Antivirus 2009 und falsche Google-Links

#1 Ich habe mal wieder einen infizierten PC hier stehen,

dasselbe Problem wie einige andere auch schon, in der Taskleiste das Antivirus 2009 und als ich das board aufrufen wollte, ein fehlgeleiteter Link

ich habe alles abgearbeitet, malware hat 19 Infektionen gefunden, die habe ich gelöscht

combofix hat m.e. nix mehr gefunden

da ich aber die Logs nicht interpretieren kann, meine Bitte an euch
ob mal jemand drüber schauen kann, ob alles okay ist, oder ob ich besser noch was durchlaufen lasse :-)

malware-log

Zitat

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1422
Windows 5.1.2600 Service Pack 3

25.11.2008 08:52:55
mbam-log-2008-11-25 (08-52-49).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 56918
Laufzeit: 2 minute(s), 50 second(s)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 9

Infizierte Speicherprozesse:
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert) -> No action taken.
C:\Programme\AntivirusPro2009\AntivirusPro2009.exe (Rogue.Antivirus2008) -> No action taken.

Infizierte Speichermodule:
C:\Programme\AntivirusPro2009\htmlayout.dll (Rogue.AntivirusPro2009) -> No action taken.
C:\Programme\AntivirusPro2009\AVEngn.dll (Rogue.Antivirus2008) -> No action taken.
C:\Programme\AntivirusPro2009\pthreadVC2.dll (Rogue.Antivirus2008) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\antiviruspro2009 (Rogue.Antivirus2008) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert.H) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\AntivirusPro2009 (Rogue.Antivirus2008) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert.H) -> No action taken.
C:\Programme\AntivirusPro2009\htmlayout.dll (Rogue.AntivirusPro2009) -> No action taken.
C:\WINDOWS\system32\~.exe (Trojan.FakeAlert) -> No action taken.
C:\Programme\AntivirusPro2009\AntivirusPro2009.exe (Rogue.Antivirus2008) -> No action taken.
C:\Programme\AntivirusPro2009\AVEngn.dll (Rogue.Antivirus2008) -> No action taken.
C:\Programme\AntivirusPro2009\pthreadVC2.dll (Rogue.Antivirus2008) -> No action taken.
C:\Programme\AntivirusPro2009\Uninstall.exe (Rogue.Antivirus2008) -> No action taken.
C:\WINDOWS\system32\_scui.cpl (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\wini101979.exe (Trojan.FakeAlert) -> No action taken.

combofix.log

Zitat

ComboFix 08-11-24.01 - Anwender 2008-11-25 9:00:12.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1356 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Anwender\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Anwender\Lokale Einstellungen\Temporary Internet Files\awoke.inf
c:\dokumente und einstellungen\Anwender\Lokale Einstellungen\Temporary Internet Files\ojatejosy.dl
c:\dokumente und einstellungen\Anwender\Lokale Einstellungen\Temporary Internet Files\wogygitu.bin
c:\dokumente und einstellungen\Franz\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
c:\dokumente und einstellungen\Franz\Lokale Einstellungen\Temporary Internet Files\pydep.lib
c:\windows\IE4 Error Log.txt

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-25 bis 2008-11-25 ))))))))))))))))))))))))))))))
.

2008-11-25 08:43 . 2008-11-25 08:52 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-25 08:43 . 2008-11-25 08:43 <DIR> d-------- c:\dokumente und einstellungen\Anwender\Anwendungsdaten\Malwarebytes
2008-11-25 08:43 . 2008-11-25 08:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-25 08:43 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-25 08:43 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-25 08:00 . 2008-11-25 08:00 19,337 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\kamone.reg
2008-11-14 08:52 . 2008-11-14 08:52 17,147 --a------ c:\dokumente und einstellungen\Anwender\Anwendungsdaten\udavagisez.exe
2008-11-14 08:52 . 2008-11-14 08:52 17,087 --a------ c:\windows\system32\okahuvuri.dl
2008-11-14 08:52 . 2008-11-14 08:52 17,031 --a------ c:\windows\system32\ficoca.reg
2008-11-14 08:52 . 2008-11-14 08:52 15,113 --a------ c:\windows\system32\kixenocyly.dl
2008-11-14 08:52 . 2008-11-14 08:52 11,559 --a------ c:\windows\system32\uhymufog.dll
2008-11-14 08:52 . 2008-11-14 08:52 10,767 --a------ c:\programme\Gemeinsame Dateien\zone.bin
2008-11-14 08:50 . 2008-11-14 08:50 19,845 --a------ c:\windows\system32\fomov.pif
2008-11-14 08:50 . 2008-11-14 08:50 17,596 --a------ c:\windows\system32\kavotibez.dll
2008-11-14 08:50 . 2008-11-14 08:50 17,313 --a------ c:\dokumente und einstellungen\Anwender\Anwendungsdaten\fotu.pif
2008-11-14 08:50 . 2008-11-14 08:50 16,343 --a------ c:\dokumente und einstellungen\Anwender\Anwendungsdaten\afuboka.scr
2008-11-14 08:50 . 2008-11-14 08:50 15,865 --a------ c:\dokumente und einstellungen\Anwender\Anwendungsdaten\sypomub.scr
2008-11-14 08:50 . 2008-11-14 08:50 15,728 --a------ c:\programme\Gemeinsame Dateien\zyfyd.exe
2008-11-14 08:50 . 2008-11-14 08:50 15,453 --a------ c:\programme\Gemeinsame Dateien\italemyl.bin
2008-11-14 08:50 . 2008-11-14 08:50 14,784 --a------ c:\programme\Gemeinsame Dateien\vewo.scr
2008-11-14 08:50 . 2008-11-14 08:50 13,938 --a------ c:\programme\Gemeinsame Dateien\ywytucowod.pif
2008-11-14 08:50 . 2008-11-14 08:50 12,380 --a------ c:\dokumente und einstellungen\Anwender\Anwendungsdaten\evataka.bat
2008-11-14 08:50 . 2008-11-14 08:50 11,471 --a------ c:\dokumente und einstellungen\Anwender\Anwendungsdaten\yfonylulic.dat
2008-11-14 08:50 . 2008-11-14 08:50 10,696 --a------ c:\programme\Gemeinsame Dateien\ukozelo.reg
2008-11-12 20:34 . 2008-11-13 21:13 43 --a------ c:\windows\cdplayer.ini
2008-11-12 12:27 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-08 18:16 . 2008-11-08 18:16 <DIR> d-------- c:\programme\Gemeinsame Dateien\PCSuite
2008-11-08 18:16 . 2008-11-08 18:16 <DIR> d-------- c:\programme\Gemeinsame Dateien\Nokia
2008-11-03 19:38 . 2008-11-03 19:38 <DIR> d-------- c:\programme\Opera
2008-10-27 12:28 . 2008-10-27 12:28 <DIR> d-------- c:\programme\Gemeinsame Dateien\xing shared
2008-10-27 12:28 . 2008-10-27 12:28 <DIR> d-------- c:\programme\Gemeinsame Dateien\Real
2008-10-27 12:28 . 2008-10-27 12:28 <DIR> d-------- C:\Program Files
2008-10-26 12:20 . 2008-11-09 19:18 69 --a------ c:\windows\NeroDigital.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-14 07:50 10,121 ----a-w c:\programme\Gemeinsame Dateien\yxikiwuju.db
2008-11-09 18:19 --------- d-----w c:\dokumente und einstellungen\Birgit\Anwendungsdaten\Ulead Systems
2008-11-08 17:16 --------- d-----w c:\programme\Nokia
2008-11-08 17:13 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2008-10-31 04:17 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-10-27 11:28 499,712 ----a-w c:\windows\system32\msvcp71.dll
2008-10-27 11:28 348,160 ----a-w c:\windows\system32\msvcr71.dll
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-24 10:56 --------- d-----w c:\programme\McDonaldsDragons
2008-10-20 18:31 --------- d-----w c:\programme\Picasa2
2008-10-19 08:54 --------- d-----w c:\dokumente und einstellungen\Franz\Anwendungsdaten\PC Suite
2008-10-11 10:46 --------- d-----w c:\dokumente und einstellungen\Birgit\Anwendungsdaten\ChessBase
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-28 18:27 --------- d-----w c:\dokumente und einstellungen\Birgit\Anwendungsdaten\PC Suite
2008-09-28 09:26 --------- d-----w c:\dokumente und einstellungen\Birgit\Anwendungsdaten\Ahead
2008-09-26 19:28 --------- d-----w c:\dokumente und einstellungen\Anwender\Anwendungsdaten\PC Suite
2008-09-26 19:26 --------- d-----w c:\dokumente und einstellungen\Anwender\Anwendungsdaten\Nokia
2008-09-26 19:26 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2008-09-26 19:25 --------- d-----w c:\programme\PC Connectivity Solution
2008-09-26 19:25 --------- d-----w c:\programme\DIFX
2008-09-26 19:19 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-09-26 19:19 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-09-26 10:18 --------- d-----w c:\programme\EPSON
2008-09-26 10:12 --------- d-----w c:\dokumente und einstellungen\Anwender\Anwendungsdaten\Ulead Systems
2008-09-16 15:54 315,392 ----a-w c:\windows\HideWin.exe
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-26 07:57 826,368 ----a-w c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-25 68856]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-10-02 1124352]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-31 7634944]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-31 86016]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 90112]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-10-27 185872]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"nwiz"="nwiz.exe" [2006-10-31 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-25 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-10-11 c:\windows\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2008-09-24 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2008-09-24 265088]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\pushinst.exe

*Newly Created Service* - PROCEXP90
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 09:00:57
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-25 9:01:57
ComboFix-quarantined-files.txt 2008-11-25 08:01:25

Vor Suchlauf: 13 Verzeichnis(se), 150.321.922.048 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 150,418,558,976 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

149 --- E O F --- 2008-11-12 13:59:03

#2 HiJackThis.log

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:07:24, on 25.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\hiJack\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5745 bytes

uninstall.log

Zitat

Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player 10 ActiveX
Adobe Flash Player Plugin
Adobe Reader 8.1.2 - Deutsch
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!Box Dokumentation
AVM FRITZ!Box Druckeranschluss
EPSON Scan
EPSON-Drucker-Software
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
Malwarebytes' Anti-Malware
McDonald's Dragons
Microsoft .NET Framework 2.0
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2005 Redistributable
MSVC80_x86
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Nero 7 Essentials
neroxml
Nokia Connectivity Cable Driver
Nokia PC Suite
Nokia PC Suite
NVIDIA Drivers
Opera 9.62
PC Connectivity Solution
Picasa 2
PowerDVD
RealPlayer
Realtek High Definition Audio Driver
Security Update für Microsoft .NET Framework 2.0 (KB928365)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Media Encoder (KB954156)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
SLD Codec Pack
Ulead COOL 360 1.0
Ulead Photo Explorer 8.6
Ulead PhotoImpact 12
Update für Windows XP (KB898461)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Windows Internet Explorer 7
Windows Media Encoder 9-Reihe
Windows Media Encoder 9-Reihe
Windows Media Format Runtime
Windows Media Player 10
Windows-Treiberpaket - Nokia Modem (05/22/2008 3.8)
Windows-Treiberpaket - Nokia Modem (05/22/2008 7.00.0.1)
Windows-Treiberpaket - Nokia pccsmcfd (10/12/2007 6.85.4.0)
WinRAR Archivierer

#3 >>
Lasse folgende Datei bei VIRUSTOTAL prüfen und poste das Ergebnis:

c:\dokumente und einstellungen\Anwender\Anwendungsdaten\udavagisez.exe
c:\programme\Gemeinsame Dateien\zyfyd.exe
c:\windows\system32\drivers\avmeject.sys

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
c:\dokumente und einstellungen\All Users\Anwendungsdaten\kamone.reg
c:\dokumente und einstellungen\Anwender\Anwendungsdaten\udavagisez.exe
c:\windows\system32\okahuvuri.dl
c:\windows\system32\ficoca.reg
c:\windows\system32\kixenocyly.dl
c:\windows\system32\uhymufog.dll
c:\programme\Gemeinsame Dateien\zone.bin
c:\windows\system32\fomov.pif
c:\windows\system32\kavotibez.dll
c:\dokumente und einstellungen\Anwender\Anwendungsdaten\fotu.pif
c:\dokumente und einstellungen\Anwender\Anwendungsdaten\afuboka.scr
c:\dokumente und einstellungen\Anwender\Anwendungsdaten\sypomub.scr
c:\programme\Gemeinsame Dateien\zyfyd.exe
c:\programme\Gemeinsame Dateien\italemyl.bin
c:\programme\Gemeinsame Dateien\vewo.scr
c:\programme\Gemeinsame Dateien\ywytucowod.pif
c:\dokumente und einstellungen\Anwender\Anwendungsdaten\evataka.bat
c:\dokumente und einstellungen\Anwender\Anwendungsdaten\yfonylulic.dat
c:\programme\Gemeinsame Dateien\ukozelo.reg
c:\programme\Gemeinsame Dateien\yxikiwuju.db

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify"=dword:00000001 - in 0 ändern
rechtsklick auf den Eintrag auf UpdatesDisableNotify
die 1 wegklicken und 0 reinschreiben, dann abspeichern

Das gleiche mit:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall": 0 in 1 ändern.

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html

Gruss Swiss

#4 Guten Morgen

dann werd ich mal loslegen

Virustotal

1.

Zitat

Datei udavagisez.exe empfangen 2008.11.26 08:24:04 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/37 (0%)

2.

Zitat

Datei zyfyd.exe empfangen 2008.11.26 08:27:15 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/37 (0%)

3.

Zitat

Datei avmeject.sys empfangen 2008.11.26 08:31:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/37 (0%)

#5 avenger-log

Zitat

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\dokumente und einstellungen\All Users\Anwendungsdaten\kamone.reg" deleted successfully.
File "c:\dokumente und einstellungen\Anwender\Anwendungsdaten\udavagisez.exe" deleted successfully.
File "c:\windows\system32\okahuvuri.dl" deleted successfully.
File "c:\windows\system32\ficoca.reg" deleted successfully.
File "c:\windows\system32\kixenocyly.dl" deleted successfully.
File "c:\windows\system32\uhymufog.dll" deleted successfully.
File "c:\programme\Gemeinsame Dateien\zone.bin" deleted successfully.
File "c:\windows\system32\fomov.pif" deleted successfully.
File "c:\windows\system32\kavotibez.dll" deleted successfully.
File "c:\dokumente und einstellungen\Anwender\Anwendungsdaten\fotu.pif" deleted successfully.
File "c:\dokumente und einstellungen\Anwender\Anwendungsdaten\afuboka.scr" deleted successfully.
File "c:\dokumente und einstellungen\Anwender\Anwendungsdaten\sypomub.scr" deleted successfully.
File "c:\programme\Gemeinsame Dateien\zyfyd.exe" deleted successfully.
File "c:\programme\Gemeinsame Dateien\italemyl.bin" deleted successfully.
File "c:\programme\Gemeinsame Dateien\vewo.scr" deleted successfully.
File "c:\programme\Gemeinsame Dateien\ywytucowod.pif" deleted successfully.
File "c:\dokumente und einstellungen\Anwender\Anwendungsdaten\evataka.bat" deleted successfully.
File "c:\dokumente und einstellungen\Anwender\Anwendungsdaten\yfonylulic.dat" deleted successfully.
File "c:\programme\Gemeinsame Dateien\ukozelo.reg" deleted successfully.
File "c:\programme\Gemeinsame Dateien\yxikiwuju.db" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#6 SDFix

Zitat

SDFix: Version 1.240
Run by Anwender on 26.11.2008 at 09:10

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Dokumente und Einstellungen\All Users\Dokumente\idotyzegy.scr - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-26 09:12:49
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 20 Oct 2008 6,108,728 A..H. --- "C:\Programme\Picasa2\setup.exe"
Sun 2 Nov 2008 25,842,736 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\78b9f0fca14b827431ab4e89a4aa4d62\BIT1.tmp"

Finished!

#7 datfind

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3829-086A

Verzeichnis von c:\

26.11.2008 09:20 0 dirdat.txt
26.11.2008 09:11 2.145.386.496 pagefile.sys
26.11.2008 08:56 4.044 avenger.txt
25.11.2008 09:01 10.817 ComboFix.txt
25.11.2008 08:59 281 boot.ini
16.09.2008 16:44 0 IO.SYS
16.09.2008 16:44 0 MSDOS.SYS
16.09.2008 16:44 0 CONFIG.SYS
16.09.2008 16:44 0 AUTOEXEC.BAT
16.09.2008 16:40 211 Boot.bak

Verzeichnis von C:\WINDOWS\system32

26.11.2008 09:14 81.496 nvapps.xml
26.11.2008 09:12 2.206 wpa.dbl
19.11.2008 18:52 405.118 perfh007.dat
19.11.2008 18:52 58.596 perfc009.dat
19.11.2008 18:52 392.296 perfh009.dat
19.11.2008 18:52 70.580 perfc007.dat
19.11.2008 18:52 938.224 PerfStringBackup.INI
04.11.2008 01:10 17.318.336 MRT.exe
27.10.2008 12:28 185.920 rmoc3260.dll
27.10.2008 12:28 5.632 pndx5032.dll
27.10.2008 12:28 6.656 pndx5016.dll
27.10.2008 12:28 348.160 msvcr71.dll
27.10.2008 12:28 499.712 msvcp71.dll
27.10.2008 12:28 278.528 pncrt.dll
16.10.2008 19:06 309.192 FNTCACHE.DAT
15.10.2008 17:35 337.408 netapi32.dll
03.10.2008 17:58 6.066.176 ieframe.dll
30.09.2008 16:43 1.286.152 msxml4.dll
16.09.2008 18:25 208.296 TZLog.log
16.09.2008 17:40 0 h323log.txt
16.09.2008 17:38 4.444 pid.PNF
16.09.2008 17:16 16.832 amcompat.tlb
16.09.2008 17:16 23.392 nscompat.tlb
16.09.2008 16:56 146.650 BuzzingBee.wav
16.09.2008 16:56 940.794 LoopyMusic.wav
16.09.2008 16:46 914 $winnt$.inf
16.09.2008 16:44 2.951 CONFIG.NT
16.09.2008 16:43 488 logonui.exe.manifest
16.09.2008 16:43 488 WindowsLogon.manifest
16.09.2008 16:43 749 sapi.cpl.manifest
16.09.2008 16:43 749 nwc.cpl.manifest
16.09.2008 16:43 749 ncpa.cpl.manifest
16.09.2008 16:43 749 wuaucpl.cpl.manifest
16.09.2008 16:43 749 cdplayer.exe.manifest
16.09.2008 16:42 21.740 emptyregdb.dat
15.09.2008 16:24 1.846.528 win32k.sys
10.09.2008 02:13 1.307.648 msxml6.dll
05.09.2008 22:31 267.304 WgaLogon.dll
05.09.2008 22:30 1.480.232 LegitCheckControl.dll
05.09.2008 22:30 952.360 WgaTray.exe
04.09.2008 18:15 1.106.944 msxml3.dll
27.08.2008 09:57 3.593.216 mshtml.dll
26.08.2008 08:57 826.368 wininet.dll
26.08.2008 08:57 1.159.680 urlmon.dll
26.08.2008 08:57 233.472 webcheck.dll
26.08.2008 08:57 102.912 occache.dll
26.08.2008 08:57 477.696 mshtmled.dll
26.08.2008 08:57 193.024 msrating.dll
26.08.2008 08:57 105.984 url.dll
26.08.2008 08:57 671.232 mstime.dll
26.08.2008 08:57 44.544 pngfilt.dll
26.08.2008 08:57 52.224 msfeedsbs.dll
26.08.2008 08:57 459.264 msfeeds.dll
26.08.2008 08:57 1.831.424 inetcpl.cpl
26.08.2008 08:57 44.544 iernonce.dll
26.08.2008 08:57 27.648 jsproxy.dll
26.08.2008 08:57 267.776 iertutil.dll
26.08.2008 08:57 63.488 icardie.dll
26.08.2008 08:57 384.512 iedkcs32.dll
26.08.2008 08:57 383.488 ieapfltr.dll
26.08.2008 08:57 347.136 dxtmsft.dll
26.08.2008 08:57 230.400 ieaksie.dll
26.08.2008 08:57 153.088 ieakeng.dll
26.08.2008 08:57 214.528 dxtrans.dll
26.08.2008 08:57 133.120 extmgr.dll
26.08.2008 08:57 124.928 advpack.dll
25.08.2008 09:38 13.824 ieudinit.exe
25.08.2008 09:37 70.656 ie4uinit.exe
23.08.2008 06:54 161.792 ieakui.dll

Verzeichnis von C:\WINDOWS

26.11.2008 09:14 159 wiadebug.log
26.11.2008 09:14 50 wiaservc.log
26.11.2008 09:13 1.731.367 WindowsUpdate.log
26.11.2008 09:11 2.048 bootstat.dat
26.11.2008 09:05 32.642 SchedLgU.Txt
25.11.2008 09:00 227 system.ini
13.11.2008 21:13 43 cdplayer.ini
09.11.2008 19:18 69 NeroDigital.ini
28.10.2008 18:53 400 ODBC.INI
26.09.2008 11:33 71 Pex.INI
26.09.2008 11:12 386 ULead32.ini
16.09.2008 17:40 0 Sti_Trace.log
16.09.2008 17:23 573 win.ini
16.09.2008 17:15 316.640 WMSysPr9.prx
16.09.2008 16:54 315.392 HideWin.exe
16.09.2008 16:52 4.853 Ascd_tmp.ini
16.09.2008 16:47 8.192 REGLOCS.OLD
16.09.2008 16:44 0 control.ini
16.09.2008 16:44 4.161 ODBCINST.INI
16.09.2008 16:43 749 WindowsShell.Manifest
16.09.2008 16:41 37 vbaddin.ini
16.09.2008 16:41 36 vb.ini

Verzeichnis von C:\DOKUME~1\Anwender\LOKALE~1\Temp

26.11.2008 09:15 174 addonscheck.xml
26.11.2008 09:15 13.290 pcsuitecheck_new.xml
26.11.2008 09:14 22.263 Turkish.bin
26.11.2008 09:14 21.975 Norwegian.bin
26.11.2008 09:14 19.564 Hebrew.bin
26.11.2008 09:14 26.094 Hungarian.bin
26.11.2008 09:14 22.868 Finnish.bin
26.11.2008 09:14 24.321 Czech.bin
26.11.2008 09:14 25.082 Portuguese(Brazil).bin
26.11.2008 09:14 24.232 Polish.bin
26.11.2008 09:14 25.093 Greek.bin
26.11.2008 09:14 21.987 Thai.bin
26.11.2008 09:14 20.991 Arabic.bin
26.11.2008 09:14 16.420 SimChin.bin
26.11.2008 09:14 21.944 English.bin
26.11.2008 09:14 26.271 Portuguese.bin
26.11.2008 09:14 24.093 SWEDISH.bin
26.11.2008 09:14 27.764 Spanish.bin
26.11.2008 09:14 47 NGLALog.txt
26.11.2008 09:14 26.136 Russian.bin
26.11.2008 09:14 27.421 Italian.bin
26.11.2008 09:14 25.764 German.bin
26.11.2008 09:14 27.245 French.bin
26.11.2008 09:14 16.962 TradChin.bin
26.11.2008 09:14 25.758 Dutch.bin
26.11.2008 09:14 22.794 Danish.bin
26.11.2008 09:14 20.145 Korean.bin
26.11.2008 09:14 24.310 Japanese.bin

so, das war es ....

@swiss, danke schonmal im Voraus

Bambam

#8 >>
Entferne unter C:\SDFix\backups\ --> papierkorb leeren.

>>
Stelle Antivir so ein wie hier beschrieben und scanne dann poste das Log:
http://board.protecus.de/t23979.htm
Dannach die Einstellungen wieder zurückstellen.

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

Gruss Swiss

#9 antivir log

Zitat

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 27. November 2008 08:43

Es wird nach 1055887 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: HOME-WUNSCH

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 27.11.2008 07:34:50
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 13:42:37
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 15:51:36
ANTIVIR2.VDF : 7.1.0.124 376832 Bytes 23.11.2008 07:34:50
ANTIVIR3.VDF : 7.1.0.144 150528 Bytes 27.11.2008 07:34:50
Engineversion : 8.2.0.35
AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 15:00:06
AESCRIPT.DLL : 8.1.1.15 332156 Bytes 12.11.2008 16:23:34
AESCN.DLL : 8.1.1.5 123251 Bytes 09.11.2008 10:07:46
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 18:17:43
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 16:24:22
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 09.11.2008 10:07:45
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 09.11.2008 10:07:44
AEHELP.DLL : 8.1.2.0 119159 Bytes 27.11.2008 07:34:50
AEGEN.DLL : 8.1.1.5 323956 Bytes 27.11.2008 07:34:50
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 15:00:00
AECORE.DLL : 8.1.5.1 172406 Bytes 27.11.2008 07:34:50
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 14:59:58
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 16.09.2008 16:54:01
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 27. November 2008 08:43

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '33582' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avwsc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclRSSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclIrSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MPAPI3s.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PcSync2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PicasaMediaDetector.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCSuite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FRITZWLANMini.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '54' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Donnerstag, 27. November 2008 08:57
Benötigte Zeit: 13:59 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

2951 Verzeichnisse wurden überprüft
199318 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
199317 Dateien ohne Befall
1954 Archive wurden durchsucht
5 Warnungen
0 Hinweise
33582 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

#10 und die listen.bat

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3829-086A

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
11.04.2007 13:55 1.292 erma.inf
24.03.2008 18:33 1.527.056 FP_AX_CAB_INSTALLER.exe
25.07.2002 16:05 172.032 isusweb.dll
24.03.2008 18:18 247 swflash.inf
6 Datei(en) 1.921.811 Bytes
0 Verzeichnis(se), 152.461.672.448 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3829-086A

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3829-086A

Verzeichnis von C:\Dokumente und Einstellungen\Anwender

26.11.2008 09:27 <DIR> .
26.11.2008 09:27 <DIR> ..
16.09.2008 17:47 <DIR> Application Data
24.09.2008 15:50 <DIR> AVM_Driver
27.11.2008 09:11 <DIR> Desktop
26.09.2008 11:23 <DIR> Eigene Dateien
12.11.2008 19:44 <DIR> Favoriten
16.09.2008 17:37 <DIR> Startmen�
0 Datei(en) 0 Bytes
8 Verzeichnis(se), 152.461.668.352 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3829-086A

Verzeichnis von C:\Program Files

27.10.2008 12:28 <DIR> .
27.10.2008 12:28 <DIR> ..
27.10.2008 12:28 <DIR> Real
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 152.461.668.352 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3829-086A

Verzeichnis von C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Temporary Internet Files\Content.IE5

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3829-086A

Verzeichnis von C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Temp

27.11.2008 09:10 <DIR> .
27.11.2008 09:10 <DIR> ..
27.11.2008 08:34 174 addonscheck.xml
26.11.2008 09:14 20.991 Arabic.bin
26.11.2008 09:14 24.321 Czech.bin
26.11.2008 09:14 22.794 Danish.bin
26.11.2008 09:14 25.758 Dutch.bin
26.11.2008 09:14 21.944 English.bin
26.11.2008 09:14 22.868 Finnish.bin
26.11.2008 09:14 27.245 French.bin
26.11.2008 09:14 25.764 German.bin
26.11.2008 09:19 <DIR> Google Toolbar
26.11.2008 09:14 25.093 Greek.bin
26.11.2008 09:14 19.564 Hebrew.bin
26.11.2008 09:14 26.094 Hungarian.bin
26.11.2008 09:14 27.421 Italian.bin
26.11.2008 09:14 24.310 Japanese.bin
26.11.2008 09:14 20.145 Korean.bin
27.11.2008 08:33 46 NGLALog.txt
26.11.2008 09:14 21.975 Norwegian.bin
27.11.2008 08:34 13.290 pcsuitecheck_new.xml
26.11.2008 09:14 24.232 Polish.bin
26.11.2008 09:14 25.082 Portuguese(Brazil).bin
26.11.2008 09:14 26.271 Portuguese.bin
26.11.2008 09:14 26.136 Russian.bin
26.11.2008 09:14 16.420 SimChin.bin
26.11.2008 09:14 27.764 Spanish.bin
26.11.2008 09:14 24.093 SWEDISH.bin
26.11.2008 09:14 21.987 Thai.bin
26.11.2008 09:14 16.962 TradChin.bin
26.11.2008 09:14 22.263 Turkish.bin
28 Datei(en) 601.007 Bytes
3 Verzeichnis(se), 152.461.668.352 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3829-086A

Verzeichnis von C:\WINDOWS\Temp

27.11.2008 08:57 <DIR> .
27.11.2008 08:57 <DIR> ..
27.11.2008 08:33 483 WGAErrLog.txt
1 Datei(en) 483 Bytes
2 Verzeichnis(se), 152.461.668.352 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3829-086A

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3829-086A

Verzeichnis von C:\Programme

26.11.2008 09:17 <DIR> .
26.11.2008 09:17 <DIR> ..
31.10.2008 06:18 <DIR> Adobe
16.09.2008 17:07 <DIR> Avira
24.09.2008 19:35 <DIR> avmwlanstick
26.11.2008 09:17 <DIR> CCleaner
16.09.2008 16:41 <DIR> ComPlus Applications
16.09.2008 17:44 <DIR> CyberLink
26.09.2008 20:25 <DIR> DIFX
26.09.2008 11:18 <DIR> EPSON
24.09.2008 16:08 <DIR> FRITZ!Box
24.09.2008 16:08 <DIR> FRITZ!BoxPrint
24.09.2008 19:25 <DIR> FRITZ!DSL
26.11.2008 08:56 <DIR> Gemeinsame Dateien
24.09.2008 19:55 <DIR> Google
27.10.2008 12:27 <DIR> Internet Explorer
25.11.2008 08:52 <DIR> Malwarebytes' Anti-Malware
24.10.2008 11:56 <DIR> McDonaldsDragons
16.09.2008 18:26 <DIR> Messenger
16.09.2008 16:44 <DIR> microsoft frontpage
16.09.2008 17:22 <DIR> Microsoft Office
16.09.2008 17:22 <DIR> Microsoft Visual Studio
16.09.2008 17:22 <DIR> Microsoft Works
16.09.2008 17:22 <DIR> Microsoft.NET
16.09.2008 16:42 <DIR> Movie Maker
16.09.2008 16:41 <DIR> MSN
16.09.2008 16:41 <DIR> MSN Gaming Zone
16.09.2008 18:01 <DIR> MSXML 4.0
16.09.2008 17:17 <DIR> Nero
16.09.2008 16:43 <DIR> NetMeeting
08.11.2008 18:16 <DIR> Nokia
16.09.2008 16:41 <DIR> Online Services
24.09.2008 19:22 <DIR> Online-Dienste
03.11.2008 19:38 <DIR> Opera
16.09.2008 16:43 <DIR> Outlook Express
26.09.2008 20:25 <DIR> PC Connectivity Solution
20.10.2008 19:31 <DIR> Picasa2
16.09.2008 16:54 <DIR> Realtek
16.09.2008 17:15 <DIR> SLD Codec Pack
16.09.2008 17:37 <DIR> Ulead Systems
16.09.2008 17:16 <DIR> Windows Media Player
16.09.2008 17:36 <DIR> Windows Media-Komponenten
16.09.2008 16:41 <DIR> Windows NT
16.09.2008 17:07 <DIR> WinRAR
16.09.2008 16:44 <DIR> xerox
0 Datei(en) 0 Bytes
45 Verzeichnis(se), 152.461.664.256 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3829-086A

Verzeichnis von C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten

08.10.2008 12:35 <DIR> Adobe
16.09.2008 17:28 <DIR> Ahead
14.11.2008 08:52 16.565 cohiwe.pif
24.09.2008 19:10 <DIR> FRITZ!
14.11.2008 08:50 14.820 fusesaru.bin
24.09.2008 19:49 76.536 GDIPFONTCACHEV1.DAT
20.10.2008 19:31 <DIR> Google
19.10.2008 07:37 <DIR> Help
16.09.2008 17:28 <DIR> Identities
14.11.2008 08:50 12.792 kyxifype.vbs
14.11.2008 08:50 12.798 lowy._dl
26.10.2008 14:26 <DIR> Microsoft
14.11.2008 08:52 17.151 onudugyne.sys
07.11.2008 15:00 <DIR> Opera
14.11.2008 08:50 19.895 peveqaz.pif
14.11.2008 08:52 11.065 siquqawu.scr
14.11.2008 08:50 13.859 ypymahig.bin
14.11.2008 08:52 10.283 zapyxu.inf
10 Datei(en) 205.764 Bytes
8 Verzeichnis(se), 152.461.664.256 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3829-086A

Verzeichnis von C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten

24.09.2008 19:56 <DIR> Adobe
16.09.2008 17:18 <DIR> Ahead
24.09.2008 19:11 <DIR> FRITZ!
24.09.2008 19:56 <DIR> Google
14.11.2008 08:50 10.464 gorulisut.lib
19.10.2008 07:37 <DIR> Help
16.09.2008 17:04 <DIR> Identities
24.09.2008 19:56 <DIR> Macromedia
25.11.2008 08:43 <DIR> Malwarebytes
26.09.2008 20:26 <DIR> Nokia
14.11.2008 08:50 12.531 okuqupy.dl
07.11.2008 15:00 <DIR> Opera
26.09.2008 20:28 <DIR> PC Suite
29.10.2008 11:56 <DIR> Real
26.09.2008 11:12 <DIR> Ulead Systems
14.11.2008 08:52 15.356 wynacihu.db
14.11.2008 08:50 16.601 ycuk._dl
4 Datei(en) 54.952 Bytes
13 Verzeichnis(se), 152.461.660.160 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3829-086A

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

31.10.2008 05:17 <DIR> Adobe
16.09.2008 17:18 <DIR> Ahead
16.09.2008 17:07 <DIR> Avira
16.09.2008 17:44 <DIR> CyberLink
24.09.2008 19:55 <DIR> Google
08.11.2008 18:13 <DIR> Installations
16.09.2008 17:38 <DIR> InstallShield
25.11.2008 08:43 <DIR> Malwarebytes
16.09.2008 17:17 <DIR> Nero
26.09.2008 20:26 <DIR> PC Suite
16.09.2008 17:35 <DIR> Ulead Systems
22.10.2008 14:00 <DIR> Windows Genuine Advantage
0 Datei(en) 0 Bytes
12 Verzeichnis(se), 152.461.660.160 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3829-086A

Verzeichnis von C:\Programme\Gemeinsame Dateien

26.11.2008 08:56 <DIR> .
26.11.2008 08:56 <DIR> ..
31.10.2008 05:17 <DIR> Adobe
16.09.2008 17:18 <DIR> Ahead
16.09.2008 17:22 <DIR> DESIGNER
16.09.2008 16:43 <DIR> Dienste
16.09.2008 17:37 <DIR> InstallShield
24.09.2008 15:59 <DIR> Microsoft Shared
16.09.2008 16:43 <DIR> MSSoap
08.11.2008 18:16 <DIR> Nokia
16.09.2008 17:38 <DIR> ODBC
08.11.2008 18:16 <DIR> PCSuite
27.10.2008 12:28 <DIR> Real
16.09.2008 17:37 <DIR> SpeechEngines
16.09.2008 17:22 <DIR> System
16.09.2008 17:36 <DIR> Ulead Systems
27.10.2008 12:28 <DIR> xing shared
0 Datei(en) 0 Bytes
17 Verzeichnis(se), 152.461.660.160 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3829-086A

Verzeichnis von C:\Windows\tasks

ich hoffe, wir haben es jetzt bald geschafft, swiss?

bambam

#11 >>
Lass folgende Dateien bei www.virustotal.com/de prüfen:

C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\onudugyne.sys

C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\kyxifype.vbs

>>
antivbs.zip - laden - entzippen + anwenden
http://virus-protect.org/zip/antivbs.zip

Ist für mich:

Zitat

C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten
14.11.2008 08:52 16.565 cohiwe.pif
14.11.2008 08:50 14.820 fusesaru.bin
14.11.2008 08:50 12.792 kyxifype.vbs
14.11.2008 08:50 12.798 lowy._dl
14.11.2008 08:52 17.151 onudugyne.sys
14.11.2008 08:50 19.895 peveqaz.pif
14.11.2008 08:52 11.065 siquqawu.scr
14.11.2008 08:50 13.859 ypymahig.bin
14.11.2008 08:52 10.283 zapyxu.inf



C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten
14.11.2008 08:50 10.464 gorulisut.lib
14.11.2008 08:50 12.531 okuqupy.dl
14.11.2008 08:52 15.356 wynacihu.db
14.11.2008 08:50 16.601 ycuk._dl

#12 1.

Zitat

Datei onudugyne.sys empfangen 2008.11.27 14:16:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/37 (0%)

2.

Zitat

Datei kyxifype.vbs empfangen 2008.11.27 14:20:01 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/37 (0%)

#13 und antivbs angewendet, da kam kein Log hinterher ?

brauchst du da noch irgendwelche infos?

#14 Mach folgendes noch dann sollte eigentlich alles wieder gut sein. Hast du noch Probleme?

>>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\cohiwe.pif
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\fusesaru.bin
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\kyxifype.vbs
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\lowy._dl
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\onudugyne.sys
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\peveqaz.pif
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\siquqawu.scr
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\ypymahig.bin
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\zapyxu.inf
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\gorulisut.lib
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\okuqupy.dl
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\wynacihu.db
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\ycuk._dl

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
scanne mit dr.web im normalmodus + im abgesicherten Modus
http://virus-protect.org/cureit.html

Gruss Swiss

#15 moin swiss

bevor ich deine letzten Schritte begann, hat google noch flasch geleitet

aber erstmal der avanger-log

Zitat

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\cohiwe.pif" deleted successfully.
File "C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\fusesaru.bin" deleted successfully.
File "C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\kyxifype.vbs" deleted successfully.
File "C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\lowy._dl" deleted successfully.
File "C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\onudugyne.sys" deleted successfully.
File "C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\peveqaz.pif" deleted successfully.
File "C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\siquqawu.scr" deleted successfully.
File "C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\ypymahig.bin" deleted successfully.
File "C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\zapyxu.inf" deleted successfully.
File "C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\gorulisut.lib" deleted successfully.
File "C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\okuqupy.dl" deleted successfully.
File "C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\wynacihu.db" deleted successfully.
File "C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\ycuk._dl" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

ich arbeite erstmal deine ganzen Schritte ab und schaue dann nochmal