TR/Monder.bfg Entfernen wie?

#0
03.08.2008, 15:30
Member

Beiträge: 29
#1 Hallo

Antivir zeigt mir einen TR/monder.bfg an, der ganze PC läuft auch nicht mehr so schnell und die einstellungen der cookie-sicherheit wird bei jedem neustart verändert! Habe jetzt den ersten 5 schritten gefolgt mit malwarebytes und combofix und dem hijack, es läuft jetzt eigentlich schon wieder besser! Wäre froh wenn das mal jemand kontrollieren könnte, hier die Berichte:

ComboFix 08-08-02.01 - User 2008-08-03 15:05:19.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.681 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red][b]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ewnqajxq.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\twynnkjx.dll
C:\WINDOWS\system32\unfwrbix.ini
C:\WINDOWS\system32\zrsysd.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-03 bis 2008-08-03 ))))))))))))))))))))))))))))))
.

2008-08-03 14:04 . 2008-08-03 14:54 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-03 14:04 . 2008-08-03 14:04 <DIR> d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes
2008-08-03 14:04 . 2008-08-03 14:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-03 14:04 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-03 14:04 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-03 12:01 . 2008-08-03 12:01 250 --a------ C:\WINDOWS\gmer.ini
2008-08-01 18:04 . 2008-08-01 18:04 129,920 --a------ C:\WINDOWS\system32\zkwlnl.dll
2008-08-01 18:04 . 2008-08-01 18:04 129,920 --a------ C:\WINDOWS\system32\sxhgpvyi.dll
2008-07-31 14:58 . 2008-07-31 14:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-31 14:57 . 2008-07-31 14:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-31 11:32 . 2008-07-31 11:32 <DIR> d-------- C:\Programme\Avira
2008-07-31 11:32 . 2008-07-31 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-31 10:01 . 2008-07-31 10:01 8,627 --a------ C:\WINDOWS\system32\PAV_FOG.OPC
2008-07-31 09:58 . 2008-07-31 09:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sentinel
2008-07-31 09:53 . 2008-07-31 09:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Backup
2008-07-31 09:43 . 2008-07-31 11:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Panda Software
2008-07-30 12:04 . 2008-07-30 12:04 99,456 --a------ C:\WINDOWS\system32\xwuurehb.dll
2008-07-30 11:57 . 2008-07-31 09:03 2,650 --a------ C:\WINDOWS\system32\tmp.reg

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-31 12:58 --------- d-----w C:\Programme\Lavasoft
2008-07-31 12:58 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\Lavasoft
2008-07-31 09:30 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-31 08:11 --------- d-----w C:\Programme\DAEMON Tools
2008-07-30 07:48 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\Ascaron Entertainment
2008-07-30 07:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-07-30 07:46 --------- d-----w C:\Programme\Ascaron Entertainment
2008-07-10 15:20 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-07-09 20:32 --------- d-----w C:\Programme\Firefly Studios
2008-06-29 17:24 --------- d-----w C:\Programme\Tropico2
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 00:29 165784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-12 21:05 339968]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2004-03-19 06:30 184320]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-03-19 06:29 212992]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-04 15:18 267048]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-06-17 15:37 86016 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2006-06-17 15:37 2808832 C:\WINDOWS\alcwzrd.exe]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Mountit.lnk - C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe [2003-05-08 14:40:04 1159232]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=zkwlnl.dll fzvhrx.dll rtossm.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\EA Games\\Command and Conquer Generäle\\patchget.dat"=
"C:\\Programme\\EA Games\\Command and Conquer Generäle\\game.dat"=
"C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\patchget.dat"=
"C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\game.dat"=
"C:\\Programme\\Westwood\\SUN\\GAME.ICD"=
"C:\\Programme\\Westwood\\SUN\\Game.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\generals.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"C:\\Programme\\Ubisoft\\Funatics\\Die Siedler II - Die nächste Generation\\bin\\S2DNG.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"=
"C:\\Programme\\Die Gilde 2\\GuildII.exe"=
"C:\\Program files\\Codemasters\\Operation Flashpoint\\FLASHPOINTRESISTANCE.EXE"=
"C:\\Programme\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe"=
"C:\\Programme\\Anno 1701\\Anno1701.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Bohemia Interactive\\ArmA\\arma.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Railroads!\\RailRoads.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"=
"C:\\Programme\\Die Gilde 2 - Die Seeräuber der Hanse\\GuildII.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.8\\cnc3game.dat"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\SEGA\\Medieval II Total War\\medieval2.exe"=
"C:\\Programme\\SEGA\\Medieval II Total War\\kingdoms.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold_Crusader_Extreme.exe"=
"C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"=

R0 c2scsi;c2scsi;C:\WINDOWS\system32\DRIVERS\c2scsi.sys [2003-03-18 15:47]
R1 SSHDRV76;SSHDRV76;C:\WINDOWS\system32\drivers\SSHDRV76.sys [2006-07-23 20:23]
R3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);C:\WINDOWS\system32\DRIVERS\A3AB.sys [2004-09-03 06:01]
S3 bDMusicb;bDMusicb;C:\DOKUME~1\User\LOKALE~1\Temp\bDMusicb.sys []

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-04-08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{FBF85A20-FF88-4C46-90FB-B023E5C4ECA0} - C:\WINDOWS\system32\awttrSKc.dll
HKLM-Run-Verknüpfung mit der High Definition Audio-Eigenschaftenseite - HDAudPropShortcut.exe
ShellExecuteHooks-{FBF85A20-FF88-4C46-90FB-B023E5C4ECA0} - C:\WINDOWS\system32\awttrSKc.dll
Notify-awttrSKc - awttrSKc.dll


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\x4qo6677.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-03 15:07:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\zkwlnl.dll
.
Zeit der Fertigstellung: 2008-08-03 15:08:59
ComboFix-quarantined-files.txt 2008-08-03 13:08:49

Pre-Run: 10 Verzeichnis(se), 11,688,075,264 Bytes frei
Post-Run: 12 Verzeichnis(se), 11,729,371,136 Bytes frei

157 --- E O F --- 2008-07-11 09:49:41

und vom hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:14:28, on 03.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\CF28342.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151603956094
O16 - DPF: {D27CDC6B-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: zkwlnl.dll fzvhrx.dll rtossm.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 5104 bytes

Und noch die datFind.bat

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist HD 1
Volumeseriennummer: 18EB-5790

Verzeichnis von C:\WINDOWS\system32

03.08.2008 14:59 2'262 wpa.dbl
03.08.2008 12:14 0 13c89341-.txt
01.08.2008 18:04 129'920 zkwlnl.dll
01.08.2008 18:04 129'920 sxhgpvyi.dll
31.07.2008 11:09 400'464 perfh009.dat
31.07.2008 11:09 73'508 perfc007.dat
31.07.2008 11:09 60'624 perfc009.dat
31.07.2008 11:09 414'766 perfh007.dat
31.07.2008 11:09 959'118 PerfStringBackup.INI
31.07.2008 10:01 8'627 PAV_FOG.OPC
31.07.2008 09:03 0 tmp.txt
31.07.2008 09:03 2'650 tmp.reg
30.07.2008 12:04 99'456 xwuurehb.dll
10.07.2008 17:20 107'888 CmdLineExt.dll
10.07.2008 03:08 243'128 FNTCACHE.DAT
20.06.2008 19:39 247'296 mswsock.dll
20.06.2008 19:39 148'992 dnsapi.dll
30.05.2008 01:35 17'486'968 MRT.exe
16.05.2008 11:58 12'632 lsdelete.exe
07.05.2008 07:14 1'293'312 quartz.dll
23.04.2008 22:16 3'591'680 mshtml.dll
23.04.2008 06:16 826'368 wininet.dll
23.04.2008 06:16 233'472 webcheck.dll
23.04.2008 06:16 44'544 pngfilt.dll
23.04.2008 06:16 1'159'680 urlmon.dll
23.04.2008 06:16 105'984 url.dll
23.04.2008 06:16 102'912 occache.dll
23.04.2008 06:16 193'024 msrating.dll
23.04.2008 06:16 671'232 mstime.dll
23.04.2008 06:16 478'208 mshtmled.dll
23.04.2008 06:16 27'648 jsproxy.dll
23.04.2008 06:16 52'224 msfeedsbs.dll
23.04.2008 06:16 44'544 iernonce.dll
23.04.2008 06:16 6'066'176 ieframe.dll
23.04.2008 06:16 267'776 iertutil.dll
23.04.2008 06:16 1'831'424 inetcpl.cpl
23.04.2008 06:16 459'264 msfeeds.dll
23.04.2008 06:16 153'088 ieakeng.dll
23.04.2008 06:16 230'400 ieaksie.dll
23.04.2008 06:16 63'488 icardie.dll
23.04.2008 06:16 133'120 extmgr.dll
23.04.2008 06:16 383'488 ieapfltr.dll
23.04.2008 06:16 384'512 iedkcs32.dll
23.04.2008 06:16 214'528 dxtrans.dll
23.04.2008 06:16 347'136 dxtmsft.dll
23.04.2008 06:16 124'928 advpack.dll
22.04.2008 09:39 13'824 ieudinit.exe
22.04.2008 09:39 70'656 ie4uinit.exe
20.04.2008 07:07 161'792 ieakui.dll
06.04.2008 14:11 43'520 CmdLineExt03.dll
2154 Datei(en) 462'927'627 Bytes
0 Verzeichnis(se), 11'741'798'400 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist HD 1
Volumeseriennummer: 18EB-5790

Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp

03.08.2008 15:33 105'628 datfind.txt
03.08.2008 15:14 114'688 ~DF1F93.tmp
2 Datei(en) 220'316 Bytes
0 Verzeichnis(se), 11'741'822'976 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist HD 1
Volumeseriennummer: 18EB-5790

Verzeichnis von C:\WINDOWS

03.08.2008 15:07 227 system.ini
03.08.2008 14:58 0 0.log
03.08.2008 14:57 54'156 QTFont.qfn
03.08.2008 14:57 2'048 bootstat.dat
03.08.2008 14:55 32'542 SchedLgU.Txt
03.08.2008 14:55 1'123'863 WindowsUpdate.log
03.08.2008 13:56 188'704 setupact.log
03.08.2008 12:01 250 gmer.ini
03.08.2008 12:01 80 gmer_uninstall.cmd
03.08.2008 12:01 884'736 gmer.dll
31.07.2008 11:28 392'564 setupapi.log
31.07.2008 11:09 1'240'332 iis6.log
31.07.2008 11:09 364'138 comsetup.log
31.07.2008 11:09 221'632 ntdtcsetup.log
31.07.2008 11:09 59'519 ocmsn.log
31.07.2008 11:09 4'696 imsins.log
31.07.2008 11:09 54'030 tabletoc.log
31.07.2008 11:09 498'394 tsoc.log
31.07.2008 11:09 533'957 ocgen.log
31.07.2008 11:09 75'623 medctroc.Log
31.07.2008 11:09 54'258 msgsocm.log
31.07.2008 11:09 1'061'146 FaxSetup.log
31.07.2008 11:09 187'908 netfxocm.log
31.07.2008 11:09 343'492 msmqinst.log
30.07.2008 09:48 64'852 wmsetup.log
10.07.2008 03:07 556 wiadebug.log
10.07.2008 03:01 1'374 imsins.BAK
10.07.2008 03:01 18'171 KB951748.log
10.07.2008 03:01 92'890 updspapi.log
09.07.2008 22:35 50 wiaservc.log
09.07.2008 22:34 804 win.ini
21.06.2008 09:15 8'389 KB951376-v2.log
12.06.2008 18:29 17'602 KB951698.log
11.06.2008 18:04 18'451 KB950759-IE7.log
11.06.2008 18:02 8'358 KB950762.log
11.06.2008 18:02 6'579 KB950760.log
11.06.2008 18:02 7'997 KB951376.log
29.05.2008 17:06 11'701 KB932823-v3.log
15.05.2008 18:49 13'842 KB950749.log
17.04.2008 21:13 811'008 gmer.exe
10.04.2008 09:31 17'512 KB948881.log
10.04.2008 09:31 22'206 KB941693.log
10.04.2008 09:31 22'752 KB947864-IE7.log
10.04.2008 09:30 12'480 KB948590.log
10.04.2008 09:28 12'494 KB945553.log
08.04.2008 13:04 6'240 DPINST.LOG
293 Datei(en) 59'509'608 Bytes
0 Verzeichnis(se), 11'741'806'592 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist HD 1
Volumeseriennummer: 18EB-5790

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist HD 1
Volumeseriennummer: 18EB-5790

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.03.2007 16:00 5'021 swflash.inf
15.06.2006 15:14 65 desktop.ini
26.05.2005 04:19 293 muweb.inf
22.03.2005 15:13 77'824 asusTek_sys_ctrl.dll
13.09.2004 16:48 241 asusTek_sys_ctrl.inf
20.01.2000 15:25 1'162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
7 Datei(en) 85'303 Bytes
0 Verzeichnis(se), 11'741'806'592 Bytes frei
.
.
.


Ich danke im voraus für eure Hilfe

MFG
Dieser Beitrag wurde am 03.08.2008 um 15:37 Uhr von Piterpan editiert.
Seitenanfang Seitenende
03.08.2008, 15:58
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\CF28342.exe
C:\WINDOWS\system32\zkwlnl.dll
C:\WINDOWS\system32\sxhgpvyi.dll
C:\WINDOWS\system32\xwuurehb.dll

Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O20 - AppInit_DLLs: zkwlnl.dll fzvhrx.dll rtossm.dll
klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Zoek
Download zoek.exe zum Desktop
Doppelklick zoek.exe
Warte…. es erscheint ein logfile
Poste dessen Inhalt hier ins Forum
__________
MfG Argus
Seitenanfang Seitenende
03.08.2008, 17:01
Member

Themenstarter

Beiträge: 29
#3 Ok, das habe ich gemacht, die erste Datei habe ich nicht gefunden aber die anderen 3 sind alle nicht sauber! Und hier der Bericht von zoek.exe

======C:\WINDOWS====
----a-w 0 2008-08-03 12:58:24 C:\WINDOWS\0.log
--s-a-w 2,048 2008-08-03 12:57:00 C:\WINDOWS\bootstat.dat
----a-w 364,138 2008-07-31 09:09:26 C:\WINDOWS\comsetup.log
----a-w 1,061,146 2008-07-31 09:09:26 C:\WINDOWS\FaxSetup.log
----a-w 884,736 2008-08-03 10:01:49 C:\WINDOWS\gmer.dll
----a-w 811,008 2008-04-17 19:13:02 C:\WINDOWS\gmer.exe
----a-w 250 2008-08-03 10:01:53 C:\WINDOWS\gmer.ini
----a-w 80 2008-08-03 10:01:49 C:\WINDOWS\gmer_uninstall.cmd
----a-w 1,240,332 2008-07-31 09:09:26 C:\WINDOWS\iis6.log
----a-w 1,374 2008-07-10 01:01:10 C:\WINDOWS\imsins.BAK
----a-w 4,696 2008-07-31 09:09:26 C:\WINDOWS\imsins.log
----a-w 11,701 2008-05-29 15:06:57 C:\WINDOWS\KB932823-v3.log
----a-w 13,842 2008-05-15 16:49:09 C:\WINDOWS\KB950749.log
----a-w 18,451 2008-06-11 16:04:23 C:\WINDOWS\KB950759-IE7.log
----a-w 6,579 2008-06-11 16:02:29 C:\WINDOWS\KB950760.log
----a-w 8,358 2008-06-11 16:02:35 C:\WINDOWS\KB950762.log
----a-w 8,389 2008-06-21 07:15:08 C:\WINDOWS\KB951376-v2.log
----a-w 7,997 2008-06-11 16:02:23 C:\WINDOWS\KB951376.log
----a-w 17,602 2008-06-12 16:29:59 C:\WINDOWS\KB951698.log
----a-w 18,171 2008-07-10 01:01:09 C:\WINDOWS\KB951748.log
----a-w 75,623 2008-07-31 09:09:26 C:\WINDOWS\medctroc.Log
----a-w 54,258 2008-07-31 09:09:26 C:\WINDOWS\msgsocm.log
----a-w 343,492 2008-07-31 09:09:19 C:\WINDOWS\msmqinst.log
----a-w 187,908 2008-07-31 09:09:20 C:\WINDOWS\netfxocm.log
----a-w 221,632 2008-07-31 09:09:26 C:\WINDOWS\ntdtcsetup.log
----a-w 533,957 2008-07-31 09:09:26 C:\WINDOWS\ocgen.log
----a-w 59,519 2008-07-31 09:09:26 C:\WINDOWS\ocmsn.log
---ha-w 54,156 2008-08-03 12:57:42 C:\WINDOWS\QTFont.qfn
----a-w 32,542 2008-08-03 12:55:43 C:\WINDOWS\SchedLgU.Txt
----a-w 188,704 2008-08-03 11:56:30 C:\WINDOWS\setupact.log
----a-w 392,564 2008-07-31 09:28:49 C:\WINDOWS\setupapi.log
----a-w 227 2008-08-03 13:07:50 C:\WINDOWS\system.ini
----a-w 54,030 2008-07-31 09:09:26 C:\WINDOWS\tabletoc.log
----a-w 498,394 2008-07-31 09:09:26 C:\WINDOWS\tsoc.log
----a-w 92,890 2008-07-10 01:01:05 C:\WINDOWS\updspapi.log
----a-w 556 2008-07-10 01:07:00 C:\WINDOWS\wiadebug.log
----a-w 50 2008-07-09 20:35:17 C:\WINDOWS\wiaservc.log
----a-w 804 2008-07-09 20:34:34 C:\WINDOWS\win.ini
----a-w 1,123,863 2008-08-03 12:55:36 C:\WINDOWS\WindowsUpdate.log
----a-w 64,852 2008-07-30 07:48:08 C:\WINDOWS\wmsetup.log

Entries: 40 (38)
Directories: 0 Files: 40
Bytes: 8,460,919 Blocks: 16,544
======C:\WINDOWS\system32=====
----a-w 0 2008-08-03 10:14:26 C:\WINDOWS\System32\13c89341-.txt
----a-w 124,928 2008-04-23 04:16:29 C:\WINDOWS\System32\advpack.dll
----a-w 107,888 2008-07-10 15:20:45 C:\WINDOWS\System32\CmdLineExt.dll
----a-w 148,992 2008-06-20 17:39:48 C:\WINDOWS\System32\dnsapi.dll
----a-w 347,136 2008-04-23 04:16:29 C:\WINDOWS\System32\dxtmsft.dll
----a-w 214,528 2008-04-23 04:16:29 C:\WINDOWS\System32\dxtrans.dll
----a-w 133,120 2008-04-23 04:16:29 C:\WINDOWS\System32\extmgr.dll
----a-w 243,128 2008-07-10 01:08:08 C:\WINDOWS\System32\FNTCACHE.DAT
----a-w 63,488 2008-04-23 04:16:29 C:\WINDOWS\System32\icardie.dll
----a-w 70,656 2008-04-22 07:39:48 C:\WINDOWS\System32\ie4uinit.exe
----a-w 153,088 2008-04-23 04:16:29 C:\WINDOWS\System32\ieakeng.dll
----a-w 230,400 2008-04-23 04:16:29 C:\WINDOWS\System32\ieaksie.dll
----a-w 161,792 2008-04-20 05:07:51 C:\WINDOWS\System32\ieakui.dll
----a-w 383,488 2008-04-23 04:16:29 C:\WINDOWS\System32\ieapfltr.dll
----a-w 384,512 2008-04-23 04:16:29 C:\WINDOWS\System32\iedkcs32.dll
----a-w 6,066,176 2008-04-23 04:16:30 C:\WINDOWS\System32\ieframe.dll
----a-w 44,544 2008-04-23 04:16:30 C:\WINDOWS\System32\iernonce.dll
----a-w 267,776 2008-04-23 04:16:30 C:\WINDOWS\System32\iertutil.dll
----a-w 13,824 2008-04-22 07:39:58 C:\WINDOWS\System32\ieudinit.exe
----a-w 1,831,424 2008-04-23 04:16:30 C:\WINDOWS\System32\inetcpl.cpl
----a-w 27,648 2008-04-23 04:16:30 C:\WINDOWS\System32\jsproxy.dll
----a-w 12,632 2008-05-16 09:58:04 C:\WINDOWS\System32\lsdelete.exe
----a-w 17,486,968 2008-05-29 23:35:11 C:\WINDOWS\System32\MRT.exe
----a-w 459,264 2008-04-23 04:16:30 C:\WINDOWS\System32\msfeeds.dll
----a-w 52,224 2008-04-23 04:16:30 C:\WINDOWS\System32\msfeedsbs.dll
----a-w 3,591,680 2008-04-23 20:16:32 C:\WINDOWS\System32\mshtml.dll
----a-w 478,208 2008-04-23 04:16:31 C:\WINDOWS\System32\mshtmled.dll
----a-w 193,024 2008-04-23 04:16:31 C:\WINDOWS\System32\msrating.dll
----a-w 671,232 2008-04-23 04:16:31 C:\WINDOWS\System32\mstime.dll
----a-w 247,296 2008-06-20 17:39:48 C:\WINDOWS\System32\mswsock.dll
----a-w 102,912 2008-04-23 04:16:31 C:\WINDOWS\System32\occache.dll
----a-w 8,627 2008-07-31 08:01:39 C:\WINDOWS\System32\PAV_FOG.OPC
----a-w 73,508 2008-07-31 09:09:24 C:\WINDOWS\System32\perfc007.dat
----a-w 60,624 2008-07-31 09:09:24 C:\WINDOWS\System32\perfc009.dat
----a-w 414,766 2008-07-31 09:09:24 C:\WINDOWS\System32\perfh007.dat
----a-w 400,464 2008-07-31 09:09:24 C:\WINDOWS\System32\perfh009.dat
----a-w 959,118 2008-07-31 09:09:24 C:\WINDOWS\System32\PerfStringBackup.INI
----a-w 44,544 2008-04-23 04:16:31 C:\WINDOWS\System32\pngfilt.dll
----a-w 1,293,312 2008-05-07 05:14:45 C:\WINDOWS\System32\quartz.dll
----a-w 129,920 2008-08-01 16:04:26 C:\WINDOWS\System32\sxhgpvyi.dll
----a-w 2,650 2008-07-31 07:03:50 C:\WINDOWS\System32\tmp.reg
----a-w 0 2008-07-31 07:03:50 C:\WINDOWS\System32\tmp.txt
----a-w 105,984 2008-04-23 04:16:31 C:\WINDOWS\System32\url.dll
----a-w 1,159,680 2008-04-23 04:16:31 C:\WINDOWS\System32\urlmon.dll
----a-w 233,472 2008-04-23 04:16:32 C:\WINDOWS\System32\webcheck.dll
----a-w 826,368 2008-04-23 04:16:32 C:\WINDOWS\System32\wininet.dll
----a-w 2,262 2008-08-03 12:59:12 C:\WINDOWS\System32\wpa.dbl
----a-w 99,456 2008-07-30 10:04:44 C:\WINDOWS\System32\xwuurehb.dll
----a-w 129,920 2008-08-01 16:04:26 C:\WINDOWS\System32\zkwlnl.dll

Entries: 49 (49)
Directories: 0 Files: 49
Bytes: 40,258,651 Blocks: 78,638
======C:\WINDOWS\system32\drivers=====
----a-w 138,368 2008-06-20 10:44:38 C:\WINDOWS\System32\drivers\afd.sys
----a-w 12,960 2008-04-29 09:19:50 C:\WINDOWS\System32\drivers\Awrtpd.sys
----a-w 15,648 2008-04-29 09:19:54 C:\WINDOWS\System32\drivers\Awrtrd.sys
------w 273,024 2008-06-14 17:57:40 C:\WINDOWS\System32\drivers\bthport.sys
----a-w 85,969 2008-08-03 10:01:49 C:\WINDOWS\System32\drivers\gmer.sys
----a-w 17,144 2008-07-30 18:07:52 C:\WINDOWS\System32\drivers\mbam.sys
----a-w 38,472 2008-07-30 18:07:56 C:\WINDOWS\System32\drivers\mbamswissarmy.sys
----a-w 15,648 2008-04-29 09:20:00 C:\WINDOWS\System32\drivers\NSDriver.sys
----a-w 202,752 2008-05-08 12:28:49 C:\WINDOWS\System32\drivers\rmcast.sys
----a-w 360,320 2008-06-20 10:45:13 C:\WINDOWS\System32\drivers\tcpip.sys
----a-w 225,920 2008-06-20 09:52:06 C:\WINDOWS\System32\drivers\tcpip6.sys

Entries: 11 (11)
Directories: 0 Files: 11
Bytes: 1,386,225 Blocks: 2,713
=======C:\Programme=====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=======C:=====
----a-w 10,392 2008-08-03 13:09:00 C:\ComboFix.txt
--sha-w 1,610,612,736 2008-08-03 12:56:34 C:\pagefile.sys
----a-w 1,200 2008-07-31 07:07:48 C:\rapport.txt

Entries: 3 (2)
Directories: 0 Files: 3
Bytes: 1,610,624,328 Blocks: 3,145,752
======C:\Dokumente und Einstellungen\User\Anwendungsdaten======
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
======C:\Temp======
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
======C:\Dokumente und Einstellungen\User======
----a-w 4,718,592 2008-08-03 13:40:24 C:\Dokumente und Einstellungen\User\ntuser.dat
---ha-w 45,056 2008-08-03 14:58:41 C:\Dokumente und Einstellungen\User\ntuser.dat.LOG
--sh--w 300 2008-08-03 12:55:35 C:\Dokumente und Einstellungen\User\ntuser.ini

Entries: 3 (1)
Directories: 0 Files: 3
Bytes: 4,763,948 Blocks: 9,305
======C:\WINDOWS\Downloaded Program Files====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=============
Seitenanfang Seitenende
03.08.2008, 18:43
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Avenger nur für 32-bit Windows Vista, XP, und 2000
http://virus-protect.org/artikel/tools/avenger.html

Hinweis:
"The Avenger" muss mit Administrator-Privilegien ausgeführt werden.
In Windows Vista, muss ebenfalls bestätigt werden, dass Adminrechte vorhanden sind."

Download Avenger2 zum Desktop
Alle Fenster muessen geschlossen sein
Starte Avenger
Anhaken “ Input script manually
Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\zkwlnl.dll
C:\WINDOWS\system32\sxhgpvyi.dll
C:\WINDOWS\system32\xwuurehb.dll
C:\WINDOWS\system32\rtossm.dll

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen
__________
MfG Argus
Seitenanfang Seitenende
03.08.2008, 19:05
Member

Themenstarter

Beiträge: 29
#5 Ok danke, das hab ich jetzt auch gemacht! Unterdessen hat mir antivir noch einen TR/Trash.??? angezeigt! Hier noch der Bericht:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\zkwlnl.dll" deleted successfully.
File "C:\WINDOWS\system32\sxhgpvyi.dll" deleted successfully.
File "C:\WINDOWS\system32\xwuurehb.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\rtossm.dll" not found!
Deletion of file "C:\WINDOWS\system32\rtossm.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

MFG Piterpan
Seitenanfang Seitenende
03.08.2008, 19:15
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Systemwiederherstellung
Info:
http://virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung -->
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

Benutze CrapCleaner
http://virus-protect.org/CCleaner.html


Und scanne mit Antivir wie hier beschrieben Antivir
http://board.protecus.de/t23979.htm
Nach dem Scann die Heuristik auf "mittel" zurückdrehen
__________
MfG Argus
Seitenanfang Seitenende
04.08.2008, 00:22
Member

Themenstarter

Beiträge: 29
#7 So das habe ich jetzt auch gemacht,den [url="http://www.ccleaner.de"]CCleaner[/url] und antivir im abgesicherten modus laufen lassen, aber irgendwie ist immer noch was drauf. der tr/monder ist immer noch in quarantäne und auch noch diverse andere. kann ich die jetzt dort löschen? hier noch die berichte (2 Stk) von anti vir:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 3. August 2008 20:40

Es wird nach 1528705 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: User
Computername: PIT-PC

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 09:34:07
ANTIVIR2.VDF : 7.0.5.174 2027008 Bytes 25.07.2008 09:34:13
ANTIVIR3.VDF : 7.0.5.205 285696 Bytes 01.08.2008 16:35:16
Engineversion : 8.1.1.15
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.61 311675 Bytes 02.08.2008 16:35:23
AESCN.DLL : 8.1.0.23 119156 Bytes 31.07.2008 09:34:21
AERDL.DLL : 8.1.0.20 418165 Bytes 31.07.2008 09:34:21
AEPACK.DLL : 8.1.2.1 364917 Bytes 31.07.2008 09:34:20
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 31.07.2008 09:34:19
AEHEUR.DLL : 8.1.0.44 1343863 Bytes 31.07.2008 09:34:19
AEHELP.DLL : 8.1.0.15 115063 Bytes 31.07.2008 09:34:16
AEGEN.DLL : 8.1.0.32 315765 Bytes 02.08.2008 16:35:22
AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 16:35:21
AECORE.DLL : 8.1.1.8 172406 Bytes 02.08.2008 16:35:21
AEBB.DLL : 8.1.0.1 53617 Bytes 31.07.2008 09:34:14
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 16:35:20
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche Speicher..............: aus
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 3. August 2008 20:40

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '12' Prozesse mit '12' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '35' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HD 1>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\327882R2FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4907fc0b.qua' verschoben!
C:\327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4907fc0f.qua' verschoben!
C:\327882R2FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4907fc14.qua' verschoben!
C:\327882R2FWJFW\psexec.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48fafc23.qua' verschoben!
C:\327882R2FWJFW\pv.cfexe
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c3fc2f.qua' verschoben!


Ende des Suchlaufs: Sonntag, 3. August 2008 20:43
Benötigte Zeit: 03:09 min

Der Suchlauf wurde abgebrochen!

590 Verzeichnisse wurden überprüft
3164 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
3159 Dateien ohne Befall
37 Archive wurden durchsucht
1 Warnungen
5 Hinweise

und der andere:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 3. August 2008 22:04

Es wird nach 1528705 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: User
Computername: PIT-PC

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 09:34:07
ANTIVIR2.VDF : 7.0.5.174 2027008 Bytes 25.07.2008 09:34:13
ANTIVIR3.VDF : 7.0.5.205 285696 Bytes 01.08.2008 16:35:16
Engineversion : 8.1.1.15
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.61 311675 Bytes 02.08.2008 16:35:23
AESCN.DLL : 8.1.0.23 119156 Bytes 31.07.2008 09:34:21
AERDL.DLL : 8.1.0.20 418165 Bytes 31.07.2008 09:34:21
AEPACK.DLL : 8.1.2.1 364917 Bytes 31.07.2008 09:34:20
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 31.07.2008 09:34:19
AEHEUR.DLL : 8.1.0.44 1343863 Bytes 31.07.2008 09:34:19
AEHELP.DLL : 8.1.0.15 115063 Bytes 31.07.2008 09:34:16
AEGEN.DLL : 8.1.0.32 315765 Bytes 02.08.2008 16:35:22
AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 16:35:21
AECORE.DLL : 8.1.1.8 172406 Bytes 02.08.2008 16:35:21
AEBB.DLL : 8.1.0.1 53617 Bytes 31.07.2008 09:34:14
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 16:35:20
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche Speicher..............: aus
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 3. August 2008 22:04

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '12' Prozesse mit '12' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '35' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HD 1>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49082014.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <HD 2>


Ende des Suchlaufs: Sonntag, 3. August 2008 23:58
Benötigte Zeit: 1:53:51 min

Der Suchlauf wurde vollständig durchgeführt.

10821 Verzeichnisse wurden überprüft
370193 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
370192 Dateien ohne Befall
1704 Archive wurden durchsucht
2 Warnungen
1 Hinweise


Ich danke für die Mühe

MFG Piterpan
Seitenanfang Seitenende
04.08.2008, 01:42
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Das sind Daten von ComboFix die gefunden wurden du kannst die quarantäne löschen
__________
MfG Argus
Seitenanfang Seitenende
04.08.2008, 09:43
Member

Themenstarter

Beiträge: 29
#9 Dann ist mein PC wieder komplett clean? Kann ich denn jetzt die vielen programme wie avenger, [url="http://www.ccleaner.de"]CCleaner[/url] usw. deinstallieren? Danke nochmals für die Mühe, du hasts echt im Griff!

MFG Piterpan
Seitenanfang Seitenende
04.08.2008, 10:18
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Entferne auf C:\ avenger\backup.zip -->Papierkorb leeren
Avenger kannst du entfernen
CCleaner kann man behalten
MBAM wird mehrmals am Tag ge-updated
Die anderen Tools kann man entfernen

Wenn du Adobe Reader nur fuer PDFfiles lesen benutzt http://www.foxitsoftware.com/pdf/rd_intro.php
klein aber fein
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: