9-7F06-470C-A91B-ED3D0AC6C84D} - C:\WINDOWS\system32\drvovbmp.dll [2004-08-04 00:57 819200]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="D:\programme\QuickTime6\qttask.exe" -atboottime
"PCCloneEX"=G:\PCCloneEX\PCCloneEX.EXE
"REGSHAVE"=C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-11-19 19:06]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-11-19 19:06]
R1 FNETDEVI;FNETDEVI;C:\WINDOWS\system32\drivers\FNETDEVI.SYS [2007-09-08 13:53]
S3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;C:\WINDOWS\system32\DRIVERS\NtApm.sys [2001-08-18 04:27]
S3 o1394bul;o1394bul;C:\DOKUME~1\Jule\LOKALE~1\Temp\o1394bul.sys []

.
Inhalt des "geplante Tasks" Ordners
"2007-09-21 15:18:25 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2008-02-10 19:04:17 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-02-14 19:38:00 C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-15 20:59:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-15 21:01:42
ComboFix-quarantined-files.txt 2008-02-15 20:01:33




*****************************************************
*****************************************************
*****************************************************

Datfind:

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 1407-1AC5

Verzeichnis von C:\WINDOWS\system32

14.02.2008 20:28 1.632 d3d8caps.dat
14.02.2008 18:50 20.985 tcpomsel.dll
14.02.2008 18:04 122.928 FNTCACHE.DAT
13.02.2008 20:01 2.206 wpa.dbl
07.02.2008 17:55 1.744 d3d9caps.dat
09.01.2008 16:35 380.350 perfh009.dat
09.01.2008 16:35 52.764 perfc009.dat
09.01.2008 16:35 391.000 perfh007.dat
09.01.2008 16:35 63.580 perfc007.dat
09.01.2008 16:35 897.954 PerfStringBackup.INI
05.01.2008 20:33 43.520 CmdLineExt03.dll
26.09.2007 18:05 1.040.384 ieframe.dll.mui
26.09.2007 18:05 12.288 advpack.dll.mui
13.08.2007 18:54 3.578.368 mshtml.dll
13.08.2007 18:54 413.696 vbscript.dll
13.08.2007 18:54 670.720 mstime.dll
13.08.2007 18:54 1.162.240 urlmon.dll
13.08.2007 18:54 180.736 ieui.dll
13.08.2007 18:54 475.648 mshtmled.dll
13.08.2007 18:54 818.688 wininet.dll
13.08.2007 18:54 131.584 extmgr.dll
13.08.2007 18:54 27.136 jsproxy.dll
13.08.2007 18:54 231.424 webcheck.dll
13.08.2007 18:54 50.688 msfeedsbs.dll
13.08.2007 18:54 191.488 iepeers.dll
13.08.2007 18:54 458.752 msfeeds.dll
13.08.2007 18:54 156.160 msls31.dll
13.08.2007 18:54 6.049.280 ieframe.dll
13.08.2007 18:45 443.904 html.iec
13.08.2007 18:45 78.336 ieencode.dll
13.08.2007 18:45 206.336 WinFXDocObj.exe
13.08.2007 18:45 1.817.088 inetcpl.cpl
13.08.2007 18:44 105.984 url.dll
13.08.2007 18:44 192.000 msrating.dll
13.08.2007 18:44 40.960 licmgr10.dll
13.08.2007 18:44 101.376 occache.dll
13.08.2007 18:42 17.408 corpol.dll
13.08.2007 18:39 229.376 ieaksie.dll
13.08.2007 18:39 382.976 iedkcs32.dll
13.08.2007 18:39 152.064 ieakeng.dll
13.08.2007 18:39 71.680 admparse.dll
13.08.2007 18:39 55.296 iesetup.dll
13.08.2007 18:39 43.008 iernonce.dll
13.08.2007 18:39 13.312 ieudinit.exe
13.08.2007 18:39 54.784 ie4uinit.exe
13.08.2007 18:39 92.672 inseng.dll
13.08.2007 18:39 123.904 advpack.dll
13.08.2007 18:38 491.520 jscript.dll
13.08.2007 18:36 12.288 msfeedssync.exe
13.08.2007 18:36 61.952 icardie.dll
13.08.2007 18:36 44.544 pngfilt.dll
13.08.2007 18:36 36.352 imgutil.dll
13.08.2007 18:35 346.624 dxtmsft.dll
13.08.2007 18:35 214.528 dxtrans.dll
13.08.2007 18:34 266.752 iertutil.dll
13.08.2007 18:32 45.568 mshta.exe
13.08.2007 18:32 66.560 tdc.ocx
13.08.2007 18:06 56.700 ieuinit.inf
13.08.2007 18:01 48.128 mshtmler.dll
13.08.2007 17:56 161.792 ieakui.dll
13.08.2007 17:50 1.383.424 mshtml.tlb

2021 Datei(en) 380.217.334 Bytes
0 Verzeichnis(se), 861.712.384 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 1407-1AC5

Verzeichnis von C:\DOKUME~1\Jule\LOKALE~1\Temp

15.02.2008 21:08 98.805 datfind.txt
1 Datei(en) 98.805 Bytes
0 Verzeichnis(se), 861.741.056 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 1407-1AC5

Verzeichnis von C:\WINDOWS

15.02.2008 20:59 261 system.ini
14.02.2008 18:10 404.931 WindowsUpdate.log
14.02.2008 18:04 0 0.log
14.02.2008 18:04 159 wiadebug.log
14.02.2008 18:04 50 wiaservc.log
14.02.2008 18:04 2.048 bootstat.dat
13.02.2008 21:09 32.592 SchedLgU.Txt
13.02.2008 21:08 116 NeroDigital.ini
07.02.2008 17:49 440.924 setupapi.log
05.02.2008 19:41 151 PhotoSnapViewer.INI
02.02.2008 20:05 635 win.ini
01.02.2008 19:04 177.228 setupact.log
30.01.2008 20:37 34.986 spupdsvc.log
30.01.2008 20:35 23.781 ie7_main.log
30.01.2008 20:32 134.775 iis6.log
30.01.2008 20:32 34.361 comsetup.log
30.01.2008 20:32 20.165 ntdtcsetup.log
30.01.2008 20:32 38.126 tsoc.log
30.01.2008 20:32 1.374 imsins.log
30.01.2008 20:32 4.270 tabletoc.log
30.01.2008 20:32 4.344 ocmsn.log
30.01.2008 20:32 43.017 ie7.log
30.01.2008 20:32 12.532 netfxocm.log
30.01.2008 20:32 6.269 medctroc.Log
30.01.2008 20:32 50.255 ocgen.log
30.01.2008 20:32 3.910 msgsocm.log
30.01.2008 20:32 65.849 FaxSetup.log
30.01.2008 20:31 32.832 msmqinst.log
30.01.2008 20:21 16.757 updspapi.log
30.01.2008 20:06 1.374 imsins.BAK
30.01.2008 20:06 8.729 IDNMitigationAPIs.log
30.01.2008 20:01 8.445 NLSDownlevelMapping.log
30.01.2008 19:53 8.387 KB915865.log
30.01.2008 19:25 94.906 wmsetup.log
30.01.2008 19:20 11.695 wmsetup10.log
29.01.2008 20:54 1.261 eReg.dat
26.12.2007 22:08 74 TTN.INI
27.10.2007 18:58 700 7thlevel.ini
02.10.2007 17:16 4.096 d3dx.dat
02.10.2007 17:08 38 25 megastarke Spiele 2.dat
17.09.2007 12:03 134.713 DirectX.log

131 Datei(en) 10.264.497 Bytes
0 Verzeichnis(se), 861.736.960 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 1407-1AC5

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 1407-1AC5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.02.2007 22:41 304.544 MessengerStatsPAClient.dll
26.02.2006 14:25 65 desktop.ini
02.12.2005 10:55 5.101 swflash.inf
29.05.2003 14:00 84.064 minesweeper.dll
29.05.2003 14:00 86.112 solitaireshowdown.dll
29.05.2003 14:00 160.864 messengerstatsclient.dll
29.05.2003 14:00 77.408 msgrchkr.dll
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
9 Datei(en) 720.017 Bytes
0 Verzeichnis(se), 861.732.864 Bytes frei
.
.
.
Seitenanfang Seitenende
14.02.2008, 22:57
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 Zento

««
lasse die dll überprüfen - poste den report
http://www.virustotal.com/de/

C:\WINDOWS\system32\tcpomsel.dll

C:\WINDOWS\system32\drvovbmp.dll


--------------------------------------------------------------

««
HijackThis
Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu.

Zitat

O4 - HKCU\..\Policies\Explorer\Run: [{14071AC5-0299-1031-0207-001013990031}] "C:\Programme\Gemeinsame Dateien\{14071AC5-0299-1031-0207-001013990031}\Update.exe" mc-110-12-0000904
O4 - HKCU\..\Policies\Explorer\Run: [{14071AC5-029B-1031-0207-001013990031}] "C:\Programme\Gemeinsame Dateien\{14071AC5-029B-1031-0207-001013990031}\Update.exe" mc-110-12-0000904
O4 - HKCU\..\Policies\Explorer\Run: [{14071AC5-029A-1031-0207-001013990031}] "C:\Programme\Gemeinsame Dateien\{14071AC5-029A-1031-0207-001013990031}\Update.exe" mc-110-12-0000904

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000


««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Excelset"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dot1XCfg"=-
"Router"=-
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{14071AC5-0299-1031-0207-001013990031}"=-

File::
C:\WINDOWS\system32\tcpomsel.dll
C:\WINDOWS\system32\drvovbmp.dll

Folder::
C:\Programme\Temporary
C:\Programme\Dot1XCfg
C:\Programme\Gemeinsame Dateien\{14071AC5-0299-1031-0207-001013990031}
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1

»»
scanne mit bitdefender + poste den report hier
http://virus-protect.org/onlinescan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
15.02.2008, 19:35
Member

Themenstarter

Beiträge: 23
#5 So, jetzt kommt der neue Antivir Log:



Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{A45230AD-C430-4E87-A431-429B150012A7}\RP226\A0063904.dll
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e71a07.qua' verschoben!
Beginne mit der Suche in 'D:\' <Daten>



****************************
****************************
****************************

Und nun werde ich die neuen Tipps in Angriff nehmen.
Ach ja, irgend ein Programmdurchlauf hat mir wohl den Protector Pro abgeschossen.

Gruß
Zento
Seitenanfang Seitenende
15.02.2008, 23:43
Member

Themenstarter

Beiträge: 23
#6 Hier der neue Combofix LOG:

ComboFix 08-02-15.1 - Jule 2008-02-16 20:25:47.2 - NTFSx86

ausgeführt von:: D:\Sicherungen\System\Combofix\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Jule\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\WINDOWS\system32\drvovbmp.dll
C:\WINDOWS\system32\tcpomsel.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Dot1XCfg
C:\WINDOWS\system32\tcpomsel.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-16 bis 2008-02-16 ))))))))))))))))))))))))))))))
.

2008-02-16 20:13 . 2008-02-16 20:13 268 --ah----- C:\sqmdata06.sqm
2008-02-16 20:13 . 2008-02-16 20:13 244 --ah----- C:\sqmnoopt06.sqm
2008-01-30 20:21 . 2008-01-30 20:21 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-01-28 20:12 . 2008-01-29 15:05 <DIR> d-------- C:\Programme\Maxis
2008-01-26 19:34 . 2008-01-26 20:03 <DIR> d-------- C:\Programme\ICQToolbar
2008-01-26 19:33 . 2008-01-26 19:37 <DIR> d-------- C:\Dokumente und Einstellungen\Jule\Anwendungsdaten\ICQ
2008-01-26 19:27 . 2008-01-26 19:37 <DIR> d-------- C:\Programme\ICQ6

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-15 20:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-02-14 17:07 --------- d-----w C:\Programme\Messenger Plus! Live
2008-02-13 19:04 --------- d-----w C:\Programme\MSN Messenger
2008-02-09 18:52 --------- d-----w C:\Dokumente und Einstellungen\Jule\Anwendungsdaten\LimeWire
2008-01-29 19:42 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-08 18:10 --------- d-----w C:\Programme\Mozilla Thunderbird
2007-12-26 20:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-12-25 10:58 --------- d-----w C:\Dokumente und Einstellungen\Jule\Anwendungsdaten\cerasus.media
2007-08-04 09:52 21,288 ----a-w C:\Dokumente und Einstellungen\Jule\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2006-06-06 10:07 40960]
"msnmsgr"="~C:\Programme\MSN Messenger\msnmsgr.exe" [ ]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-09-24 14:00 181496]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 16:35 2372760]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-19 19:06 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03 36975]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl]
"iTunesHelper"="C:\Programme\iTunes70216\iTunesHelper.exe" [2007-06-01 15:51 257088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="D:\programme\QuickTime6\qttask.exe" -atboottime
"PCCloneEX"=G:\PCCloneEX\PCCloneEX.EXE
"REGSHAVE"=C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-11-19 19:06]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-11-19 19:06]
R1 FNETDEVI;FNETDEVI;C:\WINDOWS\system32\drivers\FNETDEVI.SYS [2007-09-08 13:53]
S3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;C:\WINDOWS\system32\DRIVERS\NtApm.sys [2001-08-18 04:27]
S3 o1394bul;o1394bul;C:\DOKUME~1\Jule\LOKALE~1\Temp\o1394bul.sys []

.
Inhalt des "geplante Tasks" Ordners
"2007-09-21 15:18:25 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2008-02-10 19:04:17 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-02-16 18:38:00 C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-16 20:32:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-16 20:36:37 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-16 19:36:31
ComboFix2.txt 2008-02-15 20:01:43




*******************************+
*******************************
*******************************

Den Bitdefender LOG schicke ich als Anhang mit, da ich die Formatierung nicht mit rüber bekomme.

Seitenanfang Seitenende
15.02.2008, 23:48
Member

Themenstarter

Beiträge: 23
#7 Für heute mache ich mal Schluß, bis morgen!!!

Auf jedenfall, DANKE ich jedem von Euch für die Unterstützung.

Gruß
Markus
Seitenanfang Seitenende
16.02.2008, 19:26
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 Hallo,

««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

««
es müsste wieder alles in Ordnung sein, dennoch kannst du noch mit Kaspersky scannen (löscht nix, zeigt nur an) und falls etwas gefunden wurde, melde dich nit dem Report
http://virus-protect.org/onlinescan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
17.02.2008, 11:44
Member

Themenstarter

Beiträge: 23
#9 Hallo!!!

!!!!! Dank, noch mal an alle die geholfen haben. !!!!!

Ich werde den Kaspersky noch scannen lassen!!!

Gruss
Zento
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: