activexdebugger.exe auf Stick (und doch nicht)

#1 Tach
Wenn ich meinen Stick im Windows anstecke und versuche über den Arbeitsplatz drauf zuzugreifen, dann klingelt Avira Antivir und sagt activexdebugger(32 vlt).exe sei drauf. Wenn ich dann über Antivir löschen oder in Quarantäne verschieben will gibt es auf einmal keinen Zugriff mehr drauf. Wenn ich den Stick auf Linux ansehe, kann ich allerdings keine activexdebugger.exe finden



Hier ein Hijackthis.log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:25:22, on 25.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Pidgin\pidgin.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://store.steampowered.com/screenshot/view/5380/?size=1024
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{84426806-ED72-4E1F-A6DF-5CC10745E139}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4701629-072A-43DE-A154-DA7EF6C721AE}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4309 bytes



Was ist da denn los?

#2 Aktualisiere dein Antivir, waehle beim naechsten Einstecken des Sticks "Zugriff verweigern", und lasse Laufwerk c und den USB-Stick mit Antivir pruefen. Poste den erstellten Report.
__________
MfG Ralf
SEO-Spam Hunter

#3 Als ich den Stick eingesteckt habe konnte ich bereits nichts mehr damit anstellen, bei einem Doppelklick im Arbeitsplatz kommt ein "Öffnen mit..." Menü

Avira Scan mit dem Stick hat nichts ergeben. Beim Scan von C: gabs eine Warnung



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 25. Oktober 2008 16:09

Es wird nach 1707164 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Apoth
Computername: JONAS

Versionsinformationen:
BUILD.DAT : 8.2.0.334 16933 Bytes 16.10.2008 14:53:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.7.59 4366336 Bytes 19.10.2008 12:47:11
ANTIVIR3.VDF : 7.0.7.90 187392 Bytes 25.10.2008 13:48:52
Engineversion : 8.2.0.9
AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 18:54:47
AESCRIPT.DLL : 8.1.1.9 319867 Bytes 16.10.2008 18:54:46
AESCN.DLL : 8.1.1.3 123252 Bytes 16.10.2008 18:54:45
AERDL.DLL : 8.1.1.2 438644 Bytes 18.09.2008 17:41:57
AEPACK.DLL : 8.1.2.4 369014 Bytes 16.10.2008 18:54:45
AEOFFICE.DLL : 8.1.0.29 196988 Bytes 24.10.2008 17:14:28
AEHEUR.DLL : 8.1.0.63 1479032 Bytes 24.10.2008 17:14:28
AEHELP.DLL : 8.1.1.2 115062 Bytes 16.10.2008 18:54:44
AEGEN.DLL : 8.1.0.42 319861 Bytes 24.10.2008 17:14:27
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 18:54:43
AECORE.DLL : 8.1.2.8 172406 Bytes 24.10.2008 17:14:27
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 18:54:41
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 29.08.2008 14:56:06
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: ShlExt
Konfigurationsdatei..............: C:\DOKUME~1\Apoth\LOKALE~1\Temp\db4d2c28.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 25. Oktober 2008 16:09

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WINDOWS>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Samstag, 25. Oktober 2008 16:18
Benötigte Zeit: 08:46 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4216 Verzeichnisse wurden überprüft
129572 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
129571 Dateien ohne Befall
1851 Archive wurden durchsucht
1 Warnungen
0 Hinweise

#4 Wenn du den Inhalt des USB Sticks nicht brauchst, stecke ihn vor dem Anschalten des PC ein und starte den PC. Dann solltest du den Stick auf jeden Fall formatieren koennen und sei es, indem du im abgesicherten Modus startest.
__________
MfG Ralf
SEO-Spam Hunter

#5 An sich kann ich nicht auf den Inhalt verzichten, aber ich glaube von meinem Ubuntu aus komme ich an den Inhalt.
Kann ich den Inhalt kopieren und später im Windows scannen? (oder gibt es Winscanner für Linux?

#6 hast du auch deinen stick gescant. arbeitsplatz öffnen stick auswählen dannn rechsklick und ausgewählte dateien mit avira überprüfen

#7 Ja, Stick wurde gescannt. Hab ich doch geschrieben