Trojaner wurden entfernt, bitte Log Files checken

#0
20.09.2009, 13:24
...neu hier

Beiträge: 4
#1 Hallo,
ich hatte über Anti Vir 2 Trojaner gefunden, einer davon hieß z. B. Sality.Y
Ich hab sie mit Anti Vir entfernen lassen, allerdings trau ich dem nicht so ganz und möchte wissen ob es noch irgendwelche Anzeichen für einen Trojaner gibt. Vor allem der Sality.Y war nach 3-maligem Durchlaufen eines Removal Tools wieder aufgetaucht.



Hier der Anti Vir Log:

Zitat

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 20. September 2009 11:46

Es wird nach 1727388 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DAVID

Versionsinformationen:
BUILD.DAT : 9.0.0.408 17961 Bytes 26.08.2009 16:46:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 12:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 08:21:42
ANTIVIR2.VDF : 7.1.6.1 3857920 Bytes 16.09.2009 13:01:00
ANTIVIR3.VDF : 7.1.6.11 140288 Bytes 18.09.2009 13:01:05
Engineversion : 8.2.1.19
AEVDF.DLL : 8.1.1.2 106867 Bytes 16.09.2009 12:29:56
AESCRIPT.DLL : 8.1.2.31 475513 Bytes 10.09.2009 16:29:11
AESCN.DLL : 8.1.2.5 127346 Bytes 06.09.2009 16:32:50
AERDL.DLL : 8.1.2.4 430452 Bytes 23.07.2009 08:59:39
AEPACK.DLL : 8.2.0.0 422261 Bytes 16.09.2009 12:29:56
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 08:59:39
AEHEUR.DLL : 8.1.0.155 1921400 Bytes 01.09.2009 19:58:16
AEHELP.DLL : 8.1.7.0 237940 Bytes 06.09.2009 16:32:43
AEGEN.DLL : 8.1.1.63 364916 Bytes 18.09.2009 13:01:10
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.8.1 184693 Bytes 16.09.2009 12:29:55
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 16:29:05
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: e:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, G:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Sonntag, 20. September 2009 11:46

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '25623' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTAudSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '28' Prozesse mit '28' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '44' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Games>
Beginne mit der Suche in 'E:\' <Programme>
Beginne mit der Suche in 'G:\' <Externe Festplatte>


Ende des Suchlaufs: Sonntag, 20. September 2009 12:41
Benötigte Zeit: 55:12 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

11823 Verzeichnisse wurden überprüft
430887 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
430885 Dateien ohne Befall
2441 Archive wurden durchsucht
2 Warnungen
1 Hinweise
25623 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Malwarebytes:

Zitat

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2830
Windows 5.1.2600 Service Pack 3

20.09.2009 12:50:23
mbam-log-2009-09-20 (12-50-23).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 89413
Laufzeit: 2 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Gmer Report:

Zitat

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-20 13:23:15
Windows 5.1.2600 Service Pack 3
Running: mbxwt56l.exe; Driver: C:\DOKUME~1\Fladen\LOKALE~1\Temp\pxtdapod.sys


---- System - GMER 1.0.15 ----

SSDT B86E02C6 ZwCreateKey
SSDT B86E02BC ZwCreateThread
SSDT B86E02CB ZwDeleteKey
SSDT B86E02D5 ZwDeleteValueKey
SSDT spxy.sys ZwEnumerateKey [0xB7EC5CA4]
SSDT spxy.sys ZwEnumerateValueKey [0xB7EC6032]
SSDT B86E02DA ZwLoadKey
SSDT spxy.sys ZwOpenKey [0xB7EA70C0]
SSDT B86E02A8 ZwOpenProcess
SSDT B86E02AD ZwOpenThread
SSDT spxy.sys ZwQueryKey [0xB7EC610A]
SSDT spxy.sys ZwQueryValueKey [0xB7EC5F8A]
SSDT B86E02E4 ZwReplaceKey
SSDT B86E02DF ZwRestoreKey
SSDT B86E02D0 ZwSetValueKey
SSDT B86E02B7 ZwTerminateProcess

INT 0x62 ? 89E56BF8
INT 0x63 ? 89983BF8
INT 0x73 ? 89E56BF8
INT 0x83 ? 89E56BF8
INT 0x83 ? 89E56BF8
INT 0x83 ? 89E56BF8
INT 0xB4 ? 89983BF8

---- Kernel code sections - GMER 1.0.15 ----

? spxy.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B7C5B8AC 5 Bytes JMP 899831D8
.text alf2y7x4.SYS B70F1386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text alf2y7x4.SYS B70F13AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text alf2y7x4.SYS B70F13C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text alf2y7x4.SYS B70F13C9 1 Byte [30]
.text alf2y7x4.SYS B70F13C9 11 Bytes [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EA8042] spxy.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EA813E] spxy.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EA80C0] spxy.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EA8800] spxy.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EA86D6] spxy.sys
IAT \SystemRoot\System32\Drivers\alf2y7x4.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
IAT \SystemRoot\System32\Drivers\alf2y7x4.SYS[HAL.dll!READ_PORT_UCHAR] 1C8D9E88
IAT \SystemRoot\System32\Drivers\alf2y7x4.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
IAT \SystemRoot\System32\Drivers\alf2y7x4.SYS[HAL.dll!KfRaiseIrql] 00001CA9
IAT \SystemRoot\System32\Drivers\alf2y7x4.SYS[HAL.dll!KfLowerIrql] 0E798366
IAT \SystemRoot\System32\Drivers\alf2y7x4.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
IAT \SystemRoot\System32\Drivers\alf2y7x4.SYS[HAL.dll!HalTranslateBusAddress] 8186C636
IAT \SystemRoot\System32\Drivers\alf2y7x4.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
IAT \SystemRoot\System32\Drivers\alf2y7x4.SYS[HAL.dll!KfReleaseSpinLock] 1C8386C6
IAT \SystemRoot\System32\Drivers\alf2y7x4.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
IAT \SystemRoot\System32\Drivers\alf2y7x4.SYS[HAL.dll!READ_PORT_USHORT] 001C8E86
IAT \SystemRoot\System32\Drivers\alf2y7x4.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
IAT \SystemRoot\System32\Drivers\alf2y7x4.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CAA
IAT \SystemRoot\System32\Drivers\alf2y7x4.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
IAT \SystemRoot\System32\Drivers\alf2y7x4.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB19E

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 89E551F8
Device \Driver\usbohci \Device\USBPDO-0 89A381F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89DE91F8
Device \Driver\dmio \Device\DmControl\DmConfig 89DE91F8
Device \Driver\dmio \Device\DmControl\DmPnP 89DE91F8
Device \Driver\dmio \Device\DmControl\DmInfo 89DE91F8
Device \Driver\usbehci \Device\USBPDO-1 89A341F8
Device \Driver\PCI_PNP5436 \Device\00000057 spxy.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 89E571F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89E571F8
Device \Driver\Cdrom \Device\CdRom0 89A2A1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 89E571F8
Device \Driver\Cdrom \Device\CdRom1 89A2A1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 89DC5960
Device \Driver\atapi \Device\Ide\IdePort0 89DC5960
Device \Driver\atapi \Device\Ide\IdePort1 89DC5960
Device \Driver\atapi \Device\Ide\IdePort2 89DC5960
Device \Driver\atapi \Device\Ide\IdePort3 89DC5960
Device \Driver\atapi \Device\Ide\IdePort4 89DC5960
Device \Driver\atapi \Device\Ide\IdePort5 89DC5960
Device \Driver\atapi \Device\Ide\IdeDeviceP4T0L0-12 89DC5960
Device \Driver\atapi \Device\Ide\IdeDeviceP5T0L0-1d 89DC5960
Device \Driver\Ftdisk \Device\HarddiskVolume4 89E571F8
Device \Driver\sptd \Device\2906970436 spxy.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export 881791F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{D6270B73-AF4A-4C02-91E3-44FA39B11B5B} 881791F8
Device \Driver\NetBT \Device\NetbiosSmb 881791F8
Device \Driver\USBSTOR \Device\00000085 89BA9500
Device \Driver\USBSTOR \Device\00000089 89BA9500
Device \Driver\usbohci \Device\USBFDO-0 89A381F8
Device \Driver\usbehci \Device\USBFDO-1 89A341F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 880E91F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 880E91F8
Device \Driver\Ftdisk \Device\FtControl 89E571F8
Device \Driver\alf2y7x4 \Device\Scsi\alf2y7x41 89BD8500
Device \Driver\alf2y7x4 \Device\Scsi\alf2y7x41 88858AF0
Device \Driver\alf2y7x4 \Device\Scsi\alf2y7x41Port6Path0Target0Lun0 89BD8500
Device \Driver\alf2y7x4 \Device\Scsi\alf2y7x41Port6Path0Target0Lun0 88858AF0
Device \FileSystem\Cdfs \Cdfs 89B9C500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 E:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x9E 0x53 0xC8 0xE1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC6 0x9D 0xF1 0xAD ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x33 0xDA 0x07 0x3E ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 E:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x9E 0x53 0xC8 0xE1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC6 0x9D 0xF1 0xAD ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x33 0xDA 0x07 0x3E ...

---- EOF - GMER 1.0.15 ----
Hijack This:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:51:32, on 20.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
E:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\Avira\AntiVir Desktop\avgnt.exe
E:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
E:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Malwarebytes' Anti-Malware\mbam.exe
E:\Programme\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] E:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Audio Engine Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe (file missing)
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)
O23 - Service: Google Update Service (gupdate1ca2bc660e32ba0) (gupdate1ca2bc660e32ba0) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Microsoft Office Diagnostics Service (odserv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (file missing)
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

--
End of file - 5164 bytes
Uninstall Liste:

Zitat

2007 Microsoft Office Suite Service Pack 2 (SP2)
2007 Microsoft Office Suite Service Pack 2 (SP2)
2007 Microsoft Office Suite Service Pack 2 (SP2)
2007 Microsoft Office Suite Service Pack 2 (SP2)
2007 Microsoft Office Suite Service Pack 2 (SP2)
2007 Microsoft Office Suite Service Pack 2 (SP2)
2007 Microsoft Office Suite Service Pack 2 (SP2)
2007 Microsoft Office Suite Service Pack 2 (SP2)
2007 Microsoft Office Suite Service Pack 2 (SP2)
2007 Microsoft Office Suite Service Pack 2 (SP2)
2007 Microsoft Office Suite Service Pack 2 (SP2)
2007 Microsoft Office Suite Service Pack 2 (SP2)
2007 Microsoft Office Suite Service Pack 2 (SP2)
2007 Microsoft Office Suite Service Pack 2 (SP2)
7-Zip 4.65
Adobe After Effects CS3
Adobe After Effects CS3 Presets
Adobe After Effects CS3 Third Party Content
Adobe Anchor Service CS3
Adobe Asset Services CS3
Adobe Bridge CS3
Adobe Bridge Start Meeting
Adobe BridgeTalk Plugin CS3
Adobe Camera Raw 4.0
Adobe CMaps
Adobe Color - Photoshop Specific
Adobe Color Common Settings
Adobe Color EU Recommended Settings
Adobe Color JA Extra Settings
Adobe Color NA Extra Settings
Adobe Creative Suite 3 Master Collection
Adobe Default Language CS3
Adobe Device Central CS3
Adobe ExtendScript Toolkit 2
Adobe Extension Manager CS3
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Fonts All
Adobe Help Viewer CS3
Adobe InDesign CS3 Icon Handler
Adobe Linguistics CS3
Adobe MotionPicture Color Files
Adobe PDF Library Files
Adobe Photoshop CS3
Adobe Premiere Pro CS3
Adobe Premiere Pro CS3 Functional Content
Adobe Setup
Adobe Setup
Adobe Shockwave Player 11.5
Adobe SING CS3
Adobe Stock Photos CS3
Adobe Type Support
Adobe Update Manager CS3
Adobe Version Cue CS3 Client
Adobe Video Profiles
Adobe WAS CS3
Adobe WinSoft Linguistics Plugin
Adobe XMP DVA Panels CS3
Adobe XMP Panels CS3
AHV content for Acrobat and Flash
Allgemeine Runtime Files (x86)
Apple Mobile Device Support
Apple Software Update
Ashampoo Burning Studio 6
Avira AntiVir Personal - Free Antivirus
Battlefield 1942
BioShock
Bonjour
CCleaner (remove only)
Command & Conquer Die ersten 10 Jahre
Counter-Strike
Creative Audio-Systemsteuerung
Creative Software AutoUpdate
Day Of Defeat 1.3
Die Schlacht um Mittelerde(tm)
DirectX 9.0c Extra Files (x86)
Easy Video Joiner 5.21
EVEREST Home Edition v2.20
FlatOut2
Foxit Reader
GeoGebra
Google Earth
Google Update Helper
Google Updater
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB959162)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB959362)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB960043)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB961073)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB968108)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB971643)
iTunes
Java(TM) 6 Update 16
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 SP1 + KB928366
Microsoft .NET Framework 1.1 SP1 + KB928366
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Silverlight
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
MozBackup 1.4.9
Mozilla Firefox (3.5.3)
Mozilla Thunderbird (2.0.0.23)
Need for Speed™ Undercover
NVIDIA Drivers
NVIDIA nView Desktop Manager
NVIDIA PhysX
OpenAL
PDF Settings
PowerDVD
QuickTime
Realtek AC'97 Audio
Serious Sam: Der erste Kontakt
Star Wars Jedi Knight Jedi Academy
Steam
Counter Strike Source
Unlocker 1.8.7
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Vegas Pro 9.0
VLC media player 1.0.1
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
XML Paper Specification Shared Components Language Pack 1.0
XnView 1.96.2
Was vergessen? Ich hoffe nicht.
Seitenanfang Seitenende
21.09.2009, 00:38
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Scanne dein Rechner mal mit a-squared Web Malware Scanner
__________
MfG Argus
Seitenanfang Seitenende
21.09.2009, 16:53
...neu hier

Themenstarter

Beiträge: 4
#3 "Glückwunsch! Auf Ihrem PC wurde keine Malware gefunden!"

Kann ich damit sicher sein, dass nichts drauf ist?
Seitenanfang Seitenende
21.09.2009, 17:48
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 a-squared Antimale Scanner ist ein Malwarescanner und ein Virenscanner
(Ikarus)
Diesen Scanner kann man sich auch kostenlos runterladen ;)
http://www.emsisoft.de/de/software/free/
__________
MfG Argus
Seitenanfang Seitenende
22.09.2009, 17:35
...neu hier

Themenstarter

Beiträge: 4
#5 Soll das "ja" heißen? ;)
Seitenanfang Seitenende
22.09.2009, 19:03
...neu hier

Beiträge: 2
#6 Hi zusammen,
also ich bin der Oberlaie, was das hier angeht und hoffe, dass ich jetzt alles richtig reinsetze. Habe einen ältern PC, mit dem ich selbst erst seit ein paar Tagen im Internet bin. Habe Avira und Mozilla runtergeladen und es wurden 2 alte Trojaner und etliche andere Viren unter Qarantäne gestellt:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 22. September 2009 09:31

Es wird nach 1562564 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (plain) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PAULO-51KJARZK6

Versionsinformationen:
BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 12:36:10
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:12
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:46
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:42:00
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:38
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 08:21:44
ANTIVIR2.VDF : 7.1.4.253 1779200 Bytes 19.07.2009 21:08:02
ANTIVIR3.VDF : 7.1.5.19 139776 Bytes 23.07.2009 06:36:14
Engineversion : 8.2.0.228
AEVDF.DLL : 8.1.1.1 106868 Bytes 28.07.2009 12:17:16
AESCRIPT.DLL : 8.1.2.18 442746 Bytes 23.07.2009 08:59:40
AESCN.DLL : 8.1.2.4 127348 Bytes 23.07.2009 08:59:40
AERDL.DLL : 8.1.2.4 430452 Bytes 23.07.2009 08:59:40
AEPACK.DLL : 8.1.3.18 401783 Bytes 28.07.2009 12:17:16
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 08:59:40
AEHEUR.DLL : 8.1.0.143 1864055 Bytes 23.07.2009 08:59:40
AEHELP.DLL : 8.1.5.3 233846 Bytes 23.07.2009 08:59:40
AEGEN.DLL : 8.1.1.50 352629 Bytes 23.07.2009 08:59:40
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.7.6 184694 Bytes 23.07.2009 08:59:40
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:58
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:56
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:30
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:06
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:38
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:06
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:30
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:22
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:18
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +GAME,+JOKE,+PCK,

Beginn des Suchlaufs: Dienstag, 22. September 2009 09:31

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '40496' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Remind32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DAD9.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALARM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinCinemaMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WkCalRem.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSMSGS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTASK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcBtnMgr_X73.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACMonitor_X73.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZTSB05.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WkUFind.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '31' Prozesse mit '31' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '72' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WIN-XP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\Downloaded Program Files\ieloader.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Ladder.D
C:\Dokumente und Einstellungen\Paulo Oliveira\Lokale Einstellungen\Temp\UCmoreIEx.EXE
[FUND] Enthält Erkennungsmuster des Droppers DR/Ucmore.A.49
--> UCMIE.DLL
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Ucmore.A.9
C:\Dokumente und Einstellungen\Paulo Oliveira\Lokale Einstellungen\Temp\~alstmp.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/Dialer.Gen (Dialer)
C:\Dokumente und Einstellungen\Paulo Oliveira\Lokale Einstellungen\Temp\~alstmp.exe_
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/Dialer.Gen (Dialer)
C:\Dokumente und Einstellungen\Paulo Oliveira\Lokale Einstellungen\Temp\cntr677840805.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/300208 (Dialer)
C:\Dokumente und Einstellungen\Paulo Oliveira\Lokale Einstellungen\Temp\cntr248902052.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/300208 (Dialer)
C:\Dokumente und Einstellungen\Paulo Oliveira\Lokale Einstellungen\Temp\cntr1094889974.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/300208 (Dialer)
C:\Dokumente und Einstellungen\Paulo Oliveira\Lokale Einstellungen\Temp\cntr1743636477.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/300208 (Dialer)
C:\System Volume Information\_restore{31E0B16C-F0EB-461F-A596-47D4B4020759}\RP266\A0060098.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/NewDotNet.A.4
C:\System Volume Information\_restore{31E0B16C-F0EB-461F-A596-47D4B4020759}\RP266\A0060135.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/NewDotNet.A.4
C:\System Volume Information\_restore{31E0B16C-F0EB-461F-A596-47D4B4020759}\RP266\A0060169.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/300744 (Dialer)
C:\System Volume Information\_restore{31E0B16C-F0EB-461F-A596-47D4B4020759}\RP266\A0060170.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/NewDotNet.A.2
C:\System Volume Information\_restore{31E0B16C-F0EB-461F-A596-47D4B4020759}\RP266\A0060171.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/NewDotNet.A.21
C:\System Volume Information\_restore{31E0B16C-F0EB-461F-A596-47D4B4020759}\RP266\A0060172.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/300772 (Dialer)
C:\System Volume Information\_restore{31E0B16C-F0EB-461F-A596-47D4B4020759}\RP266\A0060173.dll
[FUND] Ist das Trojanische Pferd TR/Dialui.dll
Beginne mit der Suche in 'D:\' <Downloads>

Beginne mit der Desinfektion:
C:\WINDOWS\Downloaded Program Files\ieloader.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Ladder.D
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2484b0.qua' verschoben!
C:\Dokumente und Einstellungen\Paulo Oliveira\Lokale Einstellungen\Temp\UCmoreIEx.EXE
[FUND] Enthält Erkennungsmuster des Droppers DR/Ucmore.A.49
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b25848e.qua' verschoben!
C:\Dokumente und Einstellungen\Paulo Oliveira\Lokale Einstellungen\Temp\~alstmp.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/Dialer.Gen (Dialer)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2484ac.qua' verschoben!
C:\Dokumente und Einstellungen\Paulo Oliveira\Lokale Einstellungen\Temp\~alstmp.exe_
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/Dialer.Gen (Dialer)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488dbd8d.qua' verschoben!
C:\Dokumente und Einstellungen\Paulo Oliveira\Lokale Einstellungen\Temp\cntr677840805.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/300208 (Dialer)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2c84b9.qua' verschoben!
C:\Dokumente und Einstellungen\Paulo Oliveira\Lokale Einstellungen\Temp\cntr248902052.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/300208 (Dialer)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488aa572.qua' verschoben!
C:\Dokumente und Einstellungen\Paulo Oliveira\Lokale Einstellungen\Temp\cntr1094889974.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/300208 (Dialer)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4887cc0a.qua' verschoben!
C:\Dokumente und Einstellungen\Paulo Oliveira\Lokale Einstellungen\Temp\cntr1743636477.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/300208 (Dialer)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4881dcfa.qua' verschoben!
C:\System Volume Information\_restore{31E0B16C-F0EB-461F-A596-47D4B4020759}\RP266\A0060098.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/NewDotNet.A.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae8847b.qua' verschoben!
C:\System Volume Information\_restore{31E0B16C-F0EB-461F-A596-47D4B4020759}\RP266\A0060135.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/NewDotNet.A.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fb4de54.qua' verschoben!
C:\System Volume Information\_restore{31E0B16C-F0EB-461F-A596-47D4B4020759}\RP266\A0060169.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/300744 (Dialer)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4940b524.qua' verschoben!
C:\System Volume Information\_restore{31E0B16C-F0EB-461F-A596-47D4B4020759}\RP266\A0060170.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/NewDotNet.A.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f093874.qua' verschoben!
C:\System Volume Information\_restore{31E0B16C-F0EB-461F-A596-47D4B4020759}\RP266\A0060171.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/NewDotNet.A.21
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f0a47ac.qua' verschoben!
C:\System Volume Information\_restore{31E0B16C-F0EB-461F-A596-47D4B4020759}\RP266\A0060172.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/300772 (Dialer)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f0b4fe4.qua' verschoben!
C:\System Volume Information\_restore{31E0B16C-F0EB-461F-A596-47D4B4020759}\RP266\A0060173.dll
[FUND] Ist das Trojanische Pferd TR/Dialui.dll
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f0c571c.qua' verschoben!


Ende des Suchlaufs: Dienstag, 22. September 2009 10:01
Benötigte Zeit: 27:28 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6018 Verzeichnisse wurden überprüft
150331 Dateien wurden geprüft
16 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
15 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
150314 Dateien ohne Befall
741 Archive wurden durchsucht
1 Warnungen
16 Hinweise
40496 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Habe auch HijackThis angewendet:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:55:30, on 22.09.2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Corel\WordPerfect Office 2000\programs\alarm.exe
C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programme\Corel\WordPerfect Office 2000\Register\Remind32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\WINDOWS\System32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_20.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Programme\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: CorelCENTRAL-Benachrichtigungsfunktionen.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\alarm.exe
O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe
O4 - Global Startup: Corel Registration.lnk = C:\Programme\Corel\WordPerfect Office 2000\Register\Remind32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBF19B97-FD99-4D06-ACC2-C0C5BEAD7637}: NameServer = 192.168.2.1
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6607 bytes

Wie siehts aus bis jetzt? Möchte NewDotNet vollständig entfernen. Habe keine Ahnung wie? NewDotNet-Removal Tool bereits verwendet. Bitte um Erklärung für "fortgeschrittene" Anfänger. Danke im Voraus!

Mfg Tatilie
Seitenanfang Seitenende
22.09.2009, 21:20
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 @Q-fLaDeN
Happy Surfing ;)
__________
MfG Argus
Seitenanfang Seitenende
22.09.2009, 21:35
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 @Trtilie
Entferne über Software eDonkey2000

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_20.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Klicke Fixed checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Arbeite mal ab http://board.protecus.de/t23187.htm
__________
MfG Argus
Seitenanfang Seitenende
23.09.2009, 10:50
...neu hier

Beiträge: 2
#9 Ok,1.000 Dank. Habe alles so gelöscht.
Bis zum nächsten Mal, gemäß http://board.protecus.de/t23187.htm
Schon verstanden - danke:-)

MFG Tatilie
Seitenanfang Seitenende
23.09.2009, 11:32
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Versteh ich es auch? ;)

Zitat

Schon verstanden - danke

__________
MfG Argus
Seitenanfang Seitenende
23.09.2009, 15:36
...neu hier

Themenstarter

Beiträge: 4
#11 Ich verstehe deine Antwort jetzt einfach mal als "ja". Danke vielmals für die Hilfe!
Seitenanfang Seitenende
23.09.2009, 15:42
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 "Ja" ist so kurz,Happy Surfing ist sowas wie"Ich wuensch dir alles gute auf deine Reise im WWW" ;)
__________
MfG Argus
Seitenanfang Seitenende