Bekomme ständige Virus Meldung -'SPR/PSW.Messen.CW

#1 Hi leute, habe folgendes Problem. Mein Antivir Programm meldet mir folgendes

Zitat

In der Datei 'D:\System Volume Information\_restore{D5BE94BE-CE8B-4C34-8201-F4F42A26F342}\RP193\A0047821.exe'
wurde ein Virus oder unerwünschtes Programm 'SPR/PSW.Messen.CW' [riskware] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Klingt für mich schon mal nicht ungefährlich, auch wenn bei System Volumen Info sowieso antivir nix machen kann.

Naja ich hab jetzt folgende Schritte unternommen.

1. hab ich jetzt Datenträgerbereinigung bei folgenden Punkten durchgeführt

2. Systemwiederherstellung deaktiviert

3. Malwarebytes installiert, update gemacht, und scann durch laufen lassen.

Ergebnis:

Zitat

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2892
Windows 5.1.2600 Service Pack 3

02.10.2009 13:07:52
mbam-log-2009-10-02 (13-07-48).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 95440
Laufzeit: 5 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\config\system.LOG (Trojan.Downloader) -> No action taken.

4. Neustart

5. Gmer Report

Zitat

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-10-02 15:07:59
Windows 5.1.2600 Service Pack 3
Running: vnt61s44.exe; Driver: C:\DOKUME~1\Thomas\LOKALE~1\Temp\uftdrpog.sys


---- System - GMER 1.0.15 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwClose [0xBA78E818]
SSDT BAFC22D6 ZwCreateKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xBA782A20]
SSDT BAFC22CC ZwCreateThread
SSDT BAFC22DB ZwDeleteKey
SSDT BAFC22E5 ZwDeleteValueKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xBA7832A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xBA78E910]
SSDT BAFC22EA ZwLoadKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwOpenKey [0xBA78E794]
SSDT BAFC22B8 ZwOpenProcess
SSDT BAFC22BD ZwOpenThread
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xBA7832C8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryValueKey [0xBA78E866]
SSDT BAFC22F4 ZwReplaceKey
SSDT BAFC22EF ZwRestoreKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xBA78E0B0]
SSDT BAFC22E0 ZwSetValueKey
SSDT BAFC22C7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2C28 805044C4 4 Bytes CALL C8A8FF41
.text ntkrnlpa.exe!ZwCallbackReturn + 2CE8 80504584 4 Bytes JMP BCEF0001
.text ntkrnlpa.exe!ZwCallbackReturn + 2D4C 805045E8 4 Bytes JMP B8BAFC22
.text ntkrnlpa.exe!ZwCallbackReturn + 2E88 80504724 4 Bytes CALL 0C8701A1

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A406960

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\Cdrom \Device\CdRom0 89F8B970
Device \FileSystem\Rdbss \Device\FsWrap 89CF9240
Device \Driver\Cdrom \Device\CdRom1 89F8B970
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 89F8BC58
Device \Driver\atapi \Device\Ide\IdePort0 89F8BC58
Device \Driver\atapi \Device\Ide\IdePort1 89F8BC58
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 89F8BC58
Device \FileSystem\Srv \Device\LanmanServer 8A0BD2C8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89CFC1A0
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89CFC1A0
Device \FileSystem\Npfs \Device\NamedPipe 89D03840
Device \FileSystem\Msfs \Device\Mailslot 89D0D308
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 89F94680
Device \Driver\d347prt \Device\Scsi\d347prt1 89F94680
Device \FileSystem\Fastfat \Fat AD8DDD20
Device \FileSystem\Fastfat \Fat 8A280BB0

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 893ACFB0
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 893ACFB0
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 893ACFB0
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 893ACFB0
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 893ACFB0
Device \FileSystem\Cdfs \Cdfs 89FFCFB0

---- Modules - GMER 1.0.15 ----

Module _________ BA6E4000-BA6FC000 (98304 bytes)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z0 0x3D 0x7E 0xAB 0x3C ...

---- EOF - GMER 1.0.15 ----

6. combofix

Zitat

ComboFix 09-10-01.01 - Thomas 02.10.2009 15:15.5.2 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Thomas\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Thomas\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Microsoft\Clip Organizer\mstore10.mgc
c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Microsoft\Clip Organizer\Offic10.MGC
c:\programme\pdfforge Toolbar\SearchSettings.dll
c:\windows\Installer\24630.msp

.
((((((((((((((((((((((( Dateien erstellt von 2009-09-02 bis 2009-10-02 ))))))))))))))))))))))))))))))
.

2100-02-23 12:35 . 2001-02-22 07:54 768 ----a-w- c:\programme\x73_lut.dat
2100-02-08 14:03 . 2001-05-11 09:39 53248 ----a-w- c:\programme\ACMonitor_X73.exe
2009-10-02 13:15 . 2009-10-02 13:15 -------- d-----w- c:\windows\LastGood
2009-10-02 11:16 . 2009-10-02 11:16 -------- d-----w- C:\!KillBox
2009-10-01 12:19 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-10-01 12:19 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-10-01 12:19 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-10-01 12:19 . 2009-10-01 12:19 -------- d-----w- c:\programme\Avira
2009-10-01 12:19 . 2009-10-01 12:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-10-01 09:28 . 1999-08-25 11:57 415504 ----a-w- c:\windows\system32\MsRepl35.dll
2009-10-01 09:28 . 1999-06-10 06:34 24848 ----a-w- c:\windows\system32\msjter35.dll
2009-10-01 09:28 . 1999-06-10 06:34 123664 ----a-w- c:\windows\system32\Msjint35.dll
2009-10-01 09:28 . 1999-09-28 18:42 1050896 ----a-w- c:\windows\system32\msjet35.dll
2009-10-01 09:28 . 1998-06-01 11:37 262144 ----a-w- c:\windows\system32\msrd2x35.dll
2009-10-01 09:28 . 2009-10-01 21:45 -------- d-----w- C:\boss dss
2009-10-01 09:28 . 1997-12-10 11:22 302592 ----a-w- c:\windows\IsUn0407.exe
2009-10-01 08:41 . 2007-06-07 23:08 81920 ----a-w- c:\windows\system32\GkSui20.EXE
2009-10-01 08:40 . 2009-10-01 08:40 -------- d-----w- C:\TOPSIM
2009-09-15 18:20 . 2009-09-15 18:20 -------- d-----w- C:\Mp3 Output
2009-09-15 18:20 . 2009-09-15 18:20 -------- d-----w- c:\programme\Smallvideosoft
2009-09-15 18:20 . 2009-06-08 13:33 8676883 ----a-w- c:\windows\system32\mp3Media2.dll
2009-09-06 14:20 . 2009-09-06 18:18 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\DVD Flick
2009-09-06 14:20 . 2003-01-26 10:41 40960 ----a-w- c:\windows\system32\ssubtmr6.dll
2009-09-06 14:20 . 2009-09-06 14:20 -------- d-----w- c:\programme\DVD Flick

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-02 13:19 . 2009-07-01 09:35 -------- d-----w- c:\programme\pdfforge Toolbar
2009-10-02 13:18 . 2004-08-10 12:00 85880 ----a-w- c:\windows\system32\perfc007.dat
2009-10-02 13:18 . 2004-08-10 12:00 461604 ----a-w- c:\windows\system32\perfh007.dat
2009-10-02 10:38 . 2009-04-27 17:30 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\X-Chat 2
2009-10-02 08:39 . 2009-03-14 12:52 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Skype
2009-10-01 21:05 . 2009-02-26 15:06 -------- d-----w- c:\programme\Trillian
2009-10-01 11:50 . 2009-02-24 12:45 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-10-01 11:18 . 2009-02-25 10:15 29944 -c--a-w- c:\dokumente und einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-09-25 20:13 . 2009-03-13 18:47 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-15 18:17 . 2009-05-14 16:33 -------- d-----w- c:\programme\FLVConverter
2009-09-10 19:50 . 2009-05-10 19:06 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\dvdcss
2009-09-10 12:54 . 2009-03-13 18:47 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 12:53 . 2009-03-13 18:47 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-25 18:28 . 2009-05-13 20:28 59648 -c--a-w- c:\windows\War3Unin.dat
2009-08-25 11:58 . 2009-02-23 20:27 -------- d-----w- c:\programme\Java
2009-08-25 11:54 . 2009-08-05 20:23 -------- d-----w- c:\programme\ANNO 1404
2009-08-25 11:53 . 2009-03-22 18:52 -------- d-----w- c:\programme\LexmarkX73
2009-08-25 11:50 . 2009-08-25 11:49 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\BSplayer
2009-08-25 11:45 . 2009-06-11 16:06 -------- d-----w- c:\programme\StepMania
2009-08-22 07:48 . 2009-07-01 18:08 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\pdfforge
2009-08-06 21:20 . 2009-08-06 21:20 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\FTD
2009-08-06 21:18 . 2009-08-06 21:18 -------- d-----w- c:\programme\ticker
2009-08-05 21:19 . 2009-04-01 20:47 -------- d-----w- c:\programme\Gemeinsame Dateien\SPSS
2009-08-05 20:40 . 2009-08-05 20:40 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Ubisoft
2009-08-05 20:38 . 2009-08-05 20:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tages
2009-08-05 20:31 . 2009-08-05 20:31 281760 ----a-w- c:\windows\system32\drivers\atksgt.sys
2009-08-05 20:31 . 2009-08-05 20:31 25888 ----a-w- c:\windows\system32\drivers\lirsgt.sys
2009-08-05 20:23 . 2009-02-23 20:14 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-08-05 08:59 . 2004-08-10 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 21:10 . 2009-06-26 19:17 94120 -c--a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-07-28 14:33 . 2009-03-21 08:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-07-25 03:23 . 2009-02-23 22:25 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-17 19:01 . 2004-08-10 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2004-08-10 12:00 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2001-07-26 14:58 . 2000-01-11 10:50 47 ----a-w- c:\programme\ACMonitor_X73.ini
2001-07-05 10:46 . 2001-07-20 08:48 8116 ----a-w- c:\programme\OSLO3071b2.USB
2001-05-08 14:36 . 2000-12-05 13:56 114688 ----a-w- c:\programme\lxarscan.dll
2001-04-23 12:22 . 2100-02-08 13:53 1437 ----a-w- c:\programme\gtx73.ini
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-02-23 198160]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2008-04-14 172544]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2009-3-6 113664]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X73 Button Manager
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X73 Button Monitor
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\xchat\\xchat.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"d:\\Download\\CryptLoad_1.0.4\\RouterClient.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Macmillan\\The Business\\Intermediate\\data\\fscommand\\flashex.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.10.2009 14:19 108289]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-09-25 c:\windows\Tasks\Datenträgerbereinigung.job
- c:\windows\system32\cleanmgr.exe [2004-08-10 02:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.bsplayer-search.com/startpage
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
Trusted Zone: gamed.de\xwars
FF - ProfilePath - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1094856&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig?t=0
FF - component: c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\platform\WINNT_x86-msvc\components\SSSLauncher.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll
FF - component: c:\programme\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll
FF - plugin: c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\extensions\{1acd747e-8470-11db-96a9-00e08161165f}\plugins\NPTS5we.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-{B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-02 15:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(908)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-10-02 15:21
ComboFix-quarantined-files.txt 2009-10-02 13:21
ComboFix2.txt 2009-03-13 20:27

Vor Suchlauf: 14 Verzeichnis(se), 18.594.209.792 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 18.570.526.720 Bytes frei

155 --- E O F --- 2009-10-02 13:00

Anschließend Combofix wieder entfernt und avira wieder angestellt. Systemwiederherstellung erstmal aus gelassen.

7. HijackThis

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:46:25, on 02.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Dokumente und Einstellungen\Thomas\Desktop\Übersicht\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.bsplayer-search.com/startpage
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://xwars.gamed.de
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

--
End of file - 6780 bytes

8. Uninstall liste

Zitat

Active Desktop Calendar 7.3
Ad-Aware SE Personal
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Photoshop CS
Adobe Reader 9.1 - Deutsch
Allok RM RMVB to AVI MPEG DVD Converter 3.0.1019
Apple Software Update
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
AutoIt v3.3.0.0
Avira AntiVir Personal - Free Antivirus
Broadcom 440x 10/100 Integrated Controller
BS.Player FREE
Conexant HDA D110 MDC V.92 Modem
ConvertHelper 2.2
ConvertXtoDVD 3.6.12.174
DAEMON Tools
Defraggler (remove only)
Dell ResourceCD
DivxToDVD 0.5.2
DVD Flick 1.3.0.6
DVD Shrink 3.2
DVD-lab PRO 2.0
Energieverwaltung der internen Netzwerkkarte
Free JavaScript Editor 4.2
Freez FLV to MP3 Converter
GPL Ghostscript 8.62
GPL Ghostscript Fonts
Graphics2PDF
High Definition Audio Driver Package - KB835221
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Player 10 (KB903157)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB970653-v3)
ICQ6.5
iTunes
Java(TM) 6 Update 15
Joe
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Encarta Professional 2004
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.5.3)
MSXML 4.0 SP2 (KB954430)
Nero OEM
Odyssey Client
PDFCreator
pdfforge Toolbar v1.0
QuickSet
QuickTime
RealPlayer
save2pc Light 3.43
SciTE4AutoIt3 1-6-2009
Shockwave
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961371)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB971557)
Sicherheitsupdate für Windows XP (KB971633)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB973346)
Sicherheitsupdate für Windows XP (KB973354)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973869)
SigmaTel Audio
Skype™ 4.0
Sonic Encoders
Spybot - Search & Destroy
Streamripper (Remove only)
Synaptics Pointing Device Driver
The Business Intermediate
TOPSIM - General Management II Participant
Total Video Converter 3.21 090220
TP54USB Adapter
Trillian
Update für Windows Internet Explorer 8 (KB971180)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Update für Windows XP (KB973815)
Update Rollup 2 für Windows XP Media Center Edition 2005
VLC media player 0.9.9
WIDCOMM Bluetooth Software
Winamp
Windows Driver Package - Intel (NETw5x32) net (11/17/2008 12.2.0.11)
Windows Driver Package - Intel (w29n51) net (12/19/2007 9.0.4.39)
Windows Internet Explorer 8
Windows Media Format Runtime
Windows Media Player Firefox Plugin
Windows XP Service Pack 3
Windows-Treiberpaket - Ricoh Company Memorystick Host Controller (07/09/2005 1.00.01.12)
Windows-Treiberpaket - Ricoh Company MMC Host Controller (07/14/2005 1.00.00.06)
Windows-Treiberpaket - Ricoh Company xD-Picture Card/SmartMedia Host Controller (07/14/2005 1.00.02.04)
WinRAR Archivierer
XChat 2 (remove only)
X-Chat 2.8.6-2
XML Paper Specification Shared Components Language Pack 1.0

Antivir ist auch eingestellt wie von euch beschrieben (http://board.protecus.de/t23979.htm) Ich muss jetzt erstmal los, würde dann noch mal ein durchlauf machen.

Würde mich freuen wenn ihr mal die Logs durchschauen könntet. Weil jetzt sind meine Kenntnisse darüber zuende

Dankeschön

Beste Grüße rabie

#2 Nabend, hab grad nochmal Antivir laufen lassen

Zitat

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 2. Oktober 2009 19:33

Es wird nach 1768356 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Thomas
Computername : ABG-ARCO

Versionsinformationen:
BUILD.DAT : 9.0.0.410 18074 Bytes 25.09.2009 11:51:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 12:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:50:58
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 12:50:58
ANTIVIR2.VDF : 7.1.6.50 4333568 Bytes 29.09.2009 07:16:20
ANTIVIR3.VDF : 7.1.6.66 172032 Bytes 02.10.2009 12:43:30
Engineversion : 8.2.1.27
AEVDF.DLL : 8.1.1.2 106867 Bytes 15.09.2009 14:58:02
AESCRIPT.DLL : 8.1.2.33 479611 Bytes 21.09.2009 15:27:58
AESCN.DLL : 8.1.2.5 127346 Bytes 03.09.2009 14:24:42
AERDL.DLL : 8.1.2.4 430452 Bytes 14.07.2009 16:08:26
AEPACK.DLL : 8.2.0.0 422261 Bytes 15.09.2009 14:58:00
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 13:32:46
AEHEUR.DLL : 8.1.0.155 1921400 Bytes 18.08.2009 13:02:16
AEHELP.DLL : 8.1.7.0 237940 Bytes 03.09.2009 14:24:42
AEGEN.DLL : 8.1.1.66 364917 Bytes 25.09.2009 15:23:24
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 09:49:36
AECORE.DLL : 8.1.8.1 184693 Bytes 15.09.2009 14:57:58
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 09:49:34
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 02.10.2009 12:43:32
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\Thomas\LOKALE~1\Temp\d5ed169e.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: D:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 2. Oktober 2009 19:33

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'D:\' <Daten>
D:\Download\****.05-CORE.rar
[0] Archivtyp: RAR
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.77824.BM
D:\Download\***\wirelesskeyview(2).zip
[0] Archivtyp: ZIP
--> WirelessKeyView.exe
[FUND] Enthält Erkennungsmuster des SPR/PSW.Messen.CW-Programmes

Beginne mit der Desinfektion:
D:\Download\****.05-CORE.rar
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b273f2d.qua' verschoben!
D:\Download\***\wirelesskeyview(2).zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b383f3a.qua' verschoben!


Ende des Suchlaufs: Freitag, 2. Oktober 2009 19:56
Benötigte Zeit: 22:54 Minute(n)

1822 Verzeichnisse wurden überprüft
329385 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
329383 Dateien ohne Befall
859 Archive wurden durchsucht
0 Warnungen
2 Hinweise

Ich muss aber sagen dass es anscheind nen Fehlalarm ist. Den Der erste angebliche Trojaner ist einfach nur nen Crack für nen Programme und das andere Programm macht das Passwort beim eigenen Wlanzugang, (eigener Rechner) sichtbar. Hab beides in die Quarantäne verschoben ich denke damit hat sich die sache erledigt.

#3 1. diese cracks etc sind illegal und werden häufig für die Verbreitung von Malware genutzt.
2. prüfe:
c:\programme\ACMonitor_X73.exe
Bei
www.virustotal.com
Einfach in das Feld kopieren und absenden klicken, falls datei bereits analysiert, klicke erneut prüfen, poste das Ergebniss.

#4 Huhu, danke für die Antwort. also der AC monitor ist glaub irgentwas von lexmark, aber das brauch ich nicht und weiß garnich wieso das noch drauf is hatte früher mal nen lexmark drucker vieleicht kommts daher

Zitat

Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.10.03 -
AhnLab-V3 5.0.0.2 2009.10.02 -
AntiVir 7.9.1.27 2009.10.02 -
Antiy-AVL 2.0.3.7 2009.10.03 -
Authentium 5.1.2.4 2009.10.02 -
Avast 4.8.1351.0 2009.10.02 -
AVG 8.5.0.420 2009.10.03 -
BitDefender 7.2 2009.10.03 -
CAT-QuickHeal 10.00 2009.10.03 -
ClamAV 0.94.1 2009.10.03 -
Comodo 2500 2009.10.03 -
DrWeb 5.0.0.12182 2009.10.03 -
eSafe 7.0.17.0 2009.10.01 -
eTrust-Vet 31.6.6774 2009.10.02 -
F-Prot 4.5.1.85 2009.10.02 -
F-Secure 8.0.14470.0 2009.10.02 -
Fortinet 3.120.0.0 2009.10.03 -
GData 19 2009.10.03 -
Ikarus T3.1.1.72.0 2009.10.03 -
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.858 2009.10.01 -
Kaspersky 7.0.0.125 2009.10.03 -
McAfee 5759 2009.10.02 -
McAfee+Artemis 5759 2009.10.02 -
McAfee-GW-Edition 6.8.5 2009.10.03 Heuristic.BehavesLike.Win32.Trojan.L
Microsoft 1.5101 2009.10.03 -
NOD32 4477 2009.10.02 -
Norman 6.01.09 2009.10.03 -
nProtect 2009.1.8.0 2009.10.03 -
Panda 10.0.2.2 2009.10.02 -
PCTools 4.4.2.0 2009.10.02 -
Prevx 3.0 2009.10.03 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.03 -
Sunbelt 3.2.1858.2 2009.10.02 -
Symantec 1.4.4.12 2009.10.03 -
TheHacker 6.5.0.2.027 2009.10.02 -
TrendMicro 8.950.0.1094 2009.10.03 -
VBA32 3.12.10.11 2009.10.03 -
ViRobot 2009.10.2.1968 2009.10.02 -
VirusBuster 4.6.5.0 2009.10.02 -
Additional information
File size: 53248 bytes
MD5...: a74de74aa302f36075b3ffd43fdd6dda
SHA1..: fa0449c23a18fd1f0fbfa87ef1722004f6bb01e5
SHA256: edd180317847ccb90722c18bf4b5e6568d1afe3a948d718395566322b4f567af
ssdeep: 384:kZup5/lwlzCeyChcfDOliYTM7X9/fFTM+SuHpsT0CS5fOya0PIBSd7um/r8w
7olG:I+lwlzCecrCU/FM+zpsX9AFfz8Oo
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x32e6
timedatestamp.....: 0x3afc07a5 (Fri May 11 15:39:17 2001)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6c14 0x7000 6.46 121b10104428a3f509184692fdbaceaa
.rdata 0x8000 0xd04 0x1000 4.88 9e87caea0dad84034bd07910da6e7dae
.data 0x9000 0xc540 0x3000 0.82 42d61931d165bb6b186b9a76efc4361f
.rsrc 0x16000 0x3c0 0x1000 0.99 62a100c9e4fc9ec04af34a8efc0ef3db

( 4 imports )
> KERNEL32.dll: GetLastError, GetPrivateProfileStringA, GetWindowsDirectoryA, CloseHandle, OutputDebugStringA, lstrcatA, lstrlenA, CreateMutexA, lstrcpyA, WritePrivateProfileStringA, lstrcmpiA, GetFileType, HeapDestroy, GetEnvironmentVariableA, HeapFree, FlushFileBuffers, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, MultiByteToWideChar, LoadLibraryA, GetProcAddress, GetOEMCP, GetACP, GetCPInfo, RtlUnwind, GetEnvironmentStringsW, GetEnvironmentStrings, ReadFile, SleepEx, GetVersionExA, CreateFileA, WriteFile, FreeEnvironmentStringsW, HeapAlloc, DeviceIoControl, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetModuleFileNameA, GetCurrentProcess, WideCharToMultiByte, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, SetStdHandle, SetHandleCount, GetStdHandle, SetFilePointer, SetEndOfFile, UnhandledExceptionFilter, FreeEnvironmentStringsA
> USER32.dll: PostQuitMessage, SetTimer, KillTimer, MessageBoxA, PostMessageA, LoadCursorA, RegisterClassExA, SendMessageA, CreateWindowExA, GetMessageA, TranslateMessage, DefWindowProcA, LoadIconA, DispatchMessageA, FindWindowA
> GDI32.dll: GetStockObject
> SETUPAPI.dll: SetupDiGetDeviceInterfaceDetailA, SetupDiGetClassDevsA, SetupDiEnumDeviceInterfaces, SetupDiDestroyDeviceInfoList

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
sigcheck:
publisher....: Silitek Corp.
copyright....: Copyright c 2001
product......: ACMonitor
description..: ACMonitor
original name: ACMonitor.exe
internal name: ACMonitor
file version.: 1, 0, 0, 8
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned

Dank & Gruß

#5 Hi, ist dein Systemdatum falsch eingestellt? schau mal bitte nach.
Untersuchungsobjekt Arbeitsplatz, Ergebniss posten.
www.f-secure.com/en_EMEA/.../online-scanner/ -
Funde löschen, Log posten.

#6 Hey, also Systemdatum stimmt hab nix verstellt. Wie kommst drauf?

Bericht

Zitat

Scanning Report
Saturday, October 3, 2009 16:29:14 - 17:03:48

Computer name: ABG-ARCO
Scanning type: Scan system for malware, spyware and rootkits
Target: C:\ D:\
6 malware found
TrackingCookie.Questionmarket (spyware)

* System (Disinfected)

TrackingCookie.2o7 (spyware)

* System (Disinfected)

TrackingCookie.Adtech (spyware)

* System (Disinfected)

TrackingCookie.Zanox (spyware)

* System (Disinfected)

TrackingCookie.Webtrends (spyware)

* System (Disinfected)

TrackingCookie.Atwola (spyware)

* System (Disinfected)

Statistics
Scanned:

* Files: 84555
* System: 3372
* Not scanned: 33

Actions:

* Disinfected: 6
* Renamed: 0
* Deleted: 0
* Not cleaned: 0
* Submitted: 0

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\TEMP\PERFLIB_PERFDATA_66C.DAT
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG
* C:\WINDOWS\SYSTEM32\CATROOT2\EDB.LOG
* C:\WINDOWS\SYSTEM32\CATROOT2\TMP.EDB
* C:\WINDOWS\SOFTWAREDISTRIBUTION\DATASTORE\DATASTORE.EDB
* C:\WINDOWS\SOFTWAREDISTRIBUTION\DATASTORE\LOGS\EDB.LOG
* C:\WINDOWS\SOFTWAREDISTRIBUTION\DATASTORE\LOGS\TMP.EDB
* C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
* C:\DOKUMENTE UND EINSTELLUNGEN\THOMAS\NTUSER.DAT
* C:\DOKUMENTE UND EINSTELLUNGEN\THOMAS\NTUSER.DAT.LOG
* C:\DOKUMENTE UND EINSTELLUNGEN\THOMAS\LOKALE EINSTELLUNGEN\TEMP\JET6036.TMP
* C:\DOKUMENTE UND EINSTELLUNGEN\THOMAS\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
* C:\DOKUMENTE UND EINSTELLUNGEN\THOMAS\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
* C:\DOKUMENTE UND EINSTELLUNGEN\THOMAS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\GHZ47WYS.DEFAULT\PARENT.LOCK
* C:\DOKUMENTE UND EINSTELLUNGEN\THOMAS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\GHZ47WYS.DEFAULT\PLACES.SQLITE-JOURNAL
* C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\NTUSER.DAT
* C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\NTUSER.DAT.LOG
* C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
* C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
* C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\NTUSER.DAT.LOG
* C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\NTUSER.DAT
* C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
* C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG

Fertig?

Danke & grüße

#7 weil combofix 2 mal ein anderes datum zeigt.
www.kaspersky.com/de/virusscanner -
untersuchungsobjekt arbeitsplatz, log posten.

#8 Mahlzeit,
Die Website funtkioniert nur mit dem Internet Explorer und der ist komplett ausgeschaltet bei mir. Hab ihn grad mal angeschaltet und versucht aber der initialisiert und dann passier nix mehr... ich versuchs nochmal aber glaub nich das es klappt

Beste Grüße

#9 Versuch mal die sicherheitsstufe des ies runterzusetzen, zu mindest für den Scan.

#10 Jap danke hat geklappt.

Zitat

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 4. Oktober 2009 14:51:10
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 4/10/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2907770
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
F:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 96668
Viren gefunden: 1
Infizierte Objekte gefunden: 4
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:09:03

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QSLLPSVCShare Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Program Statistics\ProgramStatistics.tudb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\ICQ\219****\Messages.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\ICQ\219****\Owner.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\ICQ\Application.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\cookies.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\flashgot.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\signons.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\X-Chat 2\ScrollBack\X-Wars\#handel.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\X-Chat 2\ScrollBack\X-Wars\#liebeshoehle.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\X-Chat 2\ScrollBack\X-Wars\#xwars.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\X-Chat 2\ScrollBack\X-Wars\#xXx.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\XemiComputers\Active Desktop Calendar\Data\Active Desktop Calendar.xdat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\XemiComputers\Active Desktop Calendar\Log\ADC Errors Log.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\XemiComputers\Active Desktop Calendar\Log\ADC Internet Errors Log.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\XemiComputers\Active Desktop Calendar\Log\ADCLog.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\IECompatCache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\IETldCache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Vorgeschlagene Sites~.feed-ms Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Web Slice-Katalog~.feed-ms Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\DOMStore\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{D6868FA2-B0CA-11DE-B5AE-0018DECCF647}.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{D6868FA3-B0CA-11DE-B5AE-0018DECCF647}.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{D6868FA5-B0CA-11DE-B5AE-0018DECCF647}.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ghz47wys.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\temp\JETF2C8.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\temp\~DF25A3.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\temp\~DF436B.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\temp\~DF84FE.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\temp\~DFE840.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\temp\~DFE852.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\temp\~DFE8BF.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\temp\~DFE8D1.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\temp\~DFE90F.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\temp\~DFE921.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009100420091005\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Thomas\PrivacIE\index.dat Das Objekt ist gesperrt übersprungen
C:\Programme\AutoIt3\SciTE\AutoItMacroGenerator\TheHook.dll Infizierte Objekte: not-a-virus:Monitor.Win32.Hooker.s übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{D5BE94BE-CE8B-4C34-8201-F4F42A26F342}\RP4\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\ModemLog_Conexant HDA D110 MDC V.92 Modem.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Media Ce.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\TuneUp.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\Perflib_Perfdata_560.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\Download\SciTE4AutoIt3.exe/stream/data0120 Infizierte Objekte: not-a-virus:Monitor.Win32.Hooker.s übersprungen
D:\Download\SciTE4AutoIt3.exe/stream Infizierte Objekte: not-a-virus:Monitor.Win32.Hooker.s übersprungen
D:\Download\SciTE4AutoIt3.exe NSIS: infiziert - 2 übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Kannst du mir sagen was das Dick Markierte ist? grüße

#11 start ausführen
combofix /u
enter
Deinstaliert Combofix.
Otmoveit
http://oldtimer.geekstogo.com/OTM.exe
Klicke move it. löscht Reste der verwendeten Programme.
Rechtsklick auf Arbeitsplatz, Eigenschaften, Systemwiderherstellung, auf allen laufwerken Deaktivieren, 5 Min warten, wieder einschalten.
Umsetzen:
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/114329-paules-10-empfehlungen-zum-sicheren-surfen-im-internet.html
ansonnsten sieht alles io aus
Wenn von deiner Seite keine Probs sind, sind wir fertig.

#12 Hey also Combofix hab ich doch schon entfernt.

So bis auf das markierte Oben, hab ich keine Fragen oder Probleme.

Besten Dank für die Hilfe


Grüße

#13 Es bedeutet, dass die Datei in benutzung ist, deswegen kann sie nicht geprüft werden.