"ADSPY/Agent.nmc" gefunden

#0
12.05.2009, 23:41
Member

Beiträge: 11
#1 Hallo zusammen,

AntiVir ist leider fündig geworden, und zwar doppelt:

Zitat

In der Datei 'C:\Dokumente und Einstellungen\-c-k-\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\mwv6qsqx.default\Cache\F4EEF82Ad01'
wurde ein Virus oder unerwünschtes Programm 'ADSPY/Agent.nmc' [adware] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Zitat

In der Datei 'C:\Dokumente und Einstellungen\-c-k-\Lokale Einstellungen\temp\8tK_YrO1.exe.part'
wurde ein Virus oder unerwünschtes Programm 'ADSPY/Agent.nmc' [adware] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
"ADSPY/Agent.nmc" ist also zweimal gefunden worden, beide Male wurde die Datei gleich in Quarantäne geschickt. Hier alles Folgende zur (hoffentlichen) Problembehebung:


1. Mit der Datenträgerbereinigung alle temporären Dateien und Wiederherstellungspunkte gelöscht.


2. Scan mit Malwarebytes:

Zitat

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2118
Windows 5.1.2600 Service Pack 3

12.05.2009 23:17:52
mbam-log-2009-05-12 (23-17-52).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 80223
Laufzeit: 2 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{6b6757c6-43a4-32d9-b141-307db618408c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{544b0ee3-be73-32d2-9adf-cf16e2723ab3} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7b8ffa6b-0ad2-3279-a22e-d56a8fb99857} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7b8ffa6b-0ad2-3279-a22e-d56a8fb99857} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{d48e4caa-ebff-37c5-8440-536a72dc6113} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7a9e425f-2832-3d43-9a2e-0eba24f85e91} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{448ffae5-1028-309a-a796-8fc52f0c9d6c} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\wr57619.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wr83955.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xwr57619.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xwr83955.dll (Trojan.BHO) -> Quarantined and deleted successfully.
3. Scan mit Combofix:

Zitat

ComboFix 09-05-12.04 - -c-k- 12.05.2009 23:24.2 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\-c-k-\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2009-04-12 bis 2009-05-12 ))))))))))))))))))))))))))))))
.

2009-05-12 21:12 . 2009-05-12 21:12 -------- d-----w c:\dokumente und einstellungen\-c-k-\Anwendungsdaten\Malwarebytes
2009-05-12 21:12 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-12 21:12 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-12 20:42 . 2009-05-12 21:19 -------- d--h--r c:\dokumente und einstellungen\-c-k-\Recent
2009-05-09 09:51 . 2008-04-14 02:22 185344 ------w c:\windows\system32\dllcache\framedyn.dll
2009-05-01 20:58 . 2009-05-01 20:59 -------- d-----w c:\dokumente und einstellungen\-c-k-\Anwendungsdaten\vlc
2009-05-01 15:54 . 2009-05-01 15:54 -------- d-sh--w c:\dokumente und einstellungen\-c-k-\IECompatCache
2009-05-01 15:53 . 2009-05-01 15:53 -------- d-sh--w c:\dokumente und einstellungen\-c-k-\PrivacIE
2009-05-01 15:52 . 2009-05-01 15:52 -------- d-sh--w c:\dokumente und einstellungen\-c-k-\IETldCache
2009-05-01 15:49 . 2009-05-01 15:49 -------- d-----w c:\windows\ie8updates
2009-05-01 15:49 . 2009-02-28 04:55 105984 ------w c:\windows\system32\dllcache\iecompat.dll
2009-05-01 15:48 . 2009-05-01 15:49 -------- dc-h--w c:\windows\ie8
2009-05-01 15:37 . 2009-02-06 10:10 227840 ------w c:\windows\system32\dllcache\wmiprvse.exe
2009-05-01 15:37 . 2009-03-06 14:19 286720 ------w c:\windows\system32\dllcache\pdh.dll
2009-05-01 15:37 . 2009-02-09 11:21 111104 ------w c:\windows\system32\dllcache\services.exe
2009-05-01 15:37 . 2009-02-09 10:51 401408 ------w c:\windows\system32\dllcache\rpcss.dll
2009-05-01 15:37 . 2009-02-09 10:51 473600 ------w c:\windows\system32\dllcache\fastprox.dll
2009-05-01 15:37 . 2009-02-06 10:39 35328 ------w c:\windows\system32\dllcache\sc.exe
2009-05-01 15:37 . 2009-02-09 10:51 678400 ------w c:\windows\system32\dllcache\advapi32.dll
2009-05-01 15:37 . 2009-02-09 10:51 736768 ------w c:\windows\system32\dllcache\lsasrv.dll
2009-05-01 15:37 . 2009-02-09 10:51 453120 ------w c:\windows\system32\dllcache\wmiprvsd.dll
2009-05-01 15:37 . 2009-02-09 10:51 740352 ------w c:\windows\system32\dllcache\ntdll.dll
2009-05-01 15:37 . 2008-04-21 21:13 217600 ------w c:\windows\system32\dllcache\wordpad.exe
2009-04-24 19:48 . 2009-05-12 21:27 2754592 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-04-20 20:30 . 2009-04-20 20:30 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\UIB
2009-04-13 17:25 . 1998-09-02 08:28 38160 ----a-w c:\windows\system32\LMRTREND.dll
2009-04-13 17:25 . 1998-08-27 04:51 182032 ----a-w c:\windows\system32\dxtmsft3.dll
2009-04-13 17:25 . 1998-09-02 08:28 63488 ----a-w c:\windows\system32\unam4ie.exe
2009-04-13 17:25 . 1998-08-17 09:21 10240 ----a-w c:\windows\system32\vidx16.dll
2009-04-13 17:25 . 1998-08-17 09:21 11776 ----a-w c:\windows\system32\mciqtz.drv
2009-04-13 17:25 . 1998-09-02 08:02 194320 ----a-w c:\windows\system32\qcut.dll
2009-04-13 17:25 . 2009-04-13 17:25 4608 ----a-w c:\windows\system32\w95inf32.dll
2009-04-13 17:25 . 2009-04-13 17:25 2272 ----a-w c:\windows\system32\w95inf16.dll
2009-04-13 16:22 . 2006-08-14 12:34 738304 ------w c:\windows\system32\1602Unst.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-12 21:19 . 2009-04-24 19:48 34652 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-05-12 21:19 . 2009-03-04 18:42 776688 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-05-09 09:51 . 2008-12-10 17:13 -------- d--h--w c:\programme\InstallShield Installation Information
2009-05-01 15:55 . 2006-01-27 01:01 84722 ----a-w c:\windows\system32\perfc007.dat
2009-05-01 15:55 . 2006-01-27 01:01 459396 ----a-w c:\windows\system32\perfh007.dat
2009-04-27 13:50 . 2009-03-17 19:18 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-04-24 19:46 . 2009-03-03 17:57 4212 ---h--w c:\windows\system32\zllictbl.dat
2009-04-22 20:55 . 2009-04-22 20:55 17984085 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2009_04_22_14_48_31_full.dmp.zip
2009-04-20 20:09 . 2009-03-03 22:47 25520 ----a-w c:\dokumente und einstellungen\-c-k-\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-10 10:49 . 2009-04-10 10:49 361728 ----a-w c:\windows\system32\TuneUpDefragService.exe
2009-04-10 10:47 . 2009-04-10 10:47 -------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-25 21:40 . 2008-12-10 17:25 -------- d-----w c:\programme\Gemeinsame Dateien\Lenovo
2009-03-25 21:40 . 2008-12-10 17:14 -------- d-----w c:\programme\Lenovo
2009-03-23 12:00 . 2008-12-10 17:34 -------- d-----w c:\programme\PCDR5
2009-03-17 18:14 . 2009-03-17 18:14 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-17 12:58 . 2009-03-17 12:58 664 ----a-w c:\windows\system32\d3d9caps.dat
2009-03-16 22:02 . 2009-03-04 13:57 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 23:04 . 2009-03-13 21:53 -------- d-----w c:\programme\hp deskjet 845c series
2009-03-13 21:56 . 2009-03-13 21:56 376 ----a-w c:\windows\mozregistry.dat
2009-03-13 21:55 . 2009-03-13 21:52 -------- d-----w c:\programme\Hewlett-Packard
2009-03-08 02:34 . 2006-01-27 01:01 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2006-01-27 01:01 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2006-01-27 01:00 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2006-01-27 01:01 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2006-01-27 01:00 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2006-01-27 01:01 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2006-01-27 01:01 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2006-01-27 01:01 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2006-01-27 01:01 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2006-01-27 01:01 156160 ----a-w c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2006-01-27 01:01 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-04 21:07 . 2009-03-04 21:07 1692984 ----a-w c:\windows\system32\cspcore.dll
2009-03-04 21:07 . 2009-03-04 21:07 955704 ----a-w c:\windows\system32\cssuserdatadispatcher.dll
2009-03-04 20:57 . 2009-03-04 20:57 734520 ----a-w c:\windows\system32\tcsrpc.dll
2009-03-04 20:57 . 2009-03-04 20:57 427320 ----a-w c:\windows\system32\tvttsp.dll
2009-03-04 18:07 . 2009-03-04 18:07 8733696 ----a-w c:\windows\system32\xa3363812.exe
2009-03-04 18:07 . 2009-03-04 18:07 8733696 ----a-w c:\windows\system32\xa3363093.exe
2009-03-03 20:54 . 2009-03-03 20:54 0 ----a-w c:\windows\nsreg.dat
2009-03-03 19:30 . 2009-03-03 22:36 138 ----a-w c:\dokumente und einstellungen\-c-k-\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-03-03 18:49 . 2006-01-27 02:17 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\software\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"Alps Pointing-device Driver"="c:\drivers\WIN\UNAV\Apoint.exe" [2009-03-09 176128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-10-30 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-10-30 178712]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-10-30 150040]
"LPManager"="c:\progra~1\THINKV~1\PrdCtr\LPMGR.exe" [2008-09-01 165208]
"avgnt"="c:\software\Programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ZoneAlarm Client"="c:\software\Programme\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ATFUS]
2008-08-15 01:29 180224 ------w c:\windows\system32\FpWinlogonNp.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 15:37 34344 ----a-w c:\programme\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2008-08-08 18:14 28672 ----a-w c:\programme\Lenovo\HOTKEY\tphklock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
2009-01-20 17:31 32768 ----a-w c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli ACGina

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Software\\Programme\\Trillian\\trillian.exe"=
"c:\\Software\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Software\\Programme\\Zattoo\\zattood.exe"=
"c:\\Software\\Programme\\Zattoo\\Zattoo.exe"=
"c:\\Software\\Spiele\\Age of Empires II\\EMPIRES2.ICD"=

R0 Shockprf;Shockprf;c:\windows\system32\drivers\ApsX86.sys [10.06.2008 17:39 116264]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [10.06.2008 17:39 19496]
R1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\TPPWRIF.SYS [10.12.2008 19:34 4442]
R1 tvtumon;tvtumon;c:\windows\system32\drivers\tvtumon.sys [09.05.2008 06:50 46144]
R2 ADMonitor;AD Monitor;c:\windows\system32\ADMonitor.exe [14.08.2008 15:31 102400]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\software\Programme\Avira\AntiVir Desktop\sched.exe [17.03.2009 21:18 108289]
R2 ATService;AuthenTec Fingerprint Service;c:\windows\system32\AtService.exe [15.08.2008 03:22 1664248]
R2 FingerprintServer;Fingerprint Server;c:\windows\system32\FpLogonServ.exe [15.08.2008 03:29 102400]
R2 Power Manager DBC Service;Power Manager DBC Service;c:\programme\ThinkPad\Utilities\PWMDBSVC.exe [10.12.2008 19:34 53248]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [14.05.2008 17:25 520192]
R2 TVT_UpdateMonitor;TVT Windows Update Monitor;c:\programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe [09.05.2008 06:50 360448]
R3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\system32\drivers\ATSwpWDF.sys [10.12.2008 19:21 480640]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [22.02.2008 16:54 37312]
S3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [11.12.2008 02:51 244368]
S3 WinPhlash;WinPhlash;c:\programme\Lenovo\System Update\session\7yuj07us\PhlashNT.sys [20.06.2008 11:14 34456]
S4 SessionLauncher;SessionLauncher;c:\dokume~1\ADMINI~1\LOKALE~1\Temp\DX9\SessionLauncher.exe --> c:\dokume~1\ADMINI~1\LOKALE~1\Temp\DX9\SessionLauncher.exe [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-03-03 c:\windows\Tasks\PCDoctorBackgroundMonitorTask.job
- c:\programme\PCDR5\pcdr5cuiw32.exe [2009-02-20 20:57]

2009-05-12 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2008-12-10 09:56]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-WgaLogon - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchURL,(Default) = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
IE: {{F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - c:\programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
FF - ProfilePath - c:\dokumente und einstellungen\-c-k-\Anwendungsdaten\Mozilla\Firefox\Profiles\mwv6qsqx.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - plugin: c:\software\Programme\Adobe Reader\Reader\browser\nppdf32.dll
FF - plugin: c:\software\Programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF - plugin: c:\software\Programme\Java\jre6\bin\new_plugin\npjp2.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-12 23:27
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(868)
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\FpWinLogonNp.dll
c:\programme\Lenovo Fingerprint Software\ATCSSINT.dll
c:\programme\Lenovo Fingerprint Software\SharedResources.dll
c:\programme\Lenovo Fingerprint Software\FPResource.dll
c:\programme\Lenovo\Client Security Solution\CSS_Enroll.dll
c:\programme\Lenovo\Client Security Solution\css_banner.dll
c:\windows\system32\cssuserdatadispatcher.dll
c:\windows\system32\tvttsp.dll
c:\windows\system32\tcsrpc.dll
c:\programme\Lenovo\HOTKEY\tphklock.dll

- - - - - - - > 'lsass.exe'(924)
c:\programme\ThinkPad\ConnectUtilities\ACGina.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACON.dll
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgr.dll
c:\programme\ThinkPad\ConnectUtilities\AcCryptHlpr.dll
c:\programme\ThinkPad\ConnectUtilities\ACTurinSupport.dll
c:\programme\ThinkPad\ConnectUtilities\AcSmBiosHelper.dll
c:\programme\ThinkPad\ConnectUtilities\AcAdaptersInfo.dll

- - - - - - - > 'explorer.exe'(1248)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2009-05-12 23:28
ComboFix-quarantined-files.txt 2009-05-12 21:28

Vor Suchlauf: 21 Verzeichnis(se), 127.399.260.160 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 127.375.400.960 Bytes frei

221 --- E O F --- 2009-03-11 14:14
4. HJT-Log-File:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:32:36, on 12.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ADMonitor.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\AtService.exe
C:\WINDOWS\system32\FpLogonServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Software\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Software\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Intel\WiFi\bin\EvtEng.exe
C:\Software\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
c:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\System32\TPHDEXLG.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe
C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
c:\programme\lenovo\system update\suservice.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\igfxpers.exe
C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
C:\Software\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Software\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\drivers\WIN\UNAV\Apoint.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\Programme\Apoint2K\ApMsgFwd.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\explorer.exe
C:\Software\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Software\Programme\Mozilla Firefox\firefox.exe
C:\Software\Programme\Trend Micro\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Software\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Password Manager Browser Helper Object - {BF468356-BB7E-42D7-9F15-4F3B9BCFCED2} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Software\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Software\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [avgnt] "C:\Software\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Software\Programme\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Software\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Alps Pointing-device Driver] C:\drivers\WIN\UNAV\Apoint.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Software\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Software\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra 'Tools' menuitem: Lenovo Password Manager... - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) -
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O20 - Winlogon Notify: ATFUS - C:\WINDOWS\system32\FpWinLogonNp.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: AD Monitor (ADMonitor) - Unknown owner - C:\WINDOWS\system32\ADMonitor.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Software\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Software\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AuthenTec Fingerprint Service (ATService) - AuthenTec, Inc. - C:\WINDOWS\system32\AtService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Fingerprint Server (FingerprintServer) - AuthenTec,Inc - C:\WINDOWS\system32\FpLogonServ.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Software\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Power Manager DBC Service - Unknown owner - C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - c:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TSS Core Service (TSSCoreService) - Lenovo - C:\Programme\Lenovo\Client Security Solution\tvttcsd.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TVT Backup Protection Service - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
O23 - Service: TVT Windows Update Monitor (TVT_UpdateMonitor) - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9093 bytes
5. Uninstall-Liste

Zitat

Access Help
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Reader 9.1 - Deutsch
AFPL Ghostscript 8.54
AFPL Ghostscript Fonts
Anzeige am Bildschirm
Audacity 1.2.6
Avira AntiVir Personal - Free Antivirus
Baldurs Gate(TM) II - Thron des Bhaal (TM)
CCleaner (remove only)
CDex extraction audio
CIB pdf brewer 2.5.26
Client Security - Password Manager
Conexant HD Audio
Dienstprogramm "ThinkPad UltraNav"
Dienstprogramm 'ThinkPad-Tastaturanpassung'
Digitale Bibliothek
DirectXInstallService
Ergänzung zu Productivity Center für ThinkPad
Guitar Pro 5.0
Help Center
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix für Windows XP (KB949764)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Intel PROSet Wireless
Intel(R) Graphics Media Accelerator Driver
Intel(R) Management Engine Interface
Intel(R) Network Connections Drivers
Intel® Trusted Platform Module
Java(TM) 6 Update 12
Lenovo Fingerprint Software
Lenovo Registration
Lenovo System Toolbox
Malwarebytes' Anti-Malware
Message Center
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Age of Empires II
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
Microsoft National Language Support Downlevel APIs
Microsoft Office 2000 Professional
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mobile Broadband Connect
Mozilla Firefox (3.0.10)
Mozilla Thunderbird (2.0.0.21)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser
Nero OEM
OpenOffice.org 3.0
Paint Shop Pro 6.0 (CD-ROM)
PDF Blender
Präsentationsdirektor
Rescue and Recovery
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.54.02
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Spybot - Search & Destroy
System Update
ThinkPad Bluetooth with Enhanced Data Rate Software
ThinkPad Energie-Manager
ThinkPad FullScreen Magnifier
ThinkPad Modem Adapter
ThinkPad PC Card Power Policy
ThinkPad Power Management Driver
ThinkPad UltraNav Driver
ThinkPad UltraNav Driver
ThinkPad-Dienstprogramm 'EasyEject'
ThinkVantage Access Connections
ThinkVantage Productivity Center
ThinkVantage System für aktiven Festplattenschutz
ThinkVantage Technologies Welcome Message
Trillian
TuneUp Utilities 2008
Update für Windows Internet Explorer 8 (KB968220)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VLC media player 0.9.9
Wallpapers
Winamp
Windows Internet Explorer 8
Windows Media Connect
Windows Media Format Runtime
Windows Media Player 10
Windows XP Service Pack 3
Windows-Treiberpaket - AuthenTec Inc. (ATSwpWDF) Biometric (08/08/2008 8.1.2.10)
WinRAR
XML Paper Specification Shared Components Language Pack 1.0
XP Themes
Zattoo 3.3.3 Beta
ZoneAlarm
Hoffe, dass soweit alles korrekt ist, und bin für jede Hilfe dankbar!


Beste Grüße,
jotari
Seitenanfang Seitenende
13.05.2009, 11:30
Moderator

Beiträge: 5694
#2 >>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Spybot S&D TeaTimer
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D,
klicke auf "Advanced mode" >"JA">"Tools">Menu> klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

>>
Bei der älteren AVIRA Version:
Stelle Dein Avira Antivir so ein wie hier beschrieben. Zusätzlich Rootkitsuche anwählen. UPDATE dein Antivir und scanne all deine Festplatten, funde in Quarantäne verschieben lassen. Poste das Log.
(Nach dem scanen, Einstellungen wieder zurücksetzen)
http://board.protecus.de/t23979.htm

Gruss Swiss
Seitenanfang Seitenende
13.05.2009, 13:10
Member

Themenstarter

Beiträge: 11
#3 Hallo Swiss,

vielen Dank zunächst mal! Habe alles wie geschrieben eingestellt und dann einen Scan durchgeführt. Hier das AntiVir-Log:

Zitat

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 13. Mai 2009 12:34

Es wird nach 1391460 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : THINKPAD-C

Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 27.04.2009 13:50:37
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.3.185 2010112 Bytes 12.05.2009 19:16:26
ANTIVIR3.VDF : 7.1.3.196 52736 Bytes 13.05.2009 10:33:32
Engineversion : 8.2.0.166
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 21:58:25
AESCRIPT.DLL : 8.1.1.81 385401 Bytes 10.05.2009 10:51:43
AESCN.DLL : 8.1.1.10 127348 Bytes 06.04.2009 17:14:52
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.16 397686 Bytes 10.05.2009 10:51:43
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.128 1757559 Bytes 10.05.2009 10:51:42
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56
AEGEN.DLL : 8.1.1.42 348531 Bytes 10.05.2009 10:51:38
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 14.04.2009 16:24:27
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 13:50:36
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16
RCTEXT.DLL : 9.0.37.0 87809 Bytes 27.04.2009 13:50:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\software\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 13. Mai 2009 12:34

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '35350' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SvcGuiHlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApMsgFwd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LPMGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PWMDBSVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdateMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvtsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rrservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rrpservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvttcsd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpKmpSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHDEXLG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvt_reg_monitor_svc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcPrfMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FpLogonServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AtService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '51' Prozesse mit '51' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '55' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Zeh>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'E:\' <Eh>
Beginne mit der Suche in 'F:\' <Eff>


Ende des Suchlaufs: Mittwoch, 13. Mai 2009 13:05
Benötigte Zeit: 31:20 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6422 Verzeichnisse wurden überprüft
369878 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
369876 Dateien ohne Befall
9853 Archive wurden durchsucht
2 Warnungen
2 Hinweise
35350 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Eines noch: Beim Deinstallieren von Combofix schlug AntiVir nochmals Alarm:

Zitat

In der Datei 'C:\32788R22FWJFW\psexec.cfexe'
wurde ein Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Zitat

In der Datei 'C:\32788R22FWJFW\psexec.cfexe'
wurde ein Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
Hängt die Meldung mit Combofix zusammen oder ist das ein neuer Schädling?


Viele Grüße,
jotari
Seitenanfang Seitenende
13.05.2009, 17:34
Moderator

Beiträge: 5694
#4 Nee das sind Dateien von Combofix, also kein Grund zur Sorge ;) Ich kann nichts feststellen, auch Avira findet nichts. Mach noch einen Kontrollscan mit FSecure:
http://virus-protect.org/artikel/tools/fsecureonline.html

Gruss Swiss
Seitenanfang Seitenende
14.05.2009, 09:55
Member

Themenstarter

Beiträge: 11
#5 Hallo,

hab das System jetzt noch mal mit F-Secure gescannt: zum Glück auch keine Funde. Bleibt nur noch die Frage, was ich mit den Dateien machen soll, die ich in Quarantäne geschickt hatte. Löschen? Wiederherstellen?


Viele Grüße,
jotari
Seitenanfang Seitenende
14.05.2009, 22:44
Moderator

Beiträge: 5694
#6 Ich gehe davon aus es handelt sich um die eingans erwähnten Dateien. Die kannst du aus der Quarantäne löschen.

Gruss Swiss
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: