HTML/Crypted.Gen Fund im Opera Cache / Logs

#0
11.03.2009, 14:50
Member

Beiträge: 36
#1 Antivir Event vom 10.03.09

Virus or unwanted program 'HTML/Crypted.Gen [virus]'
detected in file C:\DokumenteundEinstellungen\LokaleEinstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\opr0HFNH.
Action performed: Move file to quarantine

Java, Javascript sind im Opera Browser von meiner Seite aus deaktiviert. Folgend sind einige Logs.

Wie sieht die Diagnose aus?


Vielen Dank





Quick-Scan von gestern

Zitat

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1832
Windows 5.1.2600 Service Pack 3

10.03.2009 20:29:17
mbam-log-2009-03-10 (20-29-17).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 62934
Laufzeit: 6 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat

Vollständiger-Scan (abgesicherter Modus)


Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1835
Windows 5.1.2600 Service Pack 3

11.03.2009 13:07:28
mbam-log-2009-03-11 (13-07-28).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 114854
Laufzeit: 1 hour(s), 57 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat

HJT

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:21:53, on 11.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Anwendungsdaten\UpdateStar\UpdateStar.exe
C:\Dokumente und Einstellungen\Eigene Dateien\Bo\HTJ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UpdateStar] C:\Dokumente und Einstellungen\Anwendungsdaten\UpdateStar\UpdateStar.exe -A
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5576AB3A-FCF8-44FF-981D-4045C22C0D25}: NameServer = 192.168.0.1
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5108 bytes
ComboFix

Zitat

ComboFix 09-03-10.03 - 2009-03-11 14:30:07.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.511.271 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\ley\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-11 bis 2009-03-11 ))))))))))))))))))))))))))))))
.

2009-03-10 22:24 . 2009-03-10 22:24 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-03-02 11:13 . 2009-03-03 13:40 <DIR> d-------- c:\dokumente und einstellungen\Anwendungsdaten\UpdateStar
2009-02-26 14:12 . 2009-02-26 14:12 65 --a------ c:\windows\opleinst.ini
2009-02-25 11:04 . 2009-01-09 20:19 1,089,883 -----c--- c:\windows\system32\dllcache\ntprint.cat
2009-02-18 19:32 . 2009-02-18 19:33 <DIR> d-------- C:\1d56ed9e0bc5fbaf514da50e61b2
2009-02-18 19:31 . 2009-02-18 19:45 <DIR> d-------- c:\windows\SxsCaPendDel
2009-02-18 19:20 . 2009-02-18 19:20 <DIR> d-------- C:\a099646b7d916b7f5d
2009-02-18 19:18 . 2009-02-18 19:35 <DIR> d-------- C:\e73137db1ea29ab9cc45ec5f614f8bf6
2009-02-18 17:57 . 2009-02-18 17:57 <DIR> d-------- C:\fsaua.data
2009-02-18 16:55 . 2009-02-18 16:55 <DIR> d-------- c:\windows\system32\de
2009-02-18 16:55 . 2009-02-18 16:55 <DIR> d-------- c:\windows\l2schemas
2009-02-18 10:02 . 2009-02-18 10:02 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-18 10:02 . 2009-02-18 10:02 <DIR> d-------- c:\dokumente und einstellungen\ley\Anwendungsdaten\Malwarebytes
2009-02-18 10:02 . 2009-02-18 10:02 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-18 10:02 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-18 10:02 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-11 13:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-03-11 13:03 99,891 ----a-w c:\windows\Internet Logs\vsmon_2nd_2009_03_11_10_46_58_small.dmp.zip
2009-03-11 09:46 222,208 ----a-w c:\windows\Internet Logs\xDB2.tmp
2009-03-11 09:46 2,243,072 ----a-w c:\windows\Internet Logs\xDB3.tmp
2009-03-10 21:24 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-03-03 14:44 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SACore
2009-03-03 14:22 --------- d-----w c:\programme\Opera
2009-03-03 13:26 105,620 ----a-w c:\windows\Internet Logs\vsmon_2nd_2009_03_03_14_20_15_small.dmp.zip
2009-03-03 13:20 2,646,528 ----a-w c:\windows\Internet Logs\xDB1.tmp
2009-03-03 12:35 --------- d-----w c:\dokumente und einstellungen\AllUsers\Anwendungsdaten\Yahoo!
2009-03-03 12:33 --------- d-----w c:\programme\FlashGet
2009-03-03 12:33 --------- d-----w c:\programme\CCleaner
2009-03-03 12:22 --------- d-----w c:\programme\LeechGet 2007
2009-03-03 12:17 --------- d-----w c:\programme\PeerGuardian2
2009-02-20 10:03 --------- d-----w c:\programme\OpenOffice.org 3
2009-02-18 14:41 --------- d-----w c:\programme\QuickTime
2009-02-18 10:33 --------- d-----w c:\programme\Spybot - Search & Destroy
2009-02-18 10:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-17 20:43 5,287 ----a-w c:\programme\hijackthis.log
2009-02-02 10:15 6,473,513 ----a-w c:\windows\Internet Logs\tvDebug.zip
2009-01-15 10:52 --------- d-----w c:\programme\backups
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-06-09 13:12 5,959 ----a-w c:\programme\hijackthis22.log
2008-06-03 10:57 5,927 ----a-w c:\programme\hijackthis2.log
2008-05-13 18:58 5,430 ----a-w c:\programme\hijackthis1.log
2001-10-25 13:22 82,829 ------w c:\programme\LIESMICH.HTM
2001-10-25 13:22 81,924 ------w c:\programme\US Readme.htm
2001-10-25 13:22 81,924 ------w c:\programme\readme.htm
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"UpdateStar"="c:\dokumente und einstellungen\Anwendungsdaten\UpdateStar\UpdateStar.exe" [2009-01-16 4370672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-07-20 7110656]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-07-20 86016]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-11-13 981904]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-10 148888]
"nwiz"="nwiz.exe" [2005-07-20 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Aim6]
--a------ 2008-10-31 20:22 50480 c:\programme\AIM6\aim6.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
-ra------ 2007-08-09 15:48 528384 c:\programme\VIA\VIAudioi\SBADeck\ADeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:22 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 14:09 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-12-27 18:53 185896 c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZoneAlarm Client]
--a------ 2008-11-13 15:18 981904 c:\programme\Zone Labs\ZoneAlarm\zlclient.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Aim6"=

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"=
"c:\\Programme\\AIM6\\aim6.exe"=

R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programme\McAfee\SiteAdvisor\McSACore.exe [2008-09-10 206096]
S3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [2001-09-30 1410768]
.
Inhalt des "geplante Tasks" Ordners

2009-02-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
TCP: {5576AB3A-FCF8-44FF-981D-4045C22C0D25} = 192.168.0.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\
FF - prefs.js: browser.startup.homepage -
FF - component: c:\programme\McAfee\SiteAdvisor\components\McFFPlg.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-11 14:33:38
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-725345543-616249376-682003330-1004\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData*]
"OfflineKey"="f2il02yz+PoZfjShe/bLtuIDuYUBXeXUSWODhqNUumuillSxrfUfT0bxarmfYtLp4zQvX/frLlkGRzjW8wFj1YIjNQTkcipaGHiRsqxfWeML3zNdlQAR2qpUclY4tqG7hrq0toHzSqNvyr03dnd293CDD57I+nETnlnnu4AKgI3ULnXKu/K2ZzeRLfLPDBgAPUy1D3ancm3tlUij0+XCew==XkW7KTUw4/ERXZYHib2UcoL0C2ZB96ivDmVp8Hxoud4WhbS+FPwy3zwTLhtuwow5VXDxMiadgorR9F/GSnOdBg=="
"InitTime"=dword:00009997
"LastTime"=dword:000099ac
"Keyindex"=dword:00000000
.
Zeit der Fertigstellung: 2009-03-11 14:38:29
ComboFix-quarantined-files.txt 2009-03-11 13:37:12
ComboFix2.txt 2009-02-18 10:47:46

Vor Suchlauf: 26 Verzeichnis(se), 42.362.011.648 Bytes frei
Nach Suchlauf: 26 Verzeichnis(se), 42,369,159,168 Bytes frei

139 --- E O F --- 2009-02-25 10:13:56
Avira Komplett (abgesicherter Modus)


Zitat

Avira AntiVir Personal
Report file date: Mittwoch, 11. März 2009 10:50

Scanning for 1293720 virus strains and unwanted programs.

Platform: Windows XP
Windows version: (Service Pack 3) [5.1.2600]
Boot mode: Save mode

Version information:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:05:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 10:04:35
AVSCAN.DLL : 8.1.4.0 40705 Bytes 18.07.2008 09:47:00
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 09:47:01
LUKERES.DLL : 8.1.4.0 12033 Bytes 18.07.2008 09:47:01
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:23:15
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 20:55:50
ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.03.2009 09:11:35
ANTIVIR3.VDF : 7.1.2.154 4096 Bytes 11.03.2009 09:11:36
Engineversion : 8.2.0.109
AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 20:45:08
AESCRIPT.DLL : 8.1.1.60 360826 Bytes 10.03.2009 20:10:43
AESCN.DLL : 8.1.1.8 127346 Bytes 05.03.2009 20:22:40
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 18:18:45
AEPACK.DLL : 8.1.3.10 397686 Bytes 04.03.2009 20:22:30
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 18:47:08
AEHEUR.DLL : 8.1.0.104 1634679 Bytes 05.03.2009 20:22:38
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 18:46:49
AEGEN.DLL : 8.1.1.27 336244 Bytes 10.03.2009 20:10:40
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 16:08:52
AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 20:57:07
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 16:08:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 09:47:00
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 09:47:00
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 15:02:50
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 09:47:00
AVARKT.DLL : 1.0.0.23 307457 Bytes 21.04.2008 11:55:56
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 09:47:00
SQLITE3.DLL : 3.3.17.1 339968 Bytes 21.04.2008 11:55:57
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 09:47:01
NETNT.DLL : 8.0.0.1 7937 Bytes 21.04.2008 11:55:57
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 09:46:53
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 09:46:53

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: C:\Programme\AntiVir PersonalEdition Classic\sysscan.avp
Logging..........................: medium
Primary action...................: quarantine
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: off
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: high
Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: Mittwoch, 11. März 2009 10:50

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'mbam.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
13 processes with 13 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '50' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\
C:\pagefile.sys
[WARNING] The file could not be opened!

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\RegFreeze.zip
[0] Archive type: ZIP
--> bz.dll
[WARNING] The archive is encrypted
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\RegFreeze1.zip
[0] Archive type: ZIP
--> hijack.places
[WARNING] The archive is encrypted
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\RegFreeze10.zip
[0] Archive type: ZIP
--> sbRecovery.ini
[WARNING] The archive is encrypted
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\RegFreeze11.zip
[0] Archive type: ZIP
--> 11dc32a12fb8ba64471fe56de359ab32
[WARNING] The archive is encrypted
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\RegFreeze12.zip
[0] Archive type: ZIP
--> bho.names.binding
[WARNING] The archive is encrypted
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\RegFreeze13.zip
[0] Archive type: ZIP
--> RegFreeze entfernen.lnk
[WARNING] The archive is encrypted
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\RegFreeze14.zip
[0] Archive type: ZIP
--> sbRecovery.reg
[WARNING] The archive is encrypted
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\RegFreeze2.zip
[0] Archive type: ZIP
--> hijack.patterns
[WARNING] The archive is encrypted
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\RegFreeze3.zip
[0] Archive type: ZIP
--> good.hosts
[WARNING] The archive is encrypted
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\RegFreeze4.zip
[0] Archive type: ZIP
--> sbRecovery.reg
[WARNING] The archive is encrypted
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\RegFreeze5.zip
[0] Archive type: ZIP
--> Help.chm
[WARNING] The archive is encrypted
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\RegFreeze6.zip
[0] Archive type: ZIP
--> freeze.list
[WARNING] The archive is encrypted
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\RegFreeze7.zip
[0] Archive type: ZIP
--> askmod.exe
[WARNING] The archive is encrypted
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\RegFreeze8.zip
[0] Archive type: ZIP
--> interface/interface.txt
[WARNING] The archive is encrypted
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\RegFreeze9.zip
[0] Archive type: ZIP
--> sbRecovery.ini
[WARNING] The archive is encrypted



C:\Dokumente und Einstellungen\ntuser.dat
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\ntuser.dat.LOG
[WARNING] The file could not be opened!

C:\Dokumente und Einstellungen\Desktop\ComboFix.exe
[0] Archive type: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archive type: RSRC
--> Object
[DETECTION] Contains recognition pattern of the APPL/PsExec.E application
[WARNING] Infected files in archives cannot be repaired!
[NOTE] The file was moved to '4a248b28.qua'!

C:\Dokumente und Einstellungen\Eigene Dateien\zaSetup_80_065_000_en.exe
[0] Archive type: ZIP SFX (self extracting)
--> WINDOWS6.0-KB929547-V2-X64.MSU
[1] Archive type: CAB (Microsoft)
--> WSUSSCAN.cab
[NOTE] The archive header is damaged
--> Windows6.0-KB929547-v2-x64.cab
[WARNING] No further files can be extracted from this archive. The archive will be closed

C:\Dokumente und Einstellungen\Eigene Dateien\pci_clonemaxx.exe
[0] Archive type: ZIP SFX (self extracting)
--> PCI_CLONEMAXX.IMA
[NOTE] Invalid end of file




C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!


C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!




C:\System Volume Information\MountPointManagerRemoteDatabase
[WARNING] The file could not be opened!
C:\System Volume Information\_restore{188D0EAC-78C3-42B2-A5E5-697C8FD2D4F8}\
C:\System Volume Information\_restore{188D0EAC-78C3-42B2-A5E5-697C8FD2D4F8}\RP190\
C:\System Volume Information\_restore{188D0EAC-78C3-42B2-A5E5-697C8FD2D4F8}\RP190\A0075483.exe
[0] Archive type: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archive type: RSRC
--> Object
[DETECTION] Contains recognition pattern of the APPL/PsExec.E application
[WARNING] Infected files in archives cannot be repaired!
[NOTE] The file was moved to '49e7a74b.qua'!



C:\WINDOWS\system32\config\default
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\default.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SAM
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SAM.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SECURITY
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\software
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\software.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\system
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\system.LOG
[WARNING] The file could not be opened!




End of the scan: Mittwoch, 11. März 2009 13:27
Used time: 2:37:07 Hour(s)

The scan has been done completely.

5386 Scanning directories
239777 Files were scanned
2 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
2 files were moved to quarantine
0 files were renamed
20 Files cannot be scanned
239755 Files not concerned
1571 Archives were scanned
38 Warnings
4 Notes
Versteckte Objekte Scan im Normalmodus

Zitat

Report file date: Mittwoch, 11. März 2009 14:09


Starting search for hidden objects.
'54789' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'UpdateStar.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'zlclient.exe' - '0' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'slserv.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
11 processes with 10 modules were scanned


End of the scan: Mittwoch, 11. März 2009 14:16


0 Scanning directories
0 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
0 Files cannot be scanned
0 Files not concerned
0 Archives were scanned
0 Warnings
0 Notes
54789 Objects were scanned with rootkit scan
0 Hidden objects were found
Uninstall Liste

Zitat

Ad-Aware
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
AIM 6
Apple Software Update
a-squared Anti-Malware 2.1
AVG Anti-Rootkit Free
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
DriveImage XML
EVEREST Home Edition v2.20
Foxit Reader
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Java(TM) 6 Update 11
Kaspersky Online Scanner
Malwarebytes' Anti-Malware
McAfee SiteAdvisor
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.7)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
Nero 6
NeroVision Express 2
NVIDIA Drivers
Opera
Opera 9.63
PC Inspector smart recovery
QuickTime
RealPlayer
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB960715)
Smart Link 56K Voice Modem
Spybot - Search & Destroy
UltimateZip 2007
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
UpdateScanner
UpdateStar
VC 9.0 Runtime
VIA Platform Device Manager
Winamp
Windows Imaging Component
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation DE Language Pack
Windows XP Service Pack 3
WinMerge 2.6.8.0
XML Paper Specification Shared Components Language Pack 1.0
ZoneAlarm
Seitenanfang Seitenende
11.03.2009, 15:16
Member

Beiträge: 3716
#2 sieht gut aus.
folgendes würde ich aus dem autostart entfernen,
öffne hijackthis klicke scan:
hake an,
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
klicke fix cheked
warum ist avira auf englisch? die protokolierung würde ich auf low stellen.
opera updaten.
konfiguration von opera:
www.heise.de/security/dienste/browsercheck/anpassen/op9/ - 21k -
das war es schon...
ach ja,
start ausfüren
combofix /u
enter
Seitenanfang Seitenende
11.03.2009, 15:40
Member

Themenstarter

Beiträge: 36
#3 Hallo nochmal,

Danke für deine erneute Hilfe und Analyse.


Wieso gab es von Avira dieses Mal so viele Warnungen?
Liegt das am abgesicherten Modus?


Ganz am Anfang wurde auf Englisch installiert und es hat mich nie gestört.

Gehört dies hier auch zum ComboFix "Fund"?

C:\System Volume Information\_restore{188D0EAC-78C3-42B2-A5E5-697C8FD2D4F8}\RP190\A0075483.exe
[0] Archive type: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archive type: RSRC
--> Object
[DETECTION] Contains recognition pattern of the APPL/PsExec.E application
[WARNING] Infected files in archives cannot be repaired!
[NOTE] The file was moved to '49e7a74b.qua'!



Laut Opera ist es die neuste Version. Steht da irgendwo, dass es nicht so ist?


Kann ich die infizierte Datei aus der Quarantäne löschen?

Und diesen Messenger löschen?

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe


Was hat es mit der Network Diagonistic auf sich? War im Februar HJT Log noch nicht da.
Seitenanfang Seitenende
11.03.2009, 15:43
Member

Beiträge: 3716
#4 ich hatte in deinem log opera 9.63 gesehen es gibt aber bereits version 9.64 den messenger kannst deinstalieren, ja das gehörte zu combofix network diagnostik ist zur diagnose bei netzwerkproblemen lass das so ;-)
Seitenanfang Seitenende
11.03.2009, 15:56
Member

Themenstarter

Beiträge: 36
#5 Stimmt, da steht Opera und dann Opera 6.63

Im Opera Ordner und Info steht 9.64.10487.0

Deinstallieren?


---

Welche Ursache kann es haben, dass die Systemwiederherstellung nur noch im abgesicherten Modus funktioniert?
Seitenanfang Seitenende
11.03.2009, 16:09
Member

Beiträge: 3716
#6 hast du schon mal versucht sie aus und dann wieder einzuschalten, geht sie dann wieder?
ja die 63 runter
Seitenanfang Seitenende
23.03.2009, 15:19
Member

Themenstarter

Beiträge: 36
#7 Hallo nochmal,

Ich weiß nicht, ob ich einen neuen Thread erstellen soll, also poste ich folgenden Avira Fund hier, weil es sich wieder ums Browser Cache dreht. Dieses Mal Firefox. Danke für die kontinuierliche Hilfe und Auswertung der Logs.


vom 21.03.

Virus or unwanted program 'HTML/Rce.Gen [virus]'detected in file 'C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\Cache\9D2C410Bd01.
Action performed: Move file to quarantine






Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:43:23, on 23.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Anwendungsdaten\UpdateStar\UpdateStar.exe
C:\Dokumente und Einstellungen\Eigene Dateien\Bo\HTJ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UpdateStar] C:\Dokumente und Einstellungen\Anwendungsdaten\UpdateStar\UpdateStar.exe -A
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5576AB3A-FCF8-44FF-981D-4045C22C0D25}: NameServer = 192.168.0.1
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Zitat

ComboFix 09-03-22.01 - 2009-03-23 14:58:08.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.511.306 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-23 bis 2009-03-23 ))))))))))))))))))))))))))))))
.

2009-03-21 22:37 . 2009-03-21 22:37 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-03-20 09:38 . 2009-03-20 09:38 <DIR> d--hs---- c:\dokumente und einstellungen\PrivacIE
2009-03-20 09:35 . 2009-03-20 09:35 <DIR> d--hs---- c:\dokumente und einstellungen\IETldCache
2009-03-20 09:31 . 2009-03-20 09:31 <DIR> d-------- c:\windows\ie8updates
2009-03-20 09:27 . 2009-03-20 09:30 <DIR> d--h-c--- c:\windows\ie8
2009-03-20 09:23 . 2009-02-28 05:55 105,984 -----c--- c:\windows\system32\dllcache\iecompat.dll
2009-03-18 11:19 . 2009-03-18 11:19 <DIR> d-------- c:\windows\system32\config\systemprofile\Anwendungsdaten\SACore
2009-03-10 22:24 . 2009-03-10 22:24 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-03-08 14:29 . 2009-03-08 14:29 57,344 --------- c:\windows\system32\msrating.dll.mui
2009-03-08 14:28 . 2009-03-08 14:28 2,560 --------- c:\windows\system32\mshta.exe.mui
2009-03-08 14:27 . 2009-03-08 14:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui
2009-03-08 14:27 . 2009-03-08 14:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui
2009-03-08 04:33 . 2009-03-08 04:33 18,944 -----c--- c:\windows\system32\dllcache\corpol.dll
2009-03-02 11:13 . 2009-03-19 18:47 <DIR> d-------- c:\dokumente und einstellungen\Anwendungsdaten\UpdateStar
2009-02-26 14:12 . 2009-02-26 14:12 65 --a------ c:\windows\opleinst.ini
2009-02-25 11:04 . 2009-01-09 20:19 1,089,883 -----c--- c:\windows\system32\dllcache\ntprint.cat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-23 09:16 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-03-21 18:59 2,291,200 ----a-w c:\windows\Internet Logs\xDB4.tmp
2009-03-18 10:09 --------- d-----w c:\programme\McAfee
2009-03-13 12:03 --------- d-----w c:\programme\Opera
2009-03-11 15:17 7,704,983 ----a-w c:\windows\Internet Logs\tvDebug.zip
2009-03-11 13:03 99,891 ----a-w c:\windows\Internet Logs\vsmon_2nd_2009_03_11_10_46_58_small.dmp.zip
2009-03-11 09:46 222,208 ----a-w c:\windows\Internet Logs\xDB2.tmp
2009-03-11 09:46 2,243,072 ----a-w c:\windows\Internet Logs\xDB3.tmp
2009-03-10 21:24 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-03-08 03:34 914,944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 03:34 43,008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 03:33 420,352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 03:33 18,944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 03:32 72,704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 03:32 71,680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 03:31 48,128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 03:31 45,568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 03:31 34,816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 03:22 156,160 ----a-w c:\windows\system32\msls31.dll
2009-03-03 14:44 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SACore
2009-03-03 13:26 105,620 ----a-w c:\windows\Internet Logs\vsmon_2nd_2009_03_03_14_20_15_small.dmp.zip
2009-03-03 13:20 2,646,528 ----a-w c:\windows\Internet Logs\xDB1.tmp
2009-03-03 12:35 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2009-03-03 12:33 --------- d-----w c:\programme\FlashGet
2009-03-03 12:33 --------- d-----w c:\programme\CCleaner
2009-03-03 12:17 --------- d-----w c:\programme\PeerGuardian2
2009-02-18 14:41 --------- d-----w c:\programme\QuickTime
2009-02-18 10:33 --------- d-----w c:\programme\Spybot - Search & Destroy
2009-02-18 10:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-18 09:02 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-02-18 09:02 --------- d-----w c:\dokumente und einstellungen\Anwendungsdaten\Malwarebytes
2009-02-18 09:02 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-17 20:43 5,287 ----a-w c:\programme\hijackthis.log
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-09 14:04 1,846,912 ----a-w c:\windows\system32\win32k.sys
2009-01-07 17:20 265,720 ----a-w c:\windows\system32\msdbg2.dll
2009-01-07 17:20 26,144 ----a-w c:\windows\system32\spupdsvc.exe
2009-01-07 17:20 26,112 ----a-w c:\windows\system32\idndl.dll
2009-01-07 17:20 24,576 ----a-w c:\windows\system32\nlsdl.dll
2009-01-07 17:20 23,552 ----a-w c:\windows\system32\normaliz.dll
2008-06-09 13:12 5,959 ----a-w c:\programme\hijackthis22.log
2008-06-03 10:57 5,927 ----a-w c:\programme\hijackthis2.log
2008-05-13 18:58 5,430 ----a-w c:\programme\hijackthis1.log
2001-10-25 13:22 82,829 ------w c:\programme\LIESMICH.HTM
2001-10-25 13:22 81,924 ------w c:\programme\US Readme.htm
2001-10-25 13:22 81,924 ------w c:\programme\readme.htm
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"UpdateStar"="c:\dokumente und einstellungen\Anwendungsdaten\UpdateStar\UpdateStar.exe" [2009-03-18 4419824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-07-20 7110656]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-07-20 86016]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-11-13 981904]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-10 148888]
"nwiz"="nwiz.exe" [2005-07-20 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Aim6]
--a------ 2008-10-31 20:22 50480 c:\programme\AIM6\aim6.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
-ra------ 2007-08-09 15:48 528384 c:\programme\VIA\VIAudioi\SBADeck\ADeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:22 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 14:09 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-12-27 18:53 185896 c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZoneAlarm Client]
--a------ 2008-11-13 15:18 981904 c:\programme\Zone Labs\ZoneAlarm\zlclient.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Aim6"=

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"=
"c:\\Programme\\AIM6\\aim6.exe"=

R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programme\McAfee\SiteAdvisor\McSACore.exe [2008-09-10 210216]
S3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [2001-09-30 1410768]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - F-SECURE_STANDALONE_MINIFILTER
*Deregistered* - F-Secure Standalone Minifilter

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-03-21 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
TCP: {5576AB3A-FCF8-44FF-981D-4045C22C0D25} = 192.168.0.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\
FF - prefs.js: browser.startup.homepage -
FF - component: c:\programme\McAfee\SiteAdvisor\components\McFFPlg.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-23 15:01:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-725345543-616249376-682003330-1004\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData*]
"OfflineKey"="f2il02yz+PoZfjShe/bLtuIDuYUBXeXUSWODhqNUumuillSxrfUfT0bxarmfYtLp4zQvX/frLlkGRzjW8wFj1YIjNQTkcipaGHiRsqxfWeML3zNdlQAR2qpUclY4tqG7hrq0toHzSqNvyr03dnd293CDD57I+nETnlnnu4AKgI3ULnXKu/K2ZzeRLfLPDBgAPUy1D3ancm3tlUij0+XCew==XkW7KTUw4/ERXZYHib2UcoL0C2ZB96ivDmVp8Hxoud4WhbS+FPwy3zwTLhtuwow5VXDxMiadgorR9F/GSnOdBg=="
"InitTime"=dword:00009997
"LastTime"=dword:000099ac
"Keyindex"=dword:00000000
.
Zeit der Fertigstellung: 2009-03-23 15:06:13
ComboFix-quarantined-files.txt 2009-03-23 14:04:56
ComboFix2.txt 2009-03-11 13:38:30

Vor Suchlauf: 26 Verzeichnis(se), 41.667.600.384 Bytes frei
Nach Suchlauf: 26 Verzeichnis(se), 41,882,116,096 Bytes frei

161 --- E O F --- 2009-03-11 15:13:15

Zitat

Avira AntiVir Personal
Report file date: Montag, 23. März 2009

Scanning for 1312258 virus strains and unwanted programs.

Platform: Windows XP
Windows version: (Service Pack 3) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM


Version information:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 10:04:35
AVSCAN.DLL : 8.1.4.0 40705 Bytes 18.07.2008 09:47:00
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 09:47:01
LUKERES.DLL : 8.1.4.0 12033 Bytes 18.07.2008 09:47:01
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:23:15
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 20:55:50
ANTIVIR2.VDF : 7.1.2.199 1008640 Bytes 22.03.2009 09:20:48
ANTIVIR3.VDF : 7.1.2.201 12288 Bytes 23.03.2009 09:20:48
Engineversion : 8.2.0.120
AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 20:45:08
AESCRIPT.DLL : 8.1.1.67 364923 Bytes 18.03.2009 20:07:12
AESCN.DLL : 8.1.1.8 127346 Bytes 05.03.2009 20:22:40
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 18:18:45
AEPACK.DLL : 8.1.3.10 397686 Bytes 04.03.2009 20:22:30
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 18:47:08
AEHEUR.DLL : 8.1.0.107 1663352 Bytes 18.03.2009 20:07:10
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 18:46:49
AEGEN.DLL : 8.1.1.30 336245 Bytes 18.03.2009 20:06:55
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 16:08:52
AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 20:57:07
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 16:08:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 09:47:00
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 09:47:00
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 15:02:50
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 09:47:00
AVARKT.DLL : 1.0.0.23 307457 Bytes 21.04.2008 11:55:56
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 09:47:00
SQLITE3.DLL : 3.3.17.1 339968 Bytes 21.04.2008 11:55:57
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 09:47:01
NETNT.DLL : 8.0.0.1 7937 Bytes 21.04.2008 11:55:57
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 09:46:53
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 09:46:53

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\programme\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: quarantine
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: off
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: high
Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,



Starting search for hidden objects.
'62109' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'fssm32.exe' - '1' Module(s) have been scanned
Scan process 'fsgk32.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'UpdateStar.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'zlclient.exe' - '0' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'slserv.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'McSACore.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'vsmon.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
30 processes with 30 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '48' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\Eigene Dateien\zaSetup_80_065_000_en.exe
[0] Archive type: ZIP SFX (self extracting)
--> WINDOWS6.0-KB929547-V2-X64.MSU
[1] Archive type: CAB (Microsoft)
--> Windows6.0-KB929547-v2-x64.cab
[WARNING] No further files can be extracted from this archive. The archive will be closed



The scan has been done completely.

5414 Scanning directories
248109 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
248108 Files not concerned
1583 Archives were scanned
2 Warnings
0 Notes
62109 Objects were scanned with rootkit scan
0 Hidden objects were found

Zitat

F-Secure Scanning Report
Monday, March 23, 2009 10:33:59 - 14:02:57


Scanning type: Scan system for malware, rootkits
Target: C:\
Result: 0 malware found
Statistics
Scanned:
Files: 29592
System: 6342
Not scanned: 13
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 0
Submitted: 0

Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\TEMP\SQLITE_IBIO0PENSPGG36P
C:\WINDOWS\TEMP\SQLITE_NC2LJ8AZ2RVSI4W
C:\WINDOWS\TEMP\SQLITE_T8JHJFX4IFULUJH
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
C:\DOKUMENTE UND EINSTELLUNGEN\LOKALE EINSTELLUNGEN\TEMP\ETILQS_SP9BQXEUXA2HYHZZDIBF
C:\DOKUMENTE UND EINSTELLUNGEN\LOKALE EINSTELLUNGEN\TEMP\HSPERFDATA\3172
C:\DOKUMENTE UND EINSTELLUNGEN\LOKALE EINSTELLUNGEN\TEMP\HSPERFDATA\3896

Zitat

Ad-Aware
AIM 6
Apple Software Update
a-squared Anti-Malware 2.1
AVG Anti-Rootkit Free
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
DriveImage XML
EVEREST Home Edition v2.20
FireLogXP 1.3
Foxit Reader
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Java(TM) 6 Update 12
Kaspersky Online Scanner
MAGIX Xtreme Foto Designer 6 6.0.19.0 (D)
Malwarebytes' Anti-Malware
McAfee SiteAdvisor
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.7)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
NVIDIA Drivers
Opera
PC Inspector smart recovery
QuickTime
RealPlayer
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Smart Link 56K Voice Modem
Spybot - Search & Destroy
SpywareBlaster 4.1
Tweak GUI 2.3.03
UltimateZip 2007
Update für Windows Internet Explorer 8 (KB968220)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
UpdateScanner
UpdateStar
VC 9.0 Runtime
VIA Platform Device Manager
Wichtiges Update für Windows Media Player 11 (KB959772)
Winamp
Windows Imaging Component
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation DE Language Pack
Windows XP Service Pack 3
WinMerge 2.6.8.0
XML Paper Specification Shared Components Language Pack 1.0
ZoneAlarm

Zitat

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1880
Windows 5.1.2600 Service Pack 3



Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 121262


Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

--
End of file - 4825 bytes
Seitenanfang Seitenende
23.03.2009, 16:01
Member

Beiträge: 3716
#8 Du schon wieder ;-)
avira ist bereits in Version neun erschienen. hier eine anleutng zum instalieren:
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/112535-avira-antivir-anleitung-zur-einrichtung.html
ich habe die aktion bei fund auf automatisch gestellt, dass kannst du natürlich machen wie du willst.
dann updaten, scannen, log posten. dann geb ich dir noch n paar tipps wie du firefox sicherer machen kannst.
Seitenanfang Seitenende
24.03.2009, 11:58
Member

Themenstarter

Beiträge: 36
#9 Bin wieder hier )

Danke für den Hinweis auf die neue Version.

Fragen: Was ist mit den Dateien in der Version 8 Quarantäne passiert?


Im Log steht Dateiheuristik mittel, aber in der Konfiguration ist AHeAD Erkennungsstufe hoch eingestellt?

Und wieso wurden vorher immer knapp 62000 Dateien nach versteckten Objekten überprüft und jetzt nur noch rund 49000?

Zitat

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 24. März 2009 10:37

Es wird nach 1314829 Virenstämmen gesucht.


Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]


Versionsinformationen:
BUILD.DAT : 9.0.0.386 17962 Bytes 11.03.2009 15:51:00
AVSCAN.EXE : 9.0.3.3 464641 Bytes 24.02.2009 11:13:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.2.199 1008640 Bytes 22.03.2009 21:36:19
ANTIVIR3.VDF : 7.1.2.207 51712 Bytes 24.03.2009 09:31:38
Engineversion : 8.2.0.120
AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 16:36:42
AESCRIPT.DLL : 8.1.1.67 364923 Bytes 23.03.2009 21:36:35
AESCN.DLL : 8.1.1.8 127346 Bytes 23.03.2009 21:36:32
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.10 397686 Bytes 04.03.2009 12:06:10
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.107 1663352 Bytes 23.03.2009 21:36:31
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56
AEGEN.DLL : 8.1.1.30 336245 Bytes 23.03.2009 21:36:22
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 13:22:44
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.1 292609 Bytes 09.02.2009 06:52:20
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16
RCTEXT.DLL : 9.0.35.0 87809 Bytes 11.03.2009 14:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: quarantäne
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 24. März 2009 10:37

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\WINDOWS\system32\svchost.exe'
Signiert -> 'C:\WINDOWS\system32\winlogon.exe'
Signiert -> 'C:\WINDOWS\explorer.exe'
Signiert -> 'C:\WINDOWS\system32\smss.exe'
Signiert -> 'C:\WINDOWS\system32\wininet.DLL'
Signiert -> 'C:\WINDOWS\system32\wsock32.DLL'
Signiert -> 'C:\WINDOWS\system32\ws2_32.DLL'
Signiert -> 'C:\WINDOWS\system32\services.exe'
Signiert -> 'C:\WINDOWS\system32\lsass.exe'
Signiert -> 'C:\WINDOWS\system32\csrss.exe'
Signiert -> 'C:\WINDOWS\system32\drivers\kbdclass.sys'
Signiert -> 'C:\WINDOWS\system32\spoolsv.exe'
Signiert -> 'C:\WINDOWS\system32\alg.exe'
Signiert -> 'C:\WINDOWS\system32\wuauclt.exe'
Signiert -> 'C:\WINDOWS\system32\advapi32.DLL'
Signiert -> 'C:\WINDOWS\system32\user32.DLL'
Signiert -> 'C:\WINDOWS\system32\gdi32.DLL'
Signiert -> 'C:\WINDOWS\system32\kernel32.DLL'
Signiert -> 'C:\WINDOWS\system32\ntdll.DLL'
Signiert -> 'C:\WINDOWS\system32\ntoskrnl.exe'
Signiert -> 'C:\WINDOWS\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '48911' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'McSACore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '24' Prozesse mit '24' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '48' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Eigene Dateien\zaSetup_80_065_000_en.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> SWITCHUNINST_44ZONE LABS.EXE
[1] Archivtyp: RSRC
--> WINDOWS6.0-KB929547-V2-X64.MSU
[1] Archivtyp: CAB (Microsoft)
--> Windows6.0-KB929547-v2-x64.cab
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.


Ende des Suchlaufs: Dienstag, 24. März 2009 11:38
Benötigte Zeit: 1:01:00 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

5339 Verzeichnisse wurden überprüft
242287 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
242286 Dateien ohne Befall
1576 Archive wurden durchsucht
2 Warnungen
1 Hinweise
48911 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Seitenanfang Seitenende
24.03.2009, 12:21
Member

Beiträge: 3716
#10 die sind gelöscht.
ja, ich weiß auch nicht was da los ist, avira hat da, wenn ich das richtig rausgelesen hab, einen bug, der beseitigt wird...
Wenn man z.B. mit rechtsklick auf das laufwerk und dann prüfen nimmt, ist die heuristik auf hoch.
so, kommen wir nun zu deinem firefox:
noscript laden und ausfüren:
https://addons.mozilla.org/de/firefox/addon/722 - 33k -
dies verhindert unteranderem die ausfürung von javascript. nur zulassen wenn du den scripts vertraust oder es unbedingt nötig ist, dann aber bitte nur temporär.
adblock plus, blockiert werbung und malwareseiten:
https://addons.mozilla.org/de/firefox/addon/1865 - 32k -
filterlisten:
http://adblockplus.org/de/subscriptions
dort nimm folgende, diese sollten gut zusammenarbeiten, wenn nicht, melde dich.
unter
Werbeblocker
EasyList (von rick752)
Filter von Dr.Evil (von Dr.Evil & MonztA)
AdblockRules.org (von Martin Lindhe)
Cédrics Liste (von Cédric Menge)
Verschiedenes
nimm dort die ersten 3. achte darauf das hingewiesen wird, dass es zu kleinen verzögerungen kommen kann. also 4 sekunden. wenn das so eintritt ist das ok (die verzögerungen treten nur beim starten und schließen des browsers auf nicht beim surfen)
Seitenanfang Seitenende
24.03.2009, 13:21
Member

Themenstarter

Beiträge: 36
#11 Danke für die ausführliche Anleitung.

Sehen die Logs sauber aus?
Seitenanfang Seitenende
24.03.2009, 13:31
Member

Beiträge: 3716
#12 start ausfüren
combofix /u
enter
ja sehen sauber aus, den chache von firefox leeren dann ist alles io
Seitenanfang Seitenende
26.03.2009, 15:53
Member

Themenstarter

Beiträge: 36
#13 Hallo nochmal,

Gibt es schon Informationen, wann der Bug beseitigt wird? Im Avira Forum konnte ich nichts entsprechendes finden. Oder wird jetzt schon "hoch" gescannt, aber "mittel" berichtet?


Dann noch eine suspekte Sache. Habe vorhin nur nach Rootkits gesucht und

Zitat

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-725345543-616249376-682003330-1004\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData\offlinekey
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-725345543-616249376-682003330-1004\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData\inittime
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-725345543-616249376-682003330-1004\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData\lasttime
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-725345543-616249376-682003330-1004\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData\keyindex
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '380623' Objekte überprüft, '4' versteckte Objekte wurden gefunden.
Was ist das plötzlich?

In Gemeinsame Dateien befindet sich ein Buhl Data Service Ordner.
Seitenanfang Seitenende
26.03.2009, 16:00
Member

Beiträge: 3716
#14 http://www.google.de/search?hl=de&safe=off&num=100&q=Buhl+Data+Service&meta=
schau dir mal an ob dir das was sagt, zu dem avira problem kann ich heute abend vllt mehr sagen.
Seitenanfang Seitenende
26.03.2009, 16:17
Member

Themenstarter

Beiträge: 36
#15 Ich habe gerade bemerkt, dass die Dateiheuristik im Rootkit Report jetzt wieder auf hoch steht!?

Es kann sein, dass mal eine WISO Gratis Software installiert war. Es nutzen noch andere Personen den PC. Aktuell ist nichts dergleichen installiert. Im Ordner wurde zB die Datei GetOn4uHdwID. exe 2007 erstellt. Virustotal = 0 Funde.

Wieso sind die nicht sichtbaren Registrierungseinträge erst jetzt bei einem Scan aufgetaucht und nicht vorher, zB unter Combofix? Würden Rootkits klar als solche im Avira Bericht definiert?

Gibt es eigentlich Möglichkeit Avira nur nach Spyware suchen zu lassen (laut Infos wurde dies jetzt auch spendiert, aber in der Fotostrecke zum Einstellen konnte ich nichts entsprechendes finden) oder sollte ich ein anderes Programm nutzen?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: