verseucht mit TR/Agent.xad,W32/perlovga.A.1, TR/Drop.small.apl, BDS/Small.LO

#1 ComboFix 08-07-02.5 - Debbietx03 2008-07-03 18:15:52.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.156 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Debbietx03\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Debbietx03\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\www.inter-focus.cn
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\www.inter-focus.cn\IFFLASHAD_PLAYER.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.inter-focus.cn
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.inter-focus.cn\settings.sol
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\lsprst7.dll
C:\WINDOWS\system32\ssprs.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-06-03 bis 2008-07-03 ))))))))))))))))))))))))))))))
.

2008-07-03 14:30 . 2008-07-03 14:30 <DIR> d-------- C:\Programme\Avira
2008-07-03 14:30 . 2008-07-03 14:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-02 00:05 . 2008-07-02 00:05 2,292 --a------ C:\autorun.PNF
2008-06-20 22:02 . 2008-06-20 22:02 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-20 22:02 . 2008-06-20 22:02 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-20 21:59 . 2008-06-20 21:59 1,025 --a------ C:\WINDOWS\system32\clauth2.dll
2008-06-20 21:59 . 2008-06-20 21:59 1,025 --a------ C:\WINDOWS\system32\clauth1.dll
2008-06-20 21:59 . 2008-06-20 22:58 87 --a------ C:\WINDOWS\system32\ssprs.tgz
2008-06-20 21:53 . 2008-06-20 21:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hps
2008-06-20 21:53 . 2008-06-20 21:53 1,025 --a------ C:\WINDOWS\system32\sysprs7.tgz
2008-06-20 21:53 . 2008-06-20 21:53 1,025 --a------ C:\WINDOWS\system32\sysprs7.dll
2008-06-20 21:53 . 2008-06-20 22:58 219 --a------ C:\WINDOWS\system32\lsprst7.tgz
2008-06-20 21:51 . 2008-06-20 21:51 <DIR> d-------- C:\Programme\dm
2008-06-12 13:17 . 2008-06-12 13:18 <DIR> d-------- C:\Programme\f4
2008-06-11 09:10 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 09:10 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-03 16:23 --------- d-----w C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype
2008-07-03 16:19 --------- d-----w C:\Programme\Symantec
2008-07-03 12:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-03 12:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-08 09:19 --------- d-----w C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\AdobeUM
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:14 1,293,312 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-23 20:16 3,591,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-04-22 07:40 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-04-22 07:39 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-04-22 07:39 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-20 05:07 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2006-02-10 20:30 4,691,528 ----a-w C:\Programme\icq5_german_setup.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15:00 15360]
"wetterde.newstool"="C:\Programme\wetterde\wettermelder.exe" [2006-03-16 11:53 249856]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-02-03 20:27 171448]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-06-08 15:18 23233576]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dell Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY" [X]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2005-03-04 12:26 606208]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-13 11:23 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-14 01:35 536576]
"PRONoMgrWired"="C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe" [2004-12-09 14:58 86016]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 17:19 53248]
"DMXLauncher"="C:\Programme\Dell\Media Experience\DMXLauncher.exe" [2004-09-15 02:01 86016]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-12-06 02:05 127035]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 17:50 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 17:50 81920]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-10-11 16:38 98304]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2005-12-03 19:56 26112]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-10-14 14:49 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-10-14 14:46 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-10-14 14:50 114688]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6804cf50-bd19-11dc-be26-0014a42e47e2}]
\Shell\AutoRun\command - E:\pptview.exe /L "playlist.txt"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e2c84308-be1e-11dc-be27-0014a42e47e2}]
\Shell\AutoRun\command - E:\pptview.exe /L "playlist.txt"

*Newly Created Service* - SSMDRV
.
Inhalt des "geplante Tasks" Ordners
"2005-09-29 09:58:28 C:\WINDOWS\Tasks\ISP-Anmeldungserinnerung 1.job"
- C:\WINDOWS\system32\OOBE\oobebaln.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-03 18:19:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\WLTRYSVC.EXE
C:\WINDOWS\system32\BCMWLTRY.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Dell\NicConfigSvc\NicConfigSvc.exe
C:\WINDOWS\system32\WLTRAY.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-03 18:25:40 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-03 16:25:34

15 Verzeichnis(se), 14,978,277,376 Bytes frei
20 Verzeichnis(se), 15,123,443,712 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

147 --- E O F --- 2008-06-20 12:16:17


Hier der HijackThis Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:43:55, on 03.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\wetterde\wettermelder.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgrWired] C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [wetterde.newstool] C:\Programme\wetterde\wettermelder.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Cyber-shot Viewer-Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1212773961
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1209647711
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

--
End of file - 8972 bytes

Hier die Batchdatei

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 782B-F7F8

Verzeichnis von C:\WINDOWS\system32

03.07.2008 18:23 384.930 perfh009.dat
03.07.2008 18:23 54.614 perfc009.dat
03.07.2008 18:23 396.586 perfh007.dat
03.07.2008 18:23 65.866 perfc007.dat
03.07.2008 18:23 911.074 PerfStringBackup.INI
03.07.2008 18:22 2.206 wpa.dbl
03.07.2008 14:14 100 LuResult.txt
20.06.2008 22:58 87 ssprs.tgz
20.06.2008 22:58 219 lsprst7.tgz
20.06.2008 21:59 1.025 clauth1.dll
20.06.2008 21:59 1.025 clauth2.dll
20.06.2008 21:53 1.025 sysprs7.dll
20.06.2008 21:53 1.025 sysprs7.tgz
30.05.2008 01:35 17.486.968 MRT.exe
07.05.2008 07:14 1.293.312 quartz.dll
23.04.2008 22:16 3.591.680 mshtml.dll
23.04.2008 06:16 233.472 webcheck.dll
23.04.2008 06:16 826.368 wininet.dll
23.04.2008 06:16 44.544 pngfilt.dll
23.04.2008 06:16 102.912 occache.dll
23.04.2008 06:16 193.024 msrating.dll
23.04.2008 06:16 671.232 mstime.dll
23.04.2008 06:16 1.159.680 urlmon.dll
23.04.2008 06:16 478.208 mshtmled.dll
23.04.2008 06:16 105.984 url.dll
23.04.2008 06:16 6.066.176 ieframe.dll
23.04.2008 06:16 267.776 iertutil.dll
23.04.2008 06:16 459.264 msfeeds.dll
23.04.2008 06:16 1.831.424 inetcpl.cpl
23.04.2008 06:16 44.544 iernonce.dll
23.04.2008 06:16 27.648 jsproxy.dll
23.04.2008 06:16 52.224 msfeedsbs.dll
23.04.2008 06:16 230.400 ieaksie.dll
23.04.2008 06:16 347.136 dxtmsft.dll
23.04.2008 06:16 63.488 icardie.dll
23.04.2008 06:16 214.528 dxtrans.dll
23.04.2008 06:16 153.088 ieakeng.dll
23.04.2008 06:16 383.488 ieapfltr.dll
23.04.2008 06:16 384.512 iedkcs32.dll
23.04.2008 06:16 124.928 advpack.dll
23.04.2008 06:16 133.120 extmgr.dll
22.04.2008 09:39 13.824 ieudinit.exe
22.04.2008 09:39 70.656 ie4uinit.exe
20.04.2008 07:07 161.792 ieakui.dll
13.04.2008 20:42 150.792 FNTCACHE.DAT
2166 Datei(en) 445.212.250 Bytes
0 Verzeichnis(se), 15.143.145.472 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 782B-F7F8

Verzeichnis von C:\DOKUME~1\DEBBIE~1\LOKALE~1\Temp

03.07.2008 18:47 106.112 datfind.txt
03.07.2008 18:42 114.688 ~DFB30B.tmp
2 Datei(en) 220.800 Bytes
0 Verzeichnis(se), 15.143.170.048 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 782B-F7F8

Verzeichnis von C:\WINDOWS

03.07.2008 18:21 0 0.log
03.07.2008 18:19 227 system.ini
03.07.2008 18:19 159 wiadebug.log
03.07.2008 18:19 4.148 ModemLog_Conexant D110 MDC V.9x Modem.txt
03.07.2008 18:19 1.345.815 WindowsUpdate.log
03.07.2008 18:19 50 wiaservc.log
03.07.2008 18:19 2.048 bootstat.dat
03.07.2008 18:18 32.382 SchedLgU.Txt
03.07.2008 17:35 1.142 setupact.log
02.07.2008 00:05 48.897 setupapi.log
25.06.2008 23:42 155.085 wmsetup.log
20.06.2008 22:02 1.409 QTFont.for
20.06.2008 22:02 54.156 QTFont.qfn
20.06.2008 14:16 160.893 iis6.log
20.06.2008 14:16 347.687 comsetup.log
20.06.2008 14:16 391.485 tsoc.log
20.06.2008 14:16 1.374 imsins.log
20.06.2008 14:16 56.148 ocmsn.log
20.06.2008 14:16 209.914 ntdtcsetup.log
20.06.2008 14:16 7.927 KB951376-v2.log
20.06.2008 14:16 492.620 ocgen.log
20.06.2008 14:16 50.879 msgsocm.log
20.06.2008 14:16 1.023.836 FaxSetup.log
12.06.2008 00:23 1.374 imsins.BAK
12.06.2008 00:23 17.668 KB950759-IE7.log
12.06.2008 00:23 95.791 updspapi.log
12.06.2008 00:21 11.388 KB951698.log
12.06.2008 00:20 7.914 KB950762.log
12.06.2008 00:20 6.131 KB950760.log
12.06.2008 00:20 7.569 KB951376.log
29.05.2008 00:16 10.054 KB932823-v3.log
18.05.2008 03:25 15.793 KB950749.log
13.04.2008 19:04 13.455 KB948881.log
13.04.2008 19:04 17.898 KB941693.log
13.04.2008 19:04 19.348 KB947864-IE7.log
13.04.2008 19:03 11.897 KB948590.log
13.04.2008 19:02 11.890 KB945553.log
.log

278 Datei(en) 15.808.333 Bytes
0 Verzeichnis(se), 15.143.153.664 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 782B-F7F8

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 782B-F7F8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

12.02.2008 11:28 3.036.680 ImageUploader5.ocx
12.02.2008 11:28 378 ImageUploader5.inf

15 Datei(en) 10.538.844 Bytes
0 Verzeichnis(se), 15.143.153.664 Bytes frei
.
.
.

Hallo!
Puh! Mit diesen Logs oben absolutes Neuland betreten, aber so weit so gut

Habe von meiner Schwester per USB-Stick den perlovga Virus bekommen und nun gesehen, dass ich froh sein kann, nicht alle ihre 79 antivir Funde bekommen zu haben... jetzt versuche ich erstmal mich um ihren zu kümmern.

Habe mich in Foren umgeschaut und gesehen, dass das Löschen dieser Dateien wohl nicht gut ist. Probleme (bis auf langsam sein) aber hatte sie bisher nicht.

Folgende Funde hat antivir gemacht: (ich hoffe, ich liste sie richtig auf)
- windows/system32/temp1.exe (verdächtiger prozess)
- TR/Agent.xad
- copy.exe - W32.perlovga.A.1
- host.exe - TR/Drop.small.apl
- dann ganz viele mit verschiedenen nummern: system volume information/.../A0032126.exe - mit dem Zusatz TR/Agent.xad oder BDS/Small.LO (Backdoorprogramme)

Jetzt müssten die Infos oben irgendwie von euch tollen Menschen analysiert werden oder? Habe keine Ahnung wies nun weitergeht...
Hoffe sehr, dass ihr mir helfen könnt.

LG, Michelle

#2 bitte die anweisungen abarbeiten in der reihenfolge

http://board.protecus.de/t23188.htm

#3 oh nein, ich dachte, dass hätte ich getan. sorry, wenn ich nochmal frage: was fehlt denn? habe alles strikt befolgt und erst temporäre dateien gelöscht, dann den combofix log, hijackthis log und den datfind.bat log gepostet.
Danke,
michelle

#4 Hallo, loreleymi

du hast alles richtig gepostet

«
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

«
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)

««
scanne bitte mit Antivirus
Heuristik-Einstellung:
Erkennungsstufe "hoch" einstellen - (Expertenmodus anhaken)



poste dann hier den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

vielen Dank für die schnelle Antwort!
Hier der neue scanreport. Die 79 Funde von vorhin befinden sich noch in der Quarantäne - ist doch richtig, oder?

LG, michelle


4605 Verzeichnisse wurden überprüft
268534 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
268534 Dateien ohne Befall
8485 Archive wurden durchsucht
2 Warnungen
0 Hinweise

#6 ich denke, das wieder alles i.o. ist.
entferne die Quarantäne vom Avira
dann kannst du noch einen Onlinescan mit Kaspersky oder Bitdefender machen + das Log hier posten
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 oh wow - echt, alles wieder Ok? genial
sorry, aber was meinst du mit quarantäne entfernen? alles da drin löschen? (will nur sicher gehen) und was ist dieses system volume information, wo die meisten funde waren?
ok, werd noch den onlinescan machen.
herzlichen dank!!! dieses forum ist die rettung!!
LG

#8 ja, lösche alles aus der Quarantäne, auch die Einträge der Systemwiederherstellung.
dann poste die logs von den Onlinescans
__________
MfG Sabina

rund um die PC-Sicherheit

#9 hallo!
sorry, dass ich mich jetzt erst wieder zurück melde - also mit dem PC meiner Schwester..

habe gestern die dateien in der quarantäne gelöscht und den kaspersky online scan gemacht. hier die logs. (meine zumindest verschiedene sektionen gescannt zu haben, aber vielleicht sinds doch immer die gleichen )

frage: sind meine ganzen aktionen nun zu lange her und muss ich alle schritte nochmal machen oder reicht der online scan? ich hab ihr ja jetzt wenigstens AV drauf gemacht. aber neue infizierte dateien sind vielleicht drauf? zumindest hat sie keine probleme. aber bevor ich mit meinem soeben desinfizierten stick an ihren PC gehe ...

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 18. August 2008 18:44:52
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 18/08/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1105097
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINDOWS
C:\DOKUME~1\DEBBIE~1\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 24549
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:25:11

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 18. August 2008 20:38:54
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 18/08/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1105097
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 70713
Viren gefunden: 1
Infizierte Objekte gefunden: 2
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:29:48

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QSLLPSVCShare Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\call256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\callmember256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\chat512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\chatmember256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\chatmsg1024.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\chatmsg2048.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\chatmsg256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\chatmsg4096.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\chatmsg512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\contactgroup256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\dyncontent\bundle.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\index2.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\profile16384.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\transfer256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\transfer512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\user1024.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\user16384.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\user256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\user32768.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\user4096.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype\debbietx03\voicemail256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008081820080819\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Debbietx03\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\wetterde\wettermelder.exe Infizierte Objekte: not-a-virus:AdWare.Win32.Agent.df übersprungen
C:\Sonstiges\wettermelder.exe Infizierte Objekte: not-a-virus:AdWare.Win32.Agent.df übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP573\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 18. August 2008 20:41:29
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 18/08/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1105097
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Memory:

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 2190
Viren gefunden: 1
Infizierte Objekte gefunden: 1
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:00:56

Name des infizierten Objekts / Virusname / Letzte Aktion
[1400] wettermelder.exe => C:\Programme\wetterde\wettermelder.exe Infizierte Objekte: not-a-virus:AdWare.Win32.Agent.df übersprungen

Die Untersuchung wurde abgeschlossen.

#10 Hallo loreleymi

1.
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

2.
dann wende noch mal Combofix an + Antivirus
und entferne C:\Programme\wetterde
__________
MfG Sabina

rund um die PC-Sicherheit

#11 hallo sabina!
habe die sticks gestern mit meinem pc desinfiziert. als ich den online scan auf diesem pc gemacht habe, war auch kein stick angeschlossen. sind das irgendwie infizierte dateien, die ihren ursprung auf nem stick haben?

mache gleich mal combofix u AV etc.

liebsten dank!!

hier der combofix log; wetter.de gelöscht

ComboFix 08-08-19.02 - Debbietx03 2008-08-20 17:54:06.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.173 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Debbietx03\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\interclick.com
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\interclick.com\ud.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\static.youku.com
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\static.youku.com\v\swf\qplayer.swf\youku.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\static.youku.com\v1.0.0200\v\swf\qplayer.swf\youku.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\static.youku.com\v1.0.0206\v\swf\qplayer.swf\youku.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\static.youku.com\v1.0.0221\v\swf\qplayer.swf\youku.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\static.youku.com\v1.0.0224\v\swf\qplayer.swf\youku.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\static.youku.com\v1.0.0234\v\swf\qplayer.swf\youku.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\static.youku.com\v1.0.0236\v\swf\qplayer.swf\youku.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\static.youku.com\v1.0.0294\v\swf\qplayer.swf\qplayer.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\static.youku.com\v1.0.0296\v\swf\qplayer.swf\qplayer.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\static.youku.com\v1.0.0312\v\swf\qplayer.swf\qplayer.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\v.youku.com
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\v.youku.com\v1.0.0155\v\swf\qplayer.swf\youku.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\v.youku.com\v1.0.0158\v\swf\qplayer.swf\youku.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\v.youku.com\v1.0.0163\v\swf\qplayer.swf\youku.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\v.youku.com\v1.0.0171\v\swf\qplayer.swf\youku.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\viewer.youku.com
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\WEUX9QAQ\viewer.youku.com\youkuSavedVolume.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#static.youku.com
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#static.youku.com\settings.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#v.youku.com
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#v.youku.com\settings.sol
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#viewer.youku.com
C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#viewer.youku.com\settings.sol
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@213.239.222[2].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@2o7[2].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@88.198.13[2].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@ads.heias[2].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@ads.pointroll[1].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@advertising[2].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@c.blogads[2].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@d.blogads[2].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@ehg-dig.hitbox[2].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@hmt.connexpromotions[2].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@insightexpressai[1].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@komtrack[1].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@ngd.thesun.co[1].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@questionmarket[2].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@serving-sys[1].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@specificclick[2].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@statcounter[2].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Debbietx03\Cookies\debbietx03@webmasterplan[2].txt

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-20 bis 2008-08-20 ))))))))))))))))))))))))))))))
.

2008-08-18 17:06 . 2008-08-18 17:06 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-18 17:06 . 2008-08-18 17:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-16 14:29 . 2008-08-16 14:29 <DIR> d-------- C:\Programme\OnlineFotoservice
2008-08-13 09:43 . 2008-04-11 21:04 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-13 09:41 . 2008-05-01 16:34 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-10 11:27 . 2008-08-10 11:27 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-10 11:27 . 2008-08-10 11:27 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-10 11:27 . 2008-08-10 11:27 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-10 11:23 . 2008-08-10 11:28 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-10 11:11 . 2008-08-10 11:11 <DIR> d-------- C:\WINDOWS\EHome
2008-08-05 09:41 . 2004-08-03 22:41 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2008-08-05 09:41 . 2004-08-03 22:41 685,056 --------- C:\WINDOWS\system32\drivers\hsfcxts2.sys
2008-08-05 09:41 . 2004-08-03 22:41 220,032 --------- C:\WINDOWS\system32\drivers\hsfbs2s2.sys
2008-08-05 09:41 . 2004-07-17 22:55 129,045 --------- C:\WINDOWS\system32\drivers\cxthsfs2.cty

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-20 14:58 --------- d-----w C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Skype
2008-08-16 12:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hps
2008-07-14 15:07 --------- d-----w C:\Programme\Sprakporten
2008-07-03 16:40 812,344 ----a-w C:\Programme\HJTInstall202.exe
2008-07-03 16:19 --------- d-----w C:\Programme\Symantec
2008-07-03 12:30 --------- d-----w C:\Programme\Avira
2008-07-03 12:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-03 12:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-03 12:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-20 19:51 --------- d-----w C:\Programme\dm
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2006-02-10 20:30 4,691,528 ----a-w C:\Programme\icq5_german_setup.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-07-18 19:07 68856]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-06-08 15:18 23233576]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dell Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY" [X]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2005-03-04 12:26 606208]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-13 11:23 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-14 01:35 536576]
"PRONoMgrWired"="C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe" [2004-12-09 14:58 86016]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 17:19 53248]
"DMXLauncher"="C:\Programme\Dell\Media Experience\DMXLauncher.exe" [2004-09-15 02:01 86016]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-12-06 02:05 127035]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 17:50 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 17:50 81920]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-10-11 16:38 98304]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2005-12-03 19:56 26112]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-10-14 14:49 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-10-14 14:46 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-10-14 14:50 114688]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 16:07 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6804cf50-bd19-11dc-be26-0014a42e47e2}]
\Shell\AutoRun\command - E:\pptview.exe /L "playlist.txt"
.
Inhalt des "geplante Tasks" Ordners

2005-09-29 C:\WINDOWS\Tasks\ISP-Anmeldungserinnerung 1.job
- C:\WINDOWS\system32\OOBE\oobebaln.exe [2008-04-14 04:22]
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Debbietx03\Anwendungsdaten\Mozilla\Firefox\Profiles\xtcjv1c5.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.aol.de/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-20 17:58:39
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\WLTRYSVC.EXE
C:\WINDOWS\system32\BCMWLTRY.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Dell\NicConfigSvc\NicConfigSvc.exe
C:\WINDOWS\system32\WLTRAY.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-20 18:04:01 - PC wurde neu gestartet [Debbietx03]
ComboFix-quarantined-files.txt 2008-08-20 16:03:52
ComboFix2.txt 2008-07-03 16:25:42

Pre-Run: 16 Verzeichnis(se), 13,327,351,808 Bytes frei
Post-Run: 20 Verzeichnis(se), 13,359,742,976 Bytes frei

177 --- E O F --- 2008-08-13 18:25:20


und der Antivir Report: keine Funde

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 20. August 2008 18:06

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '77' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 20. August 2008 18:52
Benötigte Zeit: 46:23 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5163 Verzeichnisse wurden überprüft
285942 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
285940 Dateien ohne Befall
6636 Archive wurden durchsucht
2 Warnungen
0 Hinweise

#12 vom Stick (auf E:\)
ist das zu finden:
E:\pptview.exe /L "playlist.txt" - ob das nun ein Virus ist, weiss ich nicht....
kannst du mit virustotal prüfen
Virustotal http://www.virustotal.com/flash/index_en.html


ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"
__________
MfG Sabina

rund um die PC-Sicherheit