Wurm, Viren und/oder Trojaner eingefangen? |
||
|---|---|---|
| #0
| ||
|
09.09.2009, 17:31
...neu hier
Beiträge: 10 |
||
 
|
|
|
|
09.09.2009, 17:48
Member
Beiträge: 3716 |
#2
Dieses System hätte erst mal ein Paar updates nötig :-)
Bitte rechtsklick auf das Schirmchen von Avira, wähle Guard deaktivieren. Danach erstelle einen neuen Ordner, den du schnell wiederfindest. Öffne nun avira dann gehe auf Quarantäne. Suche alle Dateien, die als verdächtig eingestuft wurden. Wähle wiederherstellen in und den betreffenden Ordner. Packe diesen Ordner nun mit Winzip oder Rar und versieh ihn mit dem Passwort infected. Damit wir schneller vorwerts kommen sende ihn an markusg@paules-pc-forum.de ich überprüfe die Dateien dann für dich. http://www.paules-pc-forum.de/forum/4-pc-sicherheit/112535-avira-antivir-anleitung-zur-einrichtung.html Upgrade Avira, halte dich bitte an die Anleitung, Teile die die Premium betreffen, lasse bitte aus. Update Avira, klicke auf Lokaler Schutz und lokale Laufwerke, Funde in Quarantäne und das Log posten. Dann noch mal lokale Laufwerke und Rootkitsuche, Warnmeldung mit "nein" anklicken, diese taucht am Ende auf, und auch dieses Log hier reinstellen. |
|
|
|
|
|
|
09.09.2009, 18:03
...neu hier
Themenstarter Beiträge: 10 |
#3
Hallo nochmal,
Danke für die schnelle Antwort. Hab nur das Problem, dass ich den Ordener nicht mit einem Passwort versehen kann! ist das tragisch? danke |
|
|
|
|
|
|
09.09.2009, 18:08
Member
Beiträge: 3716 |
#4
klicke mit rects auf den ordner, dann zu einem archiv hinzufügen, registerkarte erweitert und es geht.
wenn du kein Packprogramm hast, dann hohle dir 7zip: www.chip.de/downloads/7-Zip_13004776.html - ist kostenlos. |
|
|
|
|
|
|
09.09.2009, 20:33
...neu hier
Themenstarter Beiträge: 10 |
#5
hier schon mal das log von lokale laufwerke
Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 9. September 2009 20:00 Es wird nach 1700557 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 2000 Windowsversion : (Service Pack 4) [5.0.2195] Boot Modus : Normal gebootet Benutzername : Administrator Computername : MOHR Versionsinformationen: BUILD.DAT : 9.0.0.408 17961 Bytes 26.08.2009 16:46:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 12:36:08 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 08:21:42 ANTIVIR2.VDF : 7.1.5.201 3414528 Bytes 03.09.2009 17:58:01 ANTIVIR3.VDF : 7.1.5.224 258560 Bytes 09.09.2009 17:58:02 Engineversion : 8.2.1.14 AEVDF.DLL : 8.1.1.1 106868 Bytes 28.07.2009 12:17:15 AESCRIPT.DLL : 8.1.2.31 475513 Bytes 09.09.2009 17:58:05 AESCN.DLL : 8.1.2.5 127346 Bytes 09.09.2009 17:58:05 AERDL.DLL : 8.1.2.4 430452 Bytes 23.07.2009 08:59:39 AEPACK.DLL : 8.1.3.18 401783 Bytes 28.07.2009 12:17:14 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 08:59:39 AEHEUR.DLL : 8.1.0.155 1921400 Bytes 09.09.2009 17:58:05 AEHELP.DLL : 8.1.7.0 237940 Bytes 09.09.2009 17:58:03 AEGEN.DLL : 8.1.1.62 364916 Bytes 09.09.2009 17:58:03 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40 AECORE.DLL : 8.1.7.8 184692 Bytes 09.09.2009 17:58:02 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 09.09.2009 17:58:05 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Laufwerke Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, A:, E:, F:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Mittwoch, 9. September 2009 20:00 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'zonealarm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WATCH.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tsystray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'internat.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mspmspsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vsmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'stisvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'regsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht Es wurden '27' Prozesse mit '27' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'A:\' [INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '58' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Programme> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\BDE\bdeengine2.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.2 C:\BDE\BDEimage.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/bde.A C:\BDE\bdeplayer2.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.F C:\BDE\npbdplay2.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brill.12 C:\BDE\cache\bdeclean.exe [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.35684.1 C:\BDE\cache\bdedetect1.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Brilli.1007.1 C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip1.log [0] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Details.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip2.log [0] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Notice.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip3.log [0] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Important.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip4.log [0] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Bill.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip5.log [0] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Data.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip6.log [0] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Part-2.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip7.log [0] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Textfile.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip8.log [0] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Informations.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip_alg.log [0] Archivtyp: ZIP [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Informations.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Rar$ML06.625\Müll.rar [0] Archivtyp: RAR --> Mチll\aspimgr.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.mga --> Mチll\pk_zip1.log [1] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Details.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z --> Mチll\pk_zip2.log [1] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Notice.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z --> Mチll\pk_zip3.log [1] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Important.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z --> Mチll\pk_zip4.log [1] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Bill.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z --> Mチll\pk_zip5.log [1] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Data.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z --> Mチll\pk_zip6.log [1] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Part-2.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z --> Mチll\pk_zip7.log [1] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Textfile.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z --> Mチll\pk_zip8.log [1] Archivtyp: Base64 --> Unknown.txt [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Informations.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z --> Mチll\pk_zip_alg.log [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Informations.txt .exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z C:\WINNT\bde\bdeclean.exe [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.35684.1 C:\WINNT\system32\bde3d_ref2.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brill.14 C:\WINNT\system32\bdedata2.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Altnet.B.5 C:\WINNT\system32\bdedownloader.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.1 C:\WINNT\system32\bdefdi.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.1007 C:\WINNT\system32\bdeinsta2.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.4 C:\WINNT\system32\bdeinstall.exe [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.1044 C:\WINNT\system32\bdeload.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.5 C:\WINNT\system32\BDERastDx6_30002.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.6 C:\WINNT\system32\BDERastMMX_30001.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.7 C:\WINNT\system32\BDESac10.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.8 Beginne mit der Suche in 'D:\' <Daten> Beginne mit der Suche in 'A:\' Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'F:\' Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Desinfektion: C:\BDE\bdeengine2.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.2 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b0cf5bc.qua' verschoben! C:\BDE\BDEimage.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/bde.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aecf59c.qua' verschoben! C:\BDE\bdeplayer2.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.F [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45e8927d.qua' verschoben! C:\BDE\npbdplay2.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brill.12 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b09f5c8.qua' verschoben! C:\BDE\cache\bdeclean.exe [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.35684.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45eb8aa5.qua' verschoben! C:\BDE\cache\bdedetect1.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Brilli.1007.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45e4735d.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip1.log [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b06f5c3.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip2.log [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b06f5c4.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip3.log [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50cc7fdd.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip4.log [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50cd6425.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip5.log [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50ca6c6d.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip6.log [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50cb54b5.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip7.log [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50c85cfd.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip8.log [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50c944c5.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip_alg.log [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) [HINWEIS] Der Fund wurde als verdächtig eingestuft. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50d64d0d.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Rar$ML06.625\Müll.rar [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b13f655.qua' verschoben! C:\WINNT\bde\bdeclean.exe [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.35684.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b0cf5bd.qua' verschoben! C:\WINNT\system32\bde3d_ref2.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brill.14 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45e57b16.qua' verschoben! C:\WINNT\system32\bdedata2.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Altnet.B.5 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50de3de6.qua' verschoben! C:\WINNT\system32\bdedownloader.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45e663ce.qua' verschoben! C:\WINNT\system32\bdefdi.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.1007 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50dd352e.qua' verschoben! C:\WINNT\system32\bdeinsta2.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.4 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5765e61e.qua' verschoben! C:\WINNT\system32\bdeinstall.exe [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.1044 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5766eed6.qua' verschoben! C:\WINNT\system32\bdeload.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.5 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50db1d66.qua' verschoben! C:\WINNT\system32\BDERastDx6_30002.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.6 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aecf59d.qua' verschoben! C:\WINNT\system32\BDERastMMX_30001.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.7 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51350df6.qua' verschoben! C:\WINNT\system32\BDESac10.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.8 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5137f5ae.qua' verschoben! Ende des Suchlaufs: Mittwoch, 9. September 2009 20:35 Benötigte Zeit: 30:39 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 2724 Verzeichnisse wurden überprüft 111729 Dateien wurden geprüft 18 Viren bzw. unerwünschte Programme wurden gefunden 36 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 27 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 111673 Dateien ohne Befall 589 Archive wurden durchsucht 2 Warnungen 29 Hinweise danke nochmals |
|
|
|
|
|
|
09.09.2009, 20:53
Member
Beiträge: 3716 |
#6
kennst du den Ordner?
C:\BDE |
|
|
|
|
|
|
09.09.2009, 20:56
...neu hier
Themenstarter Beiträge: 10 |
||
|
|
|
|
|
09.09.2009, 21:08
...neu hier
Themenstarter Beiträge: 10 |
#8
hier also noch der rootkits log
Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 9. September 2009 21:12 Es wird nach 1700557 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 2000 Windowsversion : (Service Pack 4) [5.0.2195] Boot Modus : Normal gebootet Benutzername : Administrator Computername : MOHR Versionsinformationen: BUILD.DAT : 9.0.0.408 17961 Bytes 26.08.2009 16:46:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 12:36:08 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 08:21:42 ANTIVIR2.VDF : 7.1.5.201 3414528 Bytes 03.09.2009 17:58:01 ANTIVIR3.VDF : 7.1.5.224 258560 Bytes 09.09.2009 17:58:02 Engineversion : 8.2.1.14 AEVDF.DLL : 8.1.1.1 106868 Bytes 28.07.2009 12:17:15 AESCRIPT.DLL : 8.1.2.31 475513 Bytes 09.09.2009 17:58:05 AESCN.DLL : 8.1.2.5 127346 Bytes 09.09.2009 17:58:05 AERDL.DLL : 8.1.2.4 430452 Bytes 23.07.2009 08:59:39 AEPACK.DLL : 8.1.3.18 401783 Bytes 28.07.2009 12:17:14 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 08:59:39 AEHEUR.DLL : 8.1.0.155 1921400 Bytes 09.09.2009 17:58:05 AEHELP.DLL : 8.1.7.0 237940 Bytes 09.09.2009 17:58:03 AEGEN.DLL : 8.1.1.62 364916 Bytes 09.09.2009 17:58:03 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40 AECORE.DLL : 8.1.7.8 184692 Bytes 09.09.2009 17:58:02 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 09.09.2009 17:58:05 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Suche nach Rootkits Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp Protokollierung.......................: hoch Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Durchsuche aktive Programme...........: aus Durchsuche Registrierung..............: aus Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Erweiterte Sucheinstellungen..........: 0x00300922 Beginn des Suchlaufs: Mittwoch, 9. September 2009 21:12 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters\symboliclinkvalue [INFO] Der Registrierungseintrag ist nicht sichtbar. Es wurden '214037' Objekte überprüft, '1' versteckte Objekte wurden gefunden. Ende des Suchlaufs: Mittwoch, 9. September 2009 21:19 Benötigte Zeit: 06:37 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 0 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 0 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 0 Hinweise 214037 Objekte wurden beim Rootkitscan durchsucht 1 Versteckte Objekte wurden gefunden Dieser Beitrag wurde am 09.09.2009 um 21:18 Uhr von LeBigM editiert.
|
|
|
|
|
|
|
09.09.2009, 21:20
Member
Beiträge: 3716 |
||
|
|
|
|
|
09.09.2009, 21:50
...neu hier
Themenstarter Beiträge: 10 |
#10
hallo und besten dank für deine zeit
hier also der combofix log ComboFix 09-09-09.01 - Administrator 09.09.2009 21:31.1.1 - NTFSx86 Microsoft Windows 2000 Professional 5.0.2195.4.1252.49.1031.18.255.122 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\test.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\recycler\S-1-5-21-436374069-746137067-1060284298-500 c:\winnt\db32.txt c:\winnt\g32.txt c:\winnt\gs32.txt c:\winnt\UPI41022.INF c:\winnt\Web\default.htt Infizierte Kopie von c:\winnt\system32\qmgr.dll wurde gefunden und desinfiziert Kopie von - c:\winnt\ServicePackFiles\i386\qmgr.dll wurde wiederhergestellt c:\winnt\system32\comres.dll . . . ist infiziert!! . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ASPIMGR ((((((((((((((((((((((( Dateien erstellt von 2009-08-09 bis 2009-09-09 )))))))))))))))))))))))))))))) . 2009-09-09 17:48 . 2009-03-30 08:32 97512 ----a-w- c:\winnt\system32\drivers\avipbb.sys 2009-09-09 17:48 . 2009-03-24 14:07 65240 ----a-w- c:\winnt\system32\drivers\avgntflt.sys 2009-09-09 17:48 . 2009-02-13 10:28 18520 ----a-w- c:\winnt\system32\drivers\avgntmgr.sys 2009-09-09 17:48 . 2009-02-13 10:16 64488 ----a-w- c:\winnt\system32\drivers\avgntdd.sys 2009-09-09 17:48 . 2009-09-09 17:48 -------- d-----w- c:\programme\Avira 2009-09-09 17:48 . 2009-09-09 17:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-09-09 17:11 . 2009-09-09 17:11 -------- d-----w- c:\winnt\system32\Windows Media 2009-09-09 17:10 . 2009-09-09 17:10 -------- dc-h--w- c:\winnt\$NtUpdateRollupPackUninstall$ 2009-09-09 17:10 . 2009-09-09 17:10 -------- d-----w- c:\winnt\msiinst.tmp 2009-09-09 16:49 . 2009-09-09 16:52 -------- d-----w- c:\winnt\system32\CertSrv 2009-09-09 16:49 . 2009-09-09 16:49 -------- d-----w- c:\winnt\system32\ie_de 2009-09-09 16:43 . 2005-06-02 22:44 222480 ----a-w- c:\winnt\system32\mstask.dll 2009-09-09 16:42 . 2004-02-19 13:02 1818600 ----a-r- c:\winnt\system32\dtcsetup.exe 2009-09-09 15:12 . 2009-09-09 15:12 -------- d-----w- c:\programme\Trend Micro 2009-09-09 14:23 . 2009-09-09 14:23 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2009-09-09 14:23 . 2009-08-03 11:36 38160 ----a-w- c:\winnt\system32\drivers\mbamswissarmy.sys 2009-09-09 14:23 . 2009-09-09 14:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-09-09 14:23 . 2009-09-09 14:23 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-09-09 14:23 . 2009-08-03 11:36 18456 ----a-w- c:\winnt\system32\drivers\mbam.sys 2009-09-09 11:17 . 2009-09-09 11:17 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{C4C0E335-EDDF-46A0-A57D-F3802AE44275} 2009-09-08 16:43 . 2009-09-08 16:43 2560 ----a-w- c:\winnt\_MSRSTRT.EXE . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-09-09 09:48 . 2001-12-14 23:20 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-09-08 16:57 . 2006-03-04 12:45 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software 2009-09-08 16:50 . 2001-12-14 23:59 -------- d-----w- c:\programme\ICQ 2009-09-08 16:46 . 2001-12-19 21:21 -------- d-----w- c:\programme\ICQPlus 2009-09-08 15:17 . 2009-07-18 20:49 -------- d-----w- c:\programme\PokerStars 2009-08-10 17:48 . 2009-08-10 17:48 0 ----a-w- c:\winnt\nsreg.dat 2009-08-03 16:26 . 2009-08-03 16:21 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AAV 2009-08-03 16:24 . 2009-08-03 16:22 -------- d-----w- c:\programme\Akademische Arbeitsgemeinschaft 2009-08-03 16:23 . 2009-08-03 16:23 -------- d-----w- c:\programme\Gemeinsame Dateien\AAV 2009-06-06 08:25 . 2009-06-06 08:25 18865287 ----a-w- c:\programme\PDFXVwer.zip 2001-12-14 16:07 . 2001-12-14 16:07 22080 ---h--w- c:\programme\folder.htt . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RealJukeboxSystray"="c:\programme\Real\RealJukebox\tsystray.exe" [2001-12-15 91648] "internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [1999-12-10 20752] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-19 112400] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [1999-12-10 20752] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 189712] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.exe.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2001-12-15 110592] Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696] Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] Watch.lnk - c:\winnt\twain_32\S6U12BX\WATCH.exe [2008-8-10 356352] ZoneAlarm.lnk - c:\programme\Zone Labs\ZoneAlarm\zonealarm.exe [2003-8-16 623720] R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [09.09.2009 19:48 108289] R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\winnt\system32\drivers\avmwan.sys [19.12.2001 22:08 29968] R3 fpcibase;FRITZ!Card PCI;c:\winnt\system32\drivers\fpcibase.sys [19.12.2001 22:08 387440] R3 NeroCd2k;NeroCd2k;c:\winnt\system32\drivers\NeroCD2k.sys [12.02.2001 18:09 45507] S3 AVMUNET;AVM FRITZ!Box;c:\winnt\system32\drivers\avmunet.sys [13.12.2006 17:53 15104] S3 EL90BC;3Com EtherLink-XL-B/C-Adaptertreiber;c:\winnt\system32\drivers\el90xbc5.sys [04.01.2003 16:04 61712] S3 oad;Visibroker Activation Daemon;c:\progra~1\Borland\vbroker\bin\oad.exe [03.01.2002 18:41 1781248] S3 osagent;VisiBroker Smart Agent;c:\progra~1\Borland\vbroker\bin\osagent.exe [03.01.2002 18:41 193536] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ mSearch Bar = hxxp://lookfor.cc/sp.php?pin=59130 uInternet Settings,ProxyServer = ftp=grubi:12345 uInternet Settings,ProxyOverride = fritz.box IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm LSP: %SystemRoot%\system32\msafd.dll DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} - hxxps://banking.rwso.de/KSK_Biberach/srwso2001.cab FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\tl4fd4m1.default\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-Gtwatch - c:\winnt\gtwatch.exe AddRemove-Adobe Acrobat 5.0 - c:\winnt\ISUN0407.EXE -fc:\programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu AddRemove-Adobe Photoshop 6.0 - c:\winnt\ISUN0407.EXE -fc:\programme\Adobe\Photoshop 6.0\Uninst.isu AddRemove-Ahnenforscher 2000 - c:\winnt\unin0407.exe -fc:\programme\Ahnenforscher\DeIsL1.isu AddRemove-bdeplayer - c:\winnt\bde\BDEClean.exe AddRemove-Brother 1230 - c:\winnt\IsUn0407.exe -fc:\programme\Brother\BRHL1230\DeIsL1.isu AddRemove-CANONBJ_Deinstall_CNMCP49.DLL - c:\winnt\System32\CNMCP49.exe -PRINTERNAMECanon i550 -HELPERDLLc:\bjprinter\CNMWINNT\Canon i550 Installer\Inst2\cnmis.dll AddRemove-Delphi5 - c:\winnt\IsUn0407.exe -fc:\programme\Borland\Delphi5\Uninst.isu AddRemove-FRITZ!DSL - c:\winnt\IsUn0407.exe -fc:\programme\FRITZ!DSL\WebUnins.isu AddRemove-MJuiceWinamp - c:\programme\Mjuice Media PlayerMJUninst.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-09-09 21:47 Windows 5.0.2195 Service Pack 4 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters] "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79, 00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\ . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(200) c:\winnt\system32\wzcdlg.dll c:\winnt\system32\WZCSAPI.DLL c:\winnt\system32\msv1_0.dll - - - - - - - > 'lsass.exe'(240) c:\winnt\system32\mpr.dll - - - - - - - > 'explorer.exe'(1464) c:\winnt\AppPatch\AcLayers.DLL c:\winnt\system32\SHDOCVW.DLL c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL c:\winnt\system32\MSI.DLL c:\programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\1031\OWCI10.DLL c:\winnt\System32\shdoclc.dll . Zeit der Fertigstellung: 2009-09-09 21:51 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-09-09 19:51 Vor Suchlauf: 3.563.065.344 Bytes frei Nach Suchlauf: 3.715.215.360 Bytes frei 148 |
|
|
|
|
|
|
10.09.2009, 11:46
Member
Beiträge: 3716 |
#11
Besuche:
www.virustotal.com kopiere in das Feld: c:\winnt\system32\comres.dll Klicke absenden, falls Datei bereits analysiert wurde, klicke erneut prüfen, poste das Ergebniss. |
|
|
|
|
|
|
10.09.2009, 12:15
Ehrenmitglied
 Beiträge: 6028 |
#12
@virenfinder
Zitat kennst du den Ordner? C:\BDEGehoert zu Brilliant Digital software bei Software steht es als b3d Projector Wird zusammen mit Kazaa runter geladen Und schwer zu entfernen,zum zweiten ist der PC Eigentuemer kein Herr mehr ueber sein PC BDE wird auch durch Borland Database Engine benutzt ! also aufpassen __________ MfG Argus |
|
|
|
|
|
|
10.09.2009, 12:30
Member
Beiträge: 3716 |
#13
Ja, deswegen hatte ich ihn ja gefragt.
Möchte noch wissen, was mit der DLL ist, aber formatieren wird evtl. das beste hier sein. |
|
|
|
|
|
|
10.09.2009, 16:56
...neu hier
Themenstarter Beiträge: 10 |
#14
Hallo erstmal,
kann die datei nicht finden! auch über suchfunktion im arbeitsplatz wird nichts angezeigt! kann nur comrepl.dll anbieten. |
|
|
|
|
|
|
10.09.2009, 18:13
Member
Beiträge: 3716 |
#15
avira hats auch gefunden.
bitte erstelle nen neuen ordner, den du leicht wiederfindest. deaktiviere den guard, danach öffne avira, Verwaltung, Quarantäne wähle C:\WINNT\System32\aspimgr.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.mga [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b179999.qua' verschoben! und wiederherstellen in. wähle den Ordner. danach virustotal besuchen, durchsuchen, datei auswählen und hochladen. danach datei wieder in quarantäne und avira guard einschalten. das ergebniss posten. |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich glaub ich hab mir da ein par fiese Sachen eingefangen.
Hab schon ein paar "Trojaner" im Anschluss an malware entfernt, aber ich vermute da sind noch weitere drauf.
wäre sehr dankbar wenn mir jemand helfen könnte.
Im Anschluss jetzt die scans die ich gemacht habe
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 9. September 2009 14:01
Es wird nach 1694938 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir Personal - FREE Antivirus
Seriennummer: 0000149996-ADJIE-0000001
Plattform: Windows 2000
Windowsversion: (Service Pack 2) [5.0.2195]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: MOHR
Versionsinformationen:
BUILD.DAT : 8.2.0.353 17048 Bytes 15.05.2009 12:02:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 09:40:03
AVSCAN.DLL : 8.1.4.0 48897 Bytes 19.07.2008 19:22:18
LUKE.DLL : 8.1.4.5 164097 Bytes 19.07.2008 19:22:20
LUKERES.DLL : 8.1.4.0 12545 Bytes 19.07.2008 19:22:20
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 06:21:58
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 07:08:53
ANTIVIR2.VDF : 7.1.5.201 3414528 Bytes 03.09.2009 12:21:36
ANTIVIR3.VDF : 7.1.5.217 187904 Bytes 08.09.2009 12:21:23
Engineversion : 8.2.1.12
AEVDF.DLL : 8.1.1.1 106868 Bytes 01.05.2009 08:19:14
AESCRIPT.DLL : 8.1.2.30 471418 Bytes 08.09.2009 12:21:25
AESCN.DLL : 8.1.2.5 127346 Bytes 06.09.2009 12:21:41
AERDL.DLL : 8.1.2.4 430452 Bytes 15.07.2009 09:16:16
AEPACK.DLL : 8.1.3.18 401783 Bytes 29.05.2009 07:08:55
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 19.06.2009 06:34:54
AEHEUR.DLL : 8.1.0.155 1921400 Bytes 19.08.2009 16:11:21
AEHELP.DLL : 8.1.7.0 237940 Bytes 06.09.2009 12:21:40
AEGEN.DLL : 8.1.1.61 364916 Bytes 08.09.2009 12:21:24
AEEMU.DLL : 8.1.0.9 393588 Bytes 18.10.2008 09:26:55
AECORE.DLL : 8.1.7.8 184692 Bytes 06.09.2009 12:21:39
AEBB.DLL : 8.1.0.3 53618 Bytes 18.10.2008 09:26:54
AVWINLL.DLL : 1.0.0.12 15105 Bytes 19.07.2008 19:22:18
AVPREF.DLL : 8.0.2.0 38657 Bytes 19.07.2008 19:22:18
AVREP.DLL : 8.0.0.3 155688 Bytes 21.04.2009 04:48:08
AVREG.DLL : 8.0.0.1 33537 Bytes 19.07.2008 19:22:18
AVARKT.DLL : 1.0.0.23 307457 Bytes 22.04.2008 19:20:22
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 19.07.2008 19:22:18
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.04.2008 19:20:24
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 19.07.2008 19:22:21
NETNT.DLL : 8.0.0.1 7937 Bytes 22.04.2008 19:20:23
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 19.07.2008 19:22:08
RCTEXT.DLL : 8.0.52.0 86273 Bytes 19.07.2008 19:22:08
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Mittwoch, 9. September 2009 14:01
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zonealarm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WATCH.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'internat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mspmspsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'regsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aspimgr.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINNT\System32\aspimgr.exe'
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Prozess 'aspimgr.exe' wird beendet
C:\WINNT\System32\aspimgr.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.mga
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b179999.qua' verschoben!
Es wurden '29' Prozesse mit '28' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '55' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <Programme>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\pk_zip1.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Details.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069ce2.qua' verschoben!
C:\WINNT\pk_zip2.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Notice.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069ce8.qua' verschoben!
C:\WINNT\pk_zip3.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Important.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069ceb.qua' verschoben!
C:\WINNT\pk_zip4.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Bill.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069cee.qua' verschoben!
C:\WINNT\pk_zip5.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Data.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069cf2.qua' verschoben!
C:\WINNT\pk_zip6.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Part-2.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069cf5.qua' verschoben!
C:\WINNT\pk_zip7.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Textfile.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069cf8.qua' verschoben!
C:\WINNT\pk_zip8.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Informations.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069cfb.qua' verschoben!
C:\WINNT\pk_zip_alg.log
[0] Archivtyp: ZIP
--> Informations.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069cff.qua' verschoben!
Beginne mit der Suche in 'D:\' <Daten>
Ende des Suchlaufs: Mittwoch, 9. September 2009 14:34
Benötigte Zeit: 33:38 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
2704 Verzeichnisse wurden überprüft
115154 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
18 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
10 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
115132 Dateien ohne Befall
580 Archive wurden durchsucht
2 Warnungen
10 Hinweise
Malware Scan
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2764
Windows 5.0.2195 Service Pack 2
09.09.2009 16:55:51
mbam-log-2009-09-09 (16-55-51).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 79512
Laufzeit: 6 minute(s), 33 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspimgr (Trojan.Asprox) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINNT\PI.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\s32.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINNT\ws386.ini (Malware.Trace) -> Quarantined and deleted successfully.
Gmer report
GMER 1.0.15.15077 [6epxgxwt.exe] - http://www.gmer.net
Rootkit scan 2009-09-09 17:09:32
Windows 5.0.2195 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT \??\C:\WINNT\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.) ZwConnectPort [0xBA59794D]
SSDT \??\C:\WINNT\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.) ZwOpenProcess [0xBA5A8700]
---- Kernel code sections - GMER 1.0.15 ----
? qwvtgz.sys Das System kann die angegebene Datei nicht finden. !
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.)
Device \Driver\AFD \Device\Afd vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.)
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
---- EOF - GMER 1.0.15 ----
Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13:50, on 09.09.2009
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Program Files\vpnunipassau\cvpnd.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\internat.exe
C:\Programme\Real\RealJukebox\tsystray.exe
C:\WINNT\twain_32\S6U12BX\WATCH.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HJT\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=59130
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=59130
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=59130
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=59130
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=59130
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=59130
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=59130
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=grubi:12345
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Gtwatch] C:\WINNT\gtwatch.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [RealJukeboxSystray] "C:\Programme\Real\RealJukebox\tsystray.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Watch.lnk = C:\WINNT\twain_32\S6U12BX\WATCH.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Daten\Markus\Games\poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Daten\Markus\Games\poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} (RWSO_IHB) - https://banking.rwso.de/KSK_Biberach/srwso2001.cab
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\vpnunipassau\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\oad.exe
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\osagent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
--
End of file - 6225 bytes
Und zum Schluss noch die Uninstall List:
AAVUpdateManager
ABBYY FineReader 4.0 Sprint
ACDSee
Adobe Acrobat 5.0
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Photoshop 6.0
Adobe Reader 7.0.9 - Deutsch
Ahnenforscher 2000
Auerswald ETS-2106 I Rev.2 2.5
Avery Zweckform Assistent 4
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!DSL
b3d Projector
Borland Delphi 5
Brother 1230
Brownie
Canon i550
CorelDRAW 10
CorelDRAW 10
DFE-530TX Driver
DivX 4.02 Codec
ElsterFormular 2006/2007
ElsterFormular 2007/2008
ElsterFormular 2008/2009
EXPERTool
FRITZ!Box
HijackThis 2.0.2
Macromedia Dreamweaver 4
Macromedia Extension Manager
Macromedia Flash 4
Malwarebytes' Anti-Malware
MDK
Microsoft Internet Explorer 6
Microsoft Office XP Professional mit FrontPage
MindManager 2002
Mjuice Components
Mozilla Firefox (3.5.2)
Mustek 1200 UB PLUS v1.1
Nero - Burning Rom
NVIDIA Windows 2000 Display Drivers
PDF-Viewer
PokerStars
PowerDVD
QuarkXPress 5.0
RealJukebox
RealPlayer Basic
Steuer-Spar-Erklärung 2009
The Playa
Ulead PhotoImpact 4.0
UltraEdit-32 Uninstall
USB CASIO Digital Camera Device Driver
VPN Client
Winamp (nur entfernen)
Windows 2000-Hotfix - KB823980
Windows Media Player 7.1
WinRAR Archivierer
WinZip
XingMP3 Player
ZoneAlarm
Vielleicht kann mir ja jemand helfen.
Vielen Dank schon mal vorab.