Fehler Meldung: Windows kein Datenträger "exeption processing..." |
||
---|---|---|
#0
| ||
21.05.2009, 23:09
Moderator
Beiträge: 7805 |
||
|
||
25.05.2009, 21:38
...neu hier
Themenstarter Beiträge: 10 |
#17
Guten Abend.
Habe Malwarebytes durchlaufen lassen, hat ne Menge gefunden, hier der LOG: Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2178 Windows 5.1.2600 Service Pack 3 25.05.2009 21:13:26 mbam-log-2009-05-25 (21-13-26).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 156628 Laufzeit: 20 minute(s), 43 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 13 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 31 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\intermplug (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\parttimeb (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\y537.y537mgr (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\y537.y537mgr.1 (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{6494b9be-3a4c-11de-91d2-bd8055d89593} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{5303e828-3a4c-11de-ac1c-f77f55d89593} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c2ba40a1-74f3-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f70f6880-3a4b-11de-8230-0b7c55d89593} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c2ba40a1-74f3-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f70f6880-3a4b-11de-8230-0b7c55d89593} (Trojan.BHO) -> Quarantined and deleted successfully. KHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prnet (Trojan.Downloader) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Twain (Trojan.Matcash) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Ich\protect.dll.vir (Worm.Autorun) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Ich\Anwendungsdaten\pidle\pidle.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\NetworkService\protect.dll.vir (Worm.Autorun) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\ld08.exe.vir (Worm.Koobface) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\autochk.dll.vir (Worm.Autorun) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\loader49.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthlvipxjahkiosonvrslrbbrqncaxrgawa.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthmirqwidqgobeqqttvaluwubaoyrjbqaa.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthqxngxrwjftxqasahtlfhvyaijnittowu.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\prnet.tmp.vir (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\sjg9s8guigjs.dll.vir (Trojan.Agent) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\yhs783ijfo3fe.dll.vir (Roorkit.Agent) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\config\systemprofile\protect.dll.vir (Worm.Autorun) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ovfsthtickyibdpavuxvkkduiudosajofhyfqs.sys.vir (Trojan.TDSS) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000025.dll (Worm.Autorun) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000026.dll (Worm.Autorun) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000027.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000035.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000036.dll (Worm.Autorun) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000037.dll (Worm.Autorun) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000038.exe (Worm.Koobface) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000044.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000045.dll (Roorkit.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000046.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000049.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000136.dll (Worm.Autorun) -> Quarantined and deleted successfully. C:\WINDOWS\pss\ChkDisk.dllStartup (Worm.Autorun) -> Quarantined and deleted successfully. C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\ChkDisk.dll (Worm.Autorun) -> Quarantined and deleted successfully. F:\eigene dateien\programs f.internet\firefox\components\dfff.dll (Trojan.Agent.V) -> Quarantined and deleted successfully. C:\WINDOWS\9g2234wesdf3dfgjf23 (Worm.KoobFace) -> Quarantined and deleted successfully. Danach nochmal Combofix: ComboFix 09-05-25.01 - Ich 25.05.2009 21:17.8 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1683 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Ich\Desktop\ComboFix.exe AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {85DB0304-FFA4-00EF-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {8604251C-FFA4-00EF-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {863D05E4-FFA4-00DE-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {865E4A34-FFA4-00EF-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\-1531628062 . ((((((((((((((((((((((( Dateien erstellt von 2009-04-25 bis 2009-05-25 )))))))))))))))))))))))))))))) . 2009-05-21 21:07 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-05-21 21:07 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-05-21 18:42 . 2009-05-21 18:42 -------- d-----w C:\cf 2009-05-18 18:49 . 2009-05-21 19:35 39936 ----a-w c:\windows\system32\_c3db902981fd24a914fb306c7a8117df.sys_.vir 2009-05-04 19:55 . 2009-05-04 19:55 -------- d-----w c:\programme\Trend Micro 2009-04-28 21:16 . 2009-04-28 21:16 -------- d-----r c:\windows\system32\config\systemprofile\Eigene Dateien . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-25 19:15 . 2006-03-21 14:43 17408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS 2009-05-21 22:11 . 2008-12-29 20:49 -------- d-----w c:\dokumente und einstellungen\Ich\Anwendungsdaten\gbrainy 2009-05-21 19:27 . 2007-05-04 15:01 18604 ----a-w c:\dokumente und einstellungen\Ich\Anwendungsdaten\wklnhst.dat 2009-05-20 18:35 . 2006-10-08 20:29 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-05-18 18:21 . 2004-08-04 12:00 72688 ----a-w c:\windows\system32\perfc007.dat 2009-05-18 18:21 . 2004-08-04 12:00 411596 ----a-w c:\windows\system32\perfh007.dat 2009-05-04 20:34 . 2009-03-16 00:01 139 --s-a-w c:\windows\system32\744728456.dat 2009-04-02 18:46 . 2006-03-21 14:58 -------- d-----w c:\programme\Java 2009-04-02 18:34 . 2009-04-02 18:34 152576 ----a-w c:\dokumente und einstellungen\Ich\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll 2009-03-09 03:19 . 2008-12-14 13:29 410984 ----a-w c:\windows\system32\deploytk.dll 2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w c:\windows\system32\pdh.dll 2006-03-21 14:54 . 2006-03-21 14:54 8 --sh--r c:\windows\system32\5CAB4FC3D6.sys . ((((((((((((((((((((((((((((( SnapShot@2009-05-18_18.52.20 ))))))))))))))))))))))))))))))))))))))))) . + 2009-05-25 19:14 . 2009-05-25 19:14 16384 c:\windows\temp\Perflib_Perfdata_76c.dat + 2009-05-21 22:26 . 2009-05-06 22:16 24699336 c:\windows\system32\MRT.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Dit"="Dit.exe" - c:\windows\Dit.exe [2004-07-20 90112] "AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-06-29 88363] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSetActiveDesktop"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbceabfde] [BU] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk backup=c:\windows\pss\BlueSoleil.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\c:^dokumente und einstellungen^ich^startmenü^programme^autostart^chkdisk.dll] path=c:\dokumente und einstellungen\Ich\Startmenü\Programme\Autostart\ChkDisk.dll backup=c:\windows\pss\ChkDisk.dllStartup [HKLM\~\startupfolder\c:^dokumente und einstellungen^ich^startmenü^programme^autostart^chkdisk.lnk] path=c:\dokumente und einstellungen\Ich\Startmenü\Programme\Autostart\ChkDisk.lnk backup=c:\windows\pss\ChkDisk.lnkStartup [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"= "f:\\eigene dateien\\programs f.internet\\beershere\\BearShare.exe"= "f:\\eigene dateien\\programs f.internet\\salt-water Leecher.exe"= "f:\\eigene dateien\\programs f.internet\\Abc2\\Azureus\\Azureus.exe"= "f:\\eigene dateien\\programs f.internet\\ftp\\SmartFTP Client Setup Files\\SmartFTP.exe"= "f:\\eigene dateien\\programs f.internet\\Flower\\leecher.exe"= "f:\\wolf\\game\\Return to Castle Wolfenstein\\WolfMP.exe"= "f:\\eigene dateien\\programs f.internet\\icq\\ICQ6\\ICQ.exe"= "f:\\eigene dateien\\programs f.internet\\VLC\\vlc.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1935:TCP"= 1935:TCP:wilmaaa R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [21.03.2006 18:57 22336] R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [21.03.2006 18:57 45376] R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [21.03.2006 16:47 1272000] R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [21.03.2006 16:46 19928] S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [21.03.2006 16:43 17408] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-02-27 c:\windows\Tasks\1-Klick-Wartung.job - f:\eigene dateien\programs f.internet\antivir\Tune up\SystemOptimizer.exe [2006-11-23 03:08] . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{6b3dbe52-f4e4-459f-b1ba-0ae7803bd018} - (no file) BHO-{70f09080-9dc2-465b-9f15-8f9050568326} - (no file) SafeBoot-procexp90.Sys . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.t-online.de/ IE: A&lles mit ReGet Deluxe herunterladen - c:\programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm IE: Herunterladen mit Re&Get Deluxe - c:\programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\2c4utyeh.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/c/00/00/04/46.html FF - prefs.js: network.proxy.type - 2 FF - plugin: f:\eigene dateien\programs f.internet\DivX\DivX Player\npDivxPlayerPlugin.dll FF - plugin: f:\eigene dateien\programs f.internet\DivX\DivX Web Player\npdivx32.dll FF - plugin: f:\eigene dateien\programs f.internet\firefox\plugins\np-mswmp.dll FF - plugin: f:\eigene dateien\programs f.internet\firefox\plugins\npdlplug.dll ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.max.tokenizing.time - 200000 FF - user.js: content.notify.interval - 100000 FF - user.js: content.switch.threshold - 650000 FF - user.js: nglayout.initialpaint.delay - 300 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-25 21:18 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}] "ImagePath"="\??\f:\eigene dateien\programs f.internet\powerdv\000.fcl" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(776) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2009-05-25 21:20 ComboFix-quarantined-files.txt 2009-05-25 19:20 ComboFix2.txt 2009-05-21 21:44 ComboFix3.txt 2009-05-21 20:55 ComboFix4.txt 2009-05-21 20:32 ComboFix5.txt 2009-05-25 19:16 Vor Suchlauf: 13 Verzeichnis(se), 53.630.676.992 Bytes frei Nach Suchlauf: 12 Verzeichnis(se), 53.623.693.312 Bytes frei 824 --- E O F --- 2009-05-21 22:27 Und zum Schluss Hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:21:44, on 25.05.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Dit.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\System32\svchost.exe F:\eigene dateien\programs f.internet\antivir\adwars\spybot\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\explorer.exe F:\eigene dateien\programs f.internet\antivir\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: (no name) - {6b3dbe52-f4e4-459f-b1ba-0ae7803bd018} - (no file) O2 - BHO: (no name) - {70f09080-9dc2-465b-9f15-8f9050568326} - (no file) O2 - BHO: (no name) - {b2ba40a2-74f0-42bd-f434-12345a2c8953} - (no file) O2 - BHO: (no name) - {c2ba40a1-74f3-42bd-f434-12345a2c8953} - (no file) O2 - BHO: (no name) - {f70f6880-3a4b-11de-8230-0b7c55d89593} - (no file) O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\eigene dateien\programs f.internet\icq\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\eigene dateien\programs f.internet\icq\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: cbceabfde - C:\WINDOWS\ O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 4804 bytes Und zu guter Letzt AntiVIr Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 25. Mai 2009 21:41 Es wird nach 1421773 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: MARIO Versionsinformationen: BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 17:02:01 AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 17:23:01 LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 17:23:01 LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 17:23:01 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 18:07:19 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 15:15:59 ANTIVIR2.VDF : 7.1.4.0 2336768 Bytes 20.05.2009 19:39:48 ANTIVIR3.VDF : 7.1.4.13 131584 Bytes 25.05.2009 19:39:49 Engineversion : 8.2.0.168 AEVDF.DLL : 8.1.1.1 106868 Bytes 25.05.2009 19:40:01 AESCRIPT.DLL : 8.1.2.0 389497 Bytes 25.05.2009 19:40:00 AESCN.DLL : 8.1.2.3 127347 Bytes 25.05.2009 19:39:59 AERDL.DLL : 8.1.1.3 438645 Bytes 15.11.2008 16:37:08 AEPACK.DLL : 8.1.3.16 397686 Bytes 25.05.2009 19:39:59 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 28.02.2009 13:05:56 AEHEUR.DLL : 8.1.0.129 1761655 Bytes 25.05.2009 19:39:57 AEHELP.DLL : 8.1.2.2 119158 Bytes 28.02.2009 13:05:51 AEGEN.DLL : 8.1.1.44 348532 Bytes 25.05.2009 19:39:52 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 17:39:42 AECORE.DLL : 8.1.6.9 176500 Bytes 25.05.2009 19:39:51 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 17:39:32 AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 17:23:01 AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 17:23:01 AVREP.DLL : 8.0.0.3 155688 Bytes 25.05.2009 19:39:50 AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 17:23:01 AVARKT.DLL : 1.0.0.23 307457 Bytes 14.04.2008 14:30:28 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 17:23:01 SQLITE3.DLL : 3.3.17.1 339968 Bytes 14.04.2008 14:30:29 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 17:23:01 NETNT.DLL : 8.0.0.1 7937 Bytes 14.04.2008 14:30:29 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 17:22:59 RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 17:22:59 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, F:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Montag, 25. Mai 2009 21:41 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GEARSEC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StyleXPService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '33' Prozesse mit '33' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '48' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DNSFlushcws1.zip [FUND] Enthält verdächtigen Code GEN/PwdZIP [HINWEIS] Der Fund wurde als verdächtig eingestuft. [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a6df4cd.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn2.zip [FUND] Enthält verdächtigen Code GEN/PwdZIP [HINWEIS] Der Fund wurde als verdächtig eingestuft. [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a8cf4f2.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinBHOje4.zip [FUND] Enthält verdächtigen Code GEN/PwdZIP [HINWEIS] Der Fund wurde als verdächtig eingestuft. [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a88f4f3.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\[49]-Submit_2009-05-21_21.34.36.zip [0] Archivtyp: ZIP --> pdtivk.exe [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen --> _c3db902981fd24a914fb306c7a8117df.sys_.vir [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.39936 --> c3db902981fd24a914fb306c7a8117df.sys [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.39936 --> cbceabfde.dll [FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.Raz.7 --> 6c0b7ad.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen --> kusers.dll [FUND] Ist das Trojanische Pferd TR/BHO.szc --> wibakihi.dll.vir [FUND] Ist das Trojanische Pferd TR/Vundo.Gen --> wwmeoblk.exe [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a53f669.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\[49]-Submit_2009-05-21_22.27.49.zip [0] Archivtyp: ZIP --> c3db902981fd24a914fb306c7a8117df.sys [FUND] Ist das Trojanische Pferd TR/Trash.Gen --> daweyege.exe [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a53f66a.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\pdtivk.exe.vir [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a8ef69a.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\wwmeoblk.exe.vir [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a87f6ad.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\c3db902981fd24a914fb306c7a8117df.sys.vir [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7ef66b.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\daweyege.exe.vir [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a91f699.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\kusers.dll.vir [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a8df6ad.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\odraonvl.dll.vir [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a8cf69c.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\ovwncoa.dll.vir [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a91f6af.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\vuhugeya.exe.vir [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a82f6ae.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\wibakihi.dll.vir.vir [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7cf6a2.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\wpv301237070981.cpx.vir [FUND] Ist das Trojanische Pferd TR/Agent.bvja [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a90f6a9.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\xbvfybx.dll.vir [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a90f69c.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\_cbceabfde_.dll.zip [0] Archivtyp: ZIP --> cbceabfde.dll [FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.Raz.7 [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7cf69d.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\_odraonvl_.dll.zip [0] Archivtyp: ZIP --> odraonvl.dll [FUND] Ist das Trojanische Pferd TR/Crypt.Morphine.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7ef6a9.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\_ovwncoa_.dll.zip [0] Archivtyp: ZIP --> ovwncoa.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a90f6aa.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\_xbvfybx_.dll.zip [0] Archivtyp: ZIP --> xbvfybx.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7cf6b3.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\6c0b7ad.sys.vir [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af69e.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_6c0b7ad_.sys.zip [0] Archivtyp: ZIP --> 6c0b7ad.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7df672.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_bachmubd_.sys.zip [0] Archivtyp: ZIP --> bachmubd.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7bf69e.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_vjtqlzsl_.sys.zip [0] Archivtyp: ZIP --> vjtqlzsl.sys [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a84f6b2.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Qoobox\Quarantine\C\WINDOWS\temp\ntdll64.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7ef6b0.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000048.exe [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af66e.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000063.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af66f.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000064.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bd78b68.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000065.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af671.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000353.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af676.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000363.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af677.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000364.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bd78b60.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000365.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af679.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000375.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af678.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000462.sys [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af67a.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000463.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bd78b63.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000693.exe [FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af67e.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000694.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bd78b67.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP4\A0000858.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af67f.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\pyywhety.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a93f82b.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\_c3db902981fd24a914fb306c7a8117df.sys_.vir [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4df822.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. Beginne mit der Suche in 'D:\' <BACKUP> D:\Tools\eTrust Antivirus\Deutsch\AlertPackage.exe [0] Archivtyp: RSRC --> Object [1] Archivtyp: CAB (Microsoft) --> alert.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. D:\Tools\eTrust Antivirus\Deutsch\webpkg.exe [0] Archivtyp: RSRC --> Object [1] Archivtyp: CAB (Microsoft) --> inoweb.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. D:\Tools\eTrust Antivirus\English\AlertPackage.exe [0] Archivtyp: RSRC --> Object [1] Archivtyp: CAB (Microsoft) --> alert.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. D:\Tools\eTrust Antivirus\English\webpkg.exe [0] Archivtyp: RSRC --> Object [1] Archivtyp: CAB (Microsoft) --> inoweb.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. Beginne mit der Suche in 'E:\' <RECOVER> Beginne mit der Suche in 'F:\' <DATEN> F:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000695.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4afa09.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. F:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000696.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4afa0a.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. F:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000697.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bd78713.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. F:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP4\A0000859.dll [FUND] Ist das Trojanische Pferd TR/Killav.28714 [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4afa0d.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. Ende des Suchlaufs: Montag, 25. Mai 2009 22:05 Benötigte Zeit: 24:34 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6631 Verzeichnisse wurden überprüft 310966 Dateien wurden geprüft 50 Viren bzw. unerwünschte Programme wurden gefunden 3 Dateien wurden als verdächtig eingestuft 45 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 45 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 310912 Dateien ohne Befall 3581 Archive wurden durchsucht 8 Warnungen 45 Hinweise Dieser Beitrag wurde am 25.05.2009 um 22:13 Uhr von TheImpi editiert.
|
|
|
||
26.05.2009, 05:39
Moderator
Beiträge: 7805 |
#18
Bitte m it hilfe von Hijackthis das anhaken und fix checked druecken:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: (no name) - {6b3dbe52-f4e4-459f-b1ba-0ae7803bd018} - (no file) O2 - BHO: (no name) - {70f09080-9dc2-465b-9f15-8f9050568326} - (no file) O2 - BHO: (no name) - {b2ba40a2-74f0-42bd-f434-12345a2c8953} - (no file) O2 - BHO: (no name) - {c2ba40a1-74f3-42bd-f434-12345a2c8953} - (no file) O2 - BHO: (no name) - {f70f6880-3a4b-11de-8230-0b7c55d89593} - (no file) Dann bitte Combofix /u eingeben, wie oben beschrieben und die Systemmwiederherstellung mit der Datentraegerbereinigung bereinigen... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.05.2009, 17:31
...neu hier
Themenstarter Beiträge: 10 |
#19
Ok soweit,
fix check hab ich gemacht, combofix wurde deinstalliert & Datenträger bereinigt... MFG Mario |
|
|
||
combofix/u ein und druecke enter. Vergesse nicht dein Antivir zu aktualisieren und einen komplettscan zu machen. Ebenfalls mit Mbam. Melde dich, wenn sie etwas gefunden haben...
__________
MfG Ralf
SEO-Spam Hunter