Your Computer are Infectet System Alert

#1 seit ein Par tagen hab ich diese Meldung auf meinem PC und ich habe schon alles mögliche versucht nach anleitung in den Foren aber bei Jedem einschalten ist es wieder da.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:41:29, on 21.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\AOL\1202136028\ee\AOLSoftware.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R3 - URLSearchHook: (no name) - {1CFFA392-0898-4b1c-89D1-6E98F9D8EF78} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O3 - Toolbar: qtvglped - {74E5E4E8-79DD-49AC-B64B-E74822D5F3CD} - C:\WINDOWS\qtvglped.dll
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\windows\system\nadlocop.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\System32\jzurjwgkb.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1202136028\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AOL Dialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOlDial.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O21 - SSODL: omlbpkaw - {56B95561-52A8-4A7B-8061-62D81B2616BA} - C:\WINDOWS\omlbpkaw.dll
O21 - SSODL: pmsoarbf - {8B339DD8-BCEE-4E02-87DA-DB53F4DF18A4} - C:\WINDOWS\pmsoarbf.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Distributed Allocated Memory Unit - Unknown owner - C:\WINDOWS\system32\dllcache\mravsc32.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: k7h08c9m4w4 - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)
O23 - Service: Local Service - Unknown owner - C:\WINDOWS\wuaucpl.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 6647 bytes

#2 Hallo eisixxl

eventuelle Fehlermeldungen ignorieren..........

Start -- Ausführen -- schreib rein: cmd

kopiere von hier aus rein:

sc stop Distributed Allocated Memory Unit

dann [klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete Distributed Allocated Memory Unit

dann [klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc stop k7h08c9m4w4

dann [klicke "enter"]

sc delete k7h08c9m4w4

dann [klicke "enter"]

sc stop Local Service

dann [klicke "enter"]

sc delete Local Service

dann [klicke "enter"]

-----------------------

1.
wende Cleaner an
http://www.ccleaner.de/?protecus.de

2.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked. + starte den Rechner neu.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

R3 - URLSearchHook: (no name) - {1CFFA392-0898-4b1c-89D1-6E98F9D8EF78} - (no file)

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: qtvglped - {74E5E4E8-79DD-49AC-B64B-E74822D5F3CD} - C:\WINDOWS\qtvglped.dll

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\windows\system\nadlocop.exe

O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\System32\jzurjwgkb.exe

O21 - SSODL: omlbpkaw - {56B95561-52A8-4A7B-8061-62D81B2616BA} - C:\WINDOWS\omlbpkaw.dll

O23 - Service: Distributed Allocated Memory Unit - Unknown owner - C:\WINDOWS\system32\dllcache\mravsc32.exe (file missing)

O21 - SSODL: pmsoarbf - {8B339DD8-BCEE-4E02-87DA-DB53F4DF18A4} - C:\WINDOWS\pmsoarbf.dll

O23 - Service: k7h08c9m4w4 - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)

O23 - Service: Local Service - Unknown owner - C:\WINDOWS\wuaucpl.exe (file missing)

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

---------------------------------

3.
scanne mit smitfraudfix (option 2) + poste den report
http://virus-protect.org/artikel/tools/smitfrautfix.html

4.
scanne mit rvaxo + poste den report
http://virus-protect.org/artikel/tools/rvaxo.html

5.
wende Combofix an (Warnmeldung wegklicken ) + poste den report hier
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 wenn ich das reinkopiere dann kaommt:
Der angegebene Dienst ist kein instalierter Dienst. ich weiss nicht mehr weiter bitte Hilf mir.

wenn der Desktop aufgeht dann ist der Hintergund weiss und die Symbole blau hinterllegt

und drei symbole sind auf dem Desktop die da nicht hingehören:

Error Cleaner, Privacy Protector u. spayware&malwareProtection

es wäre nett wenn du mir helfen könntest,

ich bedanke mich schon mal im voraus

#4 ich hatte dir doch geschrieben, dass du eventuelle Fehlermeldungen ignorieren sollst...ziehe einfach alle Punkte durch und poste immer das Log.
Dann sehen wir weiter.
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Das ist nun das Ergebnis Ich hab alles so abgearbeitet wie es in der liste stand und hier nun die logs

Punkt 1

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Eisemann>sc stop Distributed Allocated Memory Uni
t
[SC] OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.


C:\Dokumente und Einstellungen\Eisemann>sc delete Distributed Allocated Memory U
nit
[SC] OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.


C:\Dokumente und Einstellungen\Eisemann>sc stop k7h08c9m4w4
[SC] OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.


C:\Dokumente und Einstellungen\Eisemann>sc delete k7h08c9m4w4
[SC] OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.


C:\Dokumente und Einstellungen\Eisemann>sc stop Local Service
[SC] OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.


C:\Dokumente und Einstellungen\Eisemann>sc delete Local Service
[SC] OpenService FAILED 1060:

Der angegebene Dienst ist kein installierter Dienst.


C:\Dokumente und Einstellungen\Eisemann>
C:\Dokumente und Einstellungen\Eisemann>

punkt 3

SmitFraudFix v2.315

Scan done at 12:08:33,40, 22.04.2008
Run from C:\Dokumente und Einstellungen\Eisemann\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\1202136028\ee\AOLSoftware.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Eisemann


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Eisemann\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Eisemann\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F9DE49C0-FB81-4BDB-9810-EFB6FEC54793}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F9DE49C0-FB81-4BDB-9810-EFB6FEC54793}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F9DE49C0-FB81-4BDB-9810-EFB6FEC54793}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{F9DE49C0-FB81-4BDB-9810-EFB6FEC54793}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

#6 4.
scanne mit rvaxo + poste den report
http://virus-protect.org/artikel/tools/rvaxo.html

5.
wende Combofix an (Warnmeldung wegklicken ) + poste den report hier
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 das scannan mit RVAXO funktioniert nicht lässt sich bei mir nicht ausführen
aber dafür das Combo ich hoffe das dir diese Angaben reichen

ComboFix 08-04-17.1 - Eisemann 2008-04-22 12:29:16.6 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.77 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Eisemann\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-22 bis 2008-04-22 ))))))))))))))))))))))))))))))
.

2008-04-22 11:47 . 2008-04-22 11:48 <DIR> d-------- C:\RVAXO
2008-04-22 11:47 . 2008-04-22 11:47 159,858 --a------ C:\RVAXO.reg
2008-04-22 11:31 . 2008-04-22 00:01 800,405 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-04-22 11:31 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-04-22 01:30 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-04-22 01:30 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-22 01:30 . 2008-04-14 19:28 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-04-22 01:30 . 2008-04-12 13:49 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-04-22 01:30 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-22 01:30 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-22 01:30 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-04-21 12:39 . 2008-04-21 12:39 <DIR> d-------- C:\Programme\Trend Micro
2008-04-21 11:17 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\000001_.tmp
2008-04-19 13:28 . 2008-04-22 12:19 2,650 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-18 18:09 . <DIR> C:\Dokumente und Einstellungen\NetworkService.NT-AUTORIT-T
2008-04-18 18:09 . <DIR> C:\Dokumente und Einstellungen\LocalService.NT-AUTORIT-T
2008-04-18 17:14 . 2008-04-18 17:14 <DIR> d-------- C:\Programme\CCleaner
2008-04-17 18:29 . 2008-04-22 00:25 <DIR> d-------- C:\Dokumente und Einstellungen\Eisemann\Anwendungsdaten\TmpRecentIcons
2008-04-17 17:03 . 2008-04-16 10:07 335,872 --a------ C:\WINDOWS\omlbpkaw.dllRVAXO
2008-04-17 17:03 . 2008-04-16 10:07 290,816 --a------ C:\WINDOWS\pmsoarbf.dllRVAXO
2008-04-17 17:03 . 2008-04-16 10:07 200,704 --a------ C:\WINDOWS\qtvglped.dllRVAXO
2008-04-17 17:03 . 2008-04-16 10:07 98,304 --a------ C:\WINDOWS\rtqmekwg.exeRVAXO
2008-04-17 17:03 . 2008-04-16 10:07 98,304 --a------ C:\WINDOWS\npqtsrak.exeRVAXO

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-22 09:27 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Google Updater
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-18 15:29 --------- d-----w C:\Dokumente und Einstellungen\Eisemann\Anwendungsdaten\Image Zone Express
2008-03-01 16:19 --------- d-----w C:\Programme\Actebis
2008-02-28 19:19 --------- d-----w C:\Programme\FreePDF_XP
2008-02-27 11:28 --------- d-----w C:\Programme\ICQToolbar
2008-02-26 18:43 --------- d-----w C:\Dokumente und Einstellungen\Eisemann\Anwendungsdaten\MSN6
2008-02-26 18:35 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MSN6
2008-02-26 12:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-06 17:21 139,264 ----a-w C:\WINDOWS\system32\hpzjrd01.dll
2008-01-29 14:48 478 ----a-w C:\pnpID.dat
2008-01-27 21:05 65,536 ----a-w C:\WINDOWS\DUMP325b.tmp
2008-01-27 20:58 65,536 ----a-w C:\WINDOWS\DUMP325a.tmp
2008-01-27 20:55 65,536 ----a-w C:\WINDOWS\DUMP32b8.tmp
2008-01-24 13:59 98,304 ----a-w C:\WINDOWS\system32\mscrs.exe
2008-01-23 11:45 316,794 ----a-w C:\WINDOWS\system32\win_16225.exe
2008-01-22 21:37 558,142 ----a-w C:\WINDOWS\java\Packages\SKHJ7DVP.ZIP
2008-01-22 21:37 155,995 ----a-w C:\WINDOWS\java\Packages\BHJFT7HJ.ZIP
.

((((((((((((((((((((((((((((( snapshot@2008-04-18_18.08.14.12 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-18 16:01:40 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-22 09:48:52 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-04-18 16:01:45 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-04-21 09:24:27 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-04-18 16:01:45 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-04-21 09:24:27 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-04-18 16:01:45 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-04-21 09:24:27 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-04-21 09:24:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008042120080422\index.dat
- 2008-01-30 10:17:57 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2008-04-21 08:27:33 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
- 2007-03-01 09:34:30 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
+ 2008-04-21 08:27:33 21,248 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
+ 2004-08-03 23:38:02 41,472 ----a-w C:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\i386\amdk7.sys
- 2004-08-03 23:58:14 8,192 ----a-w C:\WINDOWS\system32\spdwnwxp.exe
+ 2004-08-03 22:58:14 8,192 ----a-w C:\WINDOWS\system32\spdwnwxp.exe
- 2004-08-03 23:54:28 1,050,624 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
+ 2004-08-03 22:54:28 1,050,624 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
- 2004-08-03 23:54:28 54,784 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.2180_x-ww_b2505ed9\msvcirt.dll
+ 2004-08-03 22:54:28 54,784 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.2180_x-ww_b2505ed9\msvcirt.dll
- 2004-08-03 23:54:28 343,040 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.2180_x-ww_b2505ed9\msvcrt.dll
+ 2004-08-03 22:54:28 343,040 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.2180_x-ww_b2505ed9\msvcrt.dll
- 2004-08-03 23:54:28 1,712,128 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2180_x-ww_522f9f82\GdiPlus.dll
+ 2004-08-03 22:54:28 1,712,128 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2180_x-ww_522f9f82\GdiPlus.dll
- 2004-08-03 23:54:28 852,992 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Networking.Dxmrtp_6595b64144ccf1df_5.2.2.3_x-ww_468466a7\dxmrtp.dll
+ 2004-08-03 22:54:28 852,992 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Networking.Dxmrtp_6595b64144ccf1df_5.2.2.3_x-ww_468466a7\dxmrtp.dll
- 2004-08-03 23:54:28 994,304 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Networking.RtcDll_6595b64144ccf1df_5.2.2.3_x-ww_d6bd8b95\rtcdll.dll
+ 2004-08-03 22:54:28 994,304 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Networking.RtcDll_6595b64144ccf1df_5.2.2.3_x-ww_d6bd8b95\rtcdll.dll
- 2004-08-03 23:54:28 137,216 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Networking.RtcRes_6595b64144ccf1df_5.2.2.3_de_78e7f208\rtcres.dll
+ 2004-08-03 22:54:28 137,216 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Networking.RtcRes_6595b64144ccf1df_5.2.2.3_de_78e7f208\rtcres.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-14 21:54 68856]
"AOL Dialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOlDial.exe" [2007-06-21 14:42 70952]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" []
"nwiz"="nwiz.exe" [2002-08-30 15:06 372736 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2002-10-16 18:24 47104 C:\WINDOWS\SOUNDMAN.EXE]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 10:27 262401]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12 49152]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 22:05 311296]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1202136028\ee\AOLSoftware.exe" [2006-09-26 02:52 50736]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 19:43 28672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen�\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-01-23 02:13:42 125624]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 00:23:26 282624]
InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2008-01-28 16:58:03 98304]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"=
"C:\\Programme\\AOL\\AOL Installations-Manager\\AOL Installations-Manager.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\1202136028\\ee\\aolsoftware.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\AOL 9.0 VR\\waol.exe"=

R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 13:13]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 13:14]
S4 Distributed Allocated Memory Unit;Distributed Allocated Memory Unit;"C:\WINDOWS\system32\dllcache\mravsc32.exe" []
S4 Local Service;Local Service;"C:\WINDOWS\wuaucpl.exe" []

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-22 12:31:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-22 12:33:01
ComboFix-quarantined-files.txt 2008-04-22 10:32:50
ComboFix2.txt 2008-04-21 08:26:26
ComboFix3.txt 2008-04-19 08:25:05
ComboFix4.txt 2008-04-19 06:04:39
ComboFix5.txt 2008-04-19 05:58:48

9 Verzeichnis(se), 70,074,613,760 Bytes frei
12 Verzeichnis(se), 70,063,919,104 Bytes frei
.
2008-04-22 08:03:08 --- E O F ---



wäre schön wenn mein Rechner bald wieder funktioniert.

bis dahin grüße ich dich und bedanke mich schon einmal vorne weg.

Gruß Eisi

#8 ««
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\mscrs.exe
C:\WINDOWS\system32\win_16225.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> HIER kopieren

---------

http://virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Local Service

In edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Distributed Allocated Memory Unit

In edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 hier nun das Ergebnis von VirusTotal.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.23.0 2008.04.22 -
AntiVir 7.8.0.8 2008.04.22 HEUR/Crypted
Authentium 4.93.8 2008.04.22 -
Avast 4.8.1169.0 2008.04.21 Win32:SdBot-gen44
AVG 7.5.0.516 2008.04.21 Generic9.AUTA
BitDefender 7.2 2008.04.23 -
CAT-QuickHeal 9.50 2008.04.22 -
ClamAV 0.92.1 2008.04.22 -
DrWeb 4.44.0.09170 2008.04.22 -
weitere Informationen

File size: 98304 bytes
MD5...: 3a5226e76d289adceb8a973d7bc47e61
SHA1..: 275a4e05f6cf4926473eae045155b2a41fbf31d5
SHA256: ef27592d84bff357a020650a546a43bcd68ff4ca2cffba2c0a69807a9dcf929f
SHA512: 3e2c32fd35cdf7bee7f8a95aa9da055282003a7acf2a46d1b18057c882d55504
1fd34231107a3c33a5526af7d3b6b293c24f2b093b231d97b5fd5e0b01be24e6
PEiD..: ASProtect v1.23 RC1
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x4787da0c (Fri Jan 11 21:05:16 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x7000 0x4200 7.97 ad4eef778e405837d17f3ef2d314b19f
0x8000 0x1000 0x800 7.67 6799bceec9f0060c070eb9b5a2b538f2
0x9000 0x48000 0x1400 7.88 73c42aeebf54f0ac8fbe17b2cab575be
.rsrc 0x51000 0x1000 0x200 0.75 2b39dc1a2f36ae30893f053eef67dd2e
.data 0x52000 0x26000 0x25e00 7.73 de75ce3d549cc335776ef7e826ec8d7e
.adata 0x78000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 4 imports )
> kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA
> msvcrt.dll: __dllonexit
> oleaut32.dll: VariantChangeTypeEx
> kernel32.dll: RaiseException

( 0 exports )

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.23.0 2008.04.22 -
AntiVir 7.8.0.8 2008.04.22 HEUR/Crypted
Authentium 4.93.8 2008.04.22 -
Avast 4.8.1169.0 2008.04.21 Win32:SdBot-3700
AVG 7.5.0.516 2008.04.21 Generic5.ULV
BitDefender 7.2 2008.04.23 -
CAT-QuickHeal 9.50 2008.04.22 (Suspicious) - DNAScan
weitere Informationen
File size: 316794 bytes
MD5...: 671d3560a566aad4f3a441e41f47dd29
SHA1..: 11ea521e162a29e3fe77b3a1e0029c26d547dd23
SHA256: 6f912db6b16695cddb592f46192699d2d2b44ddb9d0014d02a98197643f53461
SHA512: cfed05ca4530500e4d7180487c092a0c70a9cffc69bbf9c6bf17f50969ccd445
971ab06f5a15f73d9d254c569ccab075865066eb3c08d5867ca6e1c55b4d6549
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x667014
timedatestamp.....: 0x4628225a (Fri Apr 20 02:15:54 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x263000 0x13a00 7.98 24933b5996d611c991813d3c0bde20b9
.rsrc 0x264000 0x1390 0x800 6.44 45168b6173362463e9151b52bd532a7d
.idata 0x266000 0x1000 0x200 1.44 1a6ad37f1992a515e1e8945065e34583
.._..$.. 0x267000 0xbe000 0x4e800 7.93 deb09b18bbca5fa13c9ef5a8fca7b32d

( 2 imports )
> KERNEL32.dll: CreateFileA, ExitProcess
> COMCTL32.dll: InitCommonControls

( 0 exports )

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 23.04.2008 01:25:12 for strings:
; 'enter search strings'
; Strings excluded from search:
; 'local service'
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

#10 was hälst du vom Formatieren ? Der Rechner ist nicht mehr sicher sauber zu bekommen
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,
nach dem ich nun alles so gemacht hab wie du es mir gesagt hast ist das blöde system alert verschwunden. ich kann dir nur danken, es ist klasse dass es so etwas gibt, alleine hätte ich das nieeee geschafft und ich hoffe dass es auch so schnell nicht wieder vorkommt. Aber wenn dann melde ich mich wieder bei dir.

Vielen vielen Dank
gruß Rainer (eisixxl)

#12 Danken ? und per PN "happy" ? Hast du nicht gelesen , was ich geschrieben hab ?
willst du nicht besser formatieren oder weiter reinigen ?
Der Rechner ist schwer kompromitiert mit Viren - Win32:SdBot-gen - das system alert ist das kleinste der Probleme
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Guten morgen Sabina, ich würde schon gerne wieder einen sauberen Rechner haben, aber was passiert wenn wir Formatieren gehen da nicht meine ganzen privaten dateien und Dokumente verloren. Aber mit deiner hilfe werden wir das schon in den Griff bekommen. also gut ich möchte bitte weiter machen.

viele liebe Grüße Eiexxl

#14 Hallo,

1.
RVAXO entfernen:
Öffne die Datei RVAXO auf deinem Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
mravsc32

File::
C:\WINDOWS\wuaucpl.exe
C:\WINDOWS\system32\mscrs.exe
C:\WINDOWS\system32\win_16225.exe
C:\WINDOWS\system32\dllcache\mravsc32.exe
C:\WINDOWS\omlbpkaw.dllRVAXO
C:\WINDOWS\pmsoarbf.dllRVAXO
C:\WINDOWS\qtvglped.dllRVAXO
C:\WINDOWS\rtqmekwg.exeRVAXO
C:\WINDOWS\npqtsrak.exeRVAXO

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


danach: Combofix noch einmal anwenden

----------------

PC neustarten

»»poste das neue Log von Combofix

---------------------------------------------------------------------

3.
lade sdfix ...muss im abgesicherten Modus angewendet werden - RunThis.bat
poste dann nach Neustart in den normlmodus den report hier
http://virus-protect.org/artikel/tools/sdfix.html

4.
boote wieder in den abgesicherten Modus - scanne dort mit Avira + poste den report

Erkennungsstufe "hoch" einstellen - (Expertenmodus anhaken)

__________
MfG Sabina

rund um die PC-Sicherheit

#15 1.) Hier nun der Report von Combofix


ComboFix 08-04-17.1 - Eisemann 2008-04-24 3:06:46.9 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.60 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Eisemann\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-24 bis 2008-04-24 ))))))))))))))))))))))))))))))
.

2008-04-24 02:45 . 2008-04-24 02:45 <DIR> d-------- C:\WINDOWS\ERUNT
2008-04-24 02:29 . 2008-04-21 02:33 <DIR> d-------- C:\SDFix
2008-04-21 12:39 . 2008-04-21 12:39 <DIR> d-------- C:\Programme\Trend Micro
2008-04-21 11:17 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\000001_.tmp
2008-04-19 13:28 . 2008-04-22 12:50 2,650 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-18 18:09 . <DIR> C:\Dokumente und Einstellungen\NetworkService.NT-AUTORIT-T
2008-04-18 18:09 . <DIR> C:\Dokumente und Einstellungen\LocalService.NT-AUTORIT-T
2008-04-18 17:14 . 2008-04-18 17:14 <DIR> d-------- C:\Programme\CCleaner
2008-04-17 18:29 . 2008-04-22 00:25 <DIR> d-------- C:\Dokumente und Einstellungen\Eisemann\Anwendungsdaten\TmpRecentIcons

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-23 10:27 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Google Updater
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-18 15:29 --------- d-----w C:\Dokumente und Einstellungen\Eisemann\Anwendungsdaten\Image Zone Express
2008-03-01 16:19 --------- d-----w C:\Programme\Actebis
2008-02-28 19:19 --------- d-----w C:\Programme\FreePDF_XP
2008-02-27 11:28 --------- d-----w C:\Programme\ICQToolbar
2008-02-26 18:43 --------- d-----w C:\Dokumente und Einstellungen\Eisemann\Anwendungsdaten\MSN6
2008-02-26 18:35 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MSN6
2008-02-26 12:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-06 17:21 139,264 ----a-w C:\WINDOWS\system32\hpzjrd01.dll
2008-01-29 14:48 478 ----a-w C:\pnpID.dat
2008-01-27 21:05 65,536 ----a-w C:\WINDOWS\DUMP325b.tmp
2008-01-27 20:58 65,536 ----a-w C:\WINDOWS\DUMP325a.tmp
2008-01-27 20:55 65,536 ----a-w C:\WINDOWS\DUMP32b8.tmp
.

((((((((((((((((((((((((((((( snapshot_2008-04-22_12.32.37,78 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-22 09:48:52 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-24 00:51:55 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-21 00:32:39 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-04-24 00:45:47 3,067,904 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-04-24 00:45:47 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-04-21 00:32:39 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-04-24 00:45:37 3,067,904 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2008-04-24 00:45:37 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-14 21:54 68856]
"AOL Dialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOlDial.exe" [2007-06-21 14:42 70952]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" []
"nwiz"="nwiz.exe" [2002-08-30 15:06 372736 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2002-10-16 18:24 47104 C:\WINDOWS\SOUNDMAN.EXE]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 10:27 262401]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12 49152]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 22:05 311296]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1202136028\ee\AOLSoftware.exe" [2006-09-26 02:52 50736]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 19:43 28672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen�\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-01-23 02:13:42 125624]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 00:23:26 282624]
InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2008-01-28 16:58:03 98304]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"=
"C:\\Programme\\AOL\\AOL Installations-Manager\\AOL Installations-Manager.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\1202136028\\ee\\aolsoftware.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\AOL 9.0 VR\\waol.exe"=

R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 13:13]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 13:14]
S4 Local Service;Local Service;"C:\WINDOWS\wuaucpl.exe" []

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-24 03:09:25
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-24 3:12:02
ComboFix-quarantined-files.txt 2008-04-24 01:11:52
ComboFix2.txt 2008-04-24 00:10:28
ComboFix3.txt 2008-04-24 00:04:31
ComboFix4.txt 2008-04-22 10:33:02
ComboFix5.txt 2008-04-21 08:26:26

9 Verzeichnis(se), 69,903,761,408 Bytes frei
11 Verzeichnis(se), 69,892,861,952 Bytes frei
.
2008-04-22 08:03:08 --- E O F ---


2.) hier der Report von sdfix.


SDFix: Version 1.173
Run by Eisemann on 24.04.2008 at 02:48

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\Eisemann\Desktop\SDFix

Checking Services :

Name :
Distributed Allocated Memory Unit

Path :
"C:\WINDOWS\system32\dllcache\mravsc32.exe"

Distributed Allocated Memory Unit - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\mscrs.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-24 02:52:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL Optimized Dial-In"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL Optimized Dial-In"
"C:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe:*:Enabled:AOL System Information"
"C:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe:*:Enabled:AOL Loader"
"C:\\Programme\\AOL\\AOL Installations-Manager\\AOL Installations-Manager.exe"="C:\\Programme\\AOL\\AOL Installations-Manager\\AOL Installations-Manager.exe:*:Enabled:AOL Installations-Manager "
"C:\\Programme\\Gemeinsame Dateien\\aol\\1202136028\\ee\\aolsoftware.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\1202136028\\ee\\aolsoftware.exe:*:Enabled:AOL Shared Components"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Gemeinsame Dateien\\aol\\TopSpeed\\3.0\\aoltpsd3.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\TopSpeed\\3.0\\aoltpsd3.exe:LocalSubNetisabled:AOL"
"C:\\Programme\\AOL 9.0 VR\\waol.exe"="C:\\Programme\\AOL 9.0 VR\\waol.exe:*isabled:AOL"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\DOKUME~1\Eisemann\Desktop\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 21 Jun 2007 46,384 A..H. --- "C:\Programme\AOL 9.0 VR\AOLphx.exe"
Thu 24 May 2007 54,832 A..H. --- "C:\Programme\AOL 9.0 VR\AOLphxex.exe"
Thu 24 May 2007 33,328 A..H. --- "C:\Programme\AOL 9.0 VR\rbm.exe"
Sat 12 Jan 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Mon 18 Feb 2008 33,280 ...H. --- "C:\Dokumente und Einstellungen\Eisemann\Anwendungsdaten\Microsoft\Word\~WRL2615.tmp"
Mon 4 Feb 2008 96,072 ...H. --- "C:\Programme\Gemeinsame Dateien\aol\TopSpeed\3.0\WBUnins.exe"

Finished!

3.) Hier der Report von avir



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 24. April 2008 03:19

Es wird nach 1230054 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: Eisemann
Computername: RAINER

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 21.04.2008 08:27:29
AVSCAN.DLL : 8.1.1.0 57601 Bytes 21.04.2008 08:27:29
LUKE.DLL : 8.1.2.9 151809 Bytes 21.04.2008 08:27:30
LUKERES.DLL : 8.1.2.0 12545 Bytes 21.04.2008 08:27:30
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 22:01:59
ANTIVIR2.VDF : 7.0.3.197 1260032 Bytes 22.04.2008 08:20:09
ANTIVIR3.VDF : 7.0.3.201 16384 Bytes 23.04.2008 08:20:09
Engineversion : 8.1.0.32
AEVDF.DLL : 8.1.0.5 102772 Bytes 21.04.2008 08:27:33
AESCRIPT.DLL : 8.1.0.26 233850 Bytes 21.04.2008 08:27:32
AESCN.DLL : 8.1.0.14 119156 Bytes 21.04.2008 08:27:32
AERDL.DLL : 8.1.0.19 418164 Bytes 21.04.2008 08:27:32
AEPACK.DLL : 8.1.1.2 364917 Bytes 21.04.2008 08:27:32
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 21.04.2008 08:27:32
AEHEUR.DLL : 8.1.0.18 1167735 Bytes 21.04.2008 08:27:32
AEHELP.DLL : 8.1.0.14 115063 Bytes 21.04.2008 08:27:32
AEGEN.DLL : 8.1.0.17 299380 Bytes 21.04.2008 08:27:32
AEEMU.DLL : 8.1.0.5 430450 Bytes 21.04.2008 08:27:32
AECORE.DLL : 8.1.0.27 168310 Bytes 21.04.2008 08:27:32
AVWINLL.DLL : 1.0.0.7 14593 Bytes 21.04.2008 08:27:29
AVPREF.DLL : 8.0.0.1 25857 Bytes 21.04.2008 08:27:29
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 21.04.2008 08:27:29
AVARKT.DLL : 1.0.0.23 307457 Bytes 21.04.2008 08:27:28
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 21.04.2008 08:27:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 21.04.2008 08:27:31
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 21.04.2008 08:27:31
NETNT.DLL : 8.0.0.1 7937 Bytes 21.04.2008 08:27:31
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 21.04.2008 08:27:23
RCTEXT.DLL : 8.0.32.0 86273 Bytes 21.04.2008 08:27:23

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 24. April 2008 03:19

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '36' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\QooBox\Quarantine\C\WINDOWS\system32\ntos.exe.vir
[FUND] Ist das Trojanische Pferd TR/Drop.Small.bgy
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '487ee6ad.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 24. April 2008 04:03
Benötigte Zeit: 43:47 min

Der Suchlauf wurde vollständig durchgeführt.

4693 Verzeichnisse wurden überprüft
186800 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
186799 Dateien ohne Befall
1346 Archive wurden durchsucht
5 Warnungen
1 Hinweise

so nun hab ich alle daten die du haben wolltest hoffentlich reichen dir die angaben und wir können meinen Rechner bald wieder wirenfrei haben.

ich danke dir für deine Bemühungen

Gruß eisixxl