Trojaner TR/Monder nicht zu entfernen?

#0
24.07.2008, 10:57
...neu hier

Beiträge: 6
#1 Hallo Experten,

ich bitte um eure Hilfe.
Ich habe hier ein Notebook, welches wohl mit einem Trojaner infiziert ist.
AntiVir meldet diesen immer noch als TR/Monder.141312 in der Datei Windows\System32\7476893054a58ef0.core.dll

Habe nach Anweisung die einzelnen Schritte durchgeführt mit folgenden logs:

Malwarebytes' Anti-Malware 1.22
Datenbank Version: 972
Windows 5.1.2600 Service Pack 2

21:44:14 23.07.2008
mbam-log-7-23-2008 (21-44-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 125918
Laufzeit: 1 hour(s), 4 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


ComboFix 08-07-22.4 - ***** 2008-07-23 21:49:36.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.512 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\*****\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\video.exe
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-23 bis 2008-07-23 ))))))))))))))))))))))))))))))
.

2008-07-23 20:31 . 2008-07-20 20:21 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-23 20:17 . 2008-07-23 20:28 <DIR> d-------- C:\Programme\CCleaner
2008-07-22 00:59 . 2008-07-22 00:59 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
2008-07-22 00:45 . 2008-07-23 20:31 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-22 00:45 . 2008-07-22 00:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-22 00:45 . 2008-07-22 00:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-07-22 00:45 . 2008-07-20 20:21 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-22 00:44 . 2008-07-22 00:44 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\T-Online
2008-07-21 23:00 . 2008-07-21 23:00 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-07-09 13:48 . 2008-07-09 13:59 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-23 18:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-07-14 08:55 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\U3
2008-07-12 12:08 10,006 ----a-w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\wklnhst.dat
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-07 04:55 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-10 07:24 184,320 ----a-w C:\Programme\video.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 08:20 68856]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-07-31 11:45 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2004-11-17 13:47 118784]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512]
"VAIOCameraUtility"="C:\Programme\Sony\VAIO Camera Utility\VCUServe.exe" [2005-12-27 13:58 69632]
"ISBMgr.exe"="C:\Programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 14:12 32768]
"Switcher.exe"="C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe" [2006-02-14 12:11 176128]
"IAAnotif"="C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-02-21 16:59 143360]
"AppMon Utility"="C:\Programme\Sony\AppMonUtil\AppMonUtility.exe" [2006-03-15 10:55 40960]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-18 01:51 86016]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-18 01:51 7561216]
"SonyPowerCfg"="C:\Programme\Sony\VAIO Power Management\SPMgr.exe" [2006-01-26 02:28 212992]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2006-04-07 06:20 122940]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-03-03 22:47 483328]
"PrepareYourVAIO"="C:\Programme\Sony\Prepare your VAIO\PYVAlert.exe" [2005-01-21 15:36 118784]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2005-06-27 15:32 278528]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 03:10 409600]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2006-12-26 12:43 26112]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 03:36 81920]
"EEventManager"="C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2006-03-17 11:30 102400]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 12:36 262401]
"WINCINEMAMGR"="C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe" [2006-04-30 06:10 303104]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-07 16:55 267064]
"VAIO Update 3"="C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe" [2007-01-25 21:41 546936]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 16:46 45056 C:\WINDOWS\system32\ico.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 14:00 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2006-08-02 19:56 176128]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Bluetooth Manager.lnk - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2006-02-02 23:19:10 1753088]
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-04-26 13:23:47 124400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2006-03-09 14:51 73728 C:\WINDOWS\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= C:\PROGRA~1\GEMEIN~1\SONYSH~1\VideoLib\sonydv.dll
"msacm.ulmp3acm"= ulmp3acm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Adobe\\Photoshop Elements 4.0\\AdobePhotoshopElementsMediaServer.exe"=
"C:\\Programme\\Google\\Google Talk\\googletalk.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=

R1 regi;regi;C:\WINDOWS\system32\drivers\regi.sys [2006-04-03 08:27]
R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;C:\Programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe [2002-12-17 18:55]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2005-11-15 14:02]
R3 AVerM115S;AVerM115S service;C:\WINDOWS\system32\DRIVERS\AVerM115S.sys [2006-04-11 02:35]
R3 SonyImgF;Sony Image Conversion Filter Driver;C:\WINDOWS\system32\DRIVERS\SonyImgF.sys [2005-12-27 08:22]
R3 ti21sony;ti21sony;C:\WINDOWS\system32\drivers\ti21sony.sys [2006-02-21 11:32]
S3 Image Converter video recording monitor for VAIO Entertainment;Image Converter video recording monitor for VAIO Entertainment;C:\Programme\Sony\Image Converter 2\IcVzMon.exe [2005-07-14 20:10]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2005-11-24 13:36]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 07:40]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2005-09-28 11:58]
S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;C:\Programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE [2002-12-17 18:23]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4cecc874-54c0-11dc-8a26-0002c7e843f0}]
\Shell\AutoRun\command - I:\LaunchU3.exe -a

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://google.de/
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 -: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 -: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 -: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 -: RSS-Support-Site zu VAIO Information FLOW hinzufügen - C:\Programme\Sony\VAIO Information FLOW\aiesc.html
O8 -: Übertragen mit Image Converter 2 Plus - C:\Programme\Sony\Image Converter 2\menu.htm


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-23 21:53:11
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation

Scanne versteckte Prozesse...

C:\WINDOWS\system32\.7476893054a58ef0\7476893054a58ef0.exe [2008] 0x860F98F8

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


C:\WINDOWS\system32\.7476893054a58ef0

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\7476893054a58ef0]
"ImagePath"="C:\WINDOWS\system32\.7476893054a58ef0\7476893054a58ef0.exe"
.
Zeit der Fertigstellung: 2008-07-23 23:55:12
ComboFix-quarantined-files.txt 2008-07-23 21:54:56

Pre-Run: 12 Verzeichnis(se), 29,812,137,984 Bytes frei
Post-Run: 15 Verzeichnis(se), 30,762,983,424 Bytes frei

154 --- E O F --- 2008-07-14 10:19:08


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:57:59, on 24.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\VAIO Camera Utility\VCUServe.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\Sony\AppMonUtil\AppMonUtility.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: GoogleAFE - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\GoogleAFE.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Programme\Sony\VAIO Camera Utility\VCUServe.exe"
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [AppMon Utility] C:\Programme\Sony\AppMonUtil\AppMonUtility.exe @@@Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [PrepareYourVAIO] C:\Programme\Sony\Prepare your VAIO\PYVAlert.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WINCINEMAMGR] C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [VAIO Update 3] "C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe" /Stationary
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RSS-Support-Site zu VAIO Information FLOW hinzufügen - C:\Programme\Sony\VAIO Information FLOW\aiesc.html
O8 - Extra context menu item: Übertragen mit Image Converter 2 Plus - C:\Programme\Sony\Image Converter 2\menu.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/de/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Programme\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

--
End of file - 14094 bytes


.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS\system32

24.07.2008 08:49 1.158 wpa.dbl
24.07.2008 08:47 50.868 nvapps.xml
25.06.2008 18:15 17.972.344 MRT.exe
20.06.2008 19:39 148.992 dnsapi.dll
20.06.2008 19:39 247.296 mswsock.dll
16.05.2008 20:22 118 MRT.INI
07.05.2008 06:55 1.293.824 quartz.dll
21.04.2008 08:56 672.256 wininet.dll
21.04.2008 08:56 620.544 urlmon.dll
21.04.2008 08:56 474.624 shlwapi.dll
21.04.2008 08:56 1.499.136 shdocvw.dll
21.04.2008 08:56 146.432 msrating.dll
21.04.2008 08:56 449.024 mshtmled.dll
21.04.2008 08:56 39.424 pngfilt.dll
21.04.2008 08:56 532.480 mstime.dll
21.04.2008 08:56 3.087.872 mshtml.dll
21.04.2008 08:56 96.768 inseng.dll
21.04.2008 08:56 16.384 jsproxy.dll
21.04.2008 08:56 357.888 dxtmsft.dll
21.04.2008 08:56 205.312 dxtrans.dll
21.04.2008 08:56 1.056.256 danim.dll
21.04.2008 08:56 251.904 iepeers.dll
21.04.2008 08:56 55.808 extmgr.dll
21.04.2008 08:56 1.024.000 browseui.dll
21.04.2008 08:56 152.064 cdfview.dll
17.04.2008 13:03 374.272 xpsp3res.dll
09.04.2008 17:35 219.248 FNTCACHE.DAT







2224 Datei(en) 499.794.221 Bytes
0 Verzeichnis(se), 30.764.167.168 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\DOKUME~1\JRGJAN~1\LOKALE~1\Temp

24.07.2008 09:03 109.178 datfind.txt
24.07.2008 08:52 1.016 jusched.log
2 Datei(en) 110.194 Bytes
0 Verzeichnis(se), 30.764.187.648 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS


Vielen Dank schon einmal im voraus.
Seitenanfang Seitenende
24.07.2008, 13:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,Mary Green

1.
Virustotal http://www.virustotal.com/flash/index_en.html

C:\Programme\video.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> HIER kopieren


2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

-setze nein Häkchen in: "Automatically disable any rootkits found"
-Das Häkchen "Scan for Rootkits" sollte jedoch angehakt sein.

kopiere in das weisse Feld:

Zitat

Registry keys to delete:
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\7476893054a58ef0
Folders to delete:
C:\WINDOWS\system32\.7476893054a58ef0
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

-------------------------------------------------------------

3.
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

7476893054a58ef0

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

----------------------------------------------------------

4.
lade mbr.exe
http://www2.gmer.net/mbr/mbr.exe
Info:
http://virus-protect.org/artikel/tools/mbr.html
zum Desktop
Doppelklick mbr.exe um das Tool zu starten
Es wird ein Log erstellt und poste dessen Inhalt in deinen Beitrag

------------------------------------------------------------

5.
lade sdfix
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 24.07.2008 um 13:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
24.07.2008, 22:16
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo Sabina,

zunächst vielen Dank für Deine schnelle Antwort.

Hier die logs:

1.
Virustotal http://www.virustotal.com/flash/index_en.html

C:\Programme\video.exe


Datei video.exe empfangen 2008.07.24 20:46:57 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 7/35 (20%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.25.0 2008.07.24 -
AntiVir 7.8.1.12 2008.07.24 -
Authentium 5.1.0.4 2008.07.24 -
Avast 4.8.1195.0 2008.07.24 -
AVG 8.0.0.130 2008.07.24 -
BitDefender 7.2 2008.07.24 -
CAT-QuickHeal 9.50 2008.07.24 -
ClamAV 0.93.1 2008.07.24 -
DrWeb 4.44.0.09170 2008.07.24 -
eSafe 7.0.17.0 2008.07.24 Suspicious File
eTrust-Vet 31.6.5979 2008.07.24 -
Ewido 4.0 2008.07.24 -
F-Prot 4.4.4.56 2008.07.24 -
F-Secure 7.60.13501.0 2008.07.24 -
Fortinet 3.14.0.0 2008.07.24 Dial/Ras
GData 2.0.7306.1023 2008.07.24 -
Ikarus T3.1.1.34.0 2008.07.24 -
Kaspersky 7.0.0.125 2008.07.24 -
McAfee 5346 2008.07.24 potentially unwanted program Dialer-RAS
Microsoft 1.3704 2008.07.24 -
NOD32v2 3296 2008.07.24 a variant of Win32/Dialer.WarpMedia
Norman 5.80.02 2008.07.24 -
Panda 9.0.0.4 2008.07.24 Dialer.Gen
PCTools 4.4.2.0 2008.07.24 -
Prevx1 V2 2008.07.24 Cloaked Malware
Rising 20.54.32.00 2008.07.24 -
Sophos 4.31.0 2008.07.24 -
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.24 Dialer.Generic
TheHacker 6.2.96.387 2008.07.23 -
TrendMicro 8.700.0.1004 2008.07.24 -
VBA32 3.12.8.1 2008.07.24 -
ViRobot 2008.7.24.1309 2008.07.24 -
VirusBuster 4.5.11.0 2008.07.24 -
Webwasher-Gateway 6.6.2 2008.07.24 -
weitere Informationen
File size: 184320 bytes
MD5...: cd76e96ca892c17d0a97478004c4447f
SHA1..: d76ab121f1e01b4dc75343886bfda7c95cfd79d9
SHA256: 3e01bcfad3e10a95b4d964a191edababec2ca33e34151417cf32189bb334024d
SHA512: f1edd769188def4ab6bccc799f7b842d726be13feadc17a424e3ab140e01e4d4
ca8b67b8051802cb355cf235a514a097fa1dccd93f0af2a44411336384feccd7
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x430200
timedatestamp.....: 0x3bd47058 (Mon Oct 22 19:15:36 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x1c000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x1d000 0x14000 0x13400 7.91 116ed1ef682a65456ac1e4bebee13805
.rsrc 0x31000 0x2000 0x1800 4.11 e46e23dba919d8a776a5ffbd79752a14

( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.dll: RegCloseKey
> MFC42.DLL: -
> MSVCRT.dll: exit
> ole32.dll: CoInitialize
> SHELL32.dll: ShellExecuteA
> USER32.dll: IsIconic

( 0 exports )

packers (Kaspersky): UPX
packers (F-Prot): UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=9A68D60300CD4262D025024F511091007449615D

Anmerkung: Ich bekam die Meldung, das diese Datei bereits analysiert wurde da schon bekannt. Ich habe trotzdem auf "analysieren" geklickt.


2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "7476893054a58ef0" found!
DisplayName: Microsoft DDE+ server
ImagePath: C:\WINDOWS\system32\.7476893054a58ef0\7476893054a58ef0.exe
Start Type: 2 (Automatic)

Rootkit scan completed.

Registry key "HKEY_LOCAL_MACHINE\system\ControlSet001\Services\7476893054a58ef0" deleted successfully.
Folder "C:\WINDOWS\system32\.7476893054a58ef0" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


3.
http://virus-protect.org/artikel/tools/regsearch.html


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 24.07.2008 21:18:16 for strings:
; '7476893054a58ef0'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\7476893054a58ef0]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\7476893054a58ef0]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_7476893054A58EF0]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_7476893054A58EF0\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_7476893054A58EF0\0000]
"Service"="7476893054a58ef0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\7476893054a58ef0]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\7476893054a58ef0]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_7476893054A58EF0]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_7476893054A58EF0\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_7476893054A58EF0\0000]
"Service"="7476893054a58ef0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\7476893054a58ef0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\7476893054a58ef0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7476893054A58EF0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7476893054A58EF0\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7476893054A58EF0\0000]
"Service"="7476893054a58ef0"

; End Of The Log...


4.
lade mbr.exe
http://www2.gmer.net/mbr/mbr.exe


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


5.
lade sdfix
http://virus-protect.org/artikel/tools/sdfix.html



SDFix: Version 1.208
Run by Administrator on 24.07.2008 at 21:35

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Programme\Video.exe - Deleted
C:\WINDOWS\video.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-24 21:41:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Adobe\\Photoshop Elements 4.0\\AdobePhotoshopElementsMediaServer.exe"="C:\\Programme\\Adobe\\Photoshop Elements 4.0\\AdobePhotoshopElementsMediaServer.exe:*;)isabled:Adobe Photoshop Elements Media Server"
"C:\\Programme\\Google\\Google Talk\\googletalk.exe"="C:\\Programme\\Google\\Google Talk\\googletalk.exe:*:Enabled:Google Talk"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"="C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sat 26 Apr 2008 6,104,632 A..H. --- "C:\Programme\Picasa2\setup.exe"
Sun 19 Aug 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Mon 4 Oct 2004 417,792 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.0\Maint.exe"
Thu 27 May 2004 61,440 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.0\uinstrsc.dll"
Fri 20 Jul 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Thu 8 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\BIT8.tmp"
Thu 7 Dec 2006 3,096,576 A..H. --- "C:\Dokumente und Einstellungen\*****\Anwendungsdaten\U3\temp\Launchpad Removal.exe"

Finished!


Liebe Grüße

M. G.
Seitenanfang Seitenende
24.07.2008, 22:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 kopiere in den Avenger + poste dann den report nach neustart

Zitat

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\7476893054a58ef0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\7476893054a58ef0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_7476893054A58EF0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\7476893054a58ef0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\7476893054a58ef0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_7476893054A58EF0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\7476893054a58ef0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\7476893054a58ef0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7476893054A58EF0

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.07.2008, 22:35
...neu hier

Themenstarter

Beiträge: 6
#5 Hallo Sabina,

das geht ja schneller als die Polizei erlaubt......
Hier der log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\7476893054a58ef0" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\7476893054a58ef0" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_7476893054A58EF0" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\7476893054a58ef0" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\7476893054a58ef0" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_7476893054A58EF0" deleted successfully.

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\7476893054a58ef0" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\7476893054a58ef0" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\7476893054a58ef0" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\7476893054a58ef0" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7476893054A58EF0" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7476893054A58EF0" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


Liebe Grüße

M. G.
Seitenanfang Seitenende
24.07.2008, 22:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««

Antivirus
Heuristik-Einstellung:
Erkennungsstufe "hoch" einstellen - (Expertenmodus anhaken)



scanne im abgesicherten modus + poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.07.2008, 23:57
...neu hier

Themenstarter

Beiträge: 6
#7 Hallo Sabina,

leider hat AntiVir nun den TR/Crypt.FKM.Gen gemeldet (heul).
Hier das Logfile:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 24. Juli 2008 22:48

Es wird nach 1503287 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: Administrator
Computername: NAME-E537B3610A

Versionsinformationen:
BUILD.DAT : 8.1.0.326 16933 Bytes 11.07.2008 12:52:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 24.07.2008 20:42:48
AVSCAN.DLL : 8.1.4.0 48897 Bytes 24.07.2008 20:42:48
LUKE.DLL : 8.1.4.5 164097 Bytes 24.07.2008 20:42:48
LUKERES.DLL : 8.1.4.0 12545 Bytes 24.07.2008 20:42:48
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 11:28:54
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 09:09:17
ANTIVIR2.VDF : 7.0.5.144 1690624 Bytes 21.07.2008 20:42:48
ANTIVIR3.VDF : 7.0.5.167 261632 Bytes 24.07.2008 20:42:48
Engineversion : 8.1.1.12
AEVDF.DLL : 8.1.0.5 102772 Bytes 16.04.2008 10:36:30
AESCRIPT.DLL : 8.1.0.59 307579 Bytes 24.07.2008 20:42:48
AESCN.DLL : 8.1.0.23 119156 Bytes 24.07.2008 20:42:48
AERDL.DLL : 8.1.0.20 418165 Bytes 25.04.2008 16:47:06
AEPACK.DLL : 8.1.2.1 364917 Bytes 24.07.2008 20:42:48
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 24.07.2008 20:42:48
AEHEUR.DLL : 8.1.0.44 1343863 Bytes 24.07.2008 20:42:48
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 14:32:13
AEGEN.DLL : 8.1.0.31 311669 Bytes 24.07.2008 20:42:48
AEEMU.DLL : 8.1.0.6 430451 Bytes 08.05.2008 10:16:02
AECORE.DLL : 8.1.1.7 172406 Bytes 24.07.2008 20:42:48
AEBB.DLL : 8.1.0.1 53617 Bytes 24.07.2008 20:42:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 24.07.2008 20:42:48
AVPREF.DLL : 8.0.2.0 38657 Bytes 24.07.2008 20:42:48
AVREP.DLL : 8.0.0.1 98561 Bytes 24.07.2008 20:42:48
AVREG.DLL : 8.0.0.1 33537 Bytes 24.07.2008 20:42:48
AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 10:36:29
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 24.07.2008 20:42:48
SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 10:36:30
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 24.07.2008 20:42:48
NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 10:36:30
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 24.07.2008 20:42:46
RCTEXT.DLL : 8.0.52.0 86273 Bytes 24.07.2008 20:42:46

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Donnerstag, 24. Juli 2008 22:48

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '82' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <VAIO>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\InterVideo\DVDEX\Source3g.ax
[FUND] Ist das Trojanische Pferd TR/Crypt.FKM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48fdf14e.qua' verschoben!
C:\Update\SOACTD-00806006-UN\SOACTD-00806006-UN.exeVU!
[0] Archivtyp: CAB SFX (self extracting)
--> \setup.ibt
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\' <VAIO>
D:\9e23c8da5590579a07d70898fa27ef\mrtstub.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Donnerstag, 24. Juli 2008 23:34
Benötigte Zeit: 46:28 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8412 Verzeichnisse wurden überprüft
389090 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
389087 Dateien ohne Befall
7550 Archive wurden durchsucht
3 Warnungen
1 Hinweise


Liebe Grüße

M. G.

Habe heute AntiVir im Normalmodus laufen lassen. Dieser hat 4 weitere Funde gemeldet:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 25. Juli 2008 09:32

Es wird nach 1503287 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: NAME-E537B3610A

Versionsinformationen:
BUILD.DAT : 8.1.0.326 16933 Bytes 11.07.2008 12:52:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 24.07.2008 20:42:48
AVSCAN.DLL : 8.1.4.0 48897 Bytes 24.07.2008 20:42:48
LUKE.DLL : 8.1.4.5 164097 Bytes 24.07.2008 20:42:48
LUKERES.DLL : 8.1.4.0 12545 Bytes 24.07.2008 20:42:48
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 11:28:54
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 09:09:17
ANTIVIR2.VDF : 7.0.5.144 1690624 Bytes 21.07.2008 20:42:48
ANTIVIR3.VDF : 7.0.5.167 261632 Bytes 24.07.2008 20:42:48
Engineversion : 8.1.1.12
AEVDF.DLL : 8.1.0.5 102772 Bytes 16.04.2008 10:36:30
AESCRIPT.DLL : 8.1.0.59 307579 Bytes 24.07.2008 20:42:48
AESCN.DLL : 8.1.0.23 119156 Bytes 24.07.2008 20:42:48
AERDL.DLL : 8.1.0.20 418165 Bytes 25.04.2008 16:47:06
AEPACK.DLL : 8.1.2.1 364917 Bytes 24.07.2008 20:42:48
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 24.07.2008 20:42:48
AEHEUR.DLL : 8.1.0.44 1343863 Bytes 24.07.2008 20:42:48
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 14:32:13
AEGEN.DLL : 8.1.0.31 311669 Bytes 24.07.2008 20:42:48
AEEMU.DLL : 8.1.0.6 430451 Bytes 08.05.2008 10:16:02
AECORE.DLL : 8.1.1.7 172406 Bytes 24.07.2008 20:42:48
AEBB.DLL : 8.1.0.1 53617 Bytes 24.07.2008 20:42:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 24.07.2008 20:42:48
AVPREF.DLL : 8.0.2.0 38657 Bytes 24.07.2008 20:42:48
AVREP.DLL : 8.0.0.1 98561 Bytes 24.07.2008 20:42:48
AVREG.DLL : 8.0.0.1 33537 Bytes 24.07.2008 20:42:48
AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 10:36:29
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 24.07.2008 20:42:48
SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 10:36:30
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 24.07.2008 20:42:48
NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 10:36:30
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 24.07.2008 20:42:46
RCTEXT.DLL : 8.0.52.0 86273 Bytes 24.07.2008 20:42:46

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Freitag, 25. Juli 2008 09:32

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtHSP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtHid.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosA2dp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtMng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VAIOUpdt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinCinemaMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EEventManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSAAD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VzFw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ToADiMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppMonUtility.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Switcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISBMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCUServe.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ico.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VzCdbSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCSW.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '70' Prozesse mit '70' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '80' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <VAIO>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{3B856C3E-F93C-4AB3-A346-C05182442C6D}\RP2\A0000071.dll
[FUND] Ist das Trojanische Pferd TR/Monder.141312
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48b989ac.qua' verschoben!
C:\System Volume Information\_restore{3B856C3E-F93C-4AB3-A346-C05182442C6D}\RP2\A0000072.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.vtf
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48b989b6.qua' verschoben!
C:\System Volume Information\_restore{3B856C3E-F93C-4AB3-A346-C05182442C6D}\RP2\A0000082.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.web
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48b989bc.qua' verschoben!
C:\System Volume Information\_restore{3B856C3E-F93C-4AB3-A346-C05182442C6D}\RP2\A0000245.ax
[FUND] Ist das Trojanische Pferd TR/Crypt.FKM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48b989c5.qua' verschoben!
C:\Update\SOACTD-00806006-UN\SOACTD-00806006-UN.exeVU!
[0] Archivtyp: CAB SFX (self extracting)
--> \setup.ibt
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\' <VAIO>


Ende des Suchlaufs: Freitag, 25. Juli 2008 10:18
Benötigte Zeit: 45:51 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8425 Verzeichnisse wurden überprüft
389517 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
389511 Dateien ohne Befall
7550 Archive wurden durchsucht
5 Warnungen
4 Hinweise

Liebe Grüße

M. G.
Dieser Beitrag wurde am 25.07.2008 um 10:43 Uhr von Mary Green editiert.
Seitenanfang Seitenende
25.07.2008, 10:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)
Info:
http://virus-protect.org/systemwiederherstellung.html

2.
wozu gehört der Ordner Update ? - was wird geupdated ?
C:\Update\SOACTD-00806006-UN
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.07.2008, 23:22
...neu hier

Themenstarter

Beiträge: 6
#9 Hallo Sabina,

hätte ich auch selber draufkommen können ( restore......)

1.
Habe ich gemacht und danach AntiVir im abgesicherten sowie im Normalmodus laufen lassen: Kein Befund mehr gemeldet!

2.
Dieser Ordner wurde wohl bei Erstinstallation automatisch angelegt und enthält Dateien vom sog. "Sony-Update-Manager". Ist wohl ein spezifisches Tool für das Sony VAIO-Notebook. Die im Ordner enthaltenen Dateien sind alle von Sony und haben ein gültiges Zertifikat. Habe mal eine Datei aus dem Ordner nach Virustotal hochgeladen; es wurde jedoch nichts gefunden.

Liebe Grüße

M. G.
Seitenanfang Seitenende
26.07.2008, 00:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ich denke, dass es sich damit erledigt hat. ;)
Wenn es noch Probleme gibt, melde dich
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.07.2008, 10:56
...neu hier

Themenstarter

Beiträge: 6
#11 Hallo Sabina,

möchte mich noch für die schnelle und sehr kompetente Hilfe bedanken.
Ich finde es bemerkenswert, das ihr eure Zeit opfert, um uns "Ahnungslosen" zu helfen. Und das in einem sehr professionellen Stil. Da können sich viele kommerzielle "Serviceprovider" ein Beispiel nehmen.
Ich kann dieses Board nur weiterempfehlen. ;)

Liebe Grüße

M. G.
Seitenanfang Seitenende
26.07.2008, 11:27
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Java
Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u7 zum Desktop

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u7-windows-i586-p-s.exe
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: