AcroIEHe....DLL Trojaner in System32

#1 Hallo,

mein AVIRA meldet gerade:
In der Datei C:\WINDOWS\system32\AcroIEHelpe.dll wurde ein Virus oder unerwünschtes Program 'TR/Agent.AOXU' gefunden. Der Zugriff auf diese Datei wurde verweigert.

Soll/darf ich Avira erlauben, die Datei zu löschen?
Ist DIESE Aktion bei dieser Art Virus/Trojaner ausreichend.

Bevor mir dei Standardprozedur empfohlen wird, wüsste ich gern, wie ich die Frage von Avira nach der durchzuführenden Aktion ebatnworten soll.

Vielen dank

Ingo.

#2 Du hast Dir einen Banker Trojaner aufgegabellt.

Backdoor Warnung

Da Dein Computer mit einer sog. Backdoor (Hintertür) infiziert ist, lies Dir diesen Beitrag sehr aufmerksam durch. Eine Backdoor versteckt sich durch ein Rootkit. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen.

Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädling kann alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch Mitloggen der Tastatur-Eingaben ausspionieren. Mit diesem System auf keinen Fall mehr Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen.

Bitte trenne den Computer während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit eine Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen.

Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet.

Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss.

Zitat

Da der Computer aktuell als komprimitiert eingestuft wird, unbedingt den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Mit diesem Computer keinesfalls Online-Banking, Filesharing, Mailing oder Messaging betreiben.
Keine Up- und Downloads, außer auf Security-Seiten.
Alle auf diesem System gespeicherten Passwörter von einem garantiert sauberen Rechner aus durch neue ersetzen.
Mehr Information zum Thema, siehe auch System-Sicherheit

#3

Zitat

Swisstreasure postete
Du hast Dir einen Banker Trojaner aufgegabellt.

Backdoor Warnung

Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen.

Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss.

Hallo Swisstreasure,

ich würde es gern versuchen.

Gruß Ingo.

#4 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

#5 Hallo Swisstreasure,

Combofix laüft gerade. Es hat nur der Bleeping-Computer-Link funktioniert, der andere nicht. Beim nun (notwendigen) Start des Internetexplorers konnte ich im Taskmanager beobachten, wie 2 Instanzen desselben aktiv waren, obwohl nur ein Fenster geöffnet war. Nach dem Schließen des IE waren auch beide Instanzen wieder weg. Es war zuvor nur eine Registerkarte in einem Fenster auf.
Versuche ich Firefox zu nutzen, so verbraucht Firefox direkt nach seinem Start zunehmend Speicherplatz (bis 100MB) auch ohne dass eine Seite angewählt wurde (Leeres Fenster mit about: blank).

Gruß Ingo - Combofix-log folgt gleich (PC startet gerade durch).

#6

Code

ComboFix 12-07-25.04 - ingo 24.07.2012  22:50:16.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1411 [GMT 2:00]
ausgeführt von:: C:\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Thumbs.db
c:\windows\system32\kock
c:\windows\system32\UAs
c:\windows\system32\UAs\IEXPLORE.EXE_UAs001.dat
c:\windows\system32\UAs\IEXPLORE.EXE_UAs002.dat
c:\windows\system32\UAs\IEXPLORE.EXE_UAs003.dat
c:\windows\system32\UAs\OUTLOOK.EXE_UAs001.dat
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-06-24 bis 2012-07-24  ))))))))))))))))))))))))))))))
.
.
2012-07-21 22:19 . 2012-07-21 22:19    264    ----a-w-    c:\windows\system32\srvblck5.tmp
2012-07-21 08:06 . 2012-07-21 08:09    --------    d-----w-    C:\_____
2012-07-14 22:35 . 2012-07-23 17:18    --------    d-----w-    C:\abbsw
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-03 11:46 . 2010-12-10 19:23    22344    ----a-w-    c:\windows\system32\drivers\mbam.sys
2012-06-19 19:11 . 2012-04-11 17:21    426184    ----a-w-    c:\windows\system32\FlashPlayerApp.exe
2012-06-19 19:11 . 2011-05-18 05:54    70344    ----a-w-    c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-19 05:32 . 2012-06-19 05:32    5364838    ----a-w-    C:\SPC_Clubinfo_226.zip
2012-06-19 05:32 . 2012-06-19 05:32    2821056    ----a-w-    C:\SPC_Clubinfo_227.zip
2012-06-19 05:32 . 2012-06-19 05:32    4413804    ----a-w-    C:\SPC_Clubinfo_228.zip
2012-06-19 05:31 . 2012-06-19 05:31    7400899    ----a-w-    C:\SPC_Clubinfo_229.zip
2012-06-07 21:35 . 2012-06-07 21:35    23563    ----a-w-    C:\Nebulus.tap.zip
2012-06-04 15:35 . 2009-10-29 19:36    210968    ----a-w-    c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2009-10-29 19:36    329240    ----a-w-    c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2009-10-29 19:36    219160    ----a-w-    c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-08-06 18:24    18456    ----a-w-    c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-10-29 19:36    53784    ----a-w-    c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2009-08-06 18:24    15896    ----a-w-    c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2006-02-28 12:00    97304    ----a-w-    c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-08-06 18:24    23576    ----a-w-    c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2009-10-29 19:36    1933848    ----a-w-    c:\windows\system32\wuaueng.dll
2012-06-01 21:36 . 2012-06-01 21:36    8097    ----a-w-    C:\LOGO_Pgm.zip
2012-05-31 13:22 . 2006-02-28 12:00    604160    ----a-w-    c:\windows\system32\crypt32.dll
2012-05-14 19:04 . 2012-05-14 19:04    160918    ----a-w-    C:\spectrum.zip
2012-05-07 19:58 . 2012-05-07 19:58    1684379    ----a-w-    C:\Mediathek.zip
2012-05-05 15:26 . 2012-05-04 22:29    256073    ----a-w-    C:\Anja_show.exe
2012-04-27 08:20 . 2012-06-12 19:23    137928    ----a-w-    c:\windows\system32\drivers\avipbb.sys
2012-04-26 20:01 . 2012-04-26 20:01    1565569    ----a-w-    C:\SpecOS.zip
2012-07-23 17:03 . 2012-06-16 06:01    136672    ----a-w-    c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-06-12_19.03.39   )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-07-24 20:57 . 2012-07-24 20:57    16384              c:\windows\Temp\Perflib_Perfdata_630.dat
+ 2011-02-19 21:03 . 2011-02-19 21:03    51024              c:\windows\system32\vcomp100.dll
- 2010-03-18 07:15 . 2010-03-18 07:15    51024              c:\windows\system32\vcomp100.dll
+ 2012-07-24 19:10 . 2012-06-02 13:19    45080              c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.6.7600.256\wups2.dll
+ 2012-07-24 19:10 . 2012-06-02 13:19    35864              c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.6.7600.256\wups.dll
+ 2006-02-28 12:00 . 2012-07-21 08:01    89124              c:\windows\system32\perfc009.dat
+ 2011-02-19 21:03 . 2011-02-19 21:03    81744              c:\windows\system32\mfcm100u.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03    81744              c:\windows\system32\mfcm100.dll
- 2010-03-18 07:15 . 2010-03-18 07:15    60752              c:\windows\system32\mfc100rus.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03    60752              c:\windows\system32\mfc100rus.dll
- 2010-03-18 07:15 . 2010-03-18 07:15    43344              c:\windows\system32\mfc100kor.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03    43344              c:\windows\system32\mfc100kor.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03    43856              c:\windows\system32\mfc100jpn.dll
- 2010-03-18 07:15 . 2010-03-18 07:15    43856              c:\windows\system32\mfc100jpn.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03    62288              c:\windows\system32\mfc100ita.dll
- 2010-03-18 07:15 . 2010-03-18 07:15    62288              c:\windows\system32\mfc100ita.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03    64336              c:\windows\system32\mfc100fra.dll
- 2010-03-18 07:15 . 2010-03-18 07:15    64336              c:\windows\system32\mfc100fra.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03    63824              c:\windows\system32\mfc100esn.dll
- 2010-03-18 07:15 . 2010-03-18 07:15    63824              c:\windows\system32\mfc100esn.dll
- 2010-03-18 07:15 . 2010-03-18 07:15    55120              c:\windows\system32\mfc100enu.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03    55120              c:\windows\system32\mfc100enu.dll
- 2010-03-18 07:15 . 2010-03-18 07:15    64336              c:\windows\system32\mfc100deu.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03    64336              c:\windows\system32\mfc100deu.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03    36176              c:\windows\system32\mfc100cht.dll
- 2010-03-18 07:15 . 2010-03-18 07:15    36176              c:\windows\system32\mfc100cht.dll
- 2010-03-18 07:15 . 2010-03-18 07:15    36176              c:\windows\system32\mfc100chs.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03    36176              c:\windows\system32\mfc100chs.dll
- 2009-12-05 00:53 . 2009-05-11 07:12    28520              c:\windows\system32\drivers\ssmdrv.sys
+ 2012-06-12 19:23 . 2010-06-17 13:14    28520              c:\windows\system32\drivers\ssmdrv.sys
+ 2012-06-12 19:23 . 2012-04-16 19:17    36000              c:\windows\system32\drivers\avkmgr.sys
+ 2012-06-12 19:23 . 2012-04-24 22:32    83392              c:\windows\system32\drivers\avgntflt.sys
+ 2009-10-29 19:36 . 2012-06-02 13:19    53784              c:\windows\system32\dllcache\wuauclt.exe
+ 2006-02-28 12:00 . 2012-06-02 13:19    97304              c:\windows\system32\dllcache\cdm.dll
+ 2009-10-29 19:47 . 2012-07-24 17:06    32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2009-10-29 19:47 . 2010-06-23 20:56    32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2009-10-29 19:47 . 2010-06-23 20:56    16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2012-07-24 17:06 . 2012-07-24 17:06    16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2012-06-02 13:19 . 2012-06-02 13:19    45080              c:\windows\SoftwareDistribution\WebSetup\wups2.dll
+ 2012-06-02 13:19 . 2012-06-02 13:19    35864              c:\windows\SoftwareDistribution\WebSetup\wups.dll
+ 2012-06-02 13:19 . 2012-06-02 13:19    53784              c:\windows\SoftwareDistribution\WebSetup\wuauclt.exe
+ 2012-06-02 13:19 . 2012-06-02 13:19    97304              c:\windows\SoftwareDistribution\WebSetup\cdm.dll
- 2009-12-17 12:59 . 2011-04-16 19:43    23040              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\unbndico.exe
+ 2009-12-17 12:59 . 2012-07-21 07:57    23040              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\unbndico.exe
+ 2009-12-17 12:59 . 2012-07-21 07:57    61440              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\pubs.exe
- 2009-12-17 12:59 . 2011-04-16 19:43    61440              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\pubs.exe
- 2009-12-17 12:59 . 2011-04-16 19:43    27136              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\oisicon.exe
+ 2009-12-17 12:59 . 2012-07-21 07:57    27136              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\oisicon.exe
+ 2009-12-17 12:59 . 2012-07-21 07:57    11264              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\mspicons.exe
- 2009-12-17 12:59 . 2011-04-16 19:43    11264              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\mspicons.exe
+ 2009-12-17 12:59 . 2012-07-21 07:57    86016              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\inficon.exe
- 2009-12-17 12:59 . 2011-04-16 19:43    86016              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\inficon.exe
- 2009-12-17 12:59 . 2011-04-16 19:43    12288              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\cagicon.exe
+ 2009-12-17 12:59 . 2012-07-21 07:57    12288              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\cagicon.exe
+ 2012-01-03 08:45 . 2012-01-03 08:45    16832              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\ViewerPS.dll
+ 2012-01-03 21:51 . 2012-01-03 21:51    37296              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\reader_sl.exe
+ 2012-01-03 08:44 . 2012-01-03 08:44    79280              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\PDFPrevHndlr.dll
+ 2012-01-03 21:15 . 2012-01-03 21:15    99776              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\eula.exe
+ 2012-01-03 20:52 . 2012-01-03 20:52    27048              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\acrotextextractor.exe
+ 2012-01-03 07:19 . 2012-01-03 07:19    16824              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\AcroRd32Info.exe
+ 2012-01-03 07:16 . 2012-01-03 07:16    75200              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\acroiehelpershim.dll
+ 2012-01-03 07:16 . 2012-01-03 07:16    61888              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\AcroIEHelper.dll
- 2009-12-17 12:59 . 2011-04-16 19:43    4096              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\opwicon.exe
+ 2009-12-17 12:59 . 2012-07-21 07:57    4096              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\opwicon.exe
+ 2012-07-24 19:10 . 2012-06-02 13:19    577048              c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wuapi.dll\7.6.7600.256\wuapi.dll
+ 2006-02-28 12:00 . 2012-07-21 08:01    505660              c:\windows\system32\perfh009.dat
+ 2006-02-28 12:00 . 2012-07-21 08:01    531046              c:\windows\system32\perfh007.dat
+ 2006-02-28 12:00 . 2012-07-21 08:01    106658              c:\windows\system32\perfc007.dat
- 2009-10-31 11:43 . 2012-06-07 21:40    207248              c:\windows\system32\nvModes.dat
+ 2009-10-31 11:43 . 2012-07-13 00:29    207248              c:\windows\system32\nvModes.dat
+ 2011-02-18 22:40 . 2011-02-18 22:40    773968              c:\windows\system32\msvcr100.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03    421200              c:\windows\system32\msvcp100.dll
- 2010-03-18 07:15 . 2010-03-18 07:15    421200              c:\windows\system32\msvcp100.dll
+ 2012-06-19 19:11 . 2012-06-19 19:11    686280              c:\windows\system32\Macromed\Flash\FlashUtil32_11_3_300_257_ActiveX.exe
+ 2012-06-19 19:11 . 2012-06-19 19:11    465096              c:\windows\system32\Macromed\Flash\FlashUtil32_11_3_300_257_ActiveX.dll
+ 2012-04-11 17:21 . 2012-06-19 19:11    257224              c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
+ 2009-10-29 19:24 . 2012-07-21 08:01    278944              c:\windows\system32\FNTCACHE.DAT
- 2009-10-29 19:24 . 2012-05-12 22:59    278944              c:\windows\system32\FNTCACHE.DAT
+ 2009-10-29 19:36 . 2012-06-04 15:35    210968              c:\windows\system32\dllcache\wuweb.dll
+ 2009-10-29 19:36 . 2012-06-02 13:19    329240              c:\windows\system32\dllcache\wucltui.dll
- 2010-03-18 07:15 . 2010-03-18 07:15    138056              c:\windows\system32\atl100.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03    138056              c:\windows\system32\atl100.dll
+ 2012-06-02 13:19 . 2012-06-02 13:19    329240              c:\windows\SoftwareDistribution\WebSetup\wucltui.dll
+ 2012-06-02 13:19 . 2012-06-02 13:19    577048              c:\windows\SoftwareDistribution\WebSetup\wuapi.dll
+ 2012-06-12 19:18 . 2012-06-12 19:18    160768              c:\windows\Installer\57ce1.msi
+ 2009-12-17 12:59 . 2012-07-21 07:57    409600              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\xlicons.exe
- 2009-12-17 12:59 . 2011-04-16 19:43    409600              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\xlicons.exe
- 2009-12-17 12:59 . 2011-04-16 19:43    286720              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\wordicon.exe
+ 2009-12-17 12:59 . 2012-07-21 07:57    286720              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\wordicon.exe
+ 2009-12-17 12:59 . 2012-07-21 07:57    249856              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\pptico.exe
- 2009-12-17 12:59 . 2011-04-16 19:43    249856              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\pptico.exe
+ 2009-12-17 12:59 . 2012-07-21 07:57    794624              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\outicon.exe
- 2009-12-17 12:59 . 2011-04-16 19:43    794624              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\outicon.exe
- 2009-12-17 12:59 . 2011-04-16 19:43    135168              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\misc.exe
+ 2009-12-17 12:59 . 2012-07-21 07:57    135168              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\misc.exe
+ 2009-12-17 12:59 . 2012-07-21 07:57    593920              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\accicons.exe
- 2009-12-17 12:59 . 2011-04-16 19:43    593920              c:\windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\accicons.exe
+ 2012-01-03 07:23 . 2012-01-03 07:23    378264              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\pdfshell.dll
+ 2012-01-03 08:44 . 2012-01-03 08:44    116168              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\PDFPrevHndlrShim.exe
+ 2012-01-03 07:22 . 2012-01-03 07:22    103864              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\nppdf32.dll
+ 2012-01-03 08:43 . 2012-01-03 08:43    550360              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\AdobeCollabSync.exe
+ 2012-01-03 07:40 . 2012-01-03 07:40    120240              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\AcroRdIF.dll
+ 2012-01-03 21:50 . 2012-01-03 21:50    357808              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\AcroRd32.exe
+ 2012-01-03 07:16 . 2012-01-03 07:16    665008              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\AcroPDF.dll
+ 2012-01-03 08:38 . 2012-01-03 08:38    280024              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\acrobroker.exe
+ 2012-01-03 08:08 . 2012-01-03 08:08    251296              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\a3dutility.exe
+ 2011-02-19 21:03 . 2011-02-19 21:03    4422992              c:\windows\system32\mfc100u.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03    4397384              c:\windows\system32\mfc100.dll
+ 2009-10-29 19:36 . 2012-06-02 13:19    1933848              c:\windows\system32\dllcache\wuaueng.dll
+ 2012-06-02 13:19 . 2012-06-02 13:19    1933848              c:\windows\SoftwareDistribution\WebSetup\wuaueng.dll
+ 2012-03-27 15:47 . 2012-03-27 15:47    4959232              c:\windows\Installer\961f2.msp
+ 2012-01-03 07:18 . 2012-01-03 07:18    2405784              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\rt3d.dll
+ 2011-11-17 15:50 . 2011-11-17 15:50    6543872              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\authplay.dll
+ 2012-01-03 21:15 . 2012-01-03 21:15    20559288              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B7449A0500000010\9.5.0\AcroRd32.dll
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"AccelerometerSysTrayApplet"="c:\windows\system32\AccelerometerSt.exe" [2006-01-16 53248]
"PTHOSTTR"="c:\programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2006-02-14 122880]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-10 761945]
"Cpqset"="c:\programme\HPQ\Default Settings\cpqset.exe" [2006-02-22 40960]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-08-31 122940]
"hpWirelessAssistant"="c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-02-14 454656]
"QlbCtrl"="c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-02 131072]
"WatchDog"="c:\programme\InterVideo\DVD Check\DVDCheck.exe" [2005-11-08 184320]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-08-23 8478720]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-08-23 81920]
"nwiz"="nwiz.exe" [2007-08-23 1626112]
"Recguard"="c:\windows\Sminst\Recguard.exe" [2005-12-20 1187840]
"Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-01-23 802816]
"Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-02-15 892928]
"HP Software Update"="c:\programme\Hp\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-11-10 417792]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-01-11 198160]
"PDFPrint"="c:\programme\PDFDrucker\PDFPrintBackend.exe" [2005-07-03 71080]
"EPSON Stylus Photo RX500"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE" [2003-09-12 99840]
"WheelMouse"="c:\advanc~1\wh_exec.exe" [2008-02-21 98304]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-05-01 348624]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-2-15 581693]
DVD Check.lnk - c:\programme\InterVideo\DVD Check\DVDCheck.exe [2009-10-29 184320]
WISO Mein Steuer-Sparbuch heute.lnk - c:\programme\WISO\Steuersoftware 2011\mshaktuell.exe [2010-12-21 1302640]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]
2005-08-19 13:52    389120    ----a-w-    c:\windows\system32\IfxWlxEN.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\SMINST\\Scheduler.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\totalcmd\\TOTALCMD.EXE"=
"c:\\Programme\\Mozilla Firefox\\plugin-container.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Atmel\\AVR Studio 5.0\\AVRStudio.exe"=
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [24.05.2010 11:15 64288]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [12.06.2012 21:23 36000]
R1 PersonalSecureDrive;PersonalSecureDrive;c:\windows\system32\drivers\psd.sys [25.10.2005 20:10 35488]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.06.2012 21:23 86224]
R2 io.sys;IO.DLL Driver;c:\windows\system32\drivers\io.sys [22.10.2010 16:35 5152]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [22.04.2011 14:21 92592]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [29.10.2009 22:15 87936]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [10.06.2005 15:26 35968]
S2 ALL100;Hi-Lo Systems -- ALL-100 USB Device Driver (ALL100.SYS);c:\windows\system32\drivers\ALL100.sys [04.11.2011 22:09 8960]
S3 cpuz134;cpuz134;\??\c:\dokume~1\ingo\LOKALE~1\Temp\cpuz134\cpuz134_x32.sys --> c:\dokume~1\ingo\LOKALE~1\Temp\cpuz134\cpuz134_x32.sys [?]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [04.02.2010 17:52 1352832]
S3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [30.01.2010 01:05 28672]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [16.06.2012 08:02 113120]
S3 oad;Visibroker Activation Daemon;c:\progra~1\Borland\vbroker\bin\oad.exe [09.01.2010 15:38 1781248]
S3 osagent;VisiBroker Smart Agent;c:\progra~1\Borland\vbroker\bin\osagent.exe [09.01.2010 15:38 193536]
S3 sonydcam;Standard 1394-Desktopkamera;c:\windows\system32\drivers\sonydcam.sys [04.08.2004 01:09 25344]
S3 TISDCam;Generic 1394 DCAM Camera;c:\windows\system32\drivers\tisdcam_4010.sys [21.10.2011 15:16 91904]
S3 whfltr2k;WheelMouse USB Lower Filter Driver;c:\windows\system32\drivers\whfltr2k.sys [25.01.2007 17:45 6784]
S3 WinDefend;Windows Defender;c:\windows\System32\svchost.exe -k secsvcs [28.02.2006 14:00 14336]
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-24 c:\windows\Tasks\User_Feed_Synchronization-{4F4FE764-9E67-4F5B-8046-22F0CF264932}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.hp.com/
uInternet Settings,ProxyServer = websweeper.atb-potsdam.de:8080
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: adobe.com\get
Trusted Zone: atb-potsdam.de\rdgate
Trusted Zone: microsoft.com\www.update
DPF: {37A8A17B-2DDC-4600-BBC6-538C10AED8C0} - hxxp://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader4.cab
FF - ProfilePath - c:\dokumente und einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\
FF - prefs.js: browser.search.selectedEngine - foxsearch
FF - prefs.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: browser.search.selectedEngine - foxsearch
FF - user.js: browser.search.order.1 - foxsearch
FF - user.js: browser.search.defaultenginename - foxsearch
FF - user.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: privacy.item.cookies - false
FF - user.js: privacy.sanitize.promptOnSanitize - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-24 22:58
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = c:\programme\HPQ\Default Settings\cpqset.exe?????????? ???@???????????????@??????M??????(?@???????@ 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-448539723-1177238915-725345543-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_USERS\S-1-5-21-448539723-1177238915-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}*]
"haelmmmjppehpjch"=hex:6b,61,61,61,61,70,6d,6d,6d,66,67,62,65,65,66,6b,65,66,
   69,6d,68,66,00,7e
"galkgodejipehe"=hex:61,63,6d,6e,63,68,66,68,63,61,66,68,64,69,6c,6c,62,68,66,
   68,6a,6e,6e,62,6e,6e,6b,68,65,67,6e,62,6b,68,6b,6c,66,6f,63,64,65,6e,64,68,\
"iaolgnjfhagdagdhmg"=hex:6b,61,61,61,65,70,61,6e,70,61,6f,66,67,69,6b,62,66,63,
   6f,65,63,61,00,00
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(912)
c:\windows\system32\IfxWlxEN.dll
.
- - - - - - - > 'explorer.exe'(3268)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\IFXTCS.exe
c:\windows\System32\SCardSvr.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\IFXSPMGT.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
c:\programme\Windows Media Player\WMPNetwk.exe
c:\programme\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\progra~1\HPQ\Shared\HPQTOA~1.EXE
c:\programme\ProtectTools\Embedded Security Software\PSDrt.exe
c:\programme\ProtectTools\Embedded Security Software\SpTna.exe
c:\programme\HPQ\HP ProtectTools Security Manager\PTServs.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-07-24  23:03:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-07-24 21:03
ComboFix2.txt  2012-06-12 19:09
.
Vor Suchlauf: 9.545.932.800 Bytes frei
Nach Suchlauf: 9.552.310.272 Bytes frei
.
- - End Of File - - 21F3ED66BA95C8A479E31B61FE162588

#7 Iexplore wird nach wie vor doppelt geöffnet - gefährlich ???

gruß Ingo.

#8 Bekannte Dateien?

Zitat

2012-06-01 21:36 . 2012-06-01 21:36 8097 ----a-w- C:\LOGO_Pgm.zip
2012-05-14 19:04 . 2012-05-14 19:04 160918 ----a-w- C:\spectrum.zip
2012-05-07 19:58 . 2012-05-07 19:58 1684379 ----a-w- C:\Mediathek.zip
2012-05-05 15:26 . 2012-05-04 22:29 256073 ----a-w- C:\Anja_show.exe

Komplettscan mit Antivir machen

AntiVir so einstellen, dass nur noch wichtige Ereignisse geloggt werden:

Rechte Maustaste auf den AntiVir-Schirm unten rechts in der Leiste => Antivir konfigurieren => einen Haken bei "Experten-Modus" machen => Scanner aufklappen => Report auf "Standard" umstellen" => Guard aufklappen => Report auf "Standard" umstellen => mit OK AntiVir schließen.

Fullscan mit Antivir machen

Aktualisiere die Signaturen (Rechtsklick auf den Schirm => Update starten).

Mache nun einen vollständigen Systemscan Deines Rechners mit Antivir und poste mir den Bericht hier in den Thread. Bitte die Serien-Nummer unkenntlich machen.

Bericht in AntiVir finden

Du kommst wie folgt an den Bericht: Antivir über Doppelklick auf den Schirm unten rechts starten => den Reiter "Berichte" anklicken => Doppelklick auf den Bericht namens "Suchlauf" => in dem aufpoppenden Fenster auf "Report" klicken => es öffnet sich Dein Editor => im Editor mit Tastenkombination STRG + A den Text markieren => mit STRG + C den Text ins Clipboard kopieren => mit STRG + V den Text hier reinkopieren. [color=green] Bitte im Logfile Deine Seriennummer unkenntlich machen.[/color]

#9 Hallo Swisstreasure,

hier ist der Avira-Report:

Code

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 24. Juli 2012  23:32

Es wird nach 3986450 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : ingo
Computername   : XP-798BF17A12A1

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  01.05.2012 22:48:48
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL       : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.17     232200 Bytes  12.06.2012 19:25:01
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 10:43:53
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 20:16:56
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 20:16:56
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 20:16:56
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 20:16:56
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 20:16:57
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 20:16:57
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 20:16:57
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 20:16:57
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 20:16:57
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 19:25:47
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 19:25:48
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 19:25:48
VBASE017.VDF   : 7.11.35.143   126464 Bytes  09.07.2012 19:25:49
VBASE018.VDF   : 7.11.35.235   151552 Bytes  12.07.2012 19:25:50
VBASE019.VDF   : 7.11.36.45    118784 Bytes  13.07.2012 19:25:50
VBASE020.VDF   : 7.11.36.107   123904 Bytes  16.07.2012 19:26:14
VBASE021.VDF   : 7.11.36.147   238592 Bytes  17.07.2012 19:26:10
VBASE022.VDF   : 7.11.36.209   135168 Bytes  19.07.2012 19:26:17
VBASE023.VDF   : 7.11.37.19    116224 Bytes  21.07.2012 20:07:04
VBASE024.VDF   : 7.11.37.79    149504 Bytes  23.07.2012 18:35:57
VBASE025.VDF   : 7.11.37.80      2048 Bytes  23.07.2012 18:35:57
VBASE026.VDF   : 7.11.37.81      2048 Bytes  23.07.2012 18:35:58
VBASE027.VDF   : 7.11.37.82      2048 Bytes  23.07.2012 18:35:58
VBASE028.VDF   : 7.11.37.83      2048 Bytes  23.07.2012 18:35:58
VBASE029.VDF   : 7.11.37.84      2048 Bytes  23.07.2012 18:35:58
VBASE030.VDF   : 7.11.37.85      2048 Bytes  23.07.2012 18:35:58
VBASE031.VDF   : 7.11.37.122   944640 Bytes  24.07.2012 18:36:00
Engineversion  : 8.2.10.118
AEVDF.DLL      : 8.1.2.10      102772 Bytes  14.07.2012 19:25:59
AESCRIPT.DLL   : 8.1.4.34      455035 Bytes  19.07.2012 19:26:25
AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 21:15:11
AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32
AEPACK.DLL     : 8.3.0.16      807287 Bytes  19.07.2012 19:26:25
AEOFFICE.DLL   : 8.1.2.42      201083 Bytes  19.07.2012 19:26:24
AEHEUR.DLL     : 8.1.4.76     5063031 Bytes  19.07.2012 19:26:23
AEHELP.DLL     : 8.1.23.2      258422 Bytes  28.06.2012 18:01:34
AEGEN.DLL      : 8.1.5.34      434548 Bytes  19.07.2012 19:26:18
AEEXP.DLL      : 8.1.0.68       86389 Bytes  19.07.2012 19:26:25
AEEMU.DLL      : 8.1.3.2       393587 Bytes  14.07.2012 19:25:53
AECORE.DLL     : 8.1.27.2      201078 Bytes  14.07.2012 19:25:52
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL     : 12.3.0.15      51920 Bytes  01.05.2012 22:44:31
AVREP.DLL      : 12.3.0.15     179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL     : 12.3.0.15     211408 Bytes  01.05.2012 22:21:32
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  01.05.2012 22:51:35
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  02.05.2012 00:03:51
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  02.05.2012 00:03:51

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Auszulassende Dateien.................: f:\_SPC, F:\Computer\Software\novir, G:\_c\TFT_AdjustTest.exe, TFT_AdjustTest.exe, 

Beginn des Suchlaufs: Dienstag, 24. Juli 2012  23:32

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'PTServs.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpTna.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSDrt.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPQTOA~1.EXE' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S4I0K2.EXE' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDFPrintBackend.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'Scheduler.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'QlbCtrl.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'HP Wireless Assistant.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'PTHOSTTR.EXE' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AccelerometerSt.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'smax4pnp.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNetwk.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSDsrvc.EXE' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'IFXSPMGT.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCardSvr.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'IFXTCS.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Programme\KCemu\uninst.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Programme\mp3splt-gtk\mp3splt-gtk_uninst.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
Die Registry wurde durchsucht ( '7274' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Laufwerk_C>
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinBancos.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\ingo\Desktop\avira_free_antivirus_de.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Dokumente und Einstellungen\ingo\Eigene Dateien\__\un.part01.rar
  [WARNUNG]   Das gesamte Archiv ist kennwortgeschützt
C:\Programme\KCemu\uninst.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Programme\mp3splt-gtk\mp3splt-gtk_uninst.exe
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Programme\The Imaging Source Europe GmbH\IC Capture.AS 2.0\spx.dat
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Programme\WinRAR\rarnew.dat
  [WARNUNG]   Das Archiv ist unbekannt oder defekt
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP459\A0140230.exe
  [FUND]      Ist das Trojanische Pferd TR/Kazy.82148
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
Beginne mit der Suche in 'F:\' <Volume>
F:\Computer\compaq\SP23847\Disk1\data2.cab
  [WARNUNG]   Der Archivheader ist defekt
F:\Computer\freeware_cd\trixoidsetup.exe
  [WARNUNG]   Die Version dieses Archives wird nicht unterstützt
F:\Computer\freeware_cd\Pasch\install.exe
  [WARNUNG]   Die Version dieses Archives wird nicht unterstützt
F:\Computer\pcwBartPE2\pebuilder\plugin\adawarese\files\Skins\Ad-Aware SE default.ask
  [WARNUNG]   Die Datei ist kennwortgeschützt
F:\Computer\Software\Hack\rpc412\rpc412_setup.exe
  [WARNUNG]   Die komprimierten Daten sind fehlerhaft
F:\Computer\Software\killcmos\KILLCMOS.COM.0.AVB
  [FUND]      Ist das Trojanische Pferd TR/KillCMOS.C
Das Verzeichnis 'F:\Computer\Software\novir\' wurde von der Suche ausgenommen!
F:\Computer\Software\Soundcard\fft\sctrial.exe
  [WARNUNG]   Die Version dieses Archives wird nicht unterstützt
F:\Computer\Software\Winamp\deutsches_Sprachpacket.exe
  [WARNUNG]   Die Version dieses Archives wird nicht unterstützt
F:\Computer\Software\WINZIP\winzip95.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
F:\Computer\Software\WINZIP\wzip80g.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
F:\Computer\Tips\Registry-Problem\Winternals_ERD_Commander_2005.rar
  [WARNUNG]   Die Datei ist kennwortgeschützt
F:\Fun\applikationen\boss_1.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Purityscan.A.192
F:\Fun\applikationen\screensaver\AquariumV11.exe
  [WARNUNG]   Die Version dieses Archives wird nicht unterstützt
F:\Funken\afu\Nicht mehr benötigte Programme\AfuPF153.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
F:\Funken\afu\Nicht mehr benötigte Programme\AfuPF153\K23Fragen.qst
  [WARNUNG]   Die Datei ist kennwortgeschützt
F:\Funken\ama\BASin_r13a.exe
  [WARNUNG]   Die komprimierten Daten sind fehlerhaft
F:\HeinBuch\Import-CD\Browser\WIN32\DE\IENT_S1.CAB
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\HeinBuch\Import-CD\Browser\WIN32\DE\IENT_S2.CAB
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\HeinBuch\Import-CD\Browser\WIN32\DE\IENT_S3.CAB
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\HeinBuch\Import-CD\Browser\WIN32\DE\IENT_S4.CAB
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\HeinBuch\Import-CD\Browser\WIN32\DE\IENT_S5.CAB
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\HeinBuch\Import-CD\Browser\WIN32\DE\IE_S1.CAB
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\HeinBuch\Import-CD\Browser\WIN32\DE\IE_S2.CAB
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\HeinBuch\Import-CD\Browser\WIN32\DE\IE_S3.CAB
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\HeinBuch\Import-CD\Browser\WIN32\DE\IE_S4.CAB
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\HeinBuch\Import-CD\Browser\WIN32\DE\IE_S5.CAB
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\HeinBuch\Import-CD\XnView\XnView-win-small.exe
  [WARNUNG]   Die Version dieses Archives wird nicht unterstützt
F:\muell\Temp\F6MbLiJW.rar.part
  [WARNUNG]   Die Datei ist kennwortgeschützt
F:\muell\Temp\WVGzv5Kx.rar.part
  [WARNUNG]   Die Datei ist kennwortgeschützt
F:\OldRadio\Weltempf\soundcarddsp\cwGet\SETUP.EXE
  [WARNUNG]   Die Version dieses Archives wird nicht unterstützt
F:\Technik\DigitalSimulatorV5.57.exe
  [WARNUNG]   Die komprimierten Daten sind fehlerhaft
F:\Technik\Funk\th-f7e\mfx000.exe
  [WARNUNG]   Der Archivheader ist defekt
F:\Technik\KURZWELL\cwget100.zip
  [WARNUNG]   Die Version dieses Archives wird nicht unterstützt
F:\Technik\Tape\Aiwa-XKS9000\Aiwa-XKS9000 cass.part1.rar
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\Technik\Tape\Aiwa-XKS9000\Aiwa-XKS9000 cass.part2.rar
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\Technik\Tape\Aiwa-XKS9000\Aiwa-XKS9000 cass.part3.rar
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\Technik\Tape\Aiwa-XKS9000\Aiwa-XKS9000 cass.part4.rar
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\Technik\TV\Metz\Ch_696G-696G1-100Hz.part1.rar
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\Technik\TV\Metz\Ch_696G-696G1-100Hz.part2.rar
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\Technik\TV\Metz\Ch_696G-696G1-100Hz.part3.rar
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\Technik\TV\Metz\metz ch.693g-sch.part1.rar
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\Technik\TV\Metz\metz ch.693g-sch.part2.rar
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\Technik\TV\Metz\METZ_ch.679G-0038_mod.6964.part1.rar
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
Das Verzeichnis 'F:\_SPC\' wurde von der Suche ausgenommen!

Beginne mit der Desinfektion:
F:\Fun\applikationen\boss_1.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Purityscan.A.192
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53e83fdc.qua' verschoben!
F:\Computer\Software\killcmos\KILLCMOS.COM.0.AVB
  [FUND]      Ist das Trojanische Pferd TR/KillCMOS.C
  [WARNUNG]   Die Datei wurde ignoriert.
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP459\A0140230.exe
  [FUND]      Ist das Trojanische Pferd TR/Kazy.82148
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbd1034.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 25. Juli 2012  09:06
Benötigte Zeit:  2:53:18 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  15583 Verzeichnisse wurden überprüft
 1132428 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1132425 Dateien ohne Befall
   6990 Archive wurden durchsucht
     52 Warnungen
      2 Hinweise
 643579 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Inzwischen habe ich gelesen, dass ab Internetexplorer 8 immer eine zusätzliche Instanz gestartet wird und dies insofern kein böses Verhalten darstellt.

Gruß Ingo.

#10 Ergänzung:
Der PC war den ganzen Tag an - ohne Internet und ohne, dass irgendetwas gemacht wurde daran - und jetzt um 20:00 Uhr wurde vom Echtzeitscanner im Ordner: F:\System Volume Information\{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP461\A0140513.exe ein Virus gefunden: ADWARE/Purityscan.A.192[adware] Ausgeführte Aktion: Zugriff verweigern. Der Scanner hat mich aufgefordert das Teil zu entfernen. Ich habe es erlaubt.

Gruß Ingo.

#11 F:\Fun\applikationen\boss_1.exe
Was sind das für Dateien?

Zitat

Der PC war den ganzen Tag an - ohne Internet und ohne, dass irgendetwas gemacht wurde daran - und jetzt um 20:00 Uhr wurde vom Echtzeitscanner im Ordner: F:\System Volume Information\{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP461\A0140513.exe ein Virus gefunden: ADWARE/Purityscan.A.192[adware] Ausgeführte Aktion: Zugriff verweigern. Der Scanner hat mich aufgefordert das Teil zu entfernen. Ich habe es erlaubt.

Das ist nicht weiter schlimm. Sind nur noch Reste in der Systemwiederherstellung.

#12 Hallo Swisstreasure,

boss.exe ist eine Spaßapplikation, die ich seit 2001 (Filedatum) habe - von einem Kollegen. In der kann man mit einem Bürolocher Löcher in den Körper eines virtuellen Chefs erzeugen. Das Programm ist in den letzten 11 Jahren von keinem Antivirenprogramm (auch heute nicht) bemängelt worden auch nicht von den strengen Sicherheitssystemen auf meiner Arbeitsstelle.
boss_1.exe befand sich im gleichen Ordner und könnte eine Modifikation (vielleicht durch einen Virus) oder einfach ein ähnliches Programm gewesen sein, ich kann es ja nun nach der Entfernung nicht mehr prüfen (hätte auch keine Lust darauf).
Eigentlich brauche ich keine dieser gesammelten Spaßpplikationen wirklich und werde sie nun alle löschen.

Was soll ich nun weiter machen?

Gruß Ingo.

#13 Hallo Swisstrasure,

inzwischen habe ich auf einer Sicherungsplatte eine Version boss.exe (nicht boss_1.exe) gefunden, die den Virus trägt. Ich habe nunmehr alle Fun-Applikationen (die alle bereits sehr alt sind und zuvor nie bemängelt wurden) gelöscht.

Kannst Du mir das weitere Vorgehen vorschlagen - der PC läuft noch immer ohne, dass ich (außer Dateilöschen) etwas getan habe.

Viele Grüße

Ingo.

#14 Sorry war spontan zwei tage weg.

Hast Du noch Beschwerden?

#15 Nein, es sieht eigentlich gut aus. Ich denke, es wäre eine Abschlussbehandlung nötig.
Sorgen macht mir lediglich die Tatsache, dass auf dem Dienst-PC DVD Fab Platinum installiert ist und ich auf meiner Sicherungskopie (mobile HD), die ich gestern mitgescannt habe dieses gefunden habe:

Code

F:\_c\Programme\DVDFab Platinum 4\DVDFabPlatinum.exe
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Gendal.1979392

Der PC, um den es hier geht, hat bei den bisherigen Checks keine Probleme mehr gezeigt. Ich weiß nicht, ob ESET oder ähnliches noch dran ist, oder ob ich nun eine abschließende Prozedur zum Setzen eines Wiederherstellungspunktes machen soll bzw. was Du mir nun empfiehlst?

Gruß Ingo.