Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bräuchte Hilfe wegen Viren...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 17.07.2008, 18:22   #1
Favola
 
Bräuchte Hilfe wegen Viren... - Standard

Bräuchte Hilfe wegen Viren...



Hallo zusammen

Ich habe mir gestern einen Trojaner eingefangen und werde ihn nicht mehr los.
Nach dem mein Avira den Trojaner gemeldet hat, machte mein PC nach einiger Zeit eigenständig einen Neustart, dabei kam beim Hochfahren die Meldung: "Trend ChipAwayVirus has detected a boot virus on your hard disk".

Ich habe danach mein Avira scannen lassen, drei Trojaner gefunden und gelöscht. Danach habe ich Ad-Aware, Spybot und TuneUp scannen lassen und alle gefundenen Probleme beseitigt und ich habe auch nichts weiter gefunden. Doch bei jedem Neustart erscheint noch diese Meldung, also gehe ich davon aus, dass mein PC noch nicht sauber ist.
Ich hoffe nicht formatieren zu müssen... ich hoffe jemand kann mir helfen, vielen Dank im Voraus

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:56:16, on 17.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=22028
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: TrayMin200.exe.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: Fly - C:\WINDOWS\SYSTEM32\smart.dll
O20 - Winlogon Notify: Love - LoveFly.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 9300 bytes

Alt 17.07.2008, 20:25   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bräuchte Hilfe wegen Viren... - Ausrufezeichen

Bräuchte Hilfe wegen Viren...



Hallo,

1.) Logfile von AntiVir posten.
2.) Die Datei C:\WINDOWS\SYSTEM32\smart.dll bei Virustotal.com auswerten und Ergebnisse posten.
3.) Logfiles mit DSS erstellen und posten (mit Codetags!!)
4.) Dieses MBR-Tool ausführen und die Ausgabe posten.
__________________

__________________

Alt 17.07.2008, 21:27   #3
Favola
 
Bräuchte Hilfe wegen Viren... - Standard

Bräuchte Hilfe wegen Viren...



1.)

Ich hoffe, es ist das richtige... es sind 2 Suchläufe gewesen, da ich einmal abbrechen musste..

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 16. Juli 2008  14:18

Es wird nach 1449250 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     xxx
Computername:    xxx

Versionsinformationen:
BUILD.DAT     : 8.1.0.308       16478 Bytes  28.05.2008 17:02:00
AVSCAN.EXE    : 8.1.2.12       311553 Bytes  15.04.2008 21:32:52
AVSCAN.DLL    : 8.1.1.0         57601 Bytes  15.04.2008 21:32:52
LUKE.DLL      : 8.1.2.9        151809 Bytes  15.04.2008 21:32:56
LUKERES.DLL   : 8.1.2.0         12545 Bytes  15.04.2008 21:32:56
ANTIVIR0.VDF  : 6.40.0.0     11030528 Bytes  18.07.2007 08:53:45
ANTIVIR1.VDF  : 7.0.5.1       8182784 Bytes  24.06.2008 08:32:37
ANTIVIR2.VDF  : 7.0.5.105      821248 Bytes  13.07.2008 14:54:17
ANTIVIR3.VDF  : 7.0.5.117      384512 Bytes  15.07.2008 14:55:40
Engineversion : 8.1.0.68  
AEVDF.DLL     : 8.1.0.5        102772 Bytes  15.04.2008 21:33:01
AESCRIPT.DLL  : 8.1.0.53       303481 Bytes  15.07.2008 14:55:52
AESCN.DLL     : 8.1.0.23       119156 Bytes  15.07.2008 14:55:51
AERDL.DLL     : 8.1.0.20       418165 Bytes  25.04.2008 12:30:25
AEPACK.DLL    : 8.1.2.1        364917 Bytes  15.07.2008 14:55:50
AEOFFICE.DLL  : 8.1.0.20       192891 Bytes  21.06.2008 08:30:55
AEHEUR.DLL    : 8.1.0.41      1339765 Bytes  15.07.2008 14:55:48
AEHELP.DLL    : 8.1.0.15       115063 Bytes  30.05.2008 12:49:27
AEGEN.DLL     : 8.1.0.29       307573 Bytes  21.06.2008 08:30:25
AEEMU.DLL     : 8.1.0.6        430451 Bytes  08.05.2008 12:32:23
AECORE.DLL    : 8.1.0.33       168311 Bytes  15.07.2008 14:55:41
AVWINLL.DLL   : 1.0.0.7         14593 Bytes  15.04.2008 21:32:52
AVPREF.DLL    : 8.0.0.1         25857 Bytes  15.04.2008 21:32:52
AVREP.DLL     : 7.0.0.1        155688 Bytes  16.04.2007 12:16:24
AVREG.DLL     : 8.0.0.0         30977 Bytes  15.04.2008 21:32:52
AVARKT.DLL    : 1.0.0.23       307457 Bytes  15.04.2008 21:32:50
AVEVTLOG.DLL  : 8.0.0.11       114945 Bytes  15.04.2008 21:32:51
SQLITE3.DLL   : 3.3.17.1       339968 Bytes  15.04.2008 21:32:57
SMTPLIB.DLL   : 1.2.0.19        28929 Bytes  15.04.2008 21:32:57
NETNT.DLL     : 8.0.0.1          7937 Bytes  15.04.2008 21:32:56
RCIMAGE.DLL   : 8.0.0.35      2371841 Bytes  15.04.2008 21:32:36
RCTEXT.DLL    : 8.0.32.0        86273 Bytes  15.04.2008 21:32:36

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 16. Juli 2008  14:18

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hposts08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpoevm08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrayMin200.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpohmr08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrobat_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VM_STI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATWTUSB.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
      [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\LoveFly.dll
      [FUND]      Ist das Trojanische Pferd TR/PSW.Wow.arz.15
      [WARNUNG]   Die Datei konnte nicht gelöscht werden!

Die Registry wurde durchsucht ( '40' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 16. Juli 2008  14:20
Benötigte Zeit: 01:31 min

Der Suchlauf wurde abgebrochen!

     24 Verzeichnisse wurden überprüft
    178 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
    177 Dateien ohne Befall
      0 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 16. Juli 2008  14:32

Es wird nach 1458293 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:    xxx
Computername:    xxx

Versionsinformationen:
BUILD.DAT     : 8.1.0.308       16478 Bytes  28.05.2008 17:02:00
AVSCAN.EXE    : 8.1.2.12       311553 Bytes  15.04.2008 21:32:52
AVSCAN.DLL    : 8.1.1.0         57601 Bytes  15.04.2008 21:32:52
LUKE.DLL      : 8.1.2.9        151809 Bytes  15.04.2008 21:32:56
LUKERES.DLL   : 8.1.2.0         12545 Bytes  15.04.2008 21:32:56
ANTIVIR0.VDF  : 6.40.0.0     11030528 Bytes  18.07.2007 08:53:45
ANTIVIR1.VDF  : 7.0.5.1       8182784 Bytes  24.06.2008 08:32:37
ANTIVIR2.VDF  : 7.0.5.119     1264128 Bytes  15.07.2008 12:30:22
ANTIVIR3.VDF  : 7.0.5.125       57856 Bytes  16.07.2008 12:30:22
Engineversion : 8.1.0.68  
AEVDF.DLL     : 8.1.0.5        102772 Bytes  15.04.2008 21:33:01
AESCRIPT.DLL  : 8.1.0.53       303481 Bytes  15.07.2008 14:55:52
AESCN.DLL     : 8.1.0.23       119156 Bytes  15.07.2008 14:55:51
AERDL.DLL     : 8.1.0.20       418165 Bytes  25.04.2008 12:30:25
AEPACK.DLL    : 8.1.2.1        364917 Bytes  15.07.2008 14:55:50
AEOFFICE.DLL  : 8.1.0.20       192891 Bytes  21.06.2008 08:30:55
AEHEUR.DLL    : 8.1.0.41      1339765 Bytes  15.07.2008 14:55:48
AEHELP.DLL    : 8.1.0.15       115063 Bytes  30.05.2008 12:49:27
AEGEN.DLL     : 8.1.0.29       307573 Bytes  21.06.2008 08:30:25
AEEMU.DLL     : 8.1.0.6        430451 Bytes  08.05.2008 12:32:23
AECORE.DLL    : 8.1.0.33       168311 Bytes  15.07.2008 14:55:41
AVWINLL.DLL   : 1.0.0.7         14593 Bytes  15.04.2008 21:32:52
AVPREF.DLL    : 8.0.0.1         25857 Bytes  15.04.2008 21:32:52
AVREP.DLL     : 7.0.0.1        155688 Bytes  16.04.2007 12:16:24
AVREG.DLL     : 8.0.0.0         30977 Bytes  15.04.2008 21:32:52
AVARKT.DLL    : 1.0.0.23       307457 Bytes  15.04.2008 21:32:50
AVEVTLOG.DLL  : 8.0.0.11       114945 Bytes  15.04.2008 21:32:51
SQLITE3.DLL   : 3.3.17.1       339968 Bytes  15.04.2008 21:32:57
SMTPLIB.DLL   : 1.2.0.19        28929 Bytes  15.04.2008 21:32:57
NETNT.DLL     : 8.0.0.1          7937 Bytes  15.04.2008 21:32:56
RCIMAGE.DLL   : 8.0.0.35      2371841 Bytes  15.04.2008 21:32:36
RCTEXT.DLL    : 8.0.32.0        86273 Bytes  15.04.2008 21:32:36

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 16. Juli 2008  14:32

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hposts08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpoevm08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrayMin200.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpohmr08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VM_STI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATWTUSB.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '38' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
      [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '39' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\chianara\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0J1JYAJ1\i[1].exe
      [FUND]      Ist das Trojanische Pferd TR/Dldr.Delf.jse
      [HINWEIS]   Die Datei wurde gelöscht.


Ende des Suchlaufs: Mittwoch, 16. Juli 2008  15:17
Benötigte Zeit: 45:15 min

Der Suchlauf wurde vollständig durchgeführt.

   5451 Verzeichnisse wurden überprüft
 157004 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      1 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 157003 Dateien ohne Befall
   1503 Archive wurden durchsucht
      1 Warnungen
      1 Hinweise
         
_________________________________________________


2.)

Hier das Ergebnis der Analyse

Virustotal. MD5: 46cbccb4a5e952aedbc55af1213ebe30 a variant of Win32/PSW.WOW.NDJ HEUR/Crypted PSW.Generic6.RBZ
__________________

Geändert von Favola (17.07.2008 um 21:35 Uhr)

Alt 17.07.2008, 21:28   #4
Favola
 
Bräuchte Hilfe wegen Viren... - Standard

Bräuchte Hilfe wegen Viren...



3.)

Code:
ATTFilter
Deckard's System Scanner v20071014.68
Run by xxx on 2008-07-17 22:14:11
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Percentage of Memory in Use: 88% (more than 75%).
Total Physical Memory: 256 MiB (512 MiB recommended).


-- HijackThis (run as xxx.exe) --------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:14:58, on 17.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\WINDOWS\system32\wisptis.exe
C:\WINDOWS\system32\TBLMOUSE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\chianara\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XCHXHZAZ\dss[1].exe
C:\DOKUME~1\xxx\EIGENE~1\DOWNLO~1\xxx.exe (das ist nur hijackthis)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=22028
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: TrayMin200.exe.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: Fly - C:\WINDOWS\SYSTEM32\smart.dll
O20 - Winlogon Notify: Love - LoveFly.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 9460 bytes

-- Files created between 2008-06-17 and 2008-07-17 -----------------------------

2008-07-17 14:01:56         0 d-------- C:\Programme\TuneUp Utilities 2008
2008-07-16 15:43:52         0 d-------- C:\WINDOWS\46AC899A9ECB43DC85DE272E0D116A1E.TMP
2008-07-03 10:26:45     36864 --a------ C:\WINDOWS\system32\smart.dll <Not Verified; Microsoft Corporation; Microsoft? Windows? Operating System>


-- Find3M Report ---------------------------------------------------------------

2008-07-17 14:00:04         0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-06 19:46:13         0 d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\teamspeak2
2008-06-18 23:58:23         0 d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla
2008-05-31 18:21:55         0 d-------- C:\Programme\EA GAMES
2008-05-22 23:31:14         0 d-------- C:\Programme\Project1
2008-05-22 09:47:14     74752 --a------ C:\WINDOWS\ST6UNST.EXE <Not Verified; Microsoft Corporation; Microsoft® Visual Basic für Windows>


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [15.06.2005 11:20]
"nwiz"="nwiz.exe" [15.06.2005 11:20 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [15.06.2005 11:20]
"SoundMan"="SOUNDMAN.EXE" [10.06.2003 19:12 C:\WINDOWS\SOUNDMAN.EXE]
"@"="" []
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [24.09.2005 07:30]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 10:50]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [02.11.2004 20:24]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [15.11.2005 21:31]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [17.07.2008 16:45]
"atwtusb"="atwtusb.exe" [21.09.2005 18:08 C:\WINDOWS\system32\ATWTUSB.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [12.07.2007 04:00]
"BigDogPath"="C:\WINDOWS\VM_STI.exe" [09.06.2004 15:37]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 00:57]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [24.11.2005 15:38]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [18.10.2007 12:34]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [04.07.2007 16:16:08]
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [06.04.2003 01:17:18]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [06.04.2003 01:06:58]
TrayMin200.exe.lnk - C:\Programme\Philips\SPC 200NC PC Camera\TrayMin200.exe [08.05.2008 18:52:39]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Fly] 
smart.dll 03.07.2008 10:26 36864 C:\WINDOWS\system32\smart.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Love] 
LoveFly.dll 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{79443fc2-29a9-11dc-bdcb-806d6172696f}]
AutoRun\command- D:\Autorun.exe




-- End of Deckard's System Scanner: finished at 2008-07-17 22:15:52 ------------
         
__________________________
4.)

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x951a104 size 0x1fd !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Alt 26.07.2008, 15:48   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bräuchte Hilfe wegen Viren... - Icon32

Bräuchte Hilfe wegen Viren...



Sry, war im Urlaub. Erstell bitte die Logfiles erneut für einen aktuellen Stand.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 27.07.2008, 11:10   #6
Favola
 
Bräuchte Hilfe wegen Viren... - Standard

Bräuchte Hilfe wegen Viren...



Kein Problem


Smart.dll hat Avira mittlerweile als Trojaner gemeldet und ich konnte die Datei im abgesicherten Modus mit einem Neustart löschen.
Ein Weilchen später meldete mir Avira den selben Trojaner unter einem anderen Namen als A0021717.dll, konnte ich ebenfalls löschen. Seitdem keine Meldungen mehr. Es handelte sich dabei um den Trojaner TR/Gendal.36864.5

DSS:

Code:
ATTFilter
Deckard's System Scanner v20071014.68
Run by xxx on 2008-07-27 11:54:35
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Percentage of Memory in Use: 77% (more than 75%).
Total Physical Memory: 256 MiB (512 MiB recommended).


-- HijackThis (run as xxx.exe) --------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:55:20, on 27.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\dss.exe
C:\DOKUME~1\xxx\EIGENE~1\DOWNLO~1\xxx.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=22028
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: TrayMin200.exe.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: Fly - smart.dll (file missing)
O20 - Winlogon Notify: Love - LoveFly.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 10204 bytes

-- Files created between 2008-06-27 and 2008-07-27 -----------------------------

2008-07-24 21:44:34    348160 --a------ C:\WINDOWS\system32\NCTWMAFile2.dll <Not Verified; NCT Company Ltd.; NCTWMAFile2 ActiveX DLL>
2008-07-24 21:44:34    417792 --a------ C:\WINDOWS\system32\NCTTextToAudio2.dll <Not Verified; Online Media Technologies Ltd.; NCTTextToAudio2 ActiveX DLL>
2008-07-24 21:44:33    475136 --a------ C:\WINDOWS\system32\NCTAudioVisualizationEx2.dll <Not Verified; Online Media Technologies Ltd.; NCTAudioVisualizationEx2 ActiveX DLL>
2008-07-24 21:44:33    479232 --a------ C:\WINDOWS\system32\NCTAudioVisualization2.dll <Not Verified; Online Media Technologies Ltd.; NCTAudioVisualization2 ActiveX DLL>
2008-07-24 21:44:33    602112 --a------ C:\WINDOWS\system32\NCTAudioTransform2.dll <Not Verified; Online Media Technologies Ltd.; NCTAudioTransform2 ActiveX DLL>
2008-07-24 21:44:33    458752 --a------ C:\WINDOWS\system32\NCTAudioRecord2.dll <Not Verified; Online Media Technologies Ltd.; NCTAudioRecord2 ActiveX DLL>
2008-07-24 21:44:32    458752 --a------ C:\WINDOWS\system32\NCTAudioPlayer2.dll <Not Verified; Online Media Technologies Ltd.; NCTAudioPlayer2 ActiveX DLL>
2008-07-24 21:44:32   1212416 --a------ C:\WINDOWS\system32\NCTAudioInformation2.dll <Not Verified; Online Media Technologies Ltd.; NCTAudioInformation2 ActiveX DLL>
2008-07-24 21:44:32   1986560 --a------ C:\WINDOWS\system32\NCTAudioFile2.dll <Not Verified; NCT Company Ltd.; NCTAudioFile2 ActiveX DLL>
2008-07-24 21:44:31    880640 --a------ C:\WINDOWS\system32\NCTAudioEditor2.dll <Not Verified; Online Media Technologies Ltd.; NCTAudioEditor2 ActiveX DLL>
2008-07-24 21:44:31    417792 --a------ C:\WINDOWS\system32\NCTAudioDisplay2.dll <Not Verified; Online Media Technologies Ltd.; NCTAudioDisplay2 ActiveX DLL>
2008-07-24 21:44:31   2084864 --a------ C:\WINDOWS\system32\NCTAudioDesign2.dll <Not Verified; Online Media Technologies Ltd.; NCTAudioDesign2 ActiveX DLL>
2008-07-24 21:44:30    835584 --a------ C:\WINDOWS\system32\NCTAudioCDGrabber2.dll <Not Verified; NCT; NCTAudioCDGrabber2 ActiveX DLL>
2008-07-24 21:43:23         0 d-------- C:\Programme\Audio Recorder for FREE
2008-07-22 09:48:54         0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-19 12:33:14         0 d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-07-19 12:32:17         0 d-------- C:\Programme\Real
2008-07-19 12:32:08         0 d-------- C:\Programme\Gemeinsame Dateien\Real
2008-07-19 12:25:05         0 d-------- C:\Programme\Spyware Doctor
2008-07-19 12:22:08         0 d-------- C:\Programme\Norton Security Scan
2008-07-19 12:20:07         0 d-------- C:\Programme\Google
2008-07-17 14:01:56         0 d-------- C:\Programme\TuneUp Utilities 2008
2008-07-16 15:43:52         0 d-------- C:\WINDOWS\46AC899A9ECB43DC85DE272E0D116A1E.TMP


-- Find3M Report ---------------------------------------------------------------

2008-07-24 10:24:28         0 d-------- C:\Dokumente und Einstellungen\chianara\Anwendungsdaten\Snapfish
2008-07-24 10:24:16      4354 --a------ C:\WINDOWS\mozver.dat
2008-07-22 09:48:54         0 d-------- C:\Programme\Gemeinsame Dateien
2008-07-19 12:40:01         0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-07-19 12:34:34         0 d-------- C:\Dokumente und Einstellungen\chianara\Anwendungsdaten\Real
2008-07-19 12:29:15    316924 --a------ C:\WINDOWS\system32\perfh007.dat
2008-07-19 12:29:15     48354 --a------ C:\WINDOWS\system32\perfc007.dat
2008-07-19 12:25:05         0 d-------- C:\Dokumente und Einstellungen\chianara\Anwendungsdaten\PC Tools
2008-07-17 14:00:04         0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-06 19:46:13         0 d-------- C:\Dokumente und Einstellungen\chianara\Anwendungsdaten\teamspeak2
2008-06-18 23:58:23         0 d-------- C:\Dokumente und Einstellungen\chianara\Anwendungsdaten\Mozilla
2008-05-31 18:21:55         0 d-------- C:\Programme\EA GAMES <EAGAME~1>
2008-05-22 09:47:14     74752 --a------ C:\WINDOWS\ST6UNST.EXE <Not Verified; Microsoft Corporation; Microsoft® Visual Basic für Windows>


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [15.06.2005 11:20]
"nwiz"="nwiz.exe" [15.06.2005 11:20 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [15.06.2005 11:20]
"SoundMan"="SOUNDMAN.EXE" [10.06.2003 19:12 C:\WINDOWS\SOUNDMAN.EXE]
"@"="" []
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [24.09.2005 07:30]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 10:50]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [02.11.2004 20:24]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [15.11.2005 21:31]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [17.07.2008 16:45]
"atwtusb"="atwtusb.exe" [21.09.2005 18:08 C:\WINDOWS\system32\ATWTUSB.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [12.07.2007 04:00]
"BigDogPath"="C:\WINDOWS\VM_STI.exe" [09.06.2004 15:37]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [04.07.2007 16:21]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [01.02.2008 12:55]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [19.07.2008 12:32]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 22:16]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 00:57]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [24.11.2005 15:38]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [18.10.2007 12:34]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [04.07.2007 16:16:08]
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [06.04.2003 01:17:18]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [06.04.2003 01:06:58]
TrayMin200.exe.lnk - C:\Programme\Philips\SPC 200NC PC Camera\TrayMin200.exe [08.05.2008 18:52:39]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Fly] 
smart.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Love] 
LoveFly.dll 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp




-- End of Deckard's System Scanner: finished at 2008-07-27 11:56:29 ------------
         
MBR:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x951a104 size 0x1fd !
copy of MBR has been found in sector 62 !

Alt 27.07.2008, 16:13   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bräuchte Hilfe wegen Viren... - Cool

Bräuchte Hilfe wegen Viren...



Zitat:
Total Physical Memory: 256 MiB (512 MiB recommended).
Du hast nur 256 MB RAM - ist schon ein bißchen wenig für Windows XP. Du solltest Dir mal einen Zusatzriegel besorgen für bessere Systemperformance.

Code:
ATTFilter
O20 - Winlogon Notify: Fly - smart.dll (file missing)
O20 - Winlogon Notify: Love - LoveFly.dll (file missing)
         
Diese Einträge mit HijackThis bitte fixen.

Zitat:
malicious code @ sector 0x951a104 size 0x1fd !
copy of MBR has been found in sector 62 !
Das MBR-Tool hat schädlichen Code gefunden! Es gibt mehrere Methoden, den MBR zu reapieren. Probieren wir es mit dem mbr-Tool:

1. Die mbr.exe der Einfachheit halber nach C:\Windows\System32 kopieren
2. Die Konsole aufrufen über Start, Ausführen, cmd eintippen => ok
3. In die Kommandozeile folgendes eintippen und mit Enter ausführen:

Code:
ATTFilter
mbr.exe -f
         
Laß danach noch bitte Malwarebytes Antimalware durchlaufen und gefundene Schädlinge löschen - poste das Logfile mit Codetags!
Mach außerdem noch einen Durchlauf mit Blacklight (siehe Signatur) und poste auch davon das Logfile. Dann sehen wir weiter.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 27.07.2008, 16:59   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bräuchte Hilfe wegen Viren... - Ausrufezeichen

Bräuchte Hilfe wegen Viren...



Hab was vergessen. Bitte deaktiviere die Systemwiederherstellung, denn wahrscheinlich wurden noch weitere schädliche Dateien mit in den Wiederherstellungspunkten mitgesichert und sind daher nun unbrauchbar.

Reiche bitte auch das Extra-Log von DSS nach.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 27.07.2008, 19:21   #9
Favola
 
Bräuchte Hilfe wegen Viren... - Standard

Bräuchte Hilfe wegen Viren...



Zitat:
Du hast nur 256 MB RAM - ist schon ein bißchen wenig für Windows XP. Du solltest Dir mal einen Zusatzriegel besorgen für bessere Systemperformance.
Daran werde ich denken
Systemwiederherstellung habe ich deaktiviert.

Zitat:
O20 - Winlogon Notify: Fly - smart.dll (file missing)
O20 - Winlogon Notify: Love - LoveFly.dll (file missing)

Diese Einträge mit HijackThis bitte fixen.
Hab ich gefixt.
Nun ist da ein Ordner mit dem Namen Backups aufgetaucht, er enthällt 2 Datein, hat das was mit dem Fixen zu tun?

Zitat:
Das MBR-Tool hat schädlichen Code gefunden! Es gibt mehrere Methoden, den MBR zu reapieren. Probieren wir es mit dem mbr-Tool:

1. Die mbr.exe der Einfachheit halber nach C:\Windows\System32 kopieren
2. Die Konsole aufrufen über Start, Ausführen, cmd eintippen => ok
3. In die Kommandozeile folgendes eintippen und mit Enter ausführen:

Code:

mbr.exe -f
Das hab ich getan, wie du es gesagt hast, ob da nun etwas passiert weiß ich nicht.

Die anderen zwei Logfiles folgen sogleich

Geändert von Favola (27.07.2008 um 19:28 Uhr)

Alt 27.07.2008, 21:16   #10
Favola
 
Bräuchte Hilfe wegen Viren... - Standard

Bräuchte Hilfe wegen Viren...



Logile vom Malewarebytes...

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.23
Datenbank Version: 999
Windows 5.1.2600 Service Pack 2

21:57:23 27.07.2008
Logfile malewarebytes

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 111164
Laufzeit: 1 hour(s), 26 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\wwd2pykd.exe (Rogue.Installer) -> No action taken.
         
Blacklight hat nichts gefunden. Es gab auch keine Option ein Logfile dazu zuerstellen.

Ein Extra Logfile vom DSS?
Ich hab nicht ganz verstanden, was du damit meinst...

Alt 27.07.2008, 21:34   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bräuchte Hilfe wegen Viren... - Ausrufezeichen

Bräuchte Hilfe wegen Viren...



Zitat:
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\wwd2pykd.exe
Lösch diese Datei.

Was ist aus dem MBR geworden? Mach bitte einen neuen normalen Durchlauf mit der mbr.exe und poste den Output.

DSS erstellt zwei Logfiles, eine main.log und eine extra.log. Die extra.lo ist zwar nicht soo wichtig, aber doch interessant. Ist doch alles genau beschrieben im Artikel, den Du über meinen DSS-Link erreichst.

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing8.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 27.07.2008, 22:25   #12
Favola
 
Bräuchte Hilfe wegen Viren... - Standard

Bräuchte Hilfe wegen Viren...



Zitat:
Lösch diese Datei.
Ist gelöscht

Zitat:
Was ist aus dem MBR geworden? Mach bitte einen neuen normalen Durchlauf mit der mbr.exe und poste den Output.
Das mit dem MBR hab ich gar nicht verstanden, ich habe getan was du sagtest und nun kam das selbe dabei heraus wie vorher auch schon...

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x951a104 size 0x1fd !
copy of MBR has been found in sector 62 !

Das stand auch in der Konsole, als ich es dort ausführte so wie du es mir sagtest. Ich muss irgendetwas falsch gemacht haben

Zitat:
DSS erstellt zwei Logfiles, eine main.log und eine extra.log. Die extra.lo ist zwar nicht soo wichtig, aber doch interessant. Ist doch alles genau beschrieben im Artikel, den Du über meinen DSS-Link erreichst.
Ich hab nachgelesen, wo ich extra.log finde und habe nach dem Scannen dort nachgesehen. Er hat jedoch keinen extra.log erstellt, nur main.log. Es gibt nur einen extra.log vom 17.7.08. Für alle anderen Scanns gibt es keine...

Zitat:
Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing8.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
Wenigstens das hat geklappt...

http://www.file-upload.net/download-1004494/listing.txt.html

Alt 27.07.2008, 23:29   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bräuchte Hilfe wegen Viren... - Icon32

Bräuchte Hilfe wegen Viren...



Ok, dann machen wir das mit dem MBR eben anders. Hast Du deine Windows-CD da?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 28.07.2008, 00:04   #14
Favola
 
Bräuchte Hilfe wegen Viren... - Standard

Bräuchte Hilfe wegen Viren...



Ja, die habe ich da. Ein Freund hatte sie auch benutzt um das bei MBR zu beseitigen, die Virusmeldung beim Hochfahren war damit auch weg, aber wenn du sagst, dass da noch etws ist dann muss ich da wohl nochmal ran

Alt 28.07.2008, 08:03   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bräuchte Hilfe wegen Viren... - Icon32

Bräuchte Hilfe wegen Viren...



Das ist schonmal gut, daß Du die CD zur Hand hast. Boote den PC mal davon (dauert ne Zeit lang bis das Auswahlmenü zur Verfügung steht) und starte die Wiederherstellungskonsole. Dort führst Du diesen Befehl aus:

Code:
ATTFilter
fixmbr
         
Danach sollte der MBR wieder einwandfrei sein. Jedenfalls wenn er nicht wieder manipuliert wird. mit dem Befehl exit startest beendest Du die Konsole und startest den PC neu. Führe im normalen Windows nochmal die mbr.exe aus und poste zur Überprüfung erneut die Ausgabe.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Bräuchte Hilfe wegen Viren...
0 bytes, ad-aware, adobe, antivir, avira, bho, einstellungen, explorer, hard disk, helfen, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, konvertieren, microsoft, neustart, nvidia, pdf, pdf-datei, programme, rundll, scan, software, system, temp, trojaner, trojaner eingefangen, trojaner gefunden, tuneup.defrag, vielen dank, windows, windows xp



Ähnliche Themen: Bräuchte Hilfe wegen Viren...


  1. Bräuchte Hilfe bei der Auswertung
    Log-Analyse und Auswertung - 14.09.2009 (1)
  2. HILFE wegen massiven Viren, Spyware, Trojaner
    Log-Analyse und Auswertung - 18.07.2008 (34)
  3. Ich bräuchte Hilfe
    Plagegeister aller Art und deren Bekämpfung - 01.04.2008 (31)
  4. Bräuchte Hilfe...
    Mülltonne - 30.03.2008 (0)
  5. Bräuchte Hilfe :(
    Log-Analyse und Auswertung - 30.12.2007 (0)
  6. Ich bräuchte eure Hilfe
    Log-Analyse und Auswertung - 03.04.2007 (1)
  7. Bräuchte eure Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 03.12.2006 (1)
  8. Bräuchte Hilfe!!!
    Antiviren-, Firewall- und andere Schutzprogramme - 05.05.2006 (3)
  9. hilfe wegen viren beffal
    Plagegeister aller Art und deren Bekämpfung - 23.04.2006 (7)
  10. Bräuchte etwas Hilfe....Wie überprüfe ich mein PC auf Viren??
    Plagegeister aller Art und deren Bekämpfung - 23.08.2005 (2)
  11. Bräuchte Hilfe
    Log-Analyse und Auswertung - 23.08.2005 (4)
  12. HILFE...PC lahmt wegen Viren jeglicher Art
    Log-Analyse und Auswertung - 27.06.2005 (22)
  13. Bräuchte auch mal Hilfe
    Log-Analyse und Auswertung - 07.06.2005 (7)
  14. ich bräuchte mal hilfe
    Log-Analyse und Auswertung - 08.03.2005 (1)
  15. bräuchte mal hilfe
    Log-Analyse und Auswertung - 28.12.2004 (1)
  16. Bin neu und bräuchte Hilfe :-)
    Log-Analyse und Auswertung - 09.11.2004 (2)
  17. Ich bräuchte Hilfe
    Log-Analyse und Auswertung - 15.10.2004 (4)

Zum Thema Bräuchte Hilfe wegen Viren... - Hallo zusammen Ich habe mir gestern einen Trojaner eingefangen und werde ihn nicht mehr los. Nach dem mein Avira den Trojaner gemeldet hat, machte mein PC nach einiger Zeit eigenständig - Bräuchte Hilfe wegen Viren......
Archiv
Du betrachtest: Bräuchte Hilfe wegen Viren... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.