tr/dropper.gen von antivir gefunden

#31 und hier auch von combofix:

ComboFix 09-01-10.03 - Stefan 2009-01-11 13:40:31.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2047.1600 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Stefan\Desktop\Prgoramme\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\msexcl35.dll
c:\windows\system32\msltus35.dll
c:\windows\system32\mspdox35.dll
c:\windows\system32\msrdo20.dll
c:\windows\system32\mstext35.dll
c:\windows\system32\msxbse35.dll
c:\windows\system32\rdocurs.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-11 bis 2009-01-11 ))))))))))))))))))))))))))))))
.

2009-01-11 11:43 . 2009-01-11 12:39 <DIR> d-------- c:\programme\American Conquest
2009-01-04 12:23 . 2009-01-04 12:24 <DIR> d-------- c:\windows\system32\NtmsData
2009-01-04 12:14 . 2009-01-04 12:14 <DIR> d-------- c:\programme\Freeze.com
2009-01-04 12:14 . 2009-01-04 12:14 <DIR> d-------- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\InstallShield
2009-01-02 22:16 . 2009-01-04 12:14 <DIR> d-------- c:\programme\RegCleaner
2008-12-31 19:16 . 2008-12-31 19:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winferno
2008-12-31 19:11 . 2009-01-04 12:14 <DIR> d-------- c:\programme\Seekeen
2008-12-31 19:11 . 2009-01-04 12:14 <DIR> d-------- c:\programme\Free Offers from Freeze.com
2008-12-31 19:11 . 2008-12-31 19:15 243 --a------ C:\log.html
2008-12-31 14:39 . 2008-12-31 14:39 <DIR> d-------- c:\programme\Shock Utility
2008-12-31 14:38 . 2008-12-31 14:38 65,536 --a------ c:\windows\IFinst27.exe
2008-12-29 09:56 . 2008-12-29 09:56 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-16 20:46 . 2008-12-16 20:46 <DIR> d-------- c:\programme\TV Movie
2008-12-15 21:42 . 2008-12-15 21:42 <DIR> d-------- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Nvu
2008-12-15 11:45 . 2008-12-15 11:45 536 --a------ C:\kinderseite.htm_cmp_poetic000_vbtn.gif
2008-12-15 11:45 . 2008-12-15 11:45 138 --a------ C:\Angebote.htm_nav_poetic000_vbtn.gif
2008-12-15 11:43 . 2008-12-15 11:43 551 --a------ C:\image001.wmz
2008-12-15 11:42 . 2008-12-15 11:42 2,585 --a------ C:\aktuelles.htm_cmp_poetic000_bnr.gif
2008-12-15 11:37 . 2008-12-15 21:37 <DIR> d-------- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\FileZilla

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-04 21:11 --------- d-----w c:\programme\eMule
2009-01-04 11:43 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-01-04 11:14 --------- d-----w c:\programme\Yahoo!
2009-01-04 11:14 --------- d-----w c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-01-04 11:14 --------- d-----w c:\programme\CCleaner
2008-12-29 08:59 --------- d-----w c:\programme\Pfaendung
2008-12-29 08:57 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-29 08:57 --------- d-----w c:\programme\Gemeinsame Dateien\Lexware
2008-12-29 08:56 --------- d-----w c:\programme\Java
2008-12-07 09:45 --------- d-----w c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Meine Der Herr der Ringe™, Aufstieg des Hexenkönigs™-Dateien
2008-12-06 19:11 --------- d-----w c:\programme\Electronic Arts
2008-12-05 18:08 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Firefly Studios
2008-12-05 18:00 --------- d-----w c:\programme\Firefly Studios
2008-12-03 10:47 --------- d-----w c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2008-12-03 10:38 --------- d-----w c:\programme\QuickTime
2008-12-01 14:33 --------- d-----w c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-11-26 16:21 74,752 ----a-w c:\windows\ST6UNST.EXE
2008-11-26 16:21 253,952 ------w c:\windows\Setup1.exe
2008-11-26 08:39 --------- d-----w c:\programme\Zylom Games
2008-11-26 07:34 --------- d-----w c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Zylom
2008-11-26 07:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TERMINAL Studio
2008-11-25 18:13 --------- d-----w c:\dokumente und einstellungen\Stefan\Anwendungsdaten\My Battle for Middle-earth(tm) II Files
2008-11-23 12:00 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom
2008-11-22 10:35 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PlayPond
2008-11-22 10:28 --------- d-----w c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PlayFirst
2008-11-21 11:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware
2008-11-21 11:27 --------- d-----w c:\programme\Lexware
2008-11-21 11:15 --------- d-----w c:\programme\7-Zip
2008-11-19 10:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\BTrieve
2008-11-19 10:17 --------- d-----w c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Lexware
2008-11-13 14:36 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2008-11-13 14:19 --------- d-----w c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Kazaa Lite
2008-11-13 14:17 --------- d-----w c:\programme\K-Lite
2008-11-13 07:44 --------- d-----w c:\programme\CASA70
2008-10-27 06:45 21,840 ----atw c:\windows\system32\SIntfNT.dll
2008-10-27 06:45 17,212 ----atw c:\windows\system32\SIntf32.dll
2008-10-27 06:45 12,067 ----atw c:\windows\system32\SIntf16.dll
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-19 14:44 108,144 ----a-w c:\windows\system32\CmdLineExt.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 01:00 671,744 ----a-w c:\windows\system32\wininet.dll
2006-03-15 12:19 212,992 ----a-w c:\windows\inf\WG311v3\CopyWHQLDriver.exe
2006-01-26 15:55 280,576 ----a-w c:\windows\inf\WG311v3\WG311v3.sys
2005-10-06 13:17 280,576 ----a-w c:\windows\inf\WG311v3\WG311v3XP.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-11-19 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-29 136600]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-03-04 172032]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-02-18 49152]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-12-03 413696]
"nwiz"="nwiz.exe" [2008-09-17 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Stefan\Startmen�\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
NETGEAR WG311v3 Smart Wizard.lnk - c:\programme\NETGEAR\WG311v3\wlancfg5.exe [2006-04-11 1503232]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-05-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\patchget.dat"=
"c:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=
"c:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"=
"c:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"c:\\Programme\\Electronic Arts\\Aufstieg des Hexenkönigs\\game.dat"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-10-20 28544]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\programme\Firebird\Firebird_2_0\bin\fbserver.exe -s --> c:\programme\Firebird\Firebird_2_0\bin\fbserver.exe -s [?]
R4 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\programme\Firebird\Firebird_2_0\bin\fbguard.exe -s --> c:\programme\Firebird\Firebird_2_0\bin\fbguard.exe -s [?]
R4 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [2008-04-02 70336]
R4 Seekeen Service;Seekeen Service;c:\programme\Seekeen\seekeen.exe [2008-12-31 4608]
S4 Wlansvc;@%SystemRoot%\System32\wlansvc.dll,-257;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [2001-08-18 14336]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mStart Page = hxxp://de.yahoo.com
mSearch Bar = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

c:\windows\Downloaded Program Files\zylomgamesplayer.dll - O16 -: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}
hxxp://game03.zylom.com/activex/zylomgamesplayer.cab
c:\windows\Downloaded Program Files\ZylomGamesPlayer.inf
FF - ProfilePath - c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\1thcnwgy.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-11 13:41:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1844237615-162531612-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1844237615-162531612-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:65,dc,21,bd,70,8f,5f,c0,82,a8,ed,9a,ca,2c,0a,76,31,a4,65,88,fa,ff,4d,
8e,fb,0c,fe,ad,49,cc,e9,be,f3,f0,56,7a,44,92,b6,1c,46,cf,aa,e0,a3,0d,97,7b,\
"??"=hex:6d,77,c1,5e,09,b0,35,eb,ea,b5,6c,b2,8e,1f,6c,34
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\MrvGINA.dll
.
Zeit der Fertigstellung: 2009-01-11 13:41:56
ComboFix-quarantined-files.txt 2009-01-11 12:41:55

Vor Suchlauf: 16 Verzeichnis(se), 28.036.067.328 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 28,041,912,320 Bytes frei

192 --- E O F --- 2008-12-21 02:43:48
__________
Danke für Eure super Unterstützung!
Lg Stefan

#32 Start > Ausführen> Kopiere rein ComboFix /U OK

Start-->Ausführen kopiere rein: services.msc Klicke OK
sc stop “Seekeen Service“
Klicke OK

Nochmal dasselbe kopiere rein:

sc delete “Seekeen Service“
Klicke OK

Rechner neu Starten

Benutze CleanUp
Anleitung : http://www.virus-protect.org/cleanup.html
Wenn man CleanUp weiter benutzen will das haeckchen bei Delete Prefetch files entfernen!
Starte dein Rechner neu

Download und scanne mit superantispyware
http://board.protecus.de/t31252-1.htm

Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download link 1 MalwareBytes' Anti-Malware
Download link 2 MalwareBytes' Anti-Malware
Download link 3 MalwareBytes' Anti-Malware
Download link 4 MalwareBytes' Anti-Malware
Download link 5 MalwareBytes' Anti-Malware
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Update “> klicke “Suche nache Aktualisierungen “
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
“Scanner”> "Vollständigen Suchlauf durchführen".
Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Und ein log von Hijack This
__________
MfG Argus

#33 Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1643
Windows 5.1.2600 Service Pack 3

11.01.2009 16:02:25
mbam-log-2009-01-11 (16-02-25).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 118238
Laufzeit: 12 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________
Danke für Eure super Unterstützung!
Lg Stefan

#34 Ich hatte eigentlich ein log von SuperAntiSpyware erwartet
__________
MfG Argus

#35 oh, sorry. Hier der log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/11/2009 at 03:28 PM

Application Version : 4.24.1004

Core Rules Database Version : 3705
Trace Rules Database Version: 1680

Scan type : Complete Scan
Total Scan Time : 00:09:33

Memory items scanned : 496
Memory threats detected : 1
Registry items scanned : 5884
Registry threats detected : 0
File items scanned : 16722
File threats detected : 10

Trojan.Seekeen/A
C:\PROGRAMME\SEEKEEN\SEEKEEN.EXE
C:\PROGRAMME\SEEKEEN\SEEKEEN.EXE
C:\WINDOWS\Prefetch\SEEKEEN.EXE-32F341BF.pf

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ads.heias[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@doubleclick[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@apmebf[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@adtech[1].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ad.adfill[2].txt
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@www.zanox-affiliate[1].txt
__________
Danke für Eure super Unterstützung!
Lg Stefan

#36 Und ein log von Hijack This
__________
MfG Argus

#37 Okay, hier ist es schon.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:05:25, on 11.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Firebird\Firebird_2_0\bin\fbguard.exe
C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Haufe\iDesk\iDeskService\ideskpython.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Firebird\Firebird_2_0\bin\fbserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WG311v3 Smart Wizard.lnk = C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - FirebirdSQL Project - C:\Programme\Firebird\Firebird_2_0\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - C:\Programme\Firebird\Firebird_2_0\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Seekeen Service - Unknown owner - C:\Programme\Seekeen\seekeen.exe (file missing)

--
End of file - 8115 bytes
__________
Danke für Eure super Unterstützung!
Lg Stefan

#38 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O23 - Service: Seekeen Service - Unknown owner - C:\Programme\Seekeen\seekeen.exe (file missing)

Klicke Fixed checked

Und wie geht es dein Rechner
__________
MfG Argus

#39 Erst einmal Danke für Deine Hilfe.
Meinem Rechner gehst dem Anschein nach wieder besser.

Morgen Poste ich mal die logs von meinem zweitem PC. Vielleicht findest Du Zeit auch hier mal nach zu schauen.

Danke und viele Grüße
Stefan
__________
Danke für Eure super Unterstützung!
Lg Stefan

#40

Zitat

Vielleicht findest Du Zeit

Ich lasse andere fuer mich Arbeiten
__________
MfG Argus

#41 Hallo erstmal,

leider habe ich ein ähnliches Problem mit demTR/Dropper.Gen. Seit rund einer Woche popt die Fehlermeldung vom Antivir-Guard: "In der Datei 'C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QI4KUDBX\a[1].rar'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.", wenn ich ins Internet gehe auf. Nicht jedesmal, aber so einmal, zweimal am Tag. Nach Löschung oder in Quarantäne-Verschiebung kann Antivir, Malewarebytes, SDfix keine Infizierung finden. Kann mir jemand helfen? Ansonsten kann ich keine Veränderungen erkennen, bis auf, dass nach Beendigung von DirectX-betriebenen Spielen, die Gamma-Einstellung nicht zurückgesetzt wird.
Anbei den aktuellen Hijack-Log und die Auswertung von Virustotal.de.
Vielen Dank im voraus für die Mühen.

HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:22:38, on 16.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Apps\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
C:\Programme\MIC\HAWAII\Hawaii.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\ISW\alice\Signup\Tray.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ui.skype.com/ui/0/2.0.2.73/de/exitsurvey?
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NECHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ATICCC] "c:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [DetectorApp] C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
O4 - HKLM\..\Run: [MM_MODULE] C:\Programme\MIC\HAWAII\Hawaii.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EF8B2AF-17D2-404D-B0D2-1049CB9371FE}: NameServer = 62.109.123.197 213.191.74.19
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

End of file - 5567 bytes

Virustotal.de

Datei a_1_.rar empfangen 2009.01.16 10:49:04 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 21/39 (53.85%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.16 -
AhnLab-V3 2009.1.15.0 2009.01.16 -
AntiVir 7.9.0.55 2009.01.16 TR/Dropper.Gen
Authentium 5.1.0.4 2009.01.15 W32/Heuristic-CSU!Eldorado
Avast 4.8.1281.0 2009.01.15 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.15 Suspicion: unknown virus
BitDefender 7.2 2009.01.16 -
CAT-QuickHeal 10.00 2009.01.16 Win32.Trojan.Glox.gen!damaged.3
ClamAV 0.94.1 2009.01.16 -
Comodo 933 2009.01.16 -
DrWeb 4.44.0.09170 2009.01.16 -
eSafe 7.0.17.0 2009.01.15 Suspicious File
eTrust-Vet 31.6.6311 2009.01.16 Win32/Upack!corrupt
F-Prot 4.4.4.56 2009.01.15 W32/Damaged_File.gen!Eldorado
F-Secure 8.0.14470.0 2009.01.16 W32/Suspicious_U.gen
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.16 Win32:Trojan-gen {Other}
Ikarus T3.1.1.45.0 2009.01.16 -
K7AntiVirus 7.10.591 2009.01.16 -
Kaspersky 7.0.0.125 2009.01.16 -
McAfee 5496 2009.01.15 New Malware.aj
McAfee+Artemis 5496 2009.01.15 New Malware.aj
Microsoft 1.4205 2009.01.16 Trojan:Win32/Glox.gen!damaged
NOD32 3770 2009.01.16 a variant of Win32/Kryptik.AE
Norman 5.93.01 2009.01.15 W32/Suspicious_U.gen
nProtect 2009.1.8.0 2009.01.16 -
Panda 9.5.1.2 2009.01.15 -
PCTools 4.4.2.0 2009.01.15 Packed/Upack
Prevx1 V2 2009.01.16 -
Rising 21.12.41.00 2009.01.16 Packer.Win32.Upack.a
SecureWeb-Gateway 6.7.6 2009.01.16 Trojan.Dropper.Gen
Sophos 4.37.0 2009.01.16 Mal/Packer
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.16 -
TheHacker 6.3.1.4.220 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.16 PAK_Generic.001
VBA32 3.12.8.10 2009.01.16 -
ViRobot 2009.1.16.1562 2009.01.16 -
VirusBuster 4.5.11.0 2009.01.15 Packed/Upack
weitere Informationen
File size: 8351 bytes
MD5...: e8d25b12cb663f0134b301ef0f7b750a
SHA1..: ff109406acc8c210295fb2da5e98c3da77b2927b
SHA256: 1427f8089e797dd735d4e7da0d6ebe537fed0248d427ca58924eeae19ffb87a4
SHA512: ce68a7b6540be57879a05c8768826e5757ad95752bbbd13a91ba4ce833712cbe
e122db6962fb62802be85761b9a30aab35cd2d8d78a514b7e1e16baacb8a4b26
ssdeep: 192:MXZD2M6jpXocEVymfMFdCC6LlOzokmfJq3a5FDXLMDabd1BOY2pkFQi:02VX
50ymf9Ozoe3a5eiQ2mi
PEiD..: -
TrID..: File type identification
DOS Executable Generic (100.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401018
timedatestamp.....: 0x4011e0be (Sat Jan 24 03:04:30 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
j_AA 0x1000 0x15000 0x1f0 4.63 dd44939c9c2bad5ca607a4f3a1b97057
.Upack 0x16000 0x14000 0x637c 7.97 eb9ed14f82973c9acd8bc6c32d048985
.ByDwing 0x2a000 0x1000 0x1f0 4.63 dd44939c9c2bad5ca607a4f3a1b97057

( 0 imports )

( 0 exports )
packers (Kaspersky): PE_Patch

#42 >>
Wende CCleaner an

>>
Erstelle ein Log mittels Combofix (Warnledungen wegklicken)
http://virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

#43 Hallo, Swiss,

vielen Dank für die Antwort.
Habe den CCleaner genommen und dann Combofix rüberlaufen lassen und dann wieder deinstalliert.

Hier nun das Log:

ComboFix 09-01-15.01 - Meister 2009-01-16 17:31:34.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.2046.1603 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Meister\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
FW: ZoneAlarm Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-12-16 bis 2009-01-16 ))))))))))))))))))))))))))))))
.

2009-01-15 16:32 . 2009-01-15 16:32 <DIR> d-------- c:\programme\CCleaner
2009-01-15 14:19 . 2009-01-15 14:19 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-01-14 22:53 . 2009-01-16 17:21 <DIR> d-------- c:\dokumente und einstellungen\Meister\Anwendungsdaten\Bioshock
2009-01-14 22:49 . 2009-01-14 22:49 <DIR> dr-h----- c:\dokumente und einstellungen\Meister\Anwendungsdaten\SecuROM
2009-01-14 22:46 . 2007-05-16 16:45 3,497,832 --a------ c:\windows\system32\d3dx9_34.dll
2009-01-14 22:46 . 2007-03-12 16:42 3,495,784 --a------ c:\windows\system32\d3dx9_33.dll
2009-01-14 22:46 . 2007-05-16 16:45 1,124,720 --a------ c:\windows\system32\D3DCompiler_34.dll
2009-01-14 22:46 . 2007-03-12 16:42 1,123,696 --a------ c:\windows\system32\D3DCompiler_33.dll
2009-01-14 22:46 . 2007-05-16 16:45 443,752 --a------ c:\windows\system32\d3dx10_34.dll
2009-01-14 22:46 . 2007-03-15 16:57 443,752 --a------ c:\windows\system32\d3dx10_33.dll
2009-01-14 22:46 . 2007-05-31 19:30 266,088 --a------ c:\windows\system32\xactengine2_8.dll
2009-01-14 22:46 . 2007-04-04 18:55 261,480 --a------ c:\windows\system32\xactengine2_7.dll
2009-01-14 22:46 . 2007-01-24 15:27 255,848 --a------ c:\windows\system32\xactengine2_6.dll
2009-01-14 22:46 . 2007-05-31 19:29 18,280 --a------ c:\windows\system32\x3daudio1_2.dll
2009-01-14 22:42 . 2009-01-14 22:42 108,144 --a------ c:\windows\system32\CmdLineExt.dll
2009-01-14 22:35 . 2009-01-14 22:35 <DIR> d-------- c:\programme\2K Games
2009-01-14 22:34 . 2009-01-14 22:34 <DIR> d-------- c:\dokumente und einstellungen\Meister\Anwendungsdaten\InstallShield
2009-01-13 19:56 . 2009-01-16 12:22 <DIR> d-------- c:\programme\Hijack This
2009-01-12 11:47 . 2009-01-12 11:47 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-12 11:47 . 2009-01-12 11:47 <DIR> d-------- c:\dokumente und einstellungen\Meister\Anwendungsdaten\Malwarebytes
2009-01-12 11:47 . 2009-01-12 11:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-12 11:47 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-12 11:47 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-12 11:03 . 2009-01-12 11:03 578,560 --a------ c:\windows\system32\dllcache\user32.dll
2009-01-12 11:02 . 2009-01-12 11:02 <DIR> d-------- c:\windows\ERUNT
2009-01-12 09:05 . 2009-01-12 09:16 <DIR> d-------- c:\windows\system32\CatRoot_bak
2009-01-11 17:39 . 2009-01-11 17:39 <DIR> d-------- c:\programme\MSXML 4.0
2009-01-11 15:32 . 2008-08-14 14:36 2,188,288 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-11 15:32 . 2008-08-14 14:35 2,145,280 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-11 15:32 . 2008-08-14 14:36 2,065,280 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-11 15:32 . 2008-08-14 14:35 2,023,424 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-11 15:24 . 2008-06-14 18:57 273,024 --------- c:\windows\system32\drivers\bthport.sys
2009-01-11 15:24 . 2008-06-14 18:57 273,024 --------- c:\windows\system32\dllcache\bthport.sys
2009-01-11 15:22 . 2007-04-02 06:58 546,304 --------- c:\windows\system32\dllcache\hhctrl.ocx
2009-01-11 15:13 . 2008-08-28 11:04 333,056 --------- c:\windows\system32\dllcache\srv.sys
2009-01-11 15:09 . 2008-09-15 16:37 1,846,144 --------- c:\windows\system32\dllcache\win32k.sys
2009-01-11 15:03 . 2008-12-12 18:33 3,081,216 --------- c:\windows\system32\dllcache\mshtml.dll
2009-01-11 14:47 . 2008-05-08 13:28 202,752 --------- c:\windows\system32\dllcache\rmcast.sys
2009-01-11 14:46 . 2008-10-24 12:10 453,632 --------- c:\windows\system32\dllcache\mrxsmb.sys
2009-01-11 14:43 . 2008-05-01 15:30 331,776 --------- c:\windows\system32\dllcache\msadce.dll
2009-01-11 14:41 . 2008-04-11 19:50 683,520 --------- c:\windows\system32\dllcache\inetcomm.dll
2009-01-11 14:38 . 2008-10-15 17:57 332,800 --------- c:\windows\system32\dllcache\netapi32.dll
2009-01-11 14:38 . 2008-10-03 11:15 247,326 --------- c:\windows\system32\dllcache\strmdll.dll
2009-01-11 14:37 . 2008-09-04 17:43 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll
2009-01-11 12:07 . 2004-08-11 17:56 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-01-11 12:07 . 2004-08-11 17:56 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-01-11 12:07 . 2004-08-11 17:56 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-01-11 12:07 . 2009-01-16 17:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-01-11 12:07 . 2008-04-17 10:11 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-01-11 12:07 . 2008-04-17 10:25 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-01-11 12:07 . 2004-08-11 17:56 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-01-11 12:07 . 2008-04-17 10:11 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2009-01-11 12:07 . 2008-04-17 10:04 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ATI
2009-01-11 12:07 . 2009-01-15 14:19 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-01-11 12:07 . 2009-01-11 12:07 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-01-06 13:09 . 2009-01-06 13:09 102,400 --a------ c:\windows\system32\wow84_708.dll
2009-01-06 13:09 . 2009-01-06 13:09 20 --a------ c:\windows\syscheck
2009-01-02 16:40 . 2009-01-02 16:40 <DIR> d-------- c:\windows\Downloaded Installations
2009-01-02 16:40 . 2006-11-29 13:06 3,426,072 --a------ c:\windows\system32\d3dx9_32.dll
2009-01-02 16:40 . 2006-09-28 16:05 2,414,360 --a------ c:\windows\system32\d3dx9_31.dll
2009-01-02 16:40 . 2006-12-08 12:02 251,672 --a------ c:\windows\system32\xactengine2_5.dll
2009-01-02 16:40 . 2006-09-28 16:05 237,848 --a------ c:\windows\system32\xactengine2_4.dll
2009-01-02 16:40 . 2006-07-28 09:30 236,824 --a------ c:\windows\system32\xactengine2_3.dll
2009-01-02 16:40 . 2007-04-04 18:53 81,768 --a------ c:\windows\system32\xinput1_3.dll
2009-01-02 16:40 . 2006-07-28 09:30 62,744 --a------ c:\windows\system32\xinput1_2.dll
2009-01-02 16:40 . 2007-03-05 12:42 15,128 --a------ c:\windows\system32\x3daudio1_1.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-16 13:59 274,952 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-01-16 13:59 24,254,496 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-01-16 11:22 20,494,019 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2009_01_16_10_55_40_full.dmp.zip
2009-01-16 09:26 --------- d-----w c:\programme\Programme
2009-01-15 18:08 20,620,706 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2009_01_15_17_34_52_full.dmp.zip
2009-01-15 15:24 --------- d-----w c:\programme\FrostWire
2009-01-15 11:40 20,551,866 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2009_01_15_10_28_05_full.dmp.zip
2009-01-14 21:35 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-14 21:27 --------- d-----w c:\programme\Ubisoft
2009-01-09 19:57 --------- d-----w c:\dokumente und einstellungen\Meister\Anwendungsdaten\FrostWire
2008-12-14 12:23 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-23 17:16 5,722,807 ----a-w c:\windows\Internet Logs\tvDebug.zip
2008-10-23 12:59 283,648 ----a-w c:\windows\system32\gdi32.dll
2008-10-23 12:59 283,648 ------w c:\windows\system32\dllcache\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll
2008-01-14 09:57 67,696 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-01-14 09:57 54,376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-01-14 09:57 34,952 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-01-14 09:57 46,720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-01-14 09:57 172,144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 36975]
"DetectorApp"="c:\programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe" [2005-10-20 102400]
"MM_MODULE"="c:\programme\MIC\HAWAII\Hawaii.exe" [2005-11-16 121856]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-28 266497]
"RTHDCPL"="RTHDCPL.EXE" [2006-02-10 c:\windows\RTHDCPL.exe]
"NECHotkey"="mHotkey.exe" [2006-01-11 c:\windows\mHotkey.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-12-14 113664]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
2006-01-30 07:53 49152 c:\apps\Softex\OmniPass\OPXPGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= c:\progra~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.mpegacm"= mpegacm.acm
"msacm.ulmp3acm"= c:\progra~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm
"msacm.mpegacm "= c:\progra~1\GEMEIN~1\ULEADS~1\MPEG\mpegacm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"=
"%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Ubisoft\\Crytek\\Far Cry\\Bin32\\FarCry.exe"=

R0 PDDSLHND;PDDSLHND;c:\windows\system32\drivers\PDDSLHND.SYS [2008-04-17 14256]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [2008-04-17 825600]
R3 MosIrUsb;MosIrUsb.sys;c:\windows\system32\drivers\MosIrUsb.sys [2004-04-14 20736]
R3 PDDSLADP;ProDyne DSL Adapter;c:\windows\system32\drivers\PDDSLADP.SYS [2008-04-17 15568]
R4 wowsystemcode123;Remote TCP/IP;c:\windows\System32\svchost.exe -k netsvcs [2004-08-11 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
wowsystemcode123
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.alice-dsl.de
mStart Page = hxxp://www.alice-dsl.de
uInternet Connection Wizard,ShellNext = hxxp://ui.skype.com/ui/0/2.0.2.73/de/exitsurvey?
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-16 17:33:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-3910967617-2706421313-2374421588-1006\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:47,60,ca,a0,55,c8,3d,aa,34,4d,52,33,f7,af,d2,b6,49,49,ea,80,05,ac,2c,
be,00,51,d3,9e,29,56,b9,d3,80,fb,96,88,e8,ec,45,a7,2e,5f,09,b2,df,fb,f3,a9,\
"??"=hex:41,e0,42,8c,cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(744)
c:\windows\system32\Ati2evxx.dll
c:\apps\Softex\OmniPass\opxpgina.dll
.
Zeit der Fertigstellung: 2009-01-16 17:34:45
ComboFix-quarantined-files.txt 2009-01-16 16:34:43

Vor Suchlauf: 16 Verzeichnis(se), 237.627.334.656 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 237,612,691,456 Bytes frei

196 --- E O F --- 2009-01-11 20:36:48



Ich hoffe, dass bringt etwas mehr Licht in die Sache.

Gruss Bramvan

#44 >>
Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
PC NEustarten dann das Häkchen wieder rausnehmen. (also wieder aktivieren)

>>
Update dein Java:
http://board.protecus.de/t32385-1.htm

>>
Dürfte eigentlich sauber sein aber, Stelle Dein Avira Antivir so ein wie hier beschrieben. Dann scanne und poste das Log.
(Nach dem scanen, Einstellungen wieder zurücksetzen)
http://board.protecus.de/t23979.htm

Gruss Swiss

#45 Ja, vielen Dank für die Anleitung Swiss,

und tatsächlich hat der Kettenhund in der neuen Konfigurations 4mal angeschlagen.
Hier die Antivir-Log:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 16. Januar 2009 19:07

Es wird nach 1213455 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: SN118607370317

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 12.12.2008 11:15:01
AVSCAN.DLL : 8.1.4.0 48897 Bytes 28.07.2008 13:38:02
LUKE.DLL : 8.1.4.5 164097 Bytes 28.07.2008 13:38:03
LUKERES.DLL : 8.1.4.0 12545 Bytes 28.07.2008 13:38:03
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 18:23:18
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 16:19:40
ANTIVIR2.VDF : 7.1.1.114 2048 Bytes 14.01.2009 16:19:40
ANTIVIR3.VDF : 7.1.1.124 154112 Bytes 15.01.2009 16:19:41
Engineversion : 8.2.0.54
AEVDF.DLL : 8.1.0.6 102772 Bytes 07.11.2008 18:23:22
AESCRIPT.DLL : 8.1.1.24 340348 Bytes 11.01.2009 18:03:24
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 18:23:20
AERDL.DLL : 8.1.1.3 438645 Bytes 07.11.2008 18:23:20
AEPACK.DLL : 8.1.3.5 393588 Bytes 11.01.2009 18:03:24
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12.12.2008 11:15:01
AEHEUR.DLL : 8.1.0.78 1532280 Bytes 11.01.2009 18:03:23
AEHELP.DLL : 8.1.2.0 119159 Bytes 12.12.2008 11:15:01
AEGEN.DLL : 8.1.1.8 323956 Bytes 12.12.2008 11:15:01
AEEMU.DLL : 8.1.0.9 393588 Bytes 07.11.2008 18:23:18
AECORE.DLL : 8.1.5.2 172405 Bytes 12.12.2008 11:15:01
AEBB.DLL : 8.1.0.3 53618 Bytes 07.11.2008 18:23:18
AVWINLL.DLL : 1.0.0.12 15105 Bytes 28.07.2008 13:38:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 28.07.2008 13:38:02
AVREP.DLL : 8.0.0.2 98344 Bytes 31.08.2008 10:53:19
AVREG.DLL : 8.0.0.1 33537 Bytes 28.07.2008 13:38:02
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 28.07.2008 13:38:02
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 28.07.2008 13:38:03
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 28.07.2008 13:38:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 28.07.2008 13:38:01

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 16. Januar 2009 19:07

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '47145' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'USBDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hawaii.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DetectorApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mHotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OPXPApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '38' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '55' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HDD>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Programme\frostwire-4.13.5.windows.exe
[0] Archivtyp: NSIS
--> [PluginsDir]/apbarSp.FrostWire.exe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/AdInstaller.F
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49dfd075.qua' verschoben!
C:\Programme\Programme\frostwire-4.17.0.windows.exe
[0] Archivtyp: NSIS
--> [PluginsDir]/apbarSp.FrostWire.exe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/AdInstaller.F
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49dfd088.qua' verschoben!
C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP4\A0000137.exe
[0] Archivtyp: NSIS
--> [PluginsDir]/apbarSp.FrostWire.exe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/AdInstaller.F
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49a0d22f.qua' verschoben!
C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP4\A0000138.exe
[0] Archivtyp: NSIS
--> [PluginsDir]/apbarSp.FrostWire.exe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/AdInstaller.F
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49a0d23e.qua' verschoben!


Ende des Suchlaufs: Freitag, 16. Januar 2009 20:01
Benötigte Zeit: 54:48 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

7106 Verzeichnisse wurden überprüft
352457 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
352451 Dateien ohne Befall
7875 Archive wurden durchsucht
6 Warnungen
4 Hinweise
47145 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Ist das jetzt nun das Ende der Warnmeldung oder nur die erste Spur für weitere Gemeinheiten?