Avira findet TR/Agent.abr

#0
01.10.2010, 21:05
Member

Beiträge: 125
#1 Hallo Gemeinde, Hallo Swisstreasue,

alle Jahre wieder kommt der Abbo ins Forum ;-)

Es war beim Besuch einer sehr bekannten und eigentlich seriösen Hotelbewertungswebsite ***.holidycheck.**

Plötzlich poppte Avira auf und meldete folgenden Fund:

Die Datei 'C:\System Volume Information\_restore{65987397-90C2-4F60-A3BF-9C55BE04DCC6}\RP897\A0129960.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.abr' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e5df885.qua' verschoben!

und

In der Datei 'C:\System Volume Information\_restore{65987397-90C2-4F60-A3BF-9C55BE04DCC6}\RP897\A0129960.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.abr' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Bitte um Prüfung ob hier ein Befall oder ein Fehlalarm von Avira vorliegt??

Habe schonmal einen OTL-Scan gemacht:

Zitat

OTL logfile created on: 1.10.2010 20:52:42 - Run 2
OTL by OldTimer - Version 3.2.14.1 Folder = C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: d.M.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 72,00% Memory free
3,00 Gb Paging File | 3,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): c:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 13,76 Gb Free Space | 28,19% Space Free | Partition Type: NTFS
Drive D: | 184,06 Gb Total Space | 130,27 Gb Free Space | 70,78% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: PC-MAERZDORF
Current User Name: Papa Admin
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Brother\ControlCenter3\BrccMCtl.exe (Brother Industries, Ltd.)
PRC - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe (Brother Industries, Ltd.)
PRC - C:\Programme\Brother\Brmfcmon\BrMfcMon.exe (Brother Industries, Ltd.)
PRC - C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
PRC - C:\Programme\Microsoft LifeCam\MSCamS32.exe (Microsoft Corporation)
PRC - C:\WINDOWS\vVX3000.exe (Microsoft Corporation)
PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
PRC - C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Droppix Service) -- C:\Programme\Gemeinsame Dateien\Droppix\DxService.exe (Droppix)
SRV - (MSCamSvc) -- C:\Programme\Microsoft LifeCam\MSCamS32.exe (Microsoft Corporation)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (SASENUM) -- C:\DOKUME~1\PAPAAD~1.000\LOKALE~1\Temp\SAS_SelfExtract\SASENUM.SYS File not found
DRV - (F-Secure Standalone Minifilter) -- C:\DOKUME~1\PAPAAD~1.000\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys File not found
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (SASDIFSV) -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Lokale Einstellungen\Temp\SAS_SelfExtract\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (SASKUTIL) -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Lokale Einstellungen\Temp\SAS_SelfExtract\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (pavboot) -- C:\WINDOWS\system32\drivers\pavboot.sys (Panda Security, S.L.)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (nm) -- C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (VX3000) -- C:\WINDOWS\system32\drivers\VX3000.sys (Microsoft Corporation)
DRV - (MIINPazX) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MInfraIS\MIINPazx.sys (T-Online International AG, Marmiko IT-Solutions GmbH)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (nvata) -- C:\WINDOWS\system32\DRIVERS\nvata.sys (NVIDIA Corporation)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)
DRV - (BrScnUsb) -- C:\WINDOWS\system32\drivers\BrScnUsb.sys (Brother Industries Ltd.)
DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys ()
DRV - (ms_mpu401) -- C:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaulturl: "http://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "www.google.de"


FF - HKLM\software\mozilla\Mozilla Firefox 3.0.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.12.05 18:31:07 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009.12.05 18:31:07 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Components: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\components [2010.07.18 11:40:02 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Plugins: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\plugins [2010.07.18 11:40:00 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.12\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2008.03.16 18:27:20 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.12\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.02.12 20:08:18 | 000,000,000 | ---D | M]

[2008.06.17 22:26:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Anwendungsdaten\Mozilla\Extensions
[2010.10.01 20:45:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Anwendungsdaten\Mozilla\Firefox\Profiles\7jznr3vv.default\extensions
[2009.10.26 22:13:44 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Anwendungsdaten\Mozilla\Firefox\Profiles\7jznr3vv.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.10.26 22:14:12 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.12.05 18:31:02 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.12.05 18:31:02 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.12.05 18:31:02 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.12.05 18:31:02 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.12.05 18:31:02 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2007.10.04 20:24:05 | 000,000,847 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [LifeCam] C:\Programme\Microsoft LifeCam\LifeExp.exe (Microsoft Corporation)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [VX3000] C:\WINDOWS\vVX3000.exe (Microsoft Corporation)
O4 - HKCU..\Run: [Messenger (Yahoo!)] C:\Programme\Yahoo!\Messenger\YahooMessenger.exe (Yahoo! Inc.)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.)
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab (Trend Micro ActiveX Scan Agent 6.6)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141978314656 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1142255579937 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab (ActiveScan 2.0 Installer Class)
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} http://support.f-secure.com/ols/fscax.cab (F-Secure Online Scanner 3.3)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (sockspy.dll) - File not found
O20 - AppInit_DLLs: (sockspy.dll) - File not found
O20 - AppInit_DLLs: (sockspy.dll) - File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\WRNotifier: DllName - WRLogonNTF.dll - File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.02.12 19:34:42 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.10.01 20:51:21 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Desktop\OTL.exe
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.10.01 20:51:22 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Desktop\OTL.exe
[2010.10.01 20:34:59 | 000,043,573 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.10.01 20:34:54 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.01 20:34:50 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.10.01 20:34:35 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.10.01 20:34:14 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.10.01 20:34:13 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.01 16:05:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.09.26 16:06:29 | 000,001,893 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2010.09.15 18:29:52 | 000,000,895 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.09.15 18:29:39 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.09.11 18:41:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.09.04 16:15:31 | 003,670,016 | ---- | M] () -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\NTUSER.DAT
[2010.09.04 16:15:31 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\ntuser.ini
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.09.26 16:06:29 | 000,001,893 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2009.08.26 21:20:25 | 000,000,823 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini
[2009.08.26 21:20:25 | 000,000,190 | ---- | C] () -- C:\WINDOWS\brpcfx.ini
[2009.08.26 21:20:12 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2009.08.26 21:20:11 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2009.08.26 21:16:41 | 000,031,664 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2009.01.27 21:09:24 | 000,015,498 | ---- | C] () -- C:\WINDOWS\VX3000.ini
[2008.11.06 18:37:32 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest
[2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest
[2008.11.06 18:33:02 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2008.04.10 23:18:28 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2008.04.10 23:15:57 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2008.03.31 20:14:56 | 000,000,280 | -HS- | C] () -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Anwendungsdaten\s0510.cfg
[2008.03.29 00:32:50 | 001,012,736 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2008.03.29 00:32:50 | 000,012,800 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll
[2008.02.19 08:33:34 | 000,446,352 | ---- | C] () -- C:\WINDOWS\System32\OpenQuicktimeLib.dll
[2008.01.11 22:36:14 | 000,262,144 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll
[2008.01.11 22:36:09 | 000,000,001 | ---- | C] () -- C:\WINDOWS\gaminon.dll
[2007.09.12 19:43:04 | 002,729,472 | ---- | C] () -- C:\WINDOWS\System32\fun_avcodec.dll
[2007.07.10 21:28:55 | 000,001,759 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2007.04.09 00:27:59 | 000,000,181 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2007.02.24 15:48:50 | 000,000,192 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2007.01.04 21:12:58 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\CNMVS66.DLL
[2006.07.20 23:20:40 | 000,684,032 | ---- | C] () -- C:\WINDOWS\libeay32.dll
[2006.07.20 23:20:40 | 000,155,648 | ---- | C] () -- C:\WINDOWS\ssleay32.dll
[2006.07.04 23:32:58 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2006.06.29 21:25:10 | 000,029,696 | ---- | C] () -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006.06.20 20:55:56 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI
[2006.04.15 19:27:10 | 005,156,864 | ---- | C] () -- C:\Programme\irfanview_plugins_398.exe
[2006.04.15 19:27:03 | 000,905,216 | ---- | C] () -- C:\Programme\iview398.exe
[2006.04.02 20:16:21 | 011,438,184 | ---- | C] () -- C:\Programme\zlsSetup_61_744_001_de.exe
[2006.03.31 21:46:20 | 005,651,080 | ---- | C] () -- C:\Programme\FirefoxGoogleToolbarSetup.exe
[2006.03.28 19:47:35 | 000,000,447 | ---- | C] () -- C:\WINDOWS\wcx_ftp.ini
[2006.03.28 19:42:52 | 000,000,442 | ---- | C] () -- C:\WINDOWS\wincmd.ini
[2006.03.24 22:22:07 | 000,000,323 | ---- | C] () -- C:\WINDOWS\doom3.ini
[2006.03.18 00:46:44 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2006.03.16 23:34:12 | 000,000,160 | ---- | C] () -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.03.16 23:19:50 | 000,000,211 | ---- | C] () -- C:\WINDOWS\uno.ini
[2006.03.16 23:19:46 | 000,287,744 | ---- | C] () -- C:\WINDOWS\uno364mi.dll
[2006.03.16 23:19:46 | 000,109,568 | ---- | C] () -- C:\WINDOWS\vos364mi.dll
[2006.03.16 23:19:46 | 000,091,648 | ---- | C] () -- C:\WINDOWS\osl364mi.dll
[2006.03.15 23:33:02 | 000,000,071 | ---- | C] () -- C:\WINDOWS\pex.INI
[2006.03.13 16:36:55 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.03.13 12:30:05 | 000,003,972 | ---- | C] () -- C:\WINDOWS\System32\drivers\PciBus.sys
[2006.03.09 18:02:37 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2006.03.09 18:02:35 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2006.03.09 17:57:49 | 000,000,269 | R--- | C] () -- C:\WINDOWS\System32\raidmgmt.ini
[2006.03.09 17:57:37 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2006.03.09 17:57:36 | 000,005,293 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2006.03.09 17:57:34 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2005.12.10 04:06:00 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2005.12.10 04:06:00 | 001,466,368 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2005.12.10 04:06:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2005.12.10 04:06:00 | 000,573,440 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2005.12.10 04:06:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2005.12.10 04:06:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2005.12.10 04:06:00 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI

[color=#E56717]========== LOP Check ==========[/color]

[2008.10.28 20:48:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg7
[2007.03.05 21:26:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DNGH2 Saves
[2008.03.29 00:32:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Droppix
[2008.11.18 21:46:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fotobuch.de AG
[2007.09.25 19:56:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
[2009.08.26 21:16:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2006.03.15 23:38:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2008.01.11 22:26:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2009.10.26 22:16:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2006.03.15 23:32:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2009.10.26 22:16:00 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
[2008.01.11 23:00:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Anwendungsdaten\BonkEnc
[2008.03.29 00:32:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Anwendungsdaten\Droppix
[2008.11.18 21:46:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Anwendungsdaten\fotobuch.de AG
[2006.03.16 23:22:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Anwendungsdaten\T-Online
[2007.09.11 20:40:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Anwendungsdaten\Thunderbird
[2006.07.02 00:05:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Anwendungsdaten\TuneUp Software

[color=#E56717]========== Purity Check ==========[/color]


< End of report >
Seitenanfang Seitenende
01.10.2010, 22:23
Moderator

Beiträge: 5694
#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:

Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf)

Lade Malwarebytes Anti-Malware (ca. 2 MB) von diesem Downloadspiegel herunter:

Malwarebytes


* Anwendbar auf Windows 2000, XP, Vista und Windows 7.
* Installiere das Programm in den vorgegebenen Pfad.
* Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
* Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
* Aktiviere "Komplett Scan durchführen" => Scan.
* Wähle alle verfügbaren Laufwerke aus und starte den Scan.
* Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
* Bei Funden in C:\System Volume Information den Haken entfernen.
Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
Er könnte jedoch trotz Malware noch gebraucht werden.
* Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen".
* Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
* Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
* Berichte, wie der Rechner nun läuft.

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.
Seitenanfang Seitenende
02.10.2010, 11:04
Member

Themenstarter

Beiträge: 125
#3 Hallo Swisstreasure,

Update von Malwarebytes schlug ständig fehl---> Fehler 732

Nase voll, dann eben gekickt und neu installiert, Scan läuft gerade.

Hier der Scan von Malwarebytes:

Code


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4733

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

2.10.2010 11:59:55
mbam-log-2010-10-02 (11-59-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 268565
Laufzeit: 41 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Mama Schatz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1BRDYFSI\nh[1].exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.


Hier schonmal der Scan von Gmer:

Code


GMER 1.0.15.15279 - http://www.gmer.net
Rootkit scan 2010-10-02 11:02:58
Windows 5.1.2600 Service Pack 3
Running: 7g93smp5.exe; Driver: C:\DOKUME~1\PAPAAD~1.000\LOKALE~1\Temp\uxloapod.sys


---- System - GMER 1.0.15 ----

SSDT   AA33C4A6                                                                                                                            ZwCreateKey
SSDT   AA33C49C                                                                                                                            ZwCreateThread
SSDT   AA33C4AB                                                                                                                            ZwDeleteKey
SSDT   AA33C4B5                                                                                                                            ZwDeleteValueKey
SSDT   AA33C4BA                                                                                                                            ZwLoadKey
SSDT   AA33C488                                                                                                                            ZwOpenProcess
SSDT   AA33C48D                                                                                                                            ZwOpenThread
SSDT   AA33C4C4                                                                                                                            ZwReplaceKey
SSDT   AA33C4BF                                                                                                                            ZwRestoreKey
SSDT   AA33C4B0                                                                                                                            ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                                            section is writeable [0xB861D360, 0x20598D, 0xE8000020]

---- User IAT/EAT - GMER 1.0.15 ----

IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW]                    [6113A3C6] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA]                      [6113A2F8] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                    [61139C6B] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW]                      [6113A338] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\USER32.dll [GDI32.dll!GetStockObject]                      [61139253] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]                   [6113A3C6] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA]                     [6113A2F8] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                   [61139C6B] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryW]                     [6113A338] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHLWAPI.dll [GDI32.dll!GetStockObject]                     [61139253] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA]                  [6113A378] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW]                  [6113A3C6] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW]                    [6113A338] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA]                    [6113A2F8] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                  [61139C6B] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DefWindowProcA]                    [61139882] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DefWindowProcW]                    [61139882] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!GetSysColor]                       [61139196] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TrackPopupMenu]                    [6113911A] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TrackPopupMenuEx]                  [61139158] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHELL32.dll [GDI32.dll!GetStockObject]                     [61139253] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]                    [6113A2F8] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW]                    [6113A338] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]                  [61139C6B] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW]                  [6113A3C6] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExA]                  [6113A378] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!AnimateWindow]                     [61139291] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TrackPopupMenuEx]                  [61139158] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!DefWindowProcA]                    [61139882] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetSysColor]                       [61139196] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!DefWindowProcW]                    [61139882] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetSysColorBrush]                  [61139259] C:\Programme\Yahoo!\Messenger\yui.dll
IAT    C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe[2724] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TrackPopupMenu]                    [6113911A] C:\Programme\Yahoo!\Messenger\yui.dll

---- Registry - GMER 1.0.15 ----

Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{78778B78-AB93-06A8-2320-81715DF1E9C6}                    
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{78778B78-AB93-06A8-2320-81715DF1E9C6}@haichajffjbjiijl    0x6A 0x61 0x67 0x6C ...
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{78778B78-AB93-06A8-2320-81715DF1E9C6}@iaccjamnpbgioggdcp  0x6A 0x61 0x67 0x6C ...

---- EOF - GMER 1.0.15 ----
Dieser Beitrag wurde am 02.10.2010 um 12:02 Uhr von Abbo editiert.
Seitenanfang Seitenende
02.10.2010, 12:06
Member

Themenstarter

Beiträge: 125
#4 ...jetzt wirds lustig, gerade poppt Avira wieder auf:

Code


In der Datei 'C:\Dokumente und Einstellungen\Papa Internet\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\humourMake.class-45659b6f-12c2dd24.class'
wurde ein Virus oder unerwünschtes Programm 'JAVA/Clagent.BJ' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\Dokumente und Einstellungen\Papa Internet\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\humourMake.class-45659b6f-12c2dd24.class'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Clagent.BJ' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f99a3a9.qua' verschoben!
Seitenanfang Seitenende
02.10.2010, 22:15
Moderator

Beiträge: 5694
#5 Schritt 1

System mit Windows-eigenen Mitteln bereinigen


Datenträger bereinigen


• Start => ausführen => cleanmgr (reinschreiben) => OK
• Wähle das zu bereinigende Laufwerk aus => OK
• "Datenträger bereinigen"-Fenster öffnet sich. Es wird berechnet, wieviel Platz freigemacht werden kann.
• Es öffnet sich das Fenster mit den zu löschenden Dateien.
• Bei den zu löschenden Bereichen einen Haken machen.
• Vergewissere Dich, dass Temporary Files, Temporary Internet Files und Papierkorb geleert werden => OK



Temporäre Ordner bereinigen

• Start => ausführen => temp (reinschreiben) => OK
• Es öffnet sich der Windows-Explorer mit dem Verzeichnis
=> den Inhalt manuell löschen
Damit hast Du den Inhalt von C:\Windows\Temp gelöscht
• START => ausführen => %temp% (reinschreiben) => OK
• Es öffnet sich der Windows-Explorer mit dem Verzeichnis
=> den Inhalt manuell löschen
Damit hast Du den Inhalt der temporären Dateien Deines Benutzerkontos gelöscht.



IE Cache leeren

• Start => Systemsteuerung => Internetoptionen
• Reiter Allgemein => Browserverlauf => löschen
• Temporäre Internetdateien, Cookies und Verlauf löschen



Firefox Cache leeren

• Firefox starten => Extras => Einstellungen
• Erweitert => Netzwerk => Bei Offline-Speicher auf Jetzt leeren klicken
• Firefox beenden.



Temporäre Java-Dateien löschen

• Schließe alle Browser
• Öffne Start => Systemsteuerung => Java
• Unter dem Reiter "Allgemein" => Temporäre Internet-Dateien
• Einstellungen => Dateien löschen => OK


Wenn gemeldet wird, dass einzelne Dateien nicht gelöscht werden konnten, weil sie in Gebrauch sind, ist das in Ordnung.


Schritt 2

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte
während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking
und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.


Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button drücken.Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde

• Klicke Finish.• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
Seitenanfang Seitenende
03.10.2010, 18:02
Member

Themenstarter

Beiträge: 125
#6 Hallo Swiss,
alle gewünschten Caches und Temps gelöscht.

Hier der Scan von ESET:

Code


ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=197ce91cfac03a458f018e3375929713
# end=stopped
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-10-03 10:22:11
# local_time=2010-10-03 12:22:11 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 26229017 26229017 0 0
# compatibility_mode=1797 16775125 100 100 585416 60997772 587256 0
# compatibility_mode=8192 67108863 100 0 83 83 0 0
# scanned=8323
# found=0
# cleaned=0
# scan_time=125
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=197ce91cfac03a458f018e3375929713
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-10-03 11:22:06
# local_time=2010-10-03 01:22:06 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 26229200 26229200 0 0
# compatibility_mode=1797 16775125 100 100 585599 60997955 587439 0
# compatibility_mode=8192 67108863 100 0 266 266 0 0
# scanned=81940
# found=1
# cleaned=1
# scan_time=3555
C:\Dokumente und Einstellungen\Papa Admin.PC-MAERZDORF.000\Desktop\eac-0.99pb5.exe    a variant of Win32/Adware.ADON application (deleted - quarantined)    00000000000000000000000000000000    C
Seitenanfang Seitenende
03.10.2010, 21:27
Moderator

Beiträge: 5694
#7 Komplettscan mit Antivir machen

AntiVir so einstellen, dass nur noch wichtige Ereignisse geloggt werden:

Rechte Maustaste auf den AntiVir-Schirm unten rechts in der Leiste => Antivir konfigurieren => einen Haken bei "Experten-Modus" machen => Scanner aufklappen => Report auf "Standard" umstellen" => Guard aufklappen => Report auf "Standard" umstellen => mit OK AntiVir schließen.

Fullscan mit Antivir machen

Aktualisiere die Signaturen (Rechtsklick auf den Schirm => Update starten).

Mache nun einen vollständigen Systemscan Deines Rechners mit Antivir und poste mir den Bericht hier in den Thread. Bitte die Serien-Nummer unkenntlich machen.

Bericht in AntiVir finden

Du kommst wie folgt an den Bericht: Antivir über Doppelklick auf den Schirm unten rechts starten => den Reiter "Berichte" anklicken => Doppelklick auf den Bericht namens "Suchlauf" => in dem aufpoppenden Fenster auf "Report" klicken => es öffnet sich Dein Editor => im Editor mit Tastenkombination STRG + A den Text markieren => mit STRG + C den Text ins Clipboard kopieren => mit STRG + V den Text hier reinkopieren. Bitte im Logfile Deine Seriennummer unkenntlich machen.
Seitenanfang Seitenende
04.10.2010, 20:25
Member

Themenstarter

Beiträge: 125
#8 Hallo Swisstreasure,

hier kommt der Report von Avira-Scan:

Code




Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 4. Oktober 2010  19:31

Es wird nach 2901008 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : XXXXXXXXXXXXX
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : PC-MAERZDORF

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes   19.4.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes    1.4.2010 11:37:35
AVSCAN.DLL     : 10.0.3.0       56168 Bytes   30.3.2010 10:42:16
LUKE.DLL       : 10.0.2.3      104296 Bytes    7.3.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes   14.1.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes   6.11.2009 14:09:17
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 19:04:43
VBASE002.VDF   : 7.10.3.1     3143680 Bytes   20.1.2010 20:20:44
VBASE003.VDF   : 7.10.3.75     996864 Bytes   26.1.2010 08:22:37
VBASE004.VDF   : 7.10.4.203   1579008 Bytes    5.3.2010 18:24:00
VBASE005.VDF   : 7.10.6.82    2494464 Bytes   15.4.2010 10:14:29
VBASE006.VDF   : 7.10.7.218   2294784 Bytes    2.6.2010 16:49:04
VBASE007.VDF   : 7.10.9.165   4840960 Bytes   23.7.2010 10:30:44
VBASE008.VDF   : 7.10.11.133  3454464 Bytes   13.9.2010 13:00:45
VBASE009.VDF   : 7.10.11.134     2048 Bytes   13.9.2010 13:00:45
VBASE010.VDF   : 7.10.11.135     2048 Bytes   13.9.2010 13:00:46
VBASE011.VDF   : 7.10.11.136     2048 Bytes   13.9.2010 13:00:46
VBASE012.VDF   : 7.10.11.137     2048 Bytes   13.9.2010 13:00:46
VBASE013.VDF   : 7.10.11.165   172032 Bytes   15.9.2010 18:41:43
VBASE014.VDF   : 7.10.11.202   144384 Bytes   18.9.2010 18:41:43
VBASE015.VDF   : 7.10.11.231   129024 Bytes   21.9.2010 06:29:53
VBASE016.VDF   : 7.10.12.4     126464 Bytes   23.9.2010 06:29:53
VBASE017.VDF   : 7.10.12.38    146944 Bytes   27.9.2010 17:23:08
VBASE018.VDF   : 7.10.12.64    133120 Bytes   29.9.2010 17:23:08
VBASE019.VDF   : 7.10.12.99    134144 Bytes   1.10.2010 17:23:08
VBASE020.VDF   : 7.10.12.100     2048 Bytes   1.10.2010 17:23:08
VBASE021.VDF   : 7.10.12.101     2048 Bytes   1.10.2010 17:23:08
VBASE022.VDF   : 7.10.12.102     2048 Bytes   1.10.2010 17:23:08
VBASE023.VDF   : 7.10.12.103     2048 Bytes   1.10.2010 17:23:08
VBASE024.VDF   : 7.10.12.104     2048 Bytes   1.10.2010 17:23:08
VBASE025.VDF   : 7.10.12.105     2048 Bytes   1.10.2010 17:23:08
VBASE026.VDF   : 7.10.12.106     2048 Bytes   1.10.2010 17:23:08
VBASE027.VDF   : 7.10.12.107     2048 Bytes   1.10.2010 17:23:08
VBASE028.VDF   : 7.10.12.108     2048 Bytes   1.10.2010 17:23:08
VBASE029.VDF   : 7.10.12.109     2048 Bytes   1.10.2010 17:23:08
VBASE030.VDF   : 7.10.12.110     2048 Bytes   1.10.2010 17:23:08
VBASE031.VDF   : 7.10.12.118    91648 Bytes   4.10.2010 17:23:08
Engineversion  : 8.2.4.72  
AEVDF.DLL      : 8.1.2.1       106868 Bytes    2.8.2010 10:30:48
AESCRIPT.DLL   : 8.1.3.45     1368443 Bytes   19.9.2010 18:41:47
AESCN.DLL      : 8.1.6.1       127347 Bytes   16.5.2010 16:31:33
AESBX.DLL      : 8.1.3.1       254324 Bytes    3.5.2010 10:14:32
AERDL.DLL      : 8.1.9.2       635252 Bytes   24.9.2010 06:29:54
AEPACK.DLL     : 8.2.3.7       471413 Bytes   19.9.2010 18:41:46
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes    2.8.2010 10:30:47
AEHEUR.DLL     : 8.1.2.30     2941303 Bytes   4.10.2010 17:23:10
AEHELP.DLL     : 8.1.13.4      242038 Bytes   26.9.2010 13:12:04
AEGEN.DLL      : 8.1.3.23      401779 Bytes   4.10.2010 17:23:09
AEEMU.DLL      : 8.1.2.0       393588 Bytes    3.5.2010 10:14:30
AECORE.DLL     : 8.1.17.0      196982 Bytes   26.9.2010 13:12:04
AEBB.DLL       : 8.1.1.0        53618 Bytes    3.5.2010 10:14:30
AVWINLL.DLL    : 10.0.0.0       19304 Bytes   14.1.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes   14.1.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes   18.2.2010 15:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes    1.4.2010 11:35:44
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes    1.4.2010 11:39:49
AVARKT.DLL     : 10.0.0.14     227176 Bytes    1.4.2010 11:22:11
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes   26.1.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes   28.1.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes   16.3.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes   19.2.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes   28.1.2010 12:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes    9.4.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 4. Oktober 2010  19:31

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'ymsgr_tray.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcmon.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'brccMCtl.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'WZQKPICK.EXE' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcWnd.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'vVX3000.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSCamS32.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1429' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
Beginne mit der Suche in 'D:\' <Daten>


Ende des Suchlaufs: Montag, 4. Oktober 2010  20:21
Benötigte Zeit: 50:19 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  11220 Verzeichnisse wurden überprüft
404894 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
404894 Dateien ohne Befall
   1971 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
340570 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
Seitenanfang Seitenende
04.10.2010, 21:48
Moderator

Beiträge: 5694
#9 Noch Fragen?
Seitenanfang Seitenende
05.10.2010, 09:30
Member

Themenstarter

Beiträge: 125
#10 Guten Morgen,

Du willst mir sicher damit sagen, das der Rechner wieder sauber ist oder garnicht schmutzig
war ? ;-)

Gruss Abbo
Seitenanfang Seitenende
05.10.2010, 13:20
Moderator

Beiträge: 5694
#11 Da hat sich womöglich etwas in der Systemwiederherstellung verfangen. Nichtt weiter schlimm.

Mach denoch 2-3 Onlinescans:
http://forum.hijackthis.de/allgemeines/25893-kostenlose-online-scanner.html
Seitenanfang Seitenende
06.10.2010, 22:31
Member

Themenstarter

Beiträge: 125
#12 Hallo Swisstreasure,

Danke nochmal für den Tip mit den Online-Scans.

Bitdefender= kein Fund

Panda= läuft schon seit über 2 Stunden = 7 infizierte Dateien!!!

Werde Panda die ganze mal die ganze Nacht durchlaufen lassen. Zur Sicherheit gerade den AVIRA-Guard angeschaltet. Wen AVIRA das Ergebnis verfälschen sollte, mach ich es eben nochmal.

Den Report poste ich dann morgen.

Gruss Abbo
Seitenanfang Seitenende
06.10.2010, 23:35
Moderator

Beiträge: 5694
#13 Ja Funde können auch Cookies sein ;)

Poste mir dann das Log.
Seitenanfang Seitenende
07.10.2010, 07:44
Member

Themenstarter

Beiträge: 125
#14 ...und hier der Report von
[Code)
;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-10-07 07:40:51
PROTECTIONS: 2
MALWARE: 4
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes
AntiVir Desktop 10.0.1.44 No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\dokumente und einstellungen\papa internet\cookies\papa internet@adtech[2].txt
00170554 Cookie/Overture TrackingCookie No 0 Yes No c:\dokumente und einstellungen\mama schatz\cookies\mama schatz@overture[1].txt
03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\dokumente und einstellungen\mama schatz\lokale einstellungen\temporary internet files\content.ie5\h5idr4gf\ni[1].exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\system volume information\_restore{65987397-90c2-4f60-a3bf-9c55be04dcc6}\rp899\a0130099.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\system volume information\_restore{65987397-90c2-4f60-a3bf-9c55be04dcc6}\rp905\a0130358.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\dokumente und einstellungen\mama schatz\lokale einstellungen\temporary internet files\content.ie5\h5idr4gf\ng[1].exe
05922253 Adware/AdOnDemand Adware No 0 No No c:\system volume information\_restore{65987397-90c2-4f60-a3bf-9c55be04dcc6}\rp903\a0130343.exe[ebay_shortcuts_1026.exe][ebayshortcuts.exe]
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================
[/Code)
Seitenanfang Seitenende
07.10.2010, 16:15
Moderator

Beiträge: 5694
#15 Das ist noch in der Systemwiederherstellung.

Schritt 1

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.

Schritt 2

Erstelle einen neuen Systemwiederherstellungspunkt

Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).
• Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
• Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.
Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: