Wurm, Viren und/oder Trojaner eingefangen?

#0
09.09.2009, 17:31
...neu hier

Beiträge: 10
#1 Hallo an alle,

ich glaub ich hab mir da ein par fiese Sachen eingefangen.
Hab schon ein paar "Trojaner" im Anschluss an malware entfernt, aber ich vermute da sind noch weitere drauf.
wäre sehr dankbar wenn mir jemand helfen könnte.

Im Anschluss jetzt die scans die ich gemacht habe

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 9. September 2009 14:01

Es wird nach 1694938 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir Personal - FREE Antivirus
Seriennummer: 0000149996-ADJIE-0000001
Plattform: Windows 2000
Windowsversion: (Service Pack 2) [5.0.2195]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: MOHR

Versionsinformationen:
BUILD.DAT : 8.2.0.353 17048 Bytes 15.05.2009 12:02:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 09:40:03
AVSCAN.DLL : 8.1.4.0 48897 Bytes 19.07.2008 19:22:18
LUKE.DLL : 8.1.4.5 164097 Bytes 19.07.2008 19:22:20
LUKERES.DLL : 8.1.4.0 12545 Bytes 19.07.2008 19:22:20
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 06:21:58
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 07:08:53
ANTIVIR2.VDF : 7.1.5.201 3414528 Bytes 03.09.2009 12:21:36
ANTIVIR3.VDF : 7.1.5.217 187904 Bytes 08.09.2009 12:21:23
Engineversion : 8.2.1.12
AEVDF.DLL : 8.1.1.1 106868 Bytes 01.05.2009 08:19:14
AESCRIPT.DLL : 8.1.2.30 471418 Bytes 08.09.2009 12:21:25
AESCN.DLL : 8.1.2.5 127346 Bytes 06.09.2009 12:21:41
AERDL.DLL : 8.1.2.4 430452 Bytes 15.07.2009 09:16:16
AEPACK.DLL : 8.1.3.18 401783 Bytes 29.05.2009 07:08:55
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 19.06.2009 06:34:54
AEHEUR.DLL : 8.1.0.155 1921400 Bytes 19.08.2009 16:11:21
AEHELP.DLL : 8.1.7.0 237940 Bytes 06.09.2009 12:21:40
AEGEN.DLL : 8.1.1.61 364916 Bytes 08.09.2009 12:21:24
AEEMU.DLL : 8.1.0.9 393588 Bytes 18.10.2008 09:26:55
AECORE.DLL : 8.1.7.8 184692 Bytes 06.09.2009 12:21:39
AEBB.DLL : 8.1.0.3 53618 Bytes 18.10.2008 09:26:54
AVWINLL.DLL : 1.0.0.12 15105 Bytes 19.07.2008 19:22:18
AVPREF.DLL : 8.0.2.0 38657 Bytes 19.07.2008 19:22:18
AVREP.DLL : 8.0.0.3 155688 Bytes 21.04.2009 04:48:08
AVREG.DLL : 8.0.0.1 33537 Bytes 19.07.2008 19:22:18
AVARKT.DLL : 1.0.0.23 307457 Bytes 22.04.2008 19:20:22
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 19.07.2008 19:22:18
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.04.2008 19:20:24
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 19.07.2008 19:22:21
NETNT.DLL : 8.0.0.1 7937 Bytes 22.04.2008 19:20:23
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 19.07.2008 19:22:08
RCTEXT.DLL : 8.0.52.0 86273 Bytes 19.07.2008 19:22:08

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 9. September 2009 14:01

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zonealarm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WATCH.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'internat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mspmspsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'regsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aspimgr.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINNT\System32\aspimgr.exe'
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Prozess 'aspimgr.exe' wird beendet
C:\WINNT\System32\aspimgr.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.mga
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b179999.qua' verschoben!

Es wurden '29' Prozesse mit '28' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '55' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Programme>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\pk_zip1.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Details.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069ce2.qua' verschoben!
C:\WINNT\pk_zip2.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Notice.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069ce8.qua' verschoben!
C:\WINNT\pk_zip3.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Important.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069ceb.qua' verschoben!
C:\WINNT\pk_zip4.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Bill.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069cee.qua' verschoben!
C:\WINNT\pk_zip5.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Data.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069cf2.qua' verschoben!
C:\WINNT\pk_zip6.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Part-2.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069cf5.qua' verschoben!
C:\WINNT\pk_zip7.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Textfile.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069cf8.qua' verschoben!
C:\WINNT\pk_zip8.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Unknown.txt
[1] Archivtyp: ZIP
--> Informations.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069cfb.qua' verschoben!
C:\WINNT\pk_zip_alg.log
[0] Archivtyp: ZIP
--> Informations.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b069cff.qua' verschoben!
Beginne mit der Suche in 'D:\' <Daten>


Ende des Suchlaufs: Mittwoch, 9. September 2009 14:34
Benötigte Zeit: 33:38 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

2704 Verzeichnisse wurden überprüft
115154 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
18 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
10 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
115132 Dateien ohne Befall
580 Archive wurden durchsucht
2 Warnungen
10 Hinweise


Malware Scan

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2764
Windows 5.0.2195 Service Pack 2

09.09.2009 16:55:51
mbam-log-2009-09-09 (16-55-51).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 79512
Laufzeit: 6 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspimgr (Trojan.Asprox) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINNT\PI.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\s32.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINNT\ws386.ini (Malware.Trace) -> Quarantined and deleted successfully.


Gmer report

GMER 1.0.15.15077 [6epxgxwt.exe] - http://www.gmer.net
Rootkit scan 2009-09-09 17:09:32
Windows 5.0.2195 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT \??\C:\WINNT\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.) ZwConnectPort [0xBA59794D]
SSDT \??\C:\WINNT\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.) ZwOpenProcess [0xBA5A8700]

---- Kernel code sections - GMER 1.0.15 ----

? qwvtgz.sys Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.)
Device \Driver\AFD \Device\Afd vsdatant.sys (TrueVector Device Driver/Zone Labs Inc.)

AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- EOF - GMER 1.0.15 ----


Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13:50, on 09.09.2009
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Program Files\vpnunipassau\cvpnd.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\internat.exe
C:\Programme\Real\RealJukebox\tsystray.exe
C:\WINNT\twain_32\S6U12BX\WATCH.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=59130
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=59130
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=59130
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=59130
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=59130
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=59130
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=59130
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=grubi:12345
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Gtwatch] C:\WINNT\gtwatch.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [RealJukeboxSystray] "C:\Programme\Real\RealJukebox\tsystray.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Watch.lnk = C:\WINNT\twain_32\S6U12BX\WATCH.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Daten\Markus\Games\poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Daten\Markus\Games\poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} (RWSO_IHB) - https://banking.rwso.de/KSK_Biberach/srwso2001.cab
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\vpnunipassau\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\oad.exe
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\osagent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

--
End of file - 6225 bytes


Und zum Schluss noch die Uninstall List:


AAVUpdateManager
ABBYY FineReader 4.0 Sprint
ACDSee
Adobe Acrobat 5.0
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Photoshop 6.0
Adobe Reader 7.0.9 - Deutsch
Ahnenforscher 2000
Auerswald ETS-2106 I Rev.2 2.5
Avery Zweckform Assistent 4
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!DSL
b3d Projector
Borland Delphi 5
Brother 1230
Brownie
Canon i550
CorelDRAW 10
CorelDRAW 10
DFE-530TX Driver
DivX 4.02 Codec
ElsterFormular 2006/2007
ElsterFormular 2007/2008
ElsterFormular 2008/2009
EXPERTool
FRITZ!Box
HijackThis 2.0.2
Macromedia Dreamweaver 4
Macromedia Extension Manager
Macromedia Flash 4
Malwarebytes' Anti-Malware
MDK
Microsoft Internet Explorer 6
Microsoft Office XP Professional mit FrontPage
MindManager 2002
Mjuice Components
Mozilla Firefox (3.5.2)
Mustek 1200 UB PLUS v1.1
Nero - Burning Rom
NVIDIA Windows 2000 Display Drivers
PDF-Viewer
PokerStars
PowerDVD
QuarkXPress 5.0
RealJukebox
RealPlayer Basic
Steuer-Spar-Erklärung 2009
The Playa
Ulead PhotoImpact 4.0
UltraEdit-32 Uninstall
USB CASIO Digital Camera Device Driver
VPN Client
Winamp (nur entfernen)
Windows 2000-Hotfix - KB823980
Windows Media Player 7.1
WinRAR Archivierer
WinZip
XingMP3 Player
ZoneAlarm

Vielleicht kann mir ja jemand helfen.
Vielen Dank schon mal vorab.
Seitenanfang Seitenende
09.09.2009, 17:48
Member

Beiträge: 3716
#2 Dieses System hätte erst mal ein Paar updates nötig :-)
Bitte rechtsklick auf das Schirmchen von Avira, wähle Guard deaktivieren.
Danach erstelle einen neuen Ordner, den du schnell wiederfindest.
Öffne nun avira dann gehe auf Quarantäne. Suche alle Dateien, die als verdächtig eingestuft wurden. Wähle wiederherstellen in und den betreffenden Ordner. Packe diesen Ordner nun mit Winzip oder Rar und versieh ihn mit dem Passwort infected.
Damit wir schneller vorwerts kommen sende ihn an
markusg@paules-pc-forum.de
ich überprüfe die Dateien dann für dich.
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/112535-avira-antivir-anleitung-zur-einrichtung.html
Upgrade Avira, halte dich bitte an die Anleitung, Teile die die Premium betreffen, lasse bitte aus.
Update Avira, klicke auf Lokaler Schutz und lokale Laufwerke, Funde in Quarantäne und das Log posten.
Dann noch mal lokale Laufwerke und Rootkitsuche, Warnmeldung mit "nein" anklicken, diese taucht am Ende auf, und auch dieses Log hier reinstellen.
Seitenanfang Seitenende
09.09.2009, 18:03
...neu hier

Themenstarter

Beiträge: 10
#3 Hallo nochmal,

Danke für die schnelle Antwort.
Hab nur das Problem, dass ich den Ordener nicht mit einem Passwort versehen kann!
ist das tragisch?

danke
Seitenanfang Seitenende
09.09.2009, 18:08
Member

Beiträge: 3716
#4 klicke mit rects auf den ordner, dann zu einem archiv hinzufügen, registerkarte erweitert und es geht.
wenn du kein Packprogramm hast, dann hohle dir 7zip:
www.chip.de/downloads/7-Zip_13004776.html -
ist kostenlos.
Seitenanfang Seitenende
09.09.2009, 20:33
...neu hier

Themenstarter

Beiträge: 10
#5 hier schon mal das log von lokale laufwerke



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 9. September 2009 20:00

Es wird nach 1700557 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 2000
Windowsversion : (Service Pack 4) [5.0.2195]
Boot Modus : Normal gebootet
Benutzername : Administrator
Computername : MOHR

Versionsinformationen:
BUILD.DAT : 9.0.0.408 17961 Bytes 26.08.2009 16:46:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 12:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 08:21:42
ANTIVIR2.VDF : 7.1.5.201 3414528 Bytes 03.09.2009 17:58:01
ANTIVIR3.VDF : 7.1.5.224 258560 Bytes 09.09.2009 17:58:02
Engineversion : 8.2.1.14
AEVDF.DLL : 8.1.1.1 106868 Bytes 28.07.2009 12:17:15
AESCRIPT.DLL : 8.1.2.31 475513 Bytes 09.09.2009 17:58:05
AESCN.DLL : 8.1.2.5 127346 Bytes 09.09.2009 17:58:05
AERDL.DLL : 8.1.2.4 430452 Bytes 23.07.2009 08:59:39
AEPACK.DLL : 8.1.3.18 401783 Bytes 28.07.2009 12:17:14
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 08:59:39
AEHEUR.DLL : 8.1.0.155 1921400 Bytes 09.09.2009 17:58:05
AEHELP.DLL : 8.1.7.0 237940 Bytes 09.09.2009 17:58:03
AEGEN.DLL : 8.1.1.62 364916 Bytes 09.09.2009 17:58:03
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.7.8 184692 Bytes 09.09.2009 17:58:02
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 09.09.2009 17:58:05
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, A:, E:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 9. September 2009 20:00

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zonealarm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WATCH.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tsystray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'internat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mspmspsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'regsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '58' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Programme>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\BDE\bdeengine2.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.2
C:\BDE\BDEimage.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/bde.A
C:\BDE\bdeplayer2.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.F
C:\BDE\npbdplay2.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brill.12
C:\BDE\cache\bdeclean.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.35684.1
C:\BDE\cache\bdedetect1.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Brilli.1007.1
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip1.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Details.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip2.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Notice.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip3.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Important.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip4.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Bill.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip5.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Data.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip6.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Part-2.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip7.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Textfile.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip8.log
[0] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Informations.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip_alg.log
[0] Archivtyp: ZIP
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Informations.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Rar$ML06.625\Müll.rar
[0] Archivtyp: RAR
--> Mチll\aspimgr.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.mga
--> Mチll\pk_zip1.log
[1] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Details.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
--> Mチll\pk_zip2.log
[1] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Notice.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
--> Mチll\pk_zip3.log
[1] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Important.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
--> Mチll\pk_zip4.log
[1] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Bill.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
--> Mチll\pk_zip5.log
[1] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Data.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
--> Mチll\pk_zip6.log
[1] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Part-2.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
--> Mチll\pk_zip7.log
[1] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Textfile.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
--> Mチll\pk_zip8.log
[1] Archivtyp: Base64
--> Unknown.txt
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Informations.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
--> Mチll\pk_zip_alg.log
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
--> Informations.txt .exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.Z
C:\WINNT\bde\bdeclean.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.35684.1
C:\WINNT\system32\bde3d_ref2.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brill.14
C:\WINNT\system32\bdedata2.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Altnet.B.5
C:\WINNT\system32\bdedownloader.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.1
C:\WINNT\system32\bdefdi.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.1007
C:\WINNT\system32\bdeinsta2.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.4
C:\WINNT\system32\bdeinstall.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.1044
C:\WINNT\system32\bdeload.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.5
C:\WINNT\system32\BDERastDx6_30002.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.6
C:\WINNT\system32\BDERastMMX_30001.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.7
C:\WINNT\system32\BDESac10.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.8
Beginne mit der Suche in 'D:\' <Daten>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\BDE\bdeengine2.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b0cf5bc.qua' verschoben!
C:\BDE\BDEimage.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/bde.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aecf59c.qua' verschoben!
C:\BDE\bdeplayer2.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.F
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45e8927d.qua' verschoben!
C:\BDE\npbdplay2.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brill.12
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b09f5c8.qua' verschoben!
C:\BDE\cache\bdeclean.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.35684.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45eb8aa5.qua' verschoben!
C:\BDE\cache\bdedetect1.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Brilli.1007.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45e4735d.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip1.log
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b06f5c3.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip2.log
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b06f5c4.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip3.log
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50cc7fdd.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip4.log
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50cd6425.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip5.log
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50ca6c6d.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip6.log
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50cb54b5.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip7.log
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50c85cfd.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip8.log
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50c944c5.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Desktop\Müll\pk_zip_alg.log
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen)
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50d64d0d.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Rar$ML06.625\Müll.rar
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b13f655.qua' verschoben!
C:\WINNT\bde\bdeclean.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.35684.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b0cf5bd.qua' verschoben!
C:\WINNT\system32\bde3d_ref2.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brill.14
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45e57b16.qua' verschoben!
C:\WINNT\system32\bdedata2.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Altnet.B.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50de3de6.qua' verschoben!
C:\WINNT\system32\bdedownloader.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45e663ce.qua' verschoben!
C:\WINNT\system32\bdefdi.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.1007
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50dd352e.qua' verschoben!
C:\WINNT\system32\bdeinsta2.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5765e61e.qua' verschoben!
C:\WINNT\system32\bdeinstall.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/BrilliantDigital.1044
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5766eed6.qua' verschoben!
C:\WINNT\system32\bdeload.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50db1d66.qua' verschoben!
C:\WINNT\system32\BDERastDx6_30002.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.6
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aecf59d.qua' verschoben!
C:\WINNT\system32\BDERastMMX_30001.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.7
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51350df6.qua' verschoben!
C:\WINNT\system32\BDESac10.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Drop.Brilli.8
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5137f5ae.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 9. September 2009 20:35
Benötigte Zeit: 30:39 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

2724 Verzeichnisse wurden überprüft
111729 Dateien wurden geprüft
18 Viren bzw. unerwünschte Programme wurden gefunden
36 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
27 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
111673 Dateien ohne Befall
589 Archive wurden durchsucht
2 Warnungen
29 Hinweise

danke nochmals
Seitenanfang Seitenende
09.09.2009, 20:53
Member

Beiträge: 3716
#6 kennst du den Ordner?
C:\BDE
Seitenanfang Seitenende
09.09.2009, 20:56
...neu hier

Themenstarter

Beiträge: 10
#7 Nee, sagt mir nichts

sollte ich den kennen? oder is das so ein faules ei?
Seitenanfang Seitenende
09.09.2009, 21:08
...neu hier

Themenstarter

Beiträge: 10
#8 hier also noch der rootkits log



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 9. September 2009 21:12

Es wird nach 1700557 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 2000
Windowsversion : (Service Pack 4) [5.0.2195]
Boot Modus : Normal gebootet
Benutzername : Administrator
Computername : MOHR

Versionsinformationen:
BUILD.DAT : 9.0.0.408 17961 Bytes 26.08.2009 16:46:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 12:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 08:21:42
ANTIVIR2.VDF : 7.1.5.201 3414528 Bytes 03.09.2009 17:58:01
ANTIVIR3.VDF : 7.1.5.224 258560 Bytes 09.09.2009 17:58:02
Engineversion : 8.2.1.14
AEVDF.DLL : 8.1.1.1 106868 Bytes 28.07.2009 12:17:15
AESCRIPT.DLL : 8.1.2.31 475513 Bytes 09.09.2009 17:58:05
AESCN.DLL : 8.1.2.5 127346 Bytes 09.09.2009 17:58:05
AERDL.DLL : 8.1.2.4 430452 Bytes 23.07.2009 08:59:39
AEPACK.DLL : 8.1.3.18 401783 Bytes 28.07.2009 12:17:14
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 08:59:39
AEHEUR.DLL : 8.1.0.155 1921400 Bytes 09.09.2009 17:58:05
AEHELP.DLL : 8.1.7.0 237940 Bytes 09.09.2009 17:58:03
AEGEN.DLL : 8.1.1.62 364916 Bytes 09.09.2009 17:58:03
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.7.8 184692 Bytes 09.09.2009 17:58:02
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 09.09.2009 17:58:05
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: hoch
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen..........: 0x00300922

Beginn des Suchlaufs: Mittwoch, 9. September 2009 21:12

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters\symboliclinkvalue
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '214037' Objekte überprüft, '1' versteckte Objekte wurden gefunden.


Ende des Suchlaufs: Mittwoch, 9. September 2009 21:19
Benötigte Zeit: 06:37 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise
214037 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden
Dieser Beitrag wurde am 09.09.2009 um 21:18 Uhr von LeBigM editiert.
Seitenanfang Seitenende
09.09.2009, 21:20
Member

Beiträge: 3716
#9 hi,
http://board.protecus.de/t23187.htm
führe combofix aus, poste das Log.
Seitenanfang Seitenende
09.09.2009, 21:50
...neu hier

Themenstarter

Beiträge: 10
#10 hallo und besten dank für deine zeit

hier also der combofix log

ComboFix 09-09-09.01 - Administrator 09.09.2009 21:31.1.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.49.1031.18.255.122 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\test.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-436374069-746137067-1060284298-500
c:\winnt\db32.txt
c:\winnt\g32.txt
c:\winnt\gs32.txt
c:\winnt\UPI41022.INF
c:\winnt\Web\default.htt

Infizierte Kopie von c:\winnt\system32\qmgr.dll wurde gefunden und desinfiziert
Kopie von - c:\winnt\ServicePackFiles\i386\qmgr.dll wurde wiederhergestellt

c:\winnt\system32\comres.dll . . . ist infiziert!!

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASPIMGR


((((((((((((((((((((((( Dateien erstellt von 2009-08-09 bis 2009-09-09 ))))))))))))))))))))))))))))))
.

2009-09-09 17:48 . 2009-03-30 08:32 97512 ----a-w- c:\winnt\system32\drivers\avipbb.sys
2009-09-09 17:48 . 2009-03-24 14:07 65240 ----a-w- c:\winnt\system32\drivers\avgntflt.sys
2009-09-09 17:48 . 2009-02-13 10:28 18520 ----a-w- c:\winnt\system32\drivers\avgntmgr.sys
2009-09-09 17:48 . 2009-02-13 10:16 64488 ----a-w- c:\winnt\system32\drivers\avgntdd.sys
2009-09-09 17:48 . 2009-09-09 17:48 -------- d-----w- c:\programme\Avira
2009-09-09 17:48 . 2009-09-09 17:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-09-09 17:11 . 2009-09-09 17:11 -------- d-----w- c:\winnt\system32\Windows Media
2009-09-09 17:10 . 2009-09-09 17:10 -------- dc-h--w- c:\winnt\$NtUpdateRollupPackUninstall$
2009-09-09 17:10 . 2009-09-09 17:10 -------- d-----w- c:\winnt\msiinst.tmp
2009-09-09 16:49 . 2009-09-09 16:52 -------- d-----w- c:\winnt\system32\CertSrv
2009-09-09 16:49 . 2009-09-09 16:49 -------- d-----w- c:\winnt\system32\ie_de
2009-09-09 16:43 . 2005-06-02 22:44 222480 ----a-w- c:\winnt\system32\mstask.dll
2009-09-09 16:42 . 2004-02-19 13:02 1818600 ----a-r- c:\winnt\system32\dtcsetup.exe
2009-09-09 15:12 . 2009-09-09 15:12 -------- d-----w- c:\programme\Trend Micro
2009-09-09 14:23 . 2009-09-09 14:23 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-09-09 14:23 . 2009-08-03 11:36 38160 ----a-w- c:\winnt\system32\drivers\mbamswissarmy.sys
2009-09-09 14:23 . 2009-09-09 14:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-09 14:23 . 2009-09-09 14:23 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-09 14:23 . 2009-08-03 11:36 18456 ----a-w- c:\winnt\system32\drivers\mbam.sys
2009-09-09 11:17 . 2009-09-09 11:17 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{C4C0E335-EDDF-46A0-A57D-F3802AE44275}
2009-09-08 16:43 . 2009-09-08 16:43 2560 ----a-w- c:\winnt\_MSRSTRT.EXE

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-09 09:48 . 2001-12-14 23:20 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-09-08 16:57 . 2006-03-04 12:45 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software
2009-09-08 16:50 . 2001-12-14 23:59 -------- d-----w- c:\programme\ICQ
2009-09-08 16:46 . 2001-12-19 21:21 -------- d-----w- c:\programme\ICQPlus
2009-09-08 15:17 . 2009-07-18 20:49 -------- d-----w- c:\programme\PokerStars
2009-08-10 17:48 . 2009-08-10 17:48 0 ----a-w- c:\winnt\nsreg.dat
2009-08-03 16:26 . 2009-08-03 16:21 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AAV
2009-08-03 16:24 . 2009-08-03 16:22 -------- d-----w- c:\programme\Akademische Arbeitsgemeinschaft
2009-08-03 16:23 . 2009-08-03 16:23 -------- d-----w- c:\programme\Gemeinsame Dateien\AAV
2009-06-06 08:25 . 2009-06-06 08:25 18865287 ----a-w- c:\programme\PDFXVwer.zip
2001-12-14 16:07 . 2001-12-14 16:07 22080 ---h--w- c:\programme\folder.htt
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RealJukeboxSystray"="c:\programme\Real\RealJukebox\tsystray.exe" [2001-12-15 91648]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [1999-12-10 20752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-19 112400]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [1999-12-10 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 189712]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2001-12-15 110592]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Watch.lnk - c:\winnt\twain_32\S6U12BX\WATCH.exe [2008-8-10 356352]
ZoneAlarm.lnk - c:\programme\Zone Labs\ZoneAlarm\zonealarm.exe [2003-8-16 623720]

R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [09.09.2009 19:48 108289]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\winnt\system32\drivers\avmwan.sys [19.12.2001 22:08 29968]
R3 fpcibase;FRITZ!Card PCI;c:\winnt\system32\drivers\fpcibase.sys [19.12.2001 22:08 387440]
R3 NeroCd2k;NeroCd2k;c:\winnt\system32\drivers\NeroCD2k.sys [12.02.2001 18:09 45507]
S3 AVMUNET;AVM FRITZ!Box;c:\winnt\system32\drivers\avmunet.sys [13.12.2006 17:53 15104]
S3 EL90BC;3Com EtherLink-XL-B/C-Adaptertreiber;c:\winnt\system32\drivers\el90xbc5.sys [04.01.2003 16:04 61712]
S3 oad;Visibroker Activation Daemon;c:\progra~1\Borland\vbroker\bin\oad.exe [03.01.2002 18:41 1781248]
S3 osagent;VisiBroker Smart Agent;c:\progra~1\Borland\vbroker\bin\osagent.exe [03.01.2002 18:41 193536]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mSearch Bar = hxxp://lookfor.cc/sp.php?pin=59130
uInternet Settings,ProxyServer = ftp=grubi:12345
uInternet Settings,ProxyOverride = fritz.box
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} - hxxps://banking.rwso.de/KSK_Biberach/srwso2001.cab
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\tl4fd4m1.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Gtwatch - c:\winnt\gtwatch.exe
AddRemove-Adobe Acrobat 5.0 - c:\winnt\ISUN0407.EXE -fc:\programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu
AddRemove-Adobe Photoshop 6.0 - c:\winnt\ISUN0407.EXE -fc:\programme\Adobe\Photoshop 6.0\Uninst.isu
AddRemove-Ahnenforscher 2000 - c:\winnt\unin0407.exe -fc:\programme\Ahnenforscher\DeIsL1.isu
AddRemove-bdeplayer - c:\winnt\bde\BDEClean.exe
AddRemove-Brother 1230 - c:\winnt\IsUn0407.exe -fc:\programme\Brother\BRHL1230\DeIsL1.isu
AddRemove-CANONBJ_Deinstall_CNMCP49.DLL - c:\winnt\System32\CNMCP49.exe -PRINTERNAMECanon i550 -HELPERDLLc:\bjprinter\CNMWINNT\Canon i550 Installer\Inst2\cnmis.dll
AddRemove-Delphi5 - c:\winnt\IsUn0407.exe -fc:\programme\Borland\Delphi5\Uninst.isu
AddRemove-FRITZ!DSL - c:\winnt\IsUn0407.exe -fc:\programme\FRITZ!DSL\WebUnins.isu
AddRemove-MJuiceWinamp - c:\programme\Mjuice Media PlayerMJUninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-09 21:47
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(200)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\winnt\system32\msv1_0.dll

- - - - - - - > 'lsass.exe'(240)
c:\winnt\system32\mpr.dll

- - - - - - - > 'explorer.exe'(1464)
c:\winnt\AppPatch\AcLayers.DLL
c:\winnt\system32\SHDOCVW.DLL
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\winnt\system32\MSI.DLL
c:\programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\1031\OWCI10.DLL
c:\winnt\System32\shdoclc.dll
.
Zeit der Fertigstellung: 2009-09-09 21:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-09 19:51

Vor Suchlauf: 3.563.065.344 Bytes frei
Nach Suchlauf: 3.715.215.360 Bytes frei

148
Seitenanfang Seitenende
10.09.2009, 11:46
Member

Beiträge: 3716
#11 Besuche:
www.virustotal.com
kopiere in das Feld:
c:\winnt\system32\comres.dll
Klicke absenden, falls Datei bereits analysiert wurde, klicke erneut prüfen, poste das Ergebniss.
Seitenanfang Seitenende
10.09.2009, 12:15
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 @virenfinder

Zitat

kennst du den Ordner? C:\BDE
Gehoert zu Brilliant Digital software bei Software steht es als b3d Projector
Wird zusammen mit Kazaa runter geladen
Und schwer zu entfernen,zum zweiten ist der PC Eigentuemer kein Herr mehr ueber sein PC

BDE wird auch durch Borland Database Engine benutzt ! also aufpassen
__________
MfG Argus
Seitenanfang Seitenende
10.09.2009, 12:30
Member

Beiträge: 3716
#13 Ja, deswegen hatte ich ihn ja gefragt.
Möchte noch wissen, was mit der DLL ist, aber formatieren wird evtl. das beste hier sein.
Seitenanfang Seitenende
10.09.2009, 16:56
...neu hier

Themenstarter

Beiträge: 10
#14 Hallo erstmal,

kann die datei nicht finden!
auch über suchfunktion im arbeitsplatz wird nichts angezeigt!

kann nur comrepl.dll anbieten.
Seitenanfang Seitenende
10.09.2009, 18:13
Member

Beiträge: 3716
#15 avira hats auch gefunden.
bitte erstelle nen neuen ordner, den du leicht wiederfindest.
deaktiviere den guard, danach öffne avira, Verwaltung, Quarantäne wähle
C:\WINNT\System32\aspimgr.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.mga
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b179999.qua' verschoben!
und wiederherstellen in. wähle den Ordner. danach virustotal besuchen, durchsuchen, datei auswählen und hochladen. danach datei wieder in quarantäne und avira guard einschalten.
das ergebniss posten.
Seitenanfang Seitenende