Rundll findet Datei nicht/ Störende Werbung

#16 Prüfe mal diese Datei(en) bei Virustotal

Zitat

C:\odwvn.exe

Note: Wenn bei VirusTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste nur die URL am Ende(der link oben in der leiste)
__________
MfG Argus

#17 Das war der Autoscan,also nicht "klicke dann auf lokaler schutz und lokale Laufwerke, Funde in Quarantäne, Log posten." der kommt weiter unten.
Das mit dem Rootkit folgt in den nächsten Tagen.



Versionsinformationen:
BUILD.DAT : 9.0.0.447 21381 Bytes 26.08.2009 16:26:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 06.08.2009 08:01:01
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 17:52:50
ANTIVIR2.VDF : 7.1.6.50 4333568 Bytes 29.09.2009 13:51:01
ANTIVIR3.VDF : 7.1.6.102 458752 Bytes 13.10.2009 08:00:58
Engineversion : 8.2.1.35
AEVDF.DLL : 8.1.1.2 106867 Bytes 16.09.2009 08:07:41
AESCRIPT.DLL : 8.1.2.35 483707 Bytes 03.10.2009 08:14:48
AESCN.DLL : 8.1.2.5 127346 Bytes 04.09.2009 08:00:41
AERDL.DLL : 8.1.3.2 479604 Bytes 03.10.2009 08:14:47
AEPACK.DLL : 8.2.0.0 422261 Bytes 16.09.2009 08:07:41
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 15:58:45
AEHEUR.DLL : 8.1.0.167 2011511 Bytes 08.10.2009 16:38:34
AEHELP.DLL : 8.1.7.0 237940 Bytes 04.09.2009 08:00:41
AEGEN.DLL : 8.1.1.67 364916 Bytes 03.10.2009 08:14:44
AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 08:14:43
AECORE.DLL : 8.1.8.1 184693 Bytes 16.09.2009 08:07:40
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 09.09.2009 14:09:12
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 15:59:01
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.28 2623745 Bytes 09.06.2009 15:59:28
RCTEXT.DLL : 9.0.37.0 90881 Bytes 27.04.2009 15:59:01

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 13. Oktober 2009 16:44

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '41936' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADCDLicSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '34' Prozesse mit '34' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{F0E901A8-2501-446E-855B-05A0D52DD0BE}\RP430\A0098503.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.afd
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b049a96.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{F0E901A8-2501-446E-855B-05A0D52DD0BE}\RP430\A0098506.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.afd
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4aeeaaa7.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{F0E901A8-2501-446E-855B-05A0D52DD0BE}\RP431\A0099657.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b049a9c.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{F0E901A8-2501-446E-855B-05A0D52DD0BE}\RP431\A0099658.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4aeeaaad.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{F0E901A8-2501-446E-855B-05A0D52DD0BE}\RP431\A0099659.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b049a9e.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{F0E901A8-2501-446E-855B-05A0D52DD0BE}\RP432\A0100091.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b059ab1.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
Beginne mit der Suche in 'D:\' <System>
D:\System Volume Information\_restore{F0E901A8-2501-446E-855B-05A0D52DD0BE}\RP432\A0100092.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b05a6bf.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Dienstag, 13. Oktober 2009 18:11
Benötigte Zeit: 1:27:14 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

9920 Verzeichnisse wurden überprüft
581660 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
581652 Dateien ohne Befall
4709 Archive wurden durchsucht
8 Warnungen
8 Hinweise
41936 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


----------------------------------------------------------------------------
----------------------------------------------------------------------------
----------------------------------------------------------------------------
Versionsinformationen:
BUILD.DAT : 9.0.0.447 21381 Bytes 26.08.2009 16:26:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 06.08.2009 08:01:01
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 17:52:50
ANTIVIR2.VDF : 7.1.6.50 4333568 Bytes 29.09.2009 13:51:01
ANTIVIR3.VDF : 7.1.6.102 458752 Bytes 13.10.2009 08:00:58
Engineversion : 8.2.1.35
AEVDF.DLL : 8.1.1.2 106867 Bytes 16.09.2009 08:07:41
AESCRIPT.DLL : 8.1.2.35 483707 Bytes 03.10.2009 08:14:48
AESCN.DLL : 8.1.2.5 127346 Bytes 04.09.2009 08:00:41
AERDL.DLL : 8.1.3.2 479604 Bytes 03.10.2009 08:14:47
AEPACK.DLL : 8.2.0.0 422261 Bytes 16.09.2009 08:07:41
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 15:58:45
AEHEUR.DLL : 8.1.0.167 2011511 Bytes 08.10.2009 16:38:34
AEHELP.DLL : 8.1.7.0 237940 Bytes 04.09.2009 08:00:41
AEGEN.DLL : 8.1.1.67 364916 Bytes 03.10.2009 08:14:44
AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 08:14:43
AECORE.DLL : 8.1.8.1 184693 Bytes 16.09.2009 08:07:40
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 09.09.2009 14:09:12
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 15:59:01
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.28 2623745 Bytes 09.06.2009 15:59:28
RCTEXT.DLL : 9.0.37.0 90881 Bytes 27.04.2009 15:59:01

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, G:, H:, I:, J:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 13. Oktober 2009 19:44

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '42055' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADCDLicSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '36' Prozesse mit '36' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Im Laufwerk 'E:\' ist kein Datenträger eingelegt!
Bootsektor 'F:\'
[INFO] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[INFO] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
[INFO] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <System>
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'J:\'
Der zu durchsuchende Pfad J:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Dienstag, 13. Oktober 2009 21:20
Benötigte Zeit: 1:35:22 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

9691 Verzeichnisse wurden überprüft
572185 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
572184 Dateien ohne Befall
4694 Archive wurden durchsucht
1 Warnungen
1 Hinweise
42055 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

#18 Der Report der Root... ist zu lang^^

#19 Hallo,
1. solltest du die Heuristik auf hoch stellen, mach das bitte noch mal, update Avira und Scanne lokale Laufwerke.
2. Erscheint beim Rootkitscan ne Meldung, alle partitionen durchsuchen? Oder ähnlich, dort auf nein klicken. Dann ist das Log nicht zu lang.

#20 Wie kann man ComboFix deinstallieren reicht da einfach das löschen der Ordner? Bin mir nicht sicher das es dann komplett weg ist. Ich glaube das ist auch das Programm warum bei mir der Bildschirm beim start schwarz ist.

#21 CombiFix entfernen
Start > Ausführen> Kopiere rein ComboFix /U OK

Uninstall Liste mit hilfe von Hijack This

Starte Hijackthis, wähle "Open the Misc Tools section", öffne "Open Uninstall Manager", drücke dort "Save list...".
Sobald die Liste gespeichert wird, öffnet sich ein Fenster mit den entsprechenden Einträgen.
Bitte diese auch in den eigenen Thread kopieren.
__________
MfG Argus

#22 Versionsinformationen:
BUILD.DAT : 9.0.0.410 18074 Bytes 25.09.2009 11:51:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 12:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 08:21:42
ANTIVIR2.VDF : 7.1.6.112 4833792 Bytes 15.10.2009 13:44:19
ANTIVIR3.VDF : 7.1.6.117 31232 Bytes 16.10.2009 13:44:19
Engineversion : 8.2.1.35
AEVDF.DLL : 8.1.1.2 106867 Bytes 16.10.2009 13:45:54
AESCRIPT.DLL : 8.1.2.35 483707 Bytes 16.10.2009 13:45:51
AESCN.DLL : 8.1.2.5 127346 Bytes 16.10.2009 13:45:45
AERDL.DLL : 8.1.3.2 479604 Bytes 16.10.2009 13:45:43
AEPACK.DLL : 8.2.0.0 422261 Bytes 16.10.2009 13:45:37
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 08:59:39
AEHEUR.DLL : 8.1.0.167 2011511 Bytes 16.10.2009 13:45:30
AEHELP.DLL : 8.1.7.0 237940 Bytes 16.10.2009 13:44:32
AEGEN.DLL : 8.1.1.67 364916 Bytes 16.10.2009 13:44:30
AEEMU.DLL : 8.1.1.0 393587 Bytes 16.10.2009 13:44:26
AECORE.DLL : 8.1.8.1 184693 Bytes 16.10.2009 13:44:22
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 16.10.2009 13:45:54
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: hoch
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: umbenennen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Erweiterte Sucheinstellungen..........: 0x00300922

Beginn des Suchlaufs: Freitag, 16. Oktober 2009 16:36

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-369a-8bff-96c9fa5cb45f}\InprocServer32\class
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-369a-8bff-96c9fa5cb45f}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-4d73-b18e-ac12fa5cb45f}\InprocServer32\class
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-4d73-b18e-ac12fa5cb45f}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-8be9-b97f-d8bafa5cb45f}\InprocServer32\class
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-8be9-b97f-d8bafa5cb45f}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a103-57d5-82f1fa5cb45f}\InprocServer32\class
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a103-57d5-82f1fa5cb45f}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a9b5-40bd-a961fa5cb45f}\InprocServer32\class
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a9b5-40bd-a961fa5cb45f}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-b4b4-1b9b-2c7ffa5cb45f}\InprocServer32\class
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-b4b4-1b9b-2c7ffa5cb45f}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-f0e6-9dfc-a884fa5cb45f}\InprocServer32\class
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-f0e6-9dfc-a884fa5cb45f}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '629585' Objekte überprüft, '14' versteckte Objekte wurden gefunden.


Ende des Suchlaufs: Freitag, 16. Oktober 2009 16:43
Benötigte Zeit: 06:48 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise
629585 Objekte wurden beim Rootkitscan durchsucht
14 Versteckte Objekte wurden gefunden

#23 Ad-Aware
Ad-Aware
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Photoshop 6.0
Adobe Reader 9.1.3 - Deutsch
Adobe Shockwave Player
Adobe SVG Viewer
Ashampoo Burning Studio 2009
Ask Toolbar
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
Combat Arms EU
Counter-Strike: Source
Defraggler (remove only)
Die Sims 2
DivX Content Uploader
DivX Web Player
EMEA02
Empires Demo MP
Empires Demo SP
eMule
Google Earth
Google Update Helper
Google Updater
GTOneCare
Half-Life 2: Deathmatch
Hamachi 1.0.1.5
HijackThis 2.0.2
Home Photo Service Light
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
HP Foto- und Bildbearbeitung 2.0 - All-in-One
HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber
hp psc 1200 series
HP Speicher-Disc
ICQ6.5
Java(TM) 6 Update 15
Java(TM) 6 Update 7
king.com (remove only)
Malwarebytes' Anti-Malware
Medion GoPal Assistant 3.00.0545
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft ActiveSync
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Professional Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual J# .NET Redistributable Package 1.1
MobMap 3.43
Mozilla Firefox (3.5.3)
Nero 7 Demo
neroxml
NVIDIA Drivers
OpenOffice.org 2.4
Peggle Extreme
QuickTime
SCHLECKER Foto Digital Service
Serious Sam 2
Sicherheitsupdate f?r Windows Media Player (KB911564)
Sicherheitsupdate f?r Windows Media Player 10 (KB917734)
Sicherheitsupdate f?r Windows XP (KB904706)
Sicherheitsupdate für Windows XP (KB941569)
SiS 900 PCI Fast Ethernet Adapter Driver
Skype™ 4.1
SprayR 1.0 RC7b
Spyware Doctor 6.0
Steam(TM)
System Requirements Lab
TeamSpeak 2 RC2
TrackMania Nations Forever
Trust WB-1400T Webcam
VCRedistSetup
Video DVD Maker v3.17.0.38
Warcraft III
Winamp
Windows Live installer
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Media Player Firefox Plugin
Windows XP Service Pack 3
WinRAR
World of Warcraft
XML Paper Specification Shared Components Language Pack 1.0
Yahoo! Toolbar

#24 Ask Toolbar
deinstalieren.

#25 Also das wars jetzt oder?^^ Ist ja schon ziemlicher aufwand gewesen^^

#26 Nochmal
Prüfe mal diese Datei(en) bei Virustotal

Zitat

C:\odwvn.exe

Note: Wenn bei VirusTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste nur die URL am Ende(der link oben in der leiste)
__________
MfG Argus

#27 http://www.virustotal.com/de/analisis/0ffd6b2c1f98fd11790416bf50490367bd36225428fe934117d68dfdca62af05-1255769629



Der schwarze Bildschirm beim Starten ist immer noch nicht weg

#28 hallo, da die Datei noch von wenigen Scannern erkannt wird, und meist auch nur Heuristisch, Kannst du sie mal bitte mit winzip oder Rar oder einem packprogramm deiner Wahl packen, das Archiv unbedingt mit einem PW versehen, dieses sollte infected lauten.
sende das Archiv an
markusg@paules-pc-forum.de
dann kann ich mir ansehen, was das teil tut oder ob es überhaupt irgendwas tut.
Du kannst die Datei auch erst mal so lange löschen, du hast sie ja noch verpackt im Archiv.

#29 Es wird angezeigt das die Datei nicht per E-mail geschickt werden kann.

#30 naja dann lad sie einfach hier hoch:
www.file-upload.net/ -
poste den downloadlink