kompletter Virenscan mit antivir hat 22 Funde und 10 Warnungen gefunden

#0
06.12.2008, 19:02
Member

Beiträge: 20
#1 Hallo,

ich kenne mich in Sachen Viren entfernen überhaupt nicht aus. Hab im Internet gegooglt und eure Seite gefunden. Hoffe ihr könnt mir helfen.
Benutze Windows XP und AntiVir. Ich erhalte mehrere Male hintereinander z.B folgende Meldung:
C:\\WINDOWS\system32\dijanumo.dll
Ist das trojanische Pferd TR/Agent.asdn

Mein Rechner ist extrem langsam, vor allem beim Starten vom IE.
Betriebssystem ist Windows XP.

Vielen Dank schom in voraus für Eure Hilfe

MFG Derya66
Dieser Beitrag wurde am 06.12.2008 um 20:26 Uhr von derya66 editiert.
Seitenanfang Seitenende
06.12.2008, 19:45
Moderator

Beiträge: 7805
#2 Hallo derya66,

die Reporte sind ja schon von Freitag. Aktualisiere bitte Antivir, mache einen neuen komplettscan, bzw von dem Windowsordner und arbeite die Punkte 2-5 aus http://board.protecus.de/t23188.htm ab und poste die Ergebnisse.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.12.2008, 20:30
Member

Themenstarter

Beiträge: 20
#3 Hallo Raman,

danke für deine Antwort. Werde mich melden so schnell ich kann.
Lasse gerade Antivir laufen die Schritte mache ich dann als nächstes ;)

Erst einmal der Report von Antivir:

Code

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 6. Dezember 2008  20:10

Es wird nach 1075399 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     YO****66

Versionsinformationen:
BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  26.11.2008 09:34:48
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  27.07.2008 20:34:54
LUKE.DLL      : 8.1.4.5       164097 Bytes  27.07.2008 20:34:55
LUKERES.DLL   : 8.1.4.0        12545 Bytes  27.07.2008 20:34:55
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 15:57:16
ANTIVIR1.VDF  : 7.1.0.56      411136 Bytes  09.11.2008 20:01:23
ANTIVIR2.VDF  : 7.1.0.160     571392 Bytes  30.11.2008 13:22:31
ANTIVIR3.VDF  : 7.1.0.195     219648 Bytes  05.12.2008 19:43:08
Engineversion : 8.2.0.42  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  16.10.2008 13:20:12
AESCRIPT.DLL  : 8.1.1.17      336251 Bytes  05.12.2008 10:45:35
AESCN.DLL     : 8.1.1.5       123251 Bytes  08.11.2008 18:03:50
AERDL.DLL     : 8.1.1.3       438645 Bytes  07.11.2008 14:46:43
AEPACK.DLL    : 8.1.3.4       393591 Bytes  11.11.2008 20:01:24
AEOFFICE.DLL  : 8.1.0.32      196987 Bytes  05.12.2008 19:43:08
AEHEUR.DLL    : 8.1.0.74     1519990 Bytes  05.12.2008 10:45:33
AEHELP.DLL    : 8.1.2.0       119159 Bytes  18.11.2008 20:11:28
AEGEN.DLL     : 8.1.1.6       323955 Bytes  30.11.2008 13:23:29
AEEMU.DLL     : 8.1.0.9       393588 Bytes  16.10.2008 13:20:08
AECORE.DLL    : 8.1.5.2       172405 Bytes  30.11.2008 13:23:25
AEBB.DLL      : 8.1.0.3        53618 Bytes  16.10.2008 13:20:07
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  27.07.2008 20:34:54
AVPREF.DLL    : 8.0.2.0        38657 Bytes  27.07.2008 20:34:54
AVREP.DLL     : 8.0.0.2        98344 Bytes  01.08.2008 09:21:34
AVREG.DLL     : 8.0.0.1        33537 Bytes  27.07.2008 20:34:54
AVARKT.DLL    : 1.0.0.23      307457 Bytes  20.04.2008 20:28:47
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  27.07.2008 20:34:54
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  20.04.2008 20:28:49
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  27.07.2008 20:34:56
NETNT.DLL     : 8.0.0.1         7937 Bytes  20.04.2008 20:28:48
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  27.07.2008 20:34:50
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.07.2008 20:34:50

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 6. Dezember 2008  20:10

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Adobelm_Cleanup.0001' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Adobelmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Adobelm_Cleanup.0001' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrobat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLLoginProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rsvp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchApplication.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '51' Prozesse mit '51' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '64' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\ARK12.tmp
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4985ce7a.qua' verschoben!
C:\ARK13.tmp
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4985ce7d.qua' verschoben!
C:\ARK14.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.FKM.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4985ce7f.qua' verschoben!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{D93892D3-CC52-45F1-BBF5-32FD1F922651}\RP4\A0005432.dll
    [FUND]      Ist das Trojanische Pferd TR/Agent.asdn
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496ad37c.qua' verschoben!
C:\System Volume Information\_restore{D93892D3-CC52-45F1-BBF5-32FD1F922651}\RP4\A0005433.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496ad37e.qua' verschoben!
C:\System Volume Information\_restore{D93892D3-CC52-45F1-BBF5-32FD1F922651}\RP4\A0005434.dll
    [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.fga
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496ad380.qua' verschoben!
C:\System Volume Information\_restore{D93892D3-CC52-45F1-BBF5-32FD1F922651}\RP4\A0005435.dll
    [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.fga
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496ad382.qua' verschoben!
C:\System Volume Information\_restore{D93892D3-CC52-45F1-BBF5-32FD1F922651}\RP4\A0005436.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.FKM.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496ad383.qua' verschoben!
C:\System Volume Information\_restore{D93892D3-CC52-45F1-BBF5-32FD1F922651}\RP4\A0005437.dll
    [FUND]      Ist das Trojanische Pferd TR/PSW.OnlineGames.tvrv
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496ad385.qua' verschoben!
C:\System Volume Information\_restore{D93892D3-CC52-45F1-BBF5-32FD1F922651}\RP4\A0005438.dll
    [FUND]      Ist das Trojanische Pferd TR/Agent.asdn
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496ad386.qua' verschoben!


Ende des Suchlaufs: Samstag, 6. Dezember 2008  20:59
Benötigte Zeit: 49:11 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   7302 Verzeichnisse wurden überprüft
512067 Dateien wurden geprüft
     10 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     10 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
512056 Dateien ohne Befall
   4280 Archive wurden durchsucht
      5 Warnungen
     10 Hinweise

Viele Grüße derya66
Dieser Beitrag wurde am 06.12.2008 um 21:04 Uhr von derya66 editiert.
Seitenanfang Seitenende
06.12.2008, 20:45
Moderator

Beiträge: 7805
#4 Ich poste nur deshalb, das du nicht in die Doppelpost sperre laeufst;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.12.2008, 21:56
Member

Themenstarter

Beiträge: 20
#5 Hallo Raman,

hab jetzt Punkt2-5 alles erledigt.Hier die Reporte:

Schritt 3:

Code

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 6. Dezember 2008  20:10

Es wird nach 1075399 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     YO****66

Versionsinformationen:
BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  26.11.2008 09:34:48
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  27.07.2008 20:34:54
LUKE.DLL      : 8.1.4.5       164097 Bytes  27.07.2008 20:34:55
LUKERES.DLL   : 8.1.4.0        12545 Bytes  27.07.2008 20:34:55
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 15:57:16
ANTIVIR1.VDF  : 7.1.0.56      411136 Bytes  09.11.2008 20:01:23
ANTIVIR2.VDF  : 7.1.0.160     571392 Bytes  30.11.2008 13:22:31
ANTIVIR3.VDF  : 7.1.0.195     219648 Bytes  05.12.2008 19:43:08
Engineversion : 8.2.0.42  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  16.10.2008 13:20:12
AESCRIPT.DLL  : 8.1.1.17      336251 Bytes  05.12.2008 10:45:35
AESCN.DLL     : 8.1.1.5       123251 Bytes  08.11.2008 18:03:50
AERDL.DLL     : 8.1.1.3       438645 Bytes  07.11.2008 14:46:43
AEPACK.DLL    : 8.1.3.4       393591 Bytes  11.11.2008 20:01:24
AEOFFICE.DLL  : 8.1.0.32      196987 Bytes  05.12.2008 19:43:08
AEHEUR.DLL    : 8.1.0.74     1519990 Bytes  05.12.2008 10:45:33
AEHELP.DLL    : 8.1.2.0       119159 Bytes  18.11.2008 20:11:28
AEGEN.DLL     : 8.1.1.6       323955 Bytes  30.11.2008 13:23:29
AEEMU.DLL     : 8.1.0.9       393588 Bytes  16.10.2008 13:20:08
AECORE.DLL    : 8.1.5.2       172405 Bytes  30.11.2008 13:23:25
AEBB.DLL      : 8.1.0.3        53618 Bytes  16.10.2008 13:20:07
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  27.07.2008 20:34:54
AVPREF.DLL    : 8.0.2.0        38657 Bytes  27.07.2008 20:34:54
AVREP.DLL     : 8.0.0.2        98344 Bytes  01.08.2008 09:21:34
AVREG.DLL     : 8.0.0.1        33537 Bytes  27.07.2008 20:34:54
AVARKT.DLL    : 1.0.0.23      307457 Bytes  20.04.2008 20:28:47
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  27.07.2008 20:34:54
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  20.04.2008 20:28:49
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  27.07.2008 20:34:56
NETNT.DLL     : 8.0.0.1         7937 Bytes  20.04.2008 20:28:48
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  27.07.2008 20:34:50
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.07.2008 20:34:50

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 6. Dezember 2008  20:10

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Adobelm_Cleanup.0001' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Adobelmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Adobelm_Cleanup.0001' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrobat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLLoginProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rsvp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchApplication.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '51' Prozesse mit '51' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '64' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\ARK12.tmp
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4985ce7a.qua' verschoben!
C:\ARK13.tmp
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4985ce7d.qua' verschoben!
C:\ARK14.tmp
    [FUND]      Ist das Trojanische Pferd TR/Crypt.FKM.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4985ce7f.qua' verschoben!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{D93892D3-CC52-45F1-BBF5-32FD1F922651}\RP4\A0005432.dll
    [FUND]      Ist das Trojanische Pferd TR/Agent.asdn
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496ad37c.qua' verschoben!
C:\System Volume Information\_restore{D93892D3-CC52-45F1-BBF5-32FD1F922651}\RP4\A0005433.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496ad37e.qua' verschoben!
C:\System Volume Information\_restore{D93892D3-CC52-45F1-BBF5-32FD1F922651}\RP4\A0005434.dll
    [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.fga
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496ad380.qua' verschoben!
C:\System Volume Information\_restore{D93892D3-CC52-45F1-BBF5-32FD1F922651}\RP4\A0005435.dll
    [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.fga
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496ad382.qua' verschoben!
C:\System Volume Information\_restore{D93892D3-CC52-45F1-BBF5-32FD1F922651}\RP4\A0005436.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.FKM.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496ad383.qua' verschoben!
C:\System Volume Information\_restore{D93892D3-CC52-45F1-BBF5-32FD1F922651}\RP4\A0005437.dll
    [FUND]      Ist das Trojanische Pferd TR/PSW.OnlineGames.tvrv
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496ad385.qua' verschoben!
C:\System Volume Information\_restore{D93892D3-CC52-45F1-BBF5-32FD1F922651}\RP4\A0005438.dll
    [FUND]      Ist das Trojanische Pferd TR/Agent.asdn
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496ad386.qua' verschoben!


Ende des Suchlaufs: Samstag, 6. Dezember 2008  20:59
Benötigte Zeit: 49:11 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   7302 Verzeichnisse wurden überprüft
512067 Dateien wurden geprüft
     10 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     10 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
512056 Dateien ohne Befall
   4280 Archive wurden durchsucht
      5 Warnungen
     10 Hinweise
Schritt 4:

Code

ComboFix 08-12-06.03 - yo**at 2008-12-06 21:38:10.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.120 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\yo**at\Desktop\virus entfernen\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\yo**at\Startmenü\Programme\PlayMP3z
c:\dokumente und einstellungen\yo**at\Startmenü\Programme\PlayMP3z\Run PlayMP3z.lnk
c:\windows\system32\arozolap.ini
c:\windows\system32\asoyuzoy.ini
c:\windows\system32\ikefiluh.ini
c:\windows\system32\ilekebez.ini
c:\windows\system32\imudenas.ini
c:\windows\system32\obatuvup.ini
c:\windows\system32\omunajid.ini
c:\windows\system32\tmp.exe
c:\windows\system32\uritejoz.ini

----- BITS: Eventuell infizierte Webseiten -----

hxxp://77.74.48.105
.
(((((((((((((((((((((((   Dateien erstellt von 2008-11-06 bis 2008-12-06  ))))))))))))))))))))))))))))))
.

2008-12-06 21:20 . 2008-12-06 21:20    <DIR>    d--------    c:\programme\Malwarebytes' Anti-Malware
2008-12-06 21:20 . 2008-12-06 21:20    <DIR>    d--------    c:\dokumente und einstellungen\yo**at\Anwendungsdaten\Malwarebytes
2008-12-06 21:20 . 2008-12-06 21:20    <DIR>    d--------    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-06 21:20 . 2008-12-03 19:52    38,496    --a------    c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-06 21:20 . 2008-12-03 19:52    15,504    --a------    c:\windows\system32\drivers\mbam.sys
2008-11-23 21:28 . 2008-11-23 21:28    <DIR>    d--------    c:\programme\MSECache
2008-11-11 21:52 . 2008-11-11 21:52    1,393    --a------    c:\windows\imsins.BAK
2008-11-11 21:03 . 2008-10-24 12:21    455,296    -----c---    c:\windows\system32\dllcache\mrxsmb.sys
2008-11-11 21:02 . 2008-09-04 18:15    1,106,944    -----c---    c:\windows\system32\dllcache\msxml3.dll
2008-11-10 17:09 . 2008-11-10 17:09    161,141    --a------    c:\windows\Delil Uninstaller.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-06 20:41    ---------    d-----w    c:\programme\Delil
2008-12-06 19:51    ---------    d-----w    c:\programme\IntelligentAdvisor
2008-10-24 11:21    455,296    ----a-w    c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 18:51    ---------    d-----w    c:\dokumente und einstellungen\yo**at\Anwendungsdaten\Apple Computer
2008-10-17 10:11    ---------    d-----w    c:\dokumente und einstellungen\yo**at\Anwendungsdaten\TuneUp Software
2008-10-17 10:10    306,432    ----a-w    c:\windows\system32\TuneUpDefragService.exe
2008-10-17 10:10    ---------    d-----w    c:\programme\TuneUp Utilities 2008
2008-10-17 10:10    ---------    d-----w    c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-10-17 10:04    ---------    d-----w    c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-13 11:38    ---------    d-----w    c:\programme\ABBYY PDF Transformer 1.0
2008-09-30 15:43    1,286,152    ----a-w    c:\windows\system32\msxml4.dll
2008-09-25 09:51    20,456    ----a-w    c:\dokumente und einstellungen\yo**at\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-09-15 15:24    1,846,528    ----a-w    c:\windows\system32\win32k.sys
2008-09-10 01:13    1,307,648    ------w    c:\windows\system32\msxml6.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-18 68856]
"MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"delil"="c:\programme\Delil\vbdelil.exe" [2006-02-02 94208]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-02-09 344064]
"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-27 266497]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-05-27 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
"SigmatelSysTrayApp"="stsystra.exe" [2005-03-22 c:\windows\stsystra.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2007-11-18 25214]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\GoToAssist]
2007-11-23 16:32 10792 c:\programme\Citrix\GoToAssist\480\g2awinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Windows Live\\Messenger\\usnsvc.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Mobile Device Support\\bin\\AppleMobileDeviceService.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMIndexStoreSvr.exe"=
"c:\\WINDOWS\\system32\\imapi.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Programme\\iPod\\bin\\iPodService.exe"=
"c:\\WINDOWS\\system32\\zstatus.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

S3 GoToAssist;GoToAssist;"c:\programme\Citrix\GoToAssist\480\g2aservice.exe" Start=service [2007-11-23 16936]
S3 PAC7311;VGA SoC PC-Camer@;c:\windows\system32\DRIVERS\PA707UCM.SYS [2005-09-16 150272]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-10-17 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 12:17]

2008-12-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-Picasa Media Detector - c:\programme\Picasa2\PicasaMediaDetector.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://web.de/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

c:\windows\Downloaded Program Files\NpFv501.dll - O16 -: {E55FD215-A32E-43FE-A777-A7E8F165F557}
hxxp://www.flatcast-data.com/data/objects/NpFv501.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-06 21:41:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(652)
c:\programme\Citrix\GoToAssist\480\G2AWinLogon.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\windows\system32\rundll32.exe
c:\programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
c:\windows\system32\PAStiSvc.exe
c:\programme\Microsoft ActiveSync\rapimgr.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
c:\windows\ehome\mcrdsvc.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-06 21:45:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-12-06 20:44:25

Vor Suchlauf: 12 Verzeichnis(se), 52.472.631.296 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 52,520,685,568 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

187    --- E O F ---    2008-11-24 21:05:04

Schritt 5:

Code

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:49:35, on 06.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [delil] C:\Programme\Delil\vbdelil.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-3d7dca7d99df2d99.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F557} (Flatcast Viewer 5.0) - http://www.flatcast-data.com/data/objects/NpFv501.dll
O20 - Winlogon Notify: GoToAssist - C:\Programme\Citrix\GoToAssist\480\G2AWinLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Programme\Citrix\GoToAssist\480\g2aservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9974 bytes
Seitenanfang Seitenende
07.12.2008, 02:45
Moderator

Beiträge: 5694
#6 Kennst Du dieses Programm:
C:\Programme\Delil\

>>
Combofix entfernen:

Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
JAVA Update:
Lade Dir
http://cds.sun.com/is-bin/INTERSHOP.enfinity/WFS/CDS-CDS_Developer-Site/en_US/-/USD/VerifyItem-Start/jre-6u11-windows-i586-p.exe?BundledLineItemUUID=6d1IBe.m36MAAAEeGUteMA8c&OrderID=.FVIBe.mxFwAAAEeDkteMA8c&ProductID=0TVIBe.o9RsAAAEdDu5Gb7FN&FileName=/jre-6u11-windows-i586-p.exe

auf den Desktop

Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus --->"jre-6u11-windows-i586-p.exe"

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html

>>
Start - Ausführen - gib ein: regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify"=dword:00000001 - in 0 ändern

rechtsklick auf den Eintrag auf UpdatesDisableNotify
die 1 wegklicken und 0 reinschreiben, dann abspeichern



speichern + Registry schliessen + PC neustarten + berichte

Für mich:

Zitat

Folders to delete:
c:\programme\Delil
c:\programme\IntelligentAdvisor

Files to delete:
c:\windows\Delil Uninstaller.exe
Dieser Beitrag wurde am 07.12.2008 um 02:49 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
07.12.2008, 16:16
Member

Themenstarter

Beiträge: 20
#7

Zitat

Tonstudio postete
Kennst Du dieses Programm:
C:\Programme\Delil\

>> Ja das Programm kenne ich, meinst Du etwas stimmt damit nicht?

Combofix entfernen:

Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>> Hab ich gemacht. ;)
JAVA Update:
Lade Dir
http://cds.sun.com/is-bin/INTERSHOP.enfinity/WFS/CDS-CDS_Developer-Site/en_US/-/USD/VerifyItem-Start/jre-6u11-windows-i586-p.exe?BundledLineItemUUID=6d1IBe.m36MAAAEeGUteMA8c&OrderID=.FVIBe.mxFwAAAEeDkteMA8c&ProductID=0TVIBe.o9RsAAAEdDu5Gb7FN&FileName=/jre-6u11-windows-i586-p.exe

auf den Desktop

Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus --->"jre-6u11-windows-i586-p.exe"

>> Habe ich auch erledigt ;)

Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>> Das ging auch in Ordnung ;) Hier der Report:

Code

[b]SDFix: Version 1.240 [/b]
Run by yo**at on 07.12.2008 at 14:50

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-07 15:27:18
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060ac622a]
"001370a7db13"=hex:48,8c,8d,cf,d6,65,d4,04,52,5e,e7,42,bf,7e,74,f2
"001370abe5a8"=hex:34,45,4f,61,3e,bf,46,7a,cb,84,56,74,1f,7e,41,20
"0013fd99a8d1"=hex:d6,70,68,54,8e,78,15,04,4f,a9,4d,93,91,ce,91,2d
"001c35548176"=hex:ac,48,96,89,c1,77,8c,9d,31,54,8a,9a,35,0b,3d,01
"001f00347fa9"=hex:ba,1d,2b,75,bb,1f,c2,a2,a5,21,2e,8a,df,a6,0b,f3
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060ac622a]
"001370a7db13"=hex:48,8c,8d,cf,d6,65,d4,04,52,5e,e7,42,bf,7e,74,f2
"001370abe5a8"=hex:34,45,4f,61,3e,bf,46,7a,cb,84,56,74,1f,7e,41,20
"0013fd99a8d1"=hex:d6,70,68,54,8e,78,15,04,4f,a9,4d,93,91,ce,91,2d
"001c35548176"=hex:ac,48,96,89,c1,77,8c,9d,31,54,8a,9a,35,0b,3d,01
"001f00347fa9"=hex:ba,1d,2b,75,bb,1f,c2,a2,a5,21,2e,8a,df,a6,0b,f3

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000005ae

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Windows Live\\Messenger\\usnsvc.exe"="C:\\Programme\\Windows Live\\Messenger\\usnsvc.exe:*:Enabled:usnsvc"
"C:\\Programme\\Gemeinsame Dateien\\Apple\\Mobile Device Support\\bin\\AppleMobileDeviceService.exe"="C:\\Programme\\Gemeinsame Dateien\\Apple\\Mobile Device Support\\bin\\AppleMobileDeviceService.exe:*:Enabled:AppleMobileDeviceService"
"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMIndexStoreSvr.exe"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMIndexStoreSvr.exe:*:Enabled:NMIndexStoreSvr"
"C:\\WINDOWS\\system32\\imapi.exe"="C:\\WINDOWS\\system32\\imapi.exe:*:Enabled:imapi"
"C:\\WINDOWS\\system32\\spoolsv.exe"="C:\\WINDOWS\\system32\\spoolsv.exe:*:Enabled:spoolsv"
"C:\\Programme\\iPod\\bin\\iPodService.exe"="C:\\Programme\\iPod\\bin\\iPodService.exe:*:Enabled:iPodService"
"C:\\WINDOWS\\system32\\zstatus.exe"="C:\\WINDOWS\\system32\\zstatus.exe:*:Enabled:zstatus"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Sat 29 Dec 2007         4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Thu 22 Nov 2007             0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Sun 18 Oct 2026        65,024 A..H. --- "C:\Dokumente und Einstellungen\y****at\Eigene Dateien\Il****r\Meine Bilder\Abl******nur Urlaub 2005\101CASIO.exe"
Mon 10 Mar 2008        39,936 A..H. --- "C:\Dokumente und Einstellungen\y***t\Eigene Dateien\S**ur\Bew****en\Bew****enalt\400Euro\~WRL0003.tmp"
Thu  9 Oct 2008    15,155,200 ...H. --- "C:\Dokumente und Einstellungen\y****t\Eigene Dateien\S**r\Bew****gen\Bew****gen2\Alsitan\~WRL0105.tmp"
Mon  3 Nov 2008    10,553,344 A..H. --- "C:\Dokumente und Einstellungen\yo****at\Eigene Dateien\S**ur\Bew****en\Bewe****gen2\BRITA\~WRL0116.tmp"
Thu  9 Oct 2008    15,794,688 ...H. --- "C:\Dokumente und Einstellungen\yo****at\Eigene Dateien\Se**ur\Bewerbungen\Bew****en2\FMP Technology\~WRL0423.tmp"
Mon  3 Nov 2008    10,552,832 A..H. --- "C:\Dokumente und Einstellungen\y****at\Eigene Dateien\Se****ur\Bew****en\Bew****en2\WEIMER\~WRL0005.tmp"
Mon 13 Oct 2008    13,723,136 ...H. --- "C:\Dokumente und Einstellungen\yo****t\Eigene Dateien\Se****r\Bewerbungen\Bewerbungen2\Weleda\~WRL2096.tmp"
Wed 18 Apr 2007    13,896,704 A..H. --- "C:\Dokumente und Einstellungen\y****at\Eigene Dateien\Se****ur\Be****gen\Bewerbungenalt\Lebensmittel mit Stellenanzeige\Kelly Scientific Resources\~WRL0004.tmp"
Thu 30 Aug 2007       647,168 A.SH. --- "C:\Dokumente und Einstellungen\yo****t\Eigene Dateien\S****ur\Dies und das\Bilder Lieder\resimler\Bilder entwickelt\SIVE.tmp"
Thu 30 Aug 2007       643,072 A.SH. --- "C:\Dokumente und Einstellungen\yo****at\Eigene Dateien\S****r\Dies und das\Bilder Lieder\re****er\Bilder entwickelt\SIVF.tmp"

[b]Finished![/b]

Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html

>> Hmm ich glaub da ist irgendetwas schief gegangen ;) schau es Dir mal bitte an. Danke!
Den ersten Teil habe ich gemacht und per Anhang mitgeschickt. Aber den zweiten Teil von Schritt 2 hat glaube ich nicht geklappt. ;)


Start - Ausführen - gib ein: regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify"=dword:00000001 - in 0 ändern

rechtsklick auf den Eintrag auf UpdatesDisableNotify
die 1 wegklicken und 0 reinschreiben, dann abspeichern

speichern + Registry schliessen + PC neustarten + berichte


Hier wollte ich die 1 in 0 ändern, aber bei mir war da schon eine 0. Hoffe ist trotzdem in Ordnung.

Hoffe ich habe alles vollständig machen können.

Danke schon im voraus für Deine Antwort ;)

MfG derya66


Anhang: dirdat.txt
Dieser Beitrag wurde am 07.12.2008 um 16:20 Uhr von derya66 editiert.
Seitenanfang Seitenende
07.12.2008, 23:53
Moderator

Beiträge: 5694
#8 Diese zwei Programme kenne ich nicht, falls du diese nicht kennst oder brauchst, dann entferne sie:
c:\programme\Delil
c:\programme\IntelligentAdvisor


Wie siehts aus mit der Gschwindigkeit?

>>
Stelle Antivir so ein wie hier beschrieben und mache einen erneuten Scan:
http://board.protecus.de/t23979.htm

Dannach die Eintsellungen wieder zurücksetzen.

Gruss Swiss
Seitenanfang Seitenende
08.12.2008, 11:57
Member

Themenstarter

Beiträge: 20
#9 Hi Swiss,

habe IntelligentAdvisor entfernt, delil habe ich mal gelassen denn diese Programm kenne ich und bisher ist nichts auffälliges gewesen.

Die Geschwindigkeit ist in Ordnung.

AntiVir habe ich so eingestellt wie es beschrieben war.
Hier ist der Report:

Code

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 8. Dezember 2008  10:58

Es wird nach 1076607 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     YO*****6

Versionsinformationen:
BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  26.11.2008 09:34:48
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  27.07.2008 20:34:54
LUKE.DLL      : 8.1.4.5       164097 Bytes  27.07.2008 20:34:55
LUKERES.DLL   : 8.1.4.0        12545 Bytes  27.07.2008 20:34:55
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 15:57:16
ANTIVIR1.VDF  : 7.1.0.197    1170432 Bytes  07.12.2008 19:43:51
ANTIVIR2.VDF  : 7.1.0.198       2048 Bytes  07.12.2008 19:43:52
ANTIVIR3.VDF  : 7.1.0.199       2048 Bytes  07.12.2008 19:43:53
Engineversion : 8.2.0.42  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  16.10.2008 13:20:12
AESCRIPT.DLL  : 8.1.1.17      336251 Bytes  05.12.2008 10:45:35
AESCN.DLL     : 8.1.1.5       123251 Bytes  08.11.2008 18:03:50
AERDL.DLL     : 8.1.1.3       438645 Bytes  07.11.2008 14:46:43
AEPACK.DLL    : 8.1.3.4       393591 Bytes  11.11.2008 20:01:24
AEOFFICE.DLL  : 8.1.0.32      196987 Bytes  05.12.2008 19:43:08
AEHEUR.DLL    : 8.1.0.74     1519990 Bytes  05.12.2008 10:45:33
AEHELP.DLL    : 8.1.2.0       119159 Bytes  18.11.2008 20:11:28
AEGEN.DLL     : 8.1.1.6       323955 Bytes  30.11.2008 13:23:29
AEEMU.DLL     : 8.1.0.9       393588 Bytes  16.10.2008 13:20:08
AECORE.DLL    : 8.1.5.2       172405 Bytes  30.11.2008 13:23:25
AEBB.DLL      : 8.1.0.3        53618 Bytes  16.10.2008 13:20:07
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  27.07.2008 20:34:54
AVPREF.DLL    : 8.0.2.0        38657 Bytes  27.07.2008 20:34:54
AVREP.DLL     : 8.0.0.2        98344 Bytes  01.08.2008 09:21:34
AVREG.DLL     : 8.0.0.1        33537 Bytes  27.07.2008 20:34:54
AVARKT.DLL    : 1.0.0.23      307457 Bytes  20.04.2008 20:28:47
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  27.07.2008 20:34:54
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  20.04.2008 20:28:49
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  27.07.2008 20:34:56
NETNT.DLL     : 8.0.0.1         7937 Bytes  20.04.2008 20:28:48
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  27.07.2008 20:34:50
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.07.2008 20:34:50

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 8. Dezember 2008  10:58

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rsvp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchApplication.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '47' Prozesse mit '47' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '63' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\ComboFix\nircmd.com
    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49aef04d.qua' verschoben!
C:\Programme\Microsoft Office\Office10\1031\ACMAIN10.CHM
    [0] Archivtyp: CHM
    --> /html/AboutGroupingLinesIntoAGrid.htm
      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    --> /html/acwhatsnewhome.htm
      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4989f65c.qua' verschoben!
C:\Programme\Microsoft Office\Office10\1031\FPMAIN10.CHM
    [0] Archivtyp: CHM
    --> /html/fpCopyTableCellContent.htm
      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    --> /html/fpwhatsnewhome.htm
      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    --> /html/fpAboutFormattingText.htm
      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    --> /html/AboutBulleted,Numbered,AndMulti-leve.htm
      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4989f684.qua' verschoben!
C:\Programme\Microsoft Office\Office10\1031\PPMAIN10.CHM
    [0] Archivtyp: CHM
    --> /html/PPwhatsnewhome.htm
      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    --> /html/ppconBuildSlides.htm
      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4989f6b5.qua' verschoben!
C:\Programme\Microsoft Office\Office10\1031\WDMAIN10.CHM
    [0] Archivtyp: CHM
    --> /html/AboutDisplayingAndPrintingMarkup.htm
      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4989f6c1.qua' verschoben!
C:\Programme\Microsoft Office\Office10\1031\XLMAIN10.CHM
    [0] Archivtyp: CHM
    --> /html/xldccAddBordersToCells.htm
      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4989f6cf.qua' verschoben!
C:\System Volume Information\_restore{D93892D3-CC52-45F1-BBF5-32FD1F922651}\RP2\A0000202.com
    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496cf767.qua' verschoben!
C:\verschiedene Programmme zum installieren\Microsoft Office XP Professional\OFFICE1.CAB
    [0] Archivtyp: CAB (Microsoft)
      --> ACMAIN10.CHM
        [1] Archivtyp: CHM
        --> /html/AboutGroupingLinesIntoAGrid.htm
          [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
        --> /html/acwhatsnewhome.htm
          [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
      --> XLMAIN10.CHM
        [1] Archivtyp: CHM
        --> /html/xldccAddBordersToCells.htm
          [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
      --> FPMAIN10.CHM
        [1] Archivtyp: CHM
        --> /html/fpCopyTableCellContent.htm
          [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
        --> /html/fpwhatsnewhome.htm
          [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
        --> /html/fpAboutFormattingText.htm
          [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
        --> /html/AboutBulleted,Numbered,AndMulti-leve.htm
          [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
      --> PPMAIN10.CHM_0001
        [1] Archivtyp: CHM
        --> /html/PPwhatsnewhome.htm
          [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
        --> /html/ppconBuildSlides.htm
          [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
      --> WDMAIN10.CHM
        [1] Archivtyp: CHM
        --> /html/AboutDisplayingAndPrintingMarkup.htm
          [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4982f971.qua' verschoben!
C:\verschiedene Programmme zum installieren\Microsoft Office XP Professional\ORK\FILES\PFILES\ORKTOOLS\ORK10\TOOLS\HTMLHELP\HTMLHELP.EXE
    [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    [HINWEIS]   Der Fund wurde als verdächtig eingestuft.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4989f9ee.qua' verschoben!
C:\WINDOWS\system32\alp32b.dll
      [FUND]      Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Asprotect). Bitte verifizieren Sie den Ursprung dieser Datei.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49acfc40.qua' verschoben!


Ende des Suchlaufs: Montag, 8. Dezember 2008  11:51
Benötigte Zeit: 53:10 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   6451 Verzeichnisse wurden überprüft
450600 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
     21 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     10 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
450575 Dateien ohne Befall
   3873 Archive wurden durchsucht
      5 Warnungen
     10 Hinweise

Im Anhang habe ich noch eine von mehreren Fehlermeldugnen angehängt.

Danke für Deine Bemühungen ;)

Seitenanfang Seitenende
08.12.2008, 12:45
Moderator

Beiträge: 5694
#10 >>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html.


Gruss Swiss
Seitenanfang Seitenende
08.12.2008, 13:31
Member

Themenstarter

Beiträge: 20
#11 BitDefender Online Scanner - Real Time Virus Report


Generated at: Mon, Dec 08, 2008 - 13:30:24

Scan Info

Scanned Files
39496

Infected Files
0

Virus Detected

No virus found.


Gruß derya66
Seitenanfang Seitenende
08.12.2008, 14:34
Moderator

Beiträge: 5694
#12 Dann viel Spass beim Surfen ;)

Gruss Swiss
Seitenanfang Seitenende
08.12.2008, 22:03
Member

Themenstarter

Beiträge: 20
#13 Danke swiss,

keine Viren mehr? Warum hat Antivir dann soviel noch gefunden?

Hab nach dem Starten des Computers folgende Fehlermeldung bekommen:
Run-time error ´53´:
File not found: alp32b.dll

Gruss derya66
Dieser Beitrag wurde am 08.12.2008 um 22:12 Uhr von derya66 editiert.
Seitenanfang Seitenende
09.12.2008, 01:41
Moderator

Beiträge: 5694
#14 Bei den Funden dürfte es sich um Fehlalarme handeln. Hast du vor dem Scan Antivir geupdatet? Siehe hier:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=78932

Hmm diese Datei hat Avira als schädlich eingestuft. Vermutlich will sich immernoch im Hintergrund ein Programm laden welcher diese dll nun braucht.

Zitat

C:\WINDOWS\system32\alp32b.dll
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Asprotect). Bitte verifizieren Sie den Ursprung dieser Datei.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49acfc40.qua' verschoben!
Eröffne einen neuen Ordner auf dem Desktop mit dem Namen "AVIRA".
Dann such den QuarantäneOrdner von Avira:
Evtl hier:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\INFECTED

Dann lass die Datei alp32b.dll im erstellten Ordner wieder herstellen.

Dannach gehe auf www.virustotal.com/de und lädst diese Datei alp32b.dll hoch und poste das Ergbenis.

>>
Zudem erstelle ein neues HJT Log.

Gruss Swiss
Seitenanfang Seitenende
09.12.2008, 23:38
Member

Themenstarter

Beiträge: 20
#15 Hi swiss,

das mit dem Update von Avira muss ich mir nochmal anschauen.Hab ich noch nicht gemacht.
Das Ergebnis von Virustotal lautet:

0 bytes size received / Se ha recibido un archivo vacio

Das neue HJT Log lautet:

Code

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:31:50, on 09.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [delil] C:\Programme\Delil\vbdelil.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-3d7dca7d99df2d99.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F557} (Flatcast Viewer 5.0) - http://www.flatcast-data.com/data/objects/NpFv501.dll
O20 - Winlogon Notify: GoToAssist - C:\Programme\Citrix\GoToAssist\480\G2AWinLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Programme\Citrix\GoToAssist\480\g2aservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 10486 bytes
Danke Swiss für Deine Hilfe...
Seitenanfang Seitenende