WORM/Rbot.667648.6 was kann ich tun??? Ratlosigkeit :(

#1 Hi alle zusammen!

Bin neu hier und hoffe dass mir evtl von euch jemand helfen kann habe seit heute diesen WORM/Rbot.667648.6 auf meinem pc und kenn mich nich gerade gut aus!

Was kann ich tun um möglichst viel zu retten? hoffe es geht ohne format c! Bitte sagt ja

Vielen Dank schonmal im Voraus!

mfg

Matsches

#2 Welche Dateien meldet Antivir genau? Poste bitte einen Auszug aus dem entsprechenden Report.
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo Ralf!

Hier die Diagnose:

Ende des Suchlaufs: Freitag, 17. April 2009 08:22
Benötigte Zeit: 3:04:39 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

15617 Verzeichnisse wurden überprüft
692885 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
692879 Dateien ohne Befall
3689 Archive wurden durchsucht
9 Warnungen
6 Hinweise
69592 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Beginne mit der Desinfektion:
C:\WINDOWS\system32\runtime.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rbot.667648.6
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a56206a.qua' verschoben!
C:\Dokumente und Einstellungen\Matsches\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\549r1n1m.default\Cache\EB15083Cd01
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rbot.667648.6
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a192037.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP912\A0097956.com
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rbot.667648.6
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a182025.qua' verschoben!
C:\WINDOWS\system32\runtime.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rbot.667648.6

C:\Dokumente und Einstellungen\Matsches\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\549r1n1m.default\Cache\EB15083Cd01
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rbot.667648.6
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP912\A0097956.com
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rbot.667648.6
C:\WINDOWS\system32\runtime.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rbot.667648.6
C:\WINDOWS\system32\runtime.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rbot.667648.6

#4 Dann arbeite bitte die Mbam, Combofix und Hijackthis Punkte ab

http://board.protecus.de/t23187.htm
__________
MfG Ralf
SEO-Spam Hunter

#5 Ok, habe die Punkte alle abgearbeitet! Soll ich alle Ergebnisse gleich noch posten?

mfg

Matsches

#6 Ja, bitte. Wir muessen schauen, ob es noch Probleme gibt.
__________
MfG Ralf
SEO-Spam Hunter

#7 Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2000
Windows 5.1.2600 Service Pack 3

18.04.2009 14:45:26
mbam-log-2009-04-18 (14-45-26).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 83195
Laufzeit: 11 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 2
Infizierte Dateien: 29

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rkhit (Rogue.SpywareCease) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\rkhit (Rogue.SpywareCease) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rkhit (Rogue.SpywareCease) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\spyware cease_is1 (Rogue.SpywareCease) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Spyware Cease (Rogue.SpywareCease) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\spywarecease.exe (Rogue.SpywareCease) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XML Bootrecovery (Backdoor.IRCBot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Spyware Cease (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\update (Rogue.SpywareCease) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\drivers\RKHit.sys (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\AutoUpdate.exe (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\hrdb.hrl (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\LSR.lsr (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\md5.dll (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\networkdll.dll (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\opfile.dll (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\rgp.tmp (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\RKHit.sys (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\RkHitApi.dll (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\spkdll.dll (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\SpywareCease.chm (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\SpywareCease.exe (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\SpywareCease.url (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\swdb.ssk (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\unins000.dat (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\unins000.exe (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\zlib1.dll (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\update\hrdb.hrl (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\update\md5.dll (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\update\networkdll.dll (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\update\opfile.dll (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\update\RKHit.sys (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\update\RkHitApi.dll (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\update\spkdll.dll (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\update\swdb.ssk (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\update\Update.ini (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Programme\Spyware Cease\update\zlib1.dll (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Matsches\Desktop\Spyware Cease.lnk (Rogue.SpywareCease) -> Quarantined and deleted successfully.

ComboFix 09-04-18.05 - Matsches 18.04.2009 15:04.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.154 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Matsches\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Spyware Cease
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Spyware Cease\Spyware Cease on the Web.lnk
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Spyware Cease\Spyware Cease.lnk
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Spyware Cease\Uninstall Spyware Cease.lnk

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RKHIT


((((((((((((((((((((((( Dateien erstellt von 2009-03-18 bis 2009-04-18 ))))))))))))))))))))))))))))))
.

2009-04-18 12:24 . 2009-04-18 12:24 -------- d-----w c:\dokumente und einstellungen\Matsches\Anwendungsdaten\Malwarebytes
2009-04-18 12:24 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-18 12:24 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-18 12:24 . 2009-04-18 12:24 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-18 12:24 . 2009-04-18 12:42 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-04-16 20:42 . 2008-06-19 14:24 28544 ----a-w c:\windows\system32\drivers\pavboot.sys
2009-04-16 20:41 . 2009-04-16 20:41 -------- d-----w c:\programme\Panda Security
2009-04-14 21:38 . 2009-04-14 21:38 -------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-03-20 13:03 . 2009-03-20 13:03 -------- d-----w c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-20 13:03 . 2009-02-13 10:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-03-20 13:03 . 2009-03-20 13:03 -------- d-----w c:\programme\Avira
2009-03-20 13:03 . 2009-03-20 13:03 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-18 11:57 . 2008-07-11 08:57 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-03-31 16:02 . 2005-12-15 16:47 -------- d-----w c:\programme\Java
2009-03-29 11:00 . 2004-08-04 12:00 73508 ----a-w c:\windows\system32\perfc007.dat
2009-03-29 11:00 . 2004-08-04 12:00 414766 ----a-w c:\windows\system32\perfh007.dat
2009-03-27 16:16 . 2006-02-12 17:07 -------- d-----w c:\programme\Winamp
2009-03-23 17:16 . 2008-10-20 15:57 -------- d-----w c:\programme\Orbitdownloader
2009-03-15 12:11 . 2005-12-15 07:13 59208 ----a-w c:\dokumente und einstellungen\Matsches\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-15 12:05 . 2008-03-24 19:47 -------- d-----w c:\programme\Windows Live
2009-03-15 12:04 . 2007-03-11 20:31 -------- d-----w c:\programme\Windows Live Toolbar
2009-03-15 12:04 . 2009-03-15 12:04 -------- d-----w c:\programme\Microsoft Sync Framework
2009-03-15 11:57 . 2009-03-15 11:57 -------- d-----w c:\programme\Microsoft
2009-03-15 11:57 . 2009-03-15 11:57 -------- d-----w c:\programme\Windows Live SkyDrive
2009-03-15 11:44 . 2009-03-15 11:44 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live
2009-03-13 15:21 . 2009-03-13 15:21 -------- d-----w c:\programme\MyYouMusic
2009-03-11 12:19 . 2009-03-11 12:10 -------- d-----w c:\programme\ICQ6.5
2009-03-11 12:17 . 2008-07-02 16:22 -------- d-----w c:\programme\ICQ6Toolbar
2009-03-11 12:16 . 2008-07-02 16:22 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-03-11 12:15 . 2008-07-02 16:20 -------- d-----w c:\programme\ICQ6
2009-03-09 03:19 . 2008-12-18 15:16 410984 ----a-w c:\windows\system32\deploytk.dll
2009-02-09 14:04 . 2004-08-04 12:00 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-06 18:46 . 2009-02-06 18:46 308600 ----a-w c:\windows\WLXPGSS.SCR
2009-02-06 17:52 . 2009-02-06 17:52 49504 ----a-w c:\windows\system32\sirenacm.dll
2009-02-02 22:18 . 2009-02-02 16:00 170130 ----a-w c:\dokumente und einstellungen\Matsches\Anwendungsdaten\mdbu.bin
2007-07-25 16:36 . 2007-07-25 16:35 769536 ----a-w c:\dokumente und einstellungen\Matsches\Anwendungsdaten\sfdnwin.dll
2006-11-04 01:45 . 2006-11-04 01:45 638 ----a-w c:\programme\ICQ 5.1.lnk
2006-05-03 09:06 . 2008-10-21 15:40 163328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2008-10-21 15:40 31232 --sh--r c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2008-10-21 15:40 216064 --sh--r c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"LogitechSoftwareUpdate"="c:\programme\Logitech\Video\ManifestEngine.exe" [2004-06-01 196608]
"LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-03-23 67128]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-26 68856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-05-21 221184]
"LogitechVideoRepair"="c:\programme\Logitech\Video\ISStart.exe" [2004-06-01 458752]
"LogitechVideoTray"="c:\programme\Logitech\Video\LogiTray.exe" [2004-06-01 217088]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2006-09-26 35328]
"Windows Media Connect 2"="c:\programme\Windows Media Connect 2\WMCCFG.exe" [2006-10-18 8704]
"NSLauncher"="c:\programme\Nokia\Nokia Software Launcher\NSLauncher.exe" [2007-09-07 3100672]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="h:\itunes\iTunesHelper.exe" [2008-11-20 290088]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"nForce Tray Options"="sstray.exe" - c:\windows\system32\sstray.exe [2002-11-13 73728]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-3-23 67128]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"d:\\Shareaza\\Shareaza.exe"=
"d:\\Programme\\BearShare\\BearShare.exe"=
"d:\\Programme\\Azureus\\Azureus.exe"=
"c:\\Valve\\Steam\\SteamApps\\mcpython\\condition zero\\hl.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Valve\\Steam\\steam.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Valve\\Steam\\SteamApps\\mcpython\\counter-strike\\hl.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"h:\\iTunes\\iTunes.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundRouterRequest"= 0 (0x0)

R3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);c:\windows\system32\DRIVERS\CamDrL20.sys [2004-05-21 245760]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-06-19 28544]
S0 Si3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\DRIVERS\si3112r.sys [2007-08-29 116264]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]
S2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2008-10-19 222456]
S2 SeaPort;SeaPort;c:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5506fe04-6ce2-11da-9791-806d6172696f}]
\Shell\AutoRun\command - F:\setup.exe
\Shell\LVIPCAP\command - f:\techsupt\CaptureTest\LVidCap.exe
\Shell\PCITEST\command - f:\techsupt\SysTools\Listpci.exe
\Shell\USBREADY\command - f:\techsupt\Systools\USBReady.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2008-09-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-04-18 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-02-07 20:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = localhost;*.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: In neuer Registerkarte im Hintergrund öffnen - c:\programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?fe489e43f47d421a809167d43fe2e928
IE: In neuer Registerkarte im Vordergrund öffnen - c:\programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?fe489e43f47d421a809167d43fe2e928
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {694C1C32-F1BB-45D7-8BA6-99DD072AD650} = 192.168.1.1
TCP: {79221AD3-5974-48B2-A5FD-0DC1E469D5DD} = 192.168.1.1
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\dokumente und einstellungen\Matsches\Anwendungsdaten\Mozilla\Firefox\Profiles\549r1n1m.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://de.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npmozax.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: h:\itunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-18 15:12
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(664)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2992)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Windows Media Player\wmpnetwk.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\wscntfy.exe
c:\programme\Logitech\Video\FxSvr2.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
h:\itunes\iPod\bin\iPodService.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-18 15:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-18 13:17

Vor Suchlauf: 20 Verzeichnis(se), 15.615.279.104 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 16.994.058.240 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

224 --- E O F --- 2009-03-14 19:05


AC3Filter (remove only)
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Flash Player ActiveX
Adobe Reader 8.1.3 - Deutsch
Adobe® Photoshop® Album Starter Edition 3.0
Ahead Nero Burning Rom PlugIn Pack 2.0.2 by MadHacker2k4
Apple Mobile Device Support
Apple Software Update
ArcSoft Camera Suite 1.3
ATI - Software Uninstall Utility
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
Azureus
BearShare
Bonjour
Browsen mit Registerkarten (Windows Live Toolbar)
Canon Camera Support Core Library
Canon Camera Window for ZoomBrowser EX
Canon Internet Library for ZoomBrowser EX
Canon MovieEdit Task for ZoomBrowser EX
Canon PhotoRecord
Canon RAW Image Task for ZoomBrowser EX
Canon RemoteCapture Task for ZoomBrowser EX
Canon Utilities Anleitung zum CP-Drucker
Canon Utilities Easy-PhotoPrint
Canon Utilities PhotoStitch 3.1
Canon Utilities ZoomBrowser EX
Choice Guard
CIB pdf brewer 2.5.22
Counter-Strike: Condition Zero
DigitalSimulatorV5.31 (remove only)
DivX Codec
DivX Player
Feederkennung (Windows Live Toolbar)
FLV-Media Player 1.3
Google Earth
Google Toolbar for Internet Explorer
Google Updater
GrabPro - Toolbar
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
ICQ Toolbar
ICQ6.5
iPod for Windows 2006-01-10
iTunes
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 6
J2SE Runtime Environment 5.0 Update 9
Java(TM) 6 Update 13
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
Junk Mail filter update
LightScribe System Software 1.12.29.2
Logitech Desktop Messenger
Logitech Print Service
Logitech QuickCam
Logitech® Camera-Treiber
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office 2000 SR-1 Premium
Microsoft Office PowerPoint 2003 Template Pack 1
Microsoft Office PowerPoint 2003 Template Pack 2
Microsoft Office PowerPoint 2003 Template Pack 3
Microsoft Office PowerPoint Viewer 2003
Microsoft Office Professional Edition 2003
Microsoft Search Enhancement Pack
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Sync Framework Runtime Native v1.0 (x86)
Microsoft Sync Framework Services Native v1.0 (x86)
Microsoft User-Mode Driver Framework Feature Pack 1.5
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.8)
MSVCRT
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MyYouMusic 2.300
Nero 7 Essentials
neroxml
Nokia Connectivity Cable Driver
Nokia Lifeblog 2.5
Nokia NSeries Application Installer
Nokia NSeries Content Copier
Nokia NSeries Multimedia Player
Nokia NSeries Music Manager
Nokia NSeries One Touch Access
Nokia NSeries System Utilities
Nokia Nseries Video Manager
Nokia Software Launcher
Nokia Software Updater
NVIDIA nForce Treiber für Windows 2000/XP
NVIDIA nForce Utilities
OneCare Advisor (Windows Live Toolbar)
OpenMG Limited Patch 4.4-06-13-19-01
OpenMG Secure Module 4.4.00
Opera
Orbit Downloader
Panda ActiveScan 2.0
PC Connectivity Solution
Popupblocker (Windows Live Toolbar)
QuickTime
Samsung PC Studio 2.1
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Segoe UI
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB911565)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950759)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953838)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956390)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Smart Menus (Windows Live Toolbar)
Spelling Dictionaries Support For Adobe Reader 8
Steam
SUPER © Version 2008.bld.32 (July 8, 2008)
Systemsteuerung "MobileMe"
TeamSpeak 2 RC2
Text-To-Speech-Runtime
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VideoLAN VLC media player 0.8.2
Wichtiges Update für Windows Media Player 11 (KB959772)
Winamp (remove only)
Windows Driver Package - Nokia (WUDFRd) WPD (03/19/2007 6.83.31.1)
Windows Genuine Advantage v1.3.0254.0
Windows Imaging Component
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Favorites für Windows Live Toolbar
Windows Live Fotogalerie
Windows Live Mail
Windows Live Messenger
Windows Live Outlook-Toolbar (Windows Live Toolbar)
Windows Live Sync
Windows Live Toolbar
Windows Live Toolbar-Erweiterung (Windows Live Toolbar)
Windows Live Writer
Windows Live-Uploadtool
Windows Media Connect
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Vista Upgrade Advisor
Windows XP Service Pack 3
WinRAR Archivierer

#8 Da war ja schon einiges.... Wenn du den Combofix Report noch nachreichen koenntest.
__________
MfG Ralf
SEO-Spam Hunter

#9 @raman der ist doch schon da.

#10 Der wurde hinzugefuegt, nachdem ich mein Posting abgesetzt habe, bzw als ich es geschrieben habe!
__________
MfG Ralf
SEO-Spam Hunter

#11 und das heißt jetzt??? Eher gut oder eher schlecht?

#12 Das sieht eigentlich recht sauber aus. Meldet Antivir noch etwas?
__________
MfG Ralf
SEO-Spam Hunter

#13 Ok vielen vielen Dank schonmal, zwecks Antivir: lass ihne gerade nochmal drüber laufen, melde mich nochmal sobald er fertig ist!

mfg

Matsches

Hi nochmal, nachdem ich Antivir nochmal durchlaufen hab lassen, hat er plötzlich 18 funde gehabt, die bei dem gestrigen durchlauf alle nich da waren, hier der Bericht:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 18. April 2009 20:38

Es wird nach 1355927 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SNAKELYRICS

Versionsinformationen:
BUILD.DAT : 9.0.0.387 17962 Bytes 24.03.2009 11:03:00
AVSCAN.EXE : 9.0.3.3 464641 Bytes 24.02.2009 11:13:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 16.04.2009 19:49:11
ANTIVIR3.VDF : 7.1.3.72 20992 Bytes 17.04.2009 11:58:41
Engineversion : 8.2.0.148
AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 16:36:42
AESCRIPT.DLL : 8.1.1.75 373113 Bytes 14.04.2009 17:02:05
AESCN.DLL : 8.1.1.10 127348 Bytes 04.04.2009 16:52:10
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.14 397685 Bytes 18.04.2009 11:58:51
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.119 1724791 Bytes 18.04.2009 11:58:49
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56
AEGEN.DLL : 8.1.1.36 340341 Bytes 18.04.2009 11:58:43
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 14.04.2009 17:01:56
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.1 292609 Bytes 09.02.2009 06:52:20
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16
RCTEXT.DLL : 9.0.35.0 87809 Bytes 11.03.2009 14:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 18. April 2009 20:38

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '51049' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunes.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FxSvr2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogitechDesktopMessenger.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogiTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVCOMSX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sstray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '48' Prozesse mit '48' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '64' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP913\A0097994.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rbot.667648.6
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098059.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098060.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098061.dll
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098062.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098063.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098064.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098065.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098066.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098068.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098069.dll
[FUND] Ist das Trojanische Pferd TR/Killav.28714
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098070.dll
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098071.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098072.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098073.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098074.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098075.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098076.dll
[FUND] Ist das Trojanische Pferd TR/Killav.28714
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'H:\' <EXTERN>
H:\Musik\V.a..-.Crossing.All.Over.02.-128k-samplehead.ace
[0] Archivtyp: ACE
--> v.a. - CROSSING all OVER 02 -128k-samplehead\17 - Depressive Age - Psycho Circle Game.mp3
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
H:\Musik\Badesalz - Dabrauchemergarnetdarüberredde by Darth.ace
[0] Archivtyp: ACE
--> Badesalz - Dabrauchemergarnetdarﾁberredde\Badesalz - Dabrauchemergarnetdarﾁberredde front.jpg
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
H:\Musik\Bravo Hits 13 - full album - 128kBit - taken from original.ace
[0] Archivtyp: ACE
--> Bravo Hits 13\CD2\03 - Coolio _ 1, 2, 3, 4 Sumpin' New.mp3
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP913\A0097994.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rbot.667648.6
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1a8393.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098059.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b889a74.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098060.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b9dbad4.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098061.dll
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b89a23c.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098062.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b8cba94.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098063.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b82cb04.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098064.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b8dc35c.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098065.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b8eaae4.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098066.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b83d3cc.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098068.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b80dbb4.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098069.dll
[FUND] Ist das Trojanische Pferd TR/Killav.28714
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1a8394.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098070.dll
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b5b78d.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098071.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49aab875.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098072.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49abc03d.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098073.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '498dda65.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098074.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49328985.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098075.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4933924d.qua' verschoben!
C:\System Volume Information\_restore{5CA42F47-C2EF-4412-B21B-415D1063CF86}\RP914\A0098076.dll
[FUND] Ist das Trojanische Pferd TR/Killav.28714
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49309a35.qua' verschoben!


Ende des Suchlaufs: Sonntag, 19. April 2009 03:50
Benötigte Zeit: 1:53:59 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

15178 Verzeichnisse wurden überprüft
623762 Dateien wurden geprüft
18 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
18 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
623742 Dateien ohne Befall
3652 Archive wurden durchsucht
8 Warnungen
20 Hinweise
51049 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Habe danach auf dateien reparieren gedrückt und ihn nochmal durchlaufen lassen, wobei er dann nichts mehr gefunden hat, kann ich jetzt davon ausgehen dass mein pc sauber ist? oder womöglich doch noch nich wirklich?

vielen dank schonmal

mfg

matsches