Tr/trash.gen + Rkit/tdss.g.22 |
||
---|---|---|
#0
| ||
27.11.2008, 21:39
Member
Beiträge: 26 |
||
|
||
28.11.2008, 00:08
Moderator
Beiträge: 5694 |
#2
Pharao
>> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html >> Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint http://virus-protect.org/artikel/tools/sdfix.html Gruss Swiss |
|
|
||
28.11.2008, 00:18
Member
Themenstarter Beiträge: 26 |
#3
Combofix
ComboFix 08-11-27.03 - Matze 2008-11-28 0:11:03.2 - [color=red]FAT32[/color]x86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.616 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Matze\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\TDSSlrvd.dat c:\windows\system32\TDSSpqlt.dat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV.SYS -------\Legacy_TDSSSERV.SYS) -------\Service_TDSSserv.sys -------\Service_TDSSserv.sys) ((((((((((((((((((((((( Dateien erstellt von 2008-10-27 bis 2008-11-27 )))))))))))))))))))))))))))))) . 2008-11-27 21:43 . 2008-11-27 21:43 <DIR> d-------- c:\windows\system32\Kaspersky Lab 2008-11-27 21:43 . 2008-11-27 21:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-11-27 19:23 . <DIR> c:\windows\LastGood.Tmp 2008-11-27 19:19 . 2008-11-27 19:19 <DIR> d--hs---- C:\FOUND.012 2008-11-25 16:36 . 2008-11-25 16:36 <DIR> d-------- c:\programme\Norton Security Scan 2008-11-25 15:12 . 2008-11-25 15:12 <DIR> dr-h----- c:\dokumente und einstellungen\Matze\Anwendungsdaten\SecuROM 2008-11-25 15:06 . 2008-11-25 15:06 <DIR> d-------- c:\programme\SystemRequirementsLab 2008-11-25 14:42 . 2008-11-25 14:42 <DIR> d-------- c:\dokumente und einstellungen\Matze\Anwendungsdaten\InstallShield Installation Information 2008-11-25 14:42 . 2008-11-25 14:42 <DIR> d-------- c:\dokumente und einstellungen\Matze\Anwendungsdaten\2K Games 2008-11-25 14:41 . 2008-11-25 14:41 <DIR> d-------- c:\dokumente und einstellungen\Matze\Anwendungsdaten\InstallShield 2008-11-16 14:51 . 2008-11-22 13:27 54,156 --ah----- c:\windows\QTFont.qfn 2008-11-16 14:51 . 2008-11-16 14:51 1,409 --a------ c:\windows\QTFont.for 2008-10-28 20:03 . 2008-10-28 20:03 410,976 --a------ c:\windows\system32\deploytk.dll 2008-10-28 20:03 . 2008-10-28 20:03 73,728 --a------ c:\windows\system32\javacpl.cpl 2008-10-28 20:02 . 2008-10-28 20:02 <DIR> d-------- c:\programme\Java 2008-10-27 23:59 . 2008-10-27 23:59 2,688 --a------ c:\windows\system32\settings.aaw 2008-10-27 23:59 . 2008-11-17 00:26 1,088 --a------ c:\windows\system32\history.aaw 2008-10-27 19:39 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys 2008-10-27 19:38 . 2008-10-27 19:38 <DIR> d-------- c:\programme\Panda Security . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-27 17:12 98,304 ----a-w c:\windows\DUMP6c85.tmp 2008-10-26 20:10 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2008-10-26 14:24 --------- d-----w c:\programme\Avira 2008-10-26 14:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2008-10-26 11:00 --------- d-----w c:\programme\Malwarebytes' Anti-Malware 2008-10-26 11:00 --------- d-----w c:\dokumente und einstellungen\Matze\Anwendungsdaten\Malwarebytes 2008-10-26 11:00 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-26 10:18 --------- d-----w c:\programme\Trend Micro 2008-10-25 19:34 --------- d-----w c:\programme\Lavasoft 2008-10-25 19:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-10-25 19:33 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2008-10-25 19:09 --------- d-----w c:\programme\Spybot - Search & Destroy 2008-10-25 19:09 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-10-25 19:01 --------- d-----w c:\programme\Sunbelt Software 2008-10-25 19:00 --------- d-----w c:\programme\CCleaner 2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys 2008-10-20 16:11 --------- d-----w c:\programme\Gemeinsame Dateien\AAV 2008-10-20 16:11 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AAV 2008-10-20 16:10 --------- d-----w c:\programme\Akademische Arbeitsgemeinschaft 2008-10-09 16:21 253,139 ----a-w c:\windows\PDFCreator_Toolbar_Uninstaller_7640.exe 2008-10-09 16:21 --------- d-----w c:\programme\PDFCreator Toolbar 2008-10-09 16:21 --------- d-----w c:\programme\PDFCreator 2008-10-07 08:27 --------- d-----w c:\dokumente und einstellungen\Depro\Anwendungsdaten\ICQ 2008-04-12 15:29 44,896 ----a-w c:\dokumente und einstellungen\Matze\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-03-31 15:23 49,120 ----a-w c:\dokumente und einstellungen\Depro\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-09-07 16:07 569 ----a-w c:\dokumente und einstellungen\GTA San Andreas User Files\sa-ufiles.dat 2006-09-07 16:07 48 ----a-w c:\dokumente und einstellungen\GTA San Andreas User Files\sa-utrax.dat . ((((((((((((((((((((((((((((( snapshot@2008-11-27_19.24.27,20 ))))))))))))))))))))))))))))))))))))))))) . + 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE + 2008-10-16 13:09:44 92,696 ------w c:\windows\SoftwareDistribution\SelfUpdate\Default\cdm.dll + 2008-10-16 13:12:20 561,688 ------w c:\windows\SoftwareDistribution\SelfUpdate\Default\wuapi.dll + 2008-10-16 13:09:44 51,224 ------w c:\windows\SoftwareDistribution\SelfUpdate\Default\wuauclt.exe + 2008-10-16 13:13:40 1,809,944 ------w c:\windows\SoftwareDistribution\SelfUpdate\Default\wuaueng.dll + 2008-10-16 13:12:22 323,608 ------w c:\windows\SoftwareDistribution\SelfUpdate\Default\wucltui.dll + 2008-10-16 13:08:58 34,328 ------w c:\windows\SoftwareDistribution\SelfUpdate\Default\wups.dll + 2008-10-16 13:09:44 43,544 ------w c:\windows\SoftwareDistribution\SelfUpdate\Default\wups2.dll + 2008-10-16 13:13:40 202,776 ------w c:\windows\SoftwareDistribution\SelfUpdate\Default\wuweb.dll + 2005-05-24 11:27:16 213,048 ----a-w c:\windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll + 2007-10-21 20:40:14 94,208 ----a-w c:\windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe + 2007-10-21 20:40:16 950,272 ----a-w c:\windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll + 2008-11-27 23:14:52 16,384 ----a-w c:\windows\Temp\Perflib_Perfdata_a00.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-10 15360] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-04 1667584] "updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200] "ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 1415824] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512] "preload"="c:\windows\RUNXMLPL.exe" [2005-05-19 32768] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-20 86016] "AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521] "ntiMUI"="c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2006-05-15 45056] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168] "LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-08-08 634880] "ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-07-18 438272] "Acer ePresentation HPD"="c:\acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-06-07 208896] "eLockMonitor"="c:\acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe" [2006-03-31 16384] "eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 345088] "eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696] "BisonBar"="c:\windows\BUtilityBar\BisonBar.exe" [2006-09-08 245760] "DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2005-11-08 128920] "WinampAgent"="c:\programme\Winamp\winampa.exe" [2006-10-25 35328] "RealTray"="c:\programme\Real\RealPlayer\RealPlay.exe" [2006-09-09 26112] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-09-09 98304] "PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2006-11-28 222720] "Start WingMan Profiler"="c:\programme\Logitech\Gaming Software\LWEMon.exe" [2007-09-25 93208] "SunServer"="c:\programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe" [2005-11-11 290816] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-10-28 136600] "RTHDCPL"="RTHDCPL.EXE" [2006-07-21 c:\windows\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe] "nwiz"="nwiz.exe" [2006-07-20 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360] "PcSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696] Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-11-10 45056] Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{076394AD-7FDD-44EF-A075-32C68DBAB99B}"= "c:\programme\Sunbelt Software\CounterSpy\Consumer\SunExecuteHook.dll" [2005-11-11 49152] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Real\\RealPlayer\\REALPLAY.EXE"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-10-27 28544] R2 AAV UpdateService;AAV UpdateService;c:\programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880] R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-11-11 100032] R2 ithsgt;ithsgt;c:\windows\system32\DRIVERS\ithsgt.sys [2008-04-07 162432] R2 lilsgt;lilsgt;c:\windows\system32\DRIVERS\lilsgt.sys [2008-04-07 12032] S0 empj;empj;c:\windows\system32\drivers\uogg.sys [] S3 epindd;epindd;\??\c:\windows\system32\drivers\epindd.sys [2006-11-10 8448] S4 LockServ;LockServ;c:\acer\Empowering Technology\eLock\LockServ.exe -p [] . Inhalt des "geplante Tasks" Ordners 2008-11-26 c:\windows\Tasks\Norton Security Scan for Matze.job - c:\programme\Norton Security Scan\Nss.exe [2008-09-19 04:18] . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - c:\dokumente und einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\z3aw7lzo.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.studivz.net/ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-28 00:14:38 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\LAVASOFT\AD-AWARE\AAWSERVICE.EXE c:\programme\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE c:\programme\LAUNCH MANAGER\LMANAGER.EXE c:\windows\EHOME\EHMSAS.EXE c:\windows\SYSTEM32\RUNDLL32.EXE c:\acer\EMPOWERING TECHNOLOGY\ELOCK\MONITOR\LOCKMON.EXE c:\acer\EMPOWERING TECHNOLOGY\EPERFORMANCE\MEMCHECK.EXE c:\programme\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNPROTECTIONSERVER.EXE c:\programme\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE c:\windows\EHOME\EHRECVR.EXE c:\windows\EHOME\EHSCHED.EXE c:\programme\JAVA\JRE6\BIN\JQS.EXE c:\programme\GEMEINSAME DATEIEN\LIGHTSCRIBE\LSSRVC.EXE c:\programme\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNTHREATENGINE.EXE c:\windows\SYSTEM32\NVSVC32.EXE c:\programme\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE c:\dokume~1\Matze\LOKALE~1\Temp\RtkBtMnt.exe c:\windows\EHOME\MCRDSVC.EXE c:\programme\PC Connectivity Solution\ServiceLayer.exe c:\windows\system32\wbem\unsecapp.exe c:\windows\SYSTEM32\WBEM\WMIAPSRV.EXE c:\windows\SYSTEM32\DLLHOST.EXE . ************************************************************************** . Zeit der Fertigstellung: 2008-11-28 0:17:38 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-11-27 23:17:36 ComboFix2.txt 2008-11-27 18:25:04 Vor Suchlauf: 38 Verzeichnis(se), 11.614.814.208 Bytes frei Nach Suchlauf: 38 Verzeichnis(se), 11,529,486,336 Bytes frei 208 SDFix SDFix: Version 1.240 Run by Administrator on 2008-11-28 at 00:24 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-28 00:29:21 Windows 5.1.2600 Service Pack 2 FAT NTAPI scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Real\\RealPlayer\\REALPLAY.EXE"="C:\\Programme\\Real\\RealPlayer\\REALPLAY.EXE:*:Enabled:RealPlayer" "C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6" "C:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"="C:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe:*:Enabled:Malwarebytes' Anti-Malware" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL" "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL" "C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0" Remaining Files : Files with Hidden Attributes : Tue 5 Sep 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK7.dll" Tue 5 Sep 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIMP3.dll" Tue 5 Sep 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll" Tue 5 Sep 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIFCD3.dll" Tue 5 Sep 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIBUN4.dll" Tue 10 Aug 2004 93,184 A.SH. --- "C:\Programme\Internet Explorer\IEXPLORE.EXE" Wed 26 Nov 2008 150 A..H. --- "C:\Program Files\InterActual\InterActual Player\iti93.tmp" Wed 26 Nov 2008 1,977 ...HR --- "C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak" Finished! __________ Es ist ein gewaltiger Irrtum zu meinen, deshalb, weil etwas gesagt worden ist, wurde es schon gehört. Dieser Beitrag wurde am 28.11.2008 um 00:32 Uhr von Pharao editiert.
|
|
|
||
28.11.2008, 04:27
Moderator
Beiträge: 5694 |
#4
>>
Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis: c:\windows\system32\DRIVERS\ithsgt.sys c:\windows\system32\DRIVERS\lilsgt.sys c:\windows\system32\drivers\uogg.sys Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> Gehe auf Start - Ausführen - gib ein: regedit Gehe zu: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "UpdatesDisableNotify"=dword:00000001 - in 0 ändern rechtsklick auf den Eintrag auf UpdatesDisableNotify die 1 wegklicken und 0 reinschreiben, dann abspeichern Dann gehe zu: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 - in 0 ändern speichern + Registry schliessen + PC neustarten >> Scanne mit Blacklight und poste das Log: http://virus-protect.org/artikel/tools/blacklight.html >> Mach ein Onlinescan mit Bitdefender und poste das Log: http://virus-protect.org/artikel/tools/bitdefender.html Dieser Beitrag wurde am 28.11.2008 um 04:32 Uhr von Tonstudio editiert.
|
|
|
||
28.11.2008, 08:31
Member
Themenstarter Beiträge: 26 |
#5
Virustotal
Datei ithsgt.sys empfangen 2008.11.28 08:18:08 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/37 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.11.27.4 2008.11.28 - AntiVir 7.9.0.35 2008.11.27 - Authentium 5.1.0.4 2008.11.28 - Avast 4.8.1281.0 2008.11.27 - AVG 8.0.0.199 2008.11.27 - BitDefender 7.2 2008.11.28 - CAT-QuickHeal 10.00 2008.11.28 - ClamAV 0.94.1 2008.11.28 - DrWeb 4.44.0.09170 2008.11.28 - eSafe 7.0.17.0 2008.11.27 - eTrust-Vet 31.6.6233 2008.11.27 - Ewido 4.0 2008.11.27 - F-Prot 4.4.4.56 2008.11.27 - F-Secure 8.0.14332.0 2008.11.28 - Fortinet 3.117.0.0 2008.11.27 - GData 19 2008.11.28 - Ikarus T3.1.1.45.0 2008.11.28 - K7AntiVirus 7.10.536 2008.11.27 - Kaspersky 7.0.0.125 2008.11.28 - McAfee 5447 2008.11.27 - McAfee+Artemis 5447 2008.11.27 - Microsoft 1.4104 2008.11.28 - NOD32 3647 2008.11.27 - Norman 5.80.02 2008.11.27 - Panda 9.0.0.4 2008.11.28 - PCTools 4.4.2.0 2008.11.27 - Prevx1 V2 2008.11.28 - Rising 21.05.40.00 2008.11.28 - SecureWeb-Gateway 6.7.6 2008.11.27 - Sophos 4.36.0 2008.11.28 - Sunbelt 3.1.1832.2 2008.11.27 - Symantec 10 2008.11.28 - TheHacker 6.3.1.1.166 2008.11.28 - TrendMicro 8.700.0.1004 2008.11.28 - VBA32 3.12.8.9 2008.11.27 - ViRobot 2008.11.27.1489 2008.11.27 - VirusBuster 4.5.11.0 2008.11.27 - weitere Informationen File size: 162432 bytes MD5...: b7a5fadf67136fda7e8f25303565b674 SHA1..: 638c182ad62e73093b9afb94af8926a5dfdec191 SHA256: 1208840bfbb5c21edfbb19650a5f5b39bd91396786270c8298976a5a953869cb SHA512: 1611e17091e54e8331ef256e82c4ab15e4ec8fcc9537bf27335079c63256837f 5cda799e68e40e111dd8fe601fefff6326254867311dfa3e2113b209307b346a ssdeep: 3072:jlwAUg7ygSysacB4JdE8LzPjQyVfnzXox5jUdoHhi69/:hws7y9ysacBmd3 fP3n0x5jUdKw69 PEiD..: - TrID..: File type identification Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x36346 timedatestamp.....: 0x42d1554a (Sun Jul 10 17:05:14 2005) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x300 0x21770 0x21780 5.97 3a39703c2d655401bcc326bb7d8d003b .rdata 0x21a80 0x38a0 0x3900 7.56 0cce0fa065aedfd7a1722ece7e53c3f3 .data 0x25380 0x88c 0x900 2.64 373a3013bdf6c0c5ec0ae9cecf9e7979 PAGE 0x25c80 0x64d 0x680 5.94 578949f18144e55bcab31ca35b790d77 INIT 0x26300 0x36e 0x380 5.55 b19bd9e74bb6f06d5218804bdc08bdda .reloc 0x26680 0x13ea 0x1400 4.14 1b19d575b46e3b303d6a4072bb24662c ( 2 imports ) > ntoskrnl.exe: IoAllocateMdl, MmUnlockPages, MmMapLockedPagesSpecifyCache, IofCompleteRequest, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, IoDeleteDevice, IoDeleteSymbolicLink, MmProbeAndLockPages, _alldiv, _allmul, IoCreateSymbolicLink, IoCreateDevice, ExFreePool, ExAllocatePool, RtlUnwind, IoFreeMdl > HAL.dll: KeQueryPerformanceCounter ( 0 exports ) CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b7a5fadf67136fda7e8f25303565b674' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b7a5fadf67136fda7e8f25303565b674</a> Datei lilsgt.sys empfangen 2008.11.28 08:20:31 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/37 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 38 und 55 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.11.27.4 2008.11.28 - AntiVir 7.9.0.35 2008.11.27 - Authentium 5.1.0.4 2008.11.28 - Avast 4.8.1281.0 2008.11.27 - AVG 8.0.0.199 2008.11.27 - BitDefender 7.2 2008.11.28 - CAT-QuickHeal 10.00 2008.11.28 - ClamAV 0.94.1 2008.11.28 - DrWeb 4.44.0.09170 2008.11.28 - eSafe 7.0.17.0 2008.11.27 - eTrust-Vet 31.6.6233 2008.11.27 - Ewido 4.0 2008.11.27 - F-Prot 4.4.4.56 2008.11.27 - F-Secure 8.0.14332.0 2008.11.28 - Fortinet 3.117.0.0 2008.11.27 - GData 19 2008.11.28 - Ikarus T3.1.1.45.0 2008.11.28 - K7AntiVirus 7.10.536 2008.11.27 - Kaspersky 7.0.0.125 2008.11.28 - McAfee 5447 2008.11.27 - McAfee+Artemis 5447 2008.11.27 - Microsoft 1.4104 2008.11.28 - NOD32 3647 2008.11.27 - Norman 5.80.02 2008.11.27 - Panda 9.0.0.4 2008.11.28 - PCTools 4.4.2.0 2008.11.27 - Prevx1 V2 2008.11.28 - Rising 21.05.40.00 2008.11.28 - SecureWeb-Gateway 6.7.6 2008.11.27 - Sophos 4.36.0 2008.11.28 - Sunbelt 3.1.1832.2 2008.11.27 - Symantec 10 2008.11.28 - TheHacker 6.3.1.1.166 2008.11.28 - TrendMicro 8.700.0.1004 2008.11.28 - VBA32 3.12.8.9 2008.11.27 - ViRobot 2008.11.27.1489 2008.11.27 - VirusBuster 4.5.11.0 2008.11.27 - weitere Informationen File size: 12032 bytes MD5...: 16767ea492b5d140e1de3679a65eae74 SHA1..: bc994b7fb1dedb812fe4f02552b864563c7778d3 SHA256: 2502e75c170434ab2f16410b9a122d7a8ee9051159f5c02affc5d97e4b5a34d0 SHA512: 4b8d11e7c98133e9bf69aa74c3d7720ba51956c198750324395e869b032f11f1 ba89a549f871af815024c2376d467bc71742f6d055080fa20111fe295d3bb44c ssdeep: 192:jv94rqnDhXlpoHFJ0bzFOaXwUe7T4yxJJYQaCDwlW440QKR:dQHYDwSeYRb4 z PEiD..: - TrID..: File type identification Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x128c6 timedatestamp.....: 0x42d17798 (Sun Jul 10 19:31:36 2005) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x300 0x1d08 0x1d80 6.33 b4a7545dc73b7f1594af0ea2d3e89cba .rdata 0x2080 0x98 0x100 2.25 4e38b7c7f9804b79072ca0a678754931 .data 0x2180 0x18 0x80 0.07 1d697ed4fbc9fc9a46dbd45d22969a25 PAGE 0x2200 0x64a 0x680 5.47 72b3736ff2530a439bb8266622de5909 INIT 0x2880 0x43c 0x480 5.35 d12b270599b4acdce2a7b5fd6e4253af .reloc 0x2d00 0x1b0 0x200 4.98 09a14dd42591b9abfbf9dcc0d1fc5615 ( 2 imports ) > ntoskrnl.exe: ExFreePool, ExAllocatePool, ObfDereferenceObject, IoFreeMdl, MmUnlockPages, MmMapLockedPagesSpecifyCache, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, RtlInitUnicodeString, KeInitializeTimer, IoCreateSymbolicLink, IoCreateDevice, _allmul, MmProbeAndLockPages, RtlFreeUnicodeString, IoGetDeviceObjectPointer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, KeSetTimer, IoBuildSynchronousFsdRequest, RtlUnwind, IoAllocateMdl, _alldiv > HAL.dll: KeQueryPerformanceCounter ( 0 exports ) CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=16767ea492b5d140e1de3679a65eae74' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=16767ea492b5d140e1de3679a65eae74</a> die Datei uogg.sys finde ich leider nicht... den Eintrag in der Registrierung bei HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall finde ich hier auch nicht... BlacklightScan 11/28/08 08:47:49 [Info]: BlackLight Engine 2.2.1092 initialized 11/28/08 08:47:49 [Info]: OS: 5.1 build 2600 (Service Pack 2) 11/28/08 08:47:49 [Note]: 7019 4 11/28/08 08:47:49 [Note]: 7005 0 11/28/08 08:47:52 [Note]: 7006 0 11/28/08 08:47:52 [Note]: 7011 1756 11/28/08 08:47:52 [Note]: 7035 0 11/28/08 08:47:52 [Note]: 7026 0 11/28/08 08:47:52 [Note]: 7026 0 11/28/08 08:47:55 [Note]: FSRAW library version 1.7.1024 11/28/08 08:48:24 [Note]: 2000 1012 11/28/08 08:48:24 [Note]: 2000 1012 11/28/08 08:48:24 [Note]: 2000 1012 11/28/08 08:48:24 [Note]: 2000 1012 11/28/08 08:48:24 [Note]: 2000 1012 11/28/08 08:49:27 [Note]: 7007 0 __________ Es ist ein gewaltiger Irrtum zu meinen, deshalb, weil etwas gesagt worden ist, wurde es schon gehört. Dieser Beitrag wurde am 28.11.2008 um 08:50 Uhr von Pharao editiert.
|
|
|
||
28.11.2008, 12:51
Moderator
Beiträge: 5694 |
#6
Opps, sorry, meinte dieses Eintrag:
Gehe auf Start - Ausführen - gib ein: regedit Gehe zu: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "UpdatesDisableNotify"=dword:00000001 - in 0 ändern >> Was meint Bitdefender? Zitat Mach ein Onlinescan mit Bitdefender und poste das Log:GrussSwiss |
|
|
||
28.11.2008, 23:58
Member
Themenstarter Beiträge: 26 |
#7
hatte heute morgen keine Zeit mehr...aber jetzt gehabt ;-)
Die Einträge standen schon auf den Werten. Laut Scan von Bitdefender is nix gefunden worden: BitDefender Online Scanner Scan report generated at: Fri, Nov 28, 2008 - 23:37:18 Scan path: C:\;D:\;E:\;G:\;H:\;I:\;J:\; Statistics Time 00:51:19 Files 219728 Folders 6875 Boot Sectors 0 Archives 9041 Packed Files 12578 Results Identified Viruses 0 Infected Files 0 Suspect Files 0 Warnings 0 Disinfected 0 Deleted Files 0 Engines Info Virus Definitions 2271690 Engine build AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14) Scan plugins 16 Archive plugins 43 Unpack plugins 7 E-mail plugins 6 System plugins 4 Scan Settings First Action Disinfect Second Action Delete Heuristics Yes Enable Warnings Yes Scanned Extensions *; Exclude Extensions Scan Emails Yes Scan Archives Yes Scan Packed Yes Scan Files Yes Scan Boot Yes Scanned File Status No virus found. Update hab eben nochmal mit AntiVir gescannt - diesmal wurde nix gefunden. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 29. November 2008 12:08 Es wird nach 1058638 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: IGEL Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 08:45:18 AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:08 LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:18 LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:44 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 04:13:24 ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 11:17:20 ANTIVIR2.VDF : 7.1.0.124 376832 Bytes 23.11.2008 07:36:56 ANTIVIR3.VDF : 7.1.0.157 195072 Bytes 28.11.2008 21:30:40 Engineversion : 8.2.0.36 AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 11:05:58 AESCRIPT.DLL : 8.1.1.15 332156 Bytes 12.11.2008 11:16:28 AESCN.DLL : 8.1.1.5 123251 Bytes 08.11.2008 10:09:30 AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 21:18:42 AEPACK.DLL : 8.1.3.4 393591 Bytes 12.11.2008 11:16:28 AEOFFICE.DLL : 8.1.0.30 196986 Bytes 08.11.2008 10:09:30 AEHEUR.DLL : 8.1.0.71 1487222 Bytes 08.11.2008 10:09:28 AEHELP.DLL : 8.1.2.0 119159 Bytes 18.11.2008 17:01:36 AEGEN.DLL : 8.1.1.6 323955 Bytes 28.11.2008 21:30:42 AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:58 AECORE.DLL : 8.1.5.2 172405 Bytes 28.11.2008 21:30:40 AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:58 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:04 AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:28:00 AVREP.DLL : 8.0.0.2 98344 Bytes 26.10.2008 14:24:54 AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:38 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:20 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:48 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:04 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:38 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:08 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:02 RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:06 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Samstag, 29. November 2008 12:08 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Acer.Empowering.Framework.Launcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtkBtMnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSMSGS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'JUSCHED.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SunServer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LWEMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LaunchApplication.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'QTTASK.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realplay.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINAMPA.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DAEMON.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BisonBar.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LockMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'eRAgent.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'eDSloader.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ePower_DMC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EHMSAS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EHTRAY.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SunProtectionServer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sunThreatEngine.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MemCheck.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht Es wurden '64' Prozesse mit '64' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '82' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <ACER> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\dtscsi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\Temp\tmpB8.tmp [0] Archivtyp: CAB (Microsoft) --> DDPatch.UpdateGacFile [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. Beginne mit der Suche in 'D:\' <ACERDATA> Ende des Suchlaufs: Samstag, 29. November 2008 12:35 Benötigte Zeit: 26:28 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6935 Verzeichnisse wurden überprüft 244718 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 4 Dateien konnten nicht durchsucht werden 244714 Dateien ohne Befall 8184 Archive wurden durchsucht 5 Warnungen 0 Hinweise __________ Es ist ein gewaltiger Irrtum zu meinen, deshalb, weil etwas gesagt worden ist, wurde es schon gehört. Dieser Beitrag wurde am 29.11.2008 um 12:52 Uhr von Pharao editiert.
|
|
|
||
29.11.2008, 23:54
Moderator
Beiträge: 5694 |
#8
Hast du dann noch Probleme?
Du kannst noch zum drüber bügeln mit panda und Trend-Micro/HouseCall oder auch anderen Progis scannen: http://virus-protect.org/onlinescan.html Gruss Swiss |
|
|
||
30.11.2008, 11:46
Member
Themenstarter Beiträge: 26 |
#9
nee, probleme nicht direkt - aber erneuter Scan mit Kaspersky:
------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Samstag, 29. November 2008 22:55:45 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.1 Letztes Update der Antiviren-Datenbanken: 29/11/2008 Anzahl der Einträge in den Antiviren-Datenbanken: 1426726 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: C:\ D:\ E:\ G:\ H:\ I:\ J:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 78258 Viren gefunden: 3 Infizierte Objekte gefunden: 8 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 01:01:42 Name des infizierten Objekts / Virusname / Letzte Aktion C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Media Ce.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\Perflib_Perfdata_164.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\Perflib_Perfdata_c18.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\Perflib_Perfdata_5f0.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{9B0CB996-746B-4348-97C5-B499F5DED7B9}.crmlog Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\2008-11-29_Log.ALUSchedulerSvc.LiveUpdate Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Eigene Dateien\ICQ Status Checker.exe Infizierte Objekte: HackTool.Win32.ICQPass.l übersprungen C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\~DF9DE2.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\~DF164E.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\Perflib_Perfdata_b58.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\~DFB9A0.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\Perflib_Perfdata_670.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\~DFE5C3.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008112920081130\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\LockMon.exe.7987f3da.ini.inuse Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ePower_DMC.exe.3ca0acde.ini.inuse Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\Acer.Empowering.Framework.Launcher.exe.7c55249b.ini.inuse Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\SunEventsData.sdb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Desktop\Treiber + Setups\BearShareV6de.exe/WISE0104.BIN/stream/data0005 Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen C:\Dokumente und Einstellungen\Matze\Desktop\Treiber + Setups\BearShareV6de.exe/WISE0104.BIN/stream Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen C:\Dokumente und Einstellungen\Matze\Desktop\Treiber + Setups\BearShareV6de.exe/WISE0104.BIN Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen C:\Dokumente und Einstellungen\Matze\Desktop\Treiber + Setups\BearShareV6de.exe WiseSFX: infiziert - 3 übersprungen C:\Dokumente und Einstellungen\Matze\Desktop\Treiber + Setups\BearShareV6de.exe WiseSFXDropper: infiziert - 3 übersprungen C:\Dokumente und Einstellungen\Matze\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\animan.class-79dc8d6d-26f77553.class Infizierte Objekte: Exploit.Java.ByteVerify übersprungen C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\399908fd-44174b7a Infizierte Objekte: Exploit.Java.ByteVerify übersprungen C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\sw_ae-20081129-113141.log Das Objekt ist gesperrt übersprungen C:\system volume information\_restore{AE8C560C-AEE7-4C54-AB1D-014009397F0B}\RP555\change.log Das Objekt ist gesperrt übersprungen D:\System Volume Information\_restore{AE8C560C-AEE7-4C54-AB1D-014009397F0B}\RP555\change.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. __________ Es ist ein gewaltiger Irrtum zu meinen, deshalb, weil etwas gesagt worden ist, wurde es schon gehört. |
|
|
||
30.11.2008, 13:40
Moderator
Beiträge: 5694 |
#10
Das sind eigentlich keine infektionen mehr:
Java-Cache: Zitat C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\animan.class-79dc8d6d-26f77553.class>> Java Cache leeren http://www.java.com/de/download/help/plugin_cache.xml Und das hier sind BearShare Einträge: Zitat C:\Dokumente und Einstellungen\Matze\Desktop\Treiber + Setups\BearShareV6de.exe/WISE0104.BIN/stream/data0005>> Dazu lösche am besten ALLES von BEARSHARE. Dies ist mir unbekannt aber sollte meiner Meinug nach auch noch weg: Zitat C:\Dokumente und Einstellungen\Matze\Eigene Dateien\ICQ Status Checker.exeDann noch: >> Systemwiederherstellung deaktivieren (XP): Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann das Häkchen wieder rausnehmen. (also wieder aktivieren) Gruss Swis Dieser Beitrag wurde am 30.11.2008 um 13:43 Uhr von Tonstudio editiert.
|
|
|
||
30.11.2008, 13:56
Member
Themenstarter Beiträge: 26 |
#11
okay, alles erledigt!
Danke Dir, Swis! mfg Pharao __________ Es ist ein gewaltiger Irrtum zu meinen, deshalb, weil etwas gesagt worden ist, wurde es schon gehört. |
|
|
||
Gestern kam ne Warnung von meinem Anti-Vir, mit dem Hinweiß über einen Eindringungsversuch. Hab dann "blockieren" ausgewählt - mein PC hing sich auf, Bluescreen und nach dem Neustart fuhr er nicht mehr hoch, grauer Bildschirm nur Mauscursor war zu sehen.
Bin dann in den "abgesicherten Modus" und habe Mbam scannen lassen. Den Fund dann löschen lassen, danach Combofix drüber laufen lassen und dann ging es auch wieder - dachte ich.
Als ich dann nochma Mbam scannen lies, kamen parallel dazu 4 Warnungen meines AntiVir über Trojaner,etc.
Hab immer auf "Löschen" geklickt, aber vermute, dass immer noch was auf meinem PC is.
Hier das Log von Mbam:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1430
Windows 5.1.2600 Service Pack 2
27.11.2008 20:44:39
mbam-log-2008-11-27 (20-44-39).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 134035
Laufzeit: 44 minute(s), 18 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Hier das Log von AntiVir danach:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 27. November 2008 20:44
Es wird nach 1056637 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: IGEL
Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 08:45:18
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:08
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:18
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:44
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 04:13:24
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 11:17:20
ANTIVIR2.VDF : 7.1.0.124 376832 Bytes 23.11.2008 07:36:56
ANTIVIR3.VDF : 7.1.0.150 166400 Bytes 27.11.2008 18:57:34
Engineversion : 8.2.0.35
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 11:05:58
AESCRIPT.DLL : 8.1.1.15 332156 Bytes 12.11.2008 11:16:28
AESCN.DLL : 8.1.1.5 123251 Bytes 08.11.2008 10:09:30
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 21:18:42
AEPACK.DLL : 8.1.3.4 393591 Bytes 12.11.2008 11:16:28
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 08.11.2008 10:09:30
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 08.11.2008 10:09:28
AEHELP.DLL : 8.1.2.0 119159 Bytes 18.11.2008 17:01:36
AEGEN.DLL : 8.1.1.5 323956 Bytes 21.11.2008 22:20:36
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:58
AECORE.DLL : 8.1.5.1 172406 Bytes 21.11.2008 22:20:34
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:58
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:04
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:28:00
AVREP.DLL : 8.0.0.2 98344 Bytes 26.10.2008 14:24:54
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:38
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:20
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:48
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:04
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:38
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:08
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:02
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:06
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Donnerstag, 27. November 2008 20:44
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acer.Empowering.Framework.Launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SunServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWEMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchApplication.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LockMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RealPlay.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DAEMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BisonBar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSloader.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePresentation.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePower_DMC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EHMSAS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EHTRAY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemCheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '65' Prozesse mit '65' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '81' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <ACER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip
[0] Archivtyp: ZIP
--> TDSSpqxt.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.G.22
--> TDSSpqxt.sys.1
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
--> tdssserv.sys.1
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <ACERDATA>
Ende des Suchlaufs: Donnerstag, 27. November 2008 21:17
Benötigte Zeit: 32:30 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
6942 Verzeichnisse wurden überprüft
241015 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
241008 Dateien ohne Befall
8126 Archive wurden durchsucht
4 Warnungen
1 Hinweise
Hier der Scan von HighjackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:38:26, on 27.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\WINDOWS\BUtilityBar\BisonBar.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Acer\Empowering Technology\eLock\Monitor\LockMon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [BisonBar] C:\WINDOWS\BUtilityBar\BisonBar.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
--
End of file - 10271 bytes
Ich lasse gleich nochma Kaspersky online drüber laufen, wäre toll, wenn mir jemand sagen kann, was ich noch tun kann um sicher zu gehen :-)
Danke schonmal für die Hilfe!
mfg
Pharao
Update - Ergebnis von Kaspersky
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Donnerstag, 27. November 2008 23:41:54
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 27/11/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1421479
-------------------------------------------------------------------------------
Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja
Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
G:\
H:\
I:\
J:\
Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 83245
Viren gefunden: 5
Infizierte Objekte gefunden: 10
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:05:46
Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Media Ce.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edbtmp.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_2b0.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_d4c.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{10BC303D-1FE4-4550-BE69-B47EA96551D5}.crmlog Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{0DD06B65-894E-4051-A7BE-DB5E2DD2D1DA}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\2008-11-27_Log.ALUSchedulerSvc.LiveUpdate Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Eigene Dateien\ICQ Status Checker.exe Infizierte Objekte: HackTool.Win32.ICQPass.l übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\fla3B44.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\Perflib_Perfdata_bd4.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\~DFA07F.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\Perflib_Perfdata_c10.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\~DF5921.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\LockMon.exe.7987f3da.ini.inuse Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ePower_DMC.exe.3ca0acde.ini.inuse Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ePresentation.exe.e70224e9.ini.inuse Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\Acer.Empowering.Framework.Launcher.exe.7c55249b.ini.inuse Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\z3aw7lzo.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\z3aw7lzo.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\z3aw7lzo.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\z3aw7lzo.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Desktop\Treiber + Setups\BearShareV6de.exe/WISE0104.BIN/stream/data0005 Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen
C:\Dokumente und Einstellungen\Matze\Desktop\Treiber + Setups\BearShareV6de.exe/WISE0104.BIN/stream Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen
C:\Dokumente und Einstellungen\Matze\Desktop\Treiber + Setups\BearShareV6de.exe/WISE0104.BIN Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen
C:\Dokumente und Einstellungen\Matze\Desktop\Treiber + Setups\BearShareV6de.exe WiseSFX: infiziert - 3 übersprungen
C:\Dokumente und Einstellungen\Matze\Desktop\Treiber + Setups\BearShareV6de.exe WiseSFXDropper: infiziert - 3 übersprungen
C:\Dokumente und Einstellungen\Matze\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\animan.class-79dc8d6d-26f77553.class Infizierte Objekte: Exploit.Java.ByteVerify übersprungen
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\399908fd-44174b7a Infizierte Objekte: Exploit.Java.ByteVerify übersprungen
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\sw_ae-20081127-191940.log Das Objekt ist gesperrt übersprungen
C:\system volume information\_restore{AE8C560C-AEE7-4C54-AB1D-014009397F0B}\RP529\A0111361.exe Infizierte Objekte: not-a-virus:WebToolbar.Win32.WhenU.a übersprungen
C:\system volume information\_restore{AE8C560C-AEE7-4C54-AB1D-014009397F0B}\RP529\A0111362.exe Infizierte Objekte: not-a-virus:AdWare.Win32.SaveNow.bs übersprungen
C:\system volume information\_restore{AE8C560C-AEE7-4C54-AB1D-014009397F0B}\RP552\change.log Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.
__________
Es ist ein gewaltiger Irrtum zu meinen, deshalb, weil etwas gesagt worden ist, wurde es schon gehört.