Home » Viren, Trojaner & Malware Forum » Fehler Meldung: Windows kein Datenträger "exeption processing..." » Themenansicht

Fehler Meldung: Windows kein Datenträger "exeption processing..."
#0
21.05.2009, 23:09
raman
Moderator

Beiträge: 7805
#16 Danke fuer die Einsendung, bitte geben unter start ausfuehren

combofix/u ein und druecke enter. Vergesse nicht dein Antivir zu aktualisieren und einen komplettscan zu machen. Ebenfalls mit Mbam. Melde dich, wenn sie etwas gefunden haben...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.05.2009, 21:38
TheImpi
...neu hier

Themenstarter

Beiträge: 10
#17 Guten Abend.

Habe Malwarebytes durchlaufen lassen, hat ne Menge gefunden, hier der LOG:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2178
Windows 5.1.2600 Service Pack 3

25.05.2009 21:13:26
mbam-log-2009-05-25 (21-13-26).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 156628
Laufzeit: 20 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 31

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\intermplug (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\parttimeb (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\y537.y537mgr (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\y537.y537mgr.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6494b9be-3a4c-11de-91d2-bd8055d89593} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{5303e828-3a4c-11de-ac1c-f77f55d89593} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c2ba40a1-74f3-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f70f6880-3a4b-11de-8230-0b7c55d89593} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b2ba40a2-74f0-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c2ba40a1-74f3-42bd-f434-12345a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f70f6880-3a4b-11de-8230-0b7c55d89593} (Trojan.BHO) -> Quarantined and deleted successfully.
KHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prnet (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Twain (Trojan.Matcash) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Ich\protect.dll.vir (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Ich\Anwendungsdaten\pidle\pidle.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\NetworkService\protect.dll.vir (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\ld08.exe.vir (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\autochk.dll.vir (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\loader49.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthlvipxjahkiosonvrslrbbrqncaxrgawa.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthmirqwidqgobeqqttvaluwubaoyrjbqaa.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthqxngxrwjftxqasahtlfhvyaijnittowu.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\prnet.tmp.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\sjg9s8guigjs.dll.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\yhs783ijfo3fe.dll.vir (Roorkit.Agent) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\config\systemprofile\protect.dll.vir (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ovfsthtickyibdpavuxvkkduiudosajofhyfqs.sys.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000025.dll (Worm.Autorun) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000026.dll (Worm.Autorun) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000027.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000035.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000036.dll (Worm.Autorun) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000037.dll (Worm.Autorun) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000038.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000044.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000045.dll (Roorkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000046.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000049.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000136.dll (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\pss\ChkDisk.dllStartup (Worm.Autorun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\ChkDisk.dll (Worm.Autorun) -> Quarantined and deleted successfully.
F:\eigene dateien\programs f.internet\firefox\components\dfff.dll (Trojan.Agent.V) -> Quarantined and deleted successfully.
C:\WINDOWS\9g2234wesdf3dfgjf23 (Worm.KoobFace) -> Quarantined and deleted successfully.


Danach nochmal Combofix:

ComboFix 09-05-25.01 - Ich 25.05.2009 21:17.8 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1683 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ich\Desktop\ComboFix.exe
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {85DB0304-FFA4-00EF-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {8604251C-FFA4-00EF-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {863D05E4-FFA4-00DE-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated) {865E4A34-FFA4-00EF-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\-1531628062

.
((((((((((((((((((((((( Dateien erstellt von 2009-04-25 bis 2009-05-25 ))))))))))))))))))))))))))))))
.

2009-05-21 21:07 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-21 21:07 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-21 18:42 . 2009-05-21 18:42 -------- d-----w C:\cf
2009-05-18 18:49 . 2009-05-21 19:35 39936 ----a-w c:\windows\system32\_c3db902981fd24a914fb306c7a8117df.sys_.vir
2009-05-04 19:55 . 2009-05-04 19:55 -------- d-----w c:\programme\Trend Micro
2009-04-28 21:16 . 2009-04-28 21:16 -------- d-----r c:\windows\system32\config\systemprofile\Eigene Dateien

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-25 19:15 . 2006-03-21 14:43 17408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2009-05-21 22:11 . 2008-12-29 20:49 -------- d-----w c:\dokumente und einstellungen\Ich\Anwendungsdaten\gbrainy
2009-05-21 19:27 . 2007-05-04 15:01 18604 ----a-w c:\dokumente und einstellungen\Ich\Anwendungsdaten\wklnhst.dat
2009-05-20 18:35 . 2006-10-08 20:29 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-05-18 18:21 . 2004-08-04 12:00 72688 ----a-w c:\windows\system32\perfc007.dat
2009-05-18 18:21 . 2004-08-04 12:00 411596 ----a-w c:\windows\system32\perfh007.dat
2009-05-04 20:34 . 2009-03-16 00:01 139 --s-a-w c:\windows\system32\744728456.dat
2009-04-02 18:46 . 2006-03-21 14:58 -------- d-----w c:\programme\Java
2009-04-02 18:34 . 2009-04-02 18:34 152576 ----a-w c:\dokumente und einstellungen\Ich\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-03-09 03:19 . 2008-12-14 13:29 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2006-03-21 14:54 . 2006-03-21 14:54 8 --sh--r c:\windows\system32\5CAB4FC3D6.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-05-18_18.52.20 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-25 19:14 . 2009-05-25 19:14 16384 c:\windows\temp\Perflib_Perfdata_76c.dat
+ 2009-05-21 22:26 . 2009-05-06 22:16 24699336 c:\windows\system32\MRT.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dit"="Dit.exe" - c:\windows\Dit.exe [2004-07-20 90112]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-06-29 88363]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbceabfde]
[BU]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\c:^dokumente und einstellungen^ich^startmenü^programme^autostart^chkdisk.dll]
path=c:\dokumente und einstellungen\Ich\Startmenü\Programme\Autostart\ChkDisk.dll
backup=c:\windows\pss\ChkDisk.dllStartup

[HKLM\~\startupfolder\c:^dokumente und einstellungen^ich^startmenü^programme^autostart^chkdisk.lnk]
path=c:\dokumente und einstellungen\Ich\Startmenü\Programme\Autostart\ChkDisk.lnk
backup=c:\windows\pss\ChkDisk.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"f:\\eigene dateien\\programs f.internet\\beershere\\BearShare.exe"=
"f:\\eigene dateien\\programs f.internet\\salt-water Leecher.exe"=
"f:\\eigene dateien\\programs f.internet\\Abc2\\Azureus\\Azureus.exe"=
"f:\\eigene dateien\\programs f.internet\\ftp\\SmartFTP Client Setup Files\\SmartFTP.exe"=
"f:\\eigene dateien\\programs f.internet\\Flower\\leecher.exe"=
"f:\\wolf\\game\\Return to Castle Wolfenstein\\WolfMP.exe"=
"f:\\eigene dateien\\programs f.internet\\icq\\ICQ6\\ICQ.exe"=
"f:\\eigene dateien\\programs f.internet\\VLC\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1935:TCP"= 1935:TCP:wilmaaa

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [21.03.2006 18:57 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [21.03.2006 18:57 45376]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [21.03.2006 16:47 1272000]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [21.03.2006 16:46 19928]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [21.03.2006 16:43 17408]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-02-27 c:\windows\Tasks\1-Klick-Wartung.job
- f:\eigene dateien\programs f.internet\antivir\Tune up\SystemOptimizer.exe [2006-11-23 03:08]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{6b3dbe52-f4e4-459f-b1ba-0ae7803bd018} - (no file)
BHO-{70f09080-9dc2-465b-9f15-8f9050568326} - (no file)
SafeBoot-procexp90.Sys


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-online.de/
IE: A&lles mit ReGet Deluxe herunterladen - c:\programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
IE: Herunterladen mit Re&Get Deluxe - c:\programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\2c4utyeh.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/c/00/00/04/46.html
FF - prefs.js: network.proxy.type - 2
FF - plugin: f:\eigene dateien\programs f.internet\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: f:\eigene dateien\programs f.internet\DivX\DivX Web Player\npdivx32.dll
FF - plugin: f:\eigene dateien\programs f.internet\firefox\plugins\np-mswmp.dll
FF - plugin: f:\eigene dateien\programs f.internet\firefox\plugins\npdlplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-25 21:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\f:\eigene dateien\programs f.internet\powerdv\000.fcl"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(776)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-05-25 21:20
ComboFix-quarantined-files.txt 2009-05-25 19:20
ComboFix2.txt 2009-05-21 21:44
ComboFix3.txt 2009-05-21 20:55
ComboFix4.txt 2009-05-21 20:32
ComboFix5.txt 2009-05-25 19:16

Vor Suchlauf: 13 Verzeichnis(se), 53.630.676.992 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 53.623.693.312 Bytes frei

824 --- E O F --- 2009-05-21 22:27



Und zum Schluss Hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:21:44, on 25.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\svchost.exe
F:\eigene dateien\programs f.internet\antivir\adwars\spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\explorer.exe
F:\eigene dateien\programs f.internet\antivir\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: (no name) - {6b3dbe52-f4e4-459f-b1ba-0ae7803bd018} - (no file)
O2 - BHO: (no name) - {70f09080-9dc2-465b-9f15-8f9050568326} - (no file)
O2 - BHO: (no name) - {b2ba40a2-74f0-42bd-f434-12345a2c8953} - (no file)
O2 - BHO: (no name) - {c2ba40a1-74f3-42bd-f434-12345a2c8953} - (no file)
O2 - BHO: (no name) - {f70f6880-3a4b-11de-8230-0b7c55d89593} - (no file)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\eigene dateien\programs f.internet\icq\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\eigene dateien\programs f.internet\icq\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: cbceabfde - C:\WINDOWS\
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 4804 bytes







Und zu guter Letzt AntiVIr




Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 25. Mai 2009 21:41

Es wird nach 1421773 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: MARIO

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 17:02:01
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 17:23:01
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 17:23:01
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 17:23:01
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 18:07:19
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 15:15:59
ANTIVIR2.VDF : 7.1.4.0 2336768 Bytes 20.05.2009 19:39:48
ANTIVIR3.VDF : 7.1.4.13 131584 Bytes 25.05.2009 19:39:49
Engineversion : 8.2.0.168
AEVDF.DLL : 8.1.1.1 106868 Bytes 25.05.2009 19:40:01
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 25.05.2009 19:40:00
AESCN.DLL : 8.1.2.3 127347 Bytes 25.05.2009 19:39:59
AERDL.DLL : 8.1.1.3 438645 Bytes 15.11.2008 16:37:08
AEPACK.DLL : 8.1.3.16 397686 Bytes 25.05.2009 19:39:59
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 28.02.2009 13:05:56
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 25.05.2009 19:39:57
AEHELP.DLL : 8.1.2.2 119158 Bytes 28.02.2009 13:05:51
AEGEN.DLL : 8.1.1.44 348532 Bytes 25.05.2009 19:39:52
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 17:39:42
AECORE.DLL : 8.1.6.9 176500 Bytes 25.05.2009 19:39:51
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 17:39:32
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 17:23:01
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 17:23:01
AVREP.DLL : 8.0.0.3 155688 Bytes 25.05.2009 19:39:50
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 17:23:01
AVARKT.DLL : 1.0.0.23 307457 Bytes 14.04.2008 14:30:28
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 17:23:01
SQLITE3.DLL : 3.3.17.1 339968 Bytes 14.04.2008 14:30:29
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 17:23:01
NETNT.DLL : 8.0.0.1 7937 Bytes 14.04.2008 14:30:29
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 17:22:59
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 17:22:59

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 25. Mai 2009 21:41

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GEARSEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StyleXPService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '48' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DNSFlushcws1.zip
[FUND] Enthält verdächtigen Code GEN/PwdZIP
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a6df4cd.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn2.zip
[FUND] Enthält verdächtigen Code GEN/PwdZIP
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a8cf4f2.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinBHOje4.zip
[FUND] Enthält verdächtigen Code GEN/PwdZIP
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a88f4f3.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\[49]-Submit_2009-05-21_21.34.36.zip
[0] Archivtyp: ZIP
--> pdtivk.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
--> _c3db902981fd24a914fb306c7a8117df.sys_.vir
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.39936
--> c3db902981fd24a914fb306c7a8117df.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.39936
--> cbceabfde.dll
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.Raz.7
--> 6c0b7ad.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
--> kusers.dll
[FUND] Ist das Trojanische Pferd TR/BHO.szc
--> wibakihi.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
--> wwmeoblk.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a53f669.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\[49]-Submit_2009-05-21_22.27.49.zip
[0] Archivtyp: ZIP
--> c3db902981fd24a914fb306c7a8117df.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
--> daweyege.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a53f66a.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\pdtivk.exe.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a8ef69a.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\wwmeoblk.exe.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a87f6ad.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\c3db902981fd24a914fb306c7a8117df.sys.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7ef66b.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\daweyege.exe.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a91f699.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\kusers.dll.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a8df6ad.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\odraonvl.dll.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a8cf69c.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovwncoa.dll.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a91f6af.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\vuhugeya.exe.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a82f6ae.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wibakihi.dll.vir.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7cf6a2.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wpv301237070981.cpx.vir
[FUND] Ist das Trojanische Pferd TR/Agent.bvja
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a90f6a9.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\xbvfybx.dll.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a90f69c.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\_cbceabfde_.dll.zip
[0] Archivtyp: ZIP
--> cbceabfde.dll
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.Raz.7
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7cf69d.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\_odraonvl_.dll.zip
[0] Archivtyp: ZIP
--> odraonvl.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.Morphine.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7ef6a9.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\_ovwncoa_.dll.zip
[0] Archivtyp: ZIP
--> ovwncoa.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a90f6aa.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\_xbvfybx_.dll.zip
[0] Archivtyp: ZIP
--> xbvfybx.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7cf6b3.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\6c0b7ad.sys.vir
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af69e.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_6c0b7ad_.sys.zip
[0] Archivtyp: ZIP
--> 6c0b7ad.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7df672.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_bachmubd_.sys.zip
[0] Archivtyp: ZIP
--> bachmubd.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7bf69e.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_vjtqlzsl_.sys.zip
[0] Archivtyp: ZIP
--> vjtqlzsl.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a84f6b2.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Qoobox\Quarantine\C\WINDOWS\temp\ntdll64.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a7ef6b0.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000048.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af66e.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000063.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af66f.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000064.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bd78b68.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP1\A0000065.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af671.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000353.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af676.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000363.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af677.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000364.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bd78b60.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000365.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af679.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000375.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af678.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000462.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af67a.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000463.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bd78b63.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000693.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af67e.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000694.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bd78b67.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP4\A0000858.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4af67f.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\pyywhety.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a93f82b.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\_c3db902981fd24a914fb306c7a8117df.sys_.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4df822.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <BACKUP>
D:\Tools\eTrust Antivirus\Deutsch\AlertPackage.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> alert.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\Tools\eTrust Antivirus\Deutsch\webpkg.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> inoweb.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\Tools\eTrust Antivirus\English\AlertPackage.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> alert.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\Tools\eTrust Antivirus\English\webpkg.exe
[0] Archivtyp: RSRC
--> Object
[1] Archivtyp: CAB (Microsoft)
--> inoweb.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'E:\' <RECOVER>
Beginne mit der Suche in 'F:\' <DATEN>
F:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000695.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4afa09.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
F:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000696.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4afa0a.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
F:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP2\A0000697.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bd78713.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
F:\System Volume Information\_restore{2FC80175-DEF9-4E38-AA74-CD9D6D0091E5}\RP4\A0000859.dll
[FUND] Ist das Trojanische Pferd TR/Killav.28714
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a4afa0d.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Montag, 25. Mai 2009 22:05
Benötigte Zeit: 24:34 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6631 Verzeichnisse wurden überprüft
310966 Dateien wurden geprüft
50 Viren bzw. unerwünschte Programme wurden gefunden
3 Dateien wurden als verdächtig eingestuft
45 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
45 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
310912 Dateien ohne Befall
3581 Archive wurden durchsucht
8 Warnungen
45 Hinweise
Dieser Beitrag wurde am 25.05.2009 um 22:13 Uhr von TheImpi editiert.
Seitenanfang Seitenende
26.05.2009, 05:39
raman
Moderator

Beiträge: 7805
#18 Bitte m it hilfe von Hijackthis das anhaken und fix checked druecken:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: (no name) - {6b3dbe52-f4e4-459f-b1ba-0ae7803bd018} - (no file)
O2 - BHO: (no name) - {70f09080-9dc2-465b-9f15-8f9050568326} - (no file)
O2 - BHO: (no name) - {b2ba40a2-74f0-42bd-f434-12345a2c8953} - (no file)
O2 - BHO: (no name) - {c2ba40a1-74f3-42bd-f434-12345a2c8953} - (no file)
O2 - BHO: (no name) - {f70f6880-3a4b-11de-8230-0b7c55d89593} - (no file)

Dann bitte Combofix /u eingeben, wie oben beschrieben und die Systemmwiederherstellung mit der Datentraegerbereinigung bereinigen...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.05.2009, 17:31
TheImpi
...neu hier

Themenstarter

Beiträge: 10
#19 Ok soweit,

fix check hab ich gemacht, combofix wurde deinstalliert & Datenträger bereinigt...



MFG Mario
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12