Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virus.Win32.Virut.q!IK

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 24.03.2009, 20:45   #1
misa
 
Virus.Win32.Virut.q!IK - Standard

Virus.Win32.Virut.q!IK



Hallo

Ich bräuchte Hilfe bezüglich des von a-squared gefundenen Virus.Win32.Virut.q!IK.
Dieser wurde vom Programm in Quarantäne gesetzt, lässt sich aber nicht löschen.
Nach dem Scan waren noch mehrere Dateien infiziert laut a-squared, ebenfalls nicht löschbar, aber jetzt sind sie weg. Also Dateien befanden sich mit Namen in Quarantäne, jetzt werden sie nicht mehr aufgelistet.

HIJACK:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:08, on 24.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Java\jre6\bin\jusched.exe
c:\programme\a-squared free\a2service.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\RtkBtMnt.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = xxx://search.xxx.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxx://search.bearshare.com/at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xxx://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxx://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xxx://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xxx://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - xxx://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - xxx://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - xxx://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - xxx://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 10783 bytes
         


Wäre für jede Hilfe dankbar.

Geändert von misa (24.03.2009 um 20:52 Uhr)

Alt 25.03.2009, 11:29   #2
Chris4You
 
Virus.Win32.Virut.q!IK - Standard

Virus.Win32.Virut.q!IK



Hi,

das ist nicht gut.
Virut befällt normalerweise alle EXE-Dateien, was zum kompletten Neuaufsetzen des Systems führt...(die Variante q!IK kennen ich noch nicht ;o)

Daher wundere ich mich gerade, weswegen keine Datei mehr angemeckert wird (welche waren es und wo lagen sie?)...

Scanne damit mal und poste das Log...
Kaskpersky OnlineScanner
http://www.kaspersky.com/de/virusscanner

chris
__________________

__________________

Alt 25.03.2009, 13:33   #3
misa
 
Virus.Win32.Virut.q!IK - Standard

Virus.Win32.Virut.q!IK



Hallo

Danke für deine rasche Antwort. Habe schon befürchtet, dass ich den Computer neu aufsetzen muss.
Kann ich noch ein paar Dateien sichern, oder wird das nicht möglich sein? Wenn ja, welche?

Ich kann dir nicht sagen welche Dateien es genau waren, aber waren hauptsächlich noch ein paar .exe Dateien. Eine .mp3 Datei.
Ich glaube (da bin ich mir jetzt nicht mehr sicher) noch Dateien mit Endung .dlll, oder so ähnlich.
Wenn ich gewusst hätte, dass die weg sind bis ich wieder zum Computer komme hätte ich sie mir notiert, aber damit hatte ich nicht gerechnet.
Die einzige Datei die sich noch in der Quarantäne befindet ist eben der oben besagte Virus.Win32.Virut.q!IK.

Und jetzt noch Kaspersky:

Code:
ATTFilter
Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 71369
	Viren gefunden: 0
	Infizierte Objekte gefunden: 0
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 01:03:25

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SYSTEM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SOFTWARE	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\DEFAULT	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Antivirus.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\_avast4_\Webshlock.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\sqlite_0fngLOoVWmgoltf	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\CLML_AGENT_LOG1.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_278.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_76c.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Logs\RPProcess.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Logs\RPRegistry.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Logs\RPNetwork.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Logs\Service_2009-03-25-11-59-51.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Logs\Scan_2009-03-25-11-59-51.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Logs\RP_2009-03-25-11-59-52.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\MiniMessage\2	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\etilqs_fC8A0woFRwRMKbb7cgVw	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009032520090326\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ePower_DMC.exe.3ca0acde.ini.inuse	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\Cache\_CACHE_MAP_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\Cache\_CACHE_001_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\Cache\_CACHE_002_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\Cache\_CACHE_003_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\urlclassifier3.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\parent.lock	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\places.sqlite-journal	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\cert8.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\key3.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\permissions.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\places.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\formhistory.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\cookies.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\content-prefs.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\downloads.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\1zv34xfs.default\search.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\report\Residenter Schutz.txt	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\nshield.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\AshWebSv.ws	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\aswMaiSv.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\selfdef.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\aswResp.dat	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\Avast4.db	Das Objekt ist gesperrt	übersprungen
C:\Programme\Sygate\SPF\debug.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Sygate\SPF\syslog.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Sygate\SPF\seclog.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Sygate\SPF\tralog.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Sygate\SPF\rawlog.log	Das Objekt ist gesperrt	übersprungen
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLML_MAIN\CLML.db	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{501249ED-461A-44D4-B160-67D81771EBAB}\RP491\change.log	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
         
Grüße
Misa
__________________

Alt 25.03.2009, 14:00   #4
Chris4You
 
Virus.Win32.Virut.q!IK - Standard

Virus.Win32.Virut.q!IK



Hi,

interessant, nichts zu finden....

Probieren wir noch Silentrunner, Dr. Web und Prevx:

SilentRunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

Abgesicherter Modus Drweb CureIT reinigen lassen:
http://freedrweb.com/?lng=de
Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten!

Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, das Log posten und einen Screenshot des dann angezeigten Fensters...

Du kannst normalerweise Daten sichern, jedoch keine Programme/Dlls etc.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 25.03.2009, 17:14   #5
misa
 
Virus.Win32.Virut.q!IK - Standard

Virus.Win32.Virut.q!IK



Hallo ^^

Also beginnen wir Mal mit Silent Runner:

Code:
ATTFilter
"Silent Runners.vbs", revision 59, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer-Networking Ltd."]
"msnmsgr" = ""C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"igfxtray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"igfxhkcmd" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"igfxpers" = "C:\WINDOWS\system32\igfxpers.exe" ["Intel Corporation"]
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"LaunchApp" = "Alaunch" ["Acer Inc."]
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"(Default)" = "(empty string)" [file not found]
"ADMTray.exe" = ""C:\Acer\Empowering Technology\admtray.exe"" ["Avocent Inc."]
"IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS]
"MSPY2002" = "C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC" [null data]
"PHIME2002ASync" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS]
"PHIME2002A" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS]
"ePower_DMC" = "C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" ["Acer Incorporated"]
"Acer ePower Management" = "C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot" ["Acer Value Labs, Taiwan"]
"LManager" = "C:\PROGRA~1\LAUNCH~1\LManager.exe" ["Dritek System Inc."]
"eRecoveryService" = "C:\Acer\Empowering Technology\eRecovery\Monitor.exe" ["acer Inc."]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]
"SmcService" = "C:\PROGRA~1\Sygate\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."]
"LXSUPMON" = "C:\WINDOWS\system32\LXSUPMON.EXE RUN" ["Lexmark International Inc."]
"Ad-Watch" = "C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe" ["Lavasoft"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre6\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\(Default) = "AcroIEHelperStub"
  -> {HKLM...CLSID} = "Adobe PDF Link Helper"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{DBC80044-A445-435b-BC74-9C25C1C588A9}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Java(tm) Plug-In 2 SSV Helper"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre6\bin\jp2ssv.dll" ["Sun Microsystems, Inc."]
{E7E6F031-17CE-4C07-BC86-EABFE594F69C}\(Default) = "JQSIEStartDetectorImpl"
  -> {HKLM...CLSID} = "JQSIEStartDetectorImpl Class"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{2b45bd21-71f8-4c8c-a87a-7eeb25a1a3e0}" = "EPM-PO Shell Extension"
  -> {HKLM...CLSID} = "EPM-PO Shell Extensions"
                   \InProcServer32\(Default) = "epm-po.dll" ["Acer Labs USA"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
  -> {HKLM...CLSID} = "Meine freigegebenen Ordner"
                   \InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS]
"{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C}" = "Logitech Setpoint Extension"
  -> {HKLM...CLSID} = "KbLogiExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\kbcplext.dll" ["Logitech Inc."]
"{B9B9F083-2B04-452A-8691-83694AC1037B}" = "Logitech Setpoint Extension"
  -> {HKLM...CLSID} = "LogiExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Logitech\SetPoint\mcplext.dll" ["Logitech Inc."]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
  -> {HKLM...CLSID} = "avast"
                   \InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"
                   \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{A155339D-CCCD-4714-85EB-3754B804C9DF}" = "a-squared Free Context Menu Shell Extension"
  -> {HKLM...CLSID} = "a-squared Free Context Menu"
                   \InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2FREE~1.DLL" ["Emsi Software GmbH"]
"{4EFE464B-3D0B-4800-A5DE-2321283A3256}" = "QCD IconHandler"
  -> {HKLM...CLSID} = "QIconHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Quintessential Player\QCDIcons.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
  -> {HKLM...CLSID} = "WPDShServiceObj Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
  -> {HKLM...CLSID} = "avast"
                   \InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
EDSshellExt\(Default) = "{29FF7AB0-BE34-4992-A30B-53A9D86EE239}"
  -> {HKLM...CLSID} = "eDSshlExt Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\eDSshellExt.dll" ["HiTRUST"]
LavasoftShellExt\(Default) = "{DCE027F7-16A4-4BEE-9BE7-74F80EE3738F}"
  -> {HKLM...CLSID} = "Lavasoft Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Lavasoft\Ad-Aware\ShellExt.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
EDSshellExt\(Default) = "{29FF7AB0-BE34-4992-A30B-53A9D86EE239}"
  -> {HKLM...CLSID} = "eDSshlExt Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\eDSshellExt.dll" ["HiTRUST"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
a2FreeContMenu\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
  -> {HKLM...CLSID} = "a-squared Free Context Menu"
                   \InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2FREE~1.DLL" ["Emsi Software GmbH"]
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
  -> {HKLM...CLSID} = "avast"
                   \InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
LavasoftShellExt\(Default) = "{DCE027F7-16A4-4BEE-9BE7-74F80EE3738F}"
  -> {HKLM...CLSID} = "Lavasoft Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Lavasoft\Ad-Aware\ShellExt.dll" [null data]
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
a2FreeContMenu\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
  -> {HKLM...CLSID} = "a-squared Free Context Menu"
                   \InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2FREE~1.DLL" ["Emsi Software GmbH"]
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"HonorAutoRunSetting" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\ACER.SCR" [null data]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

DVDDecrypterPlayDVDMovieOnArrival\
"Provider" = "DVD Decrypter"
"InvokeProgID" = "DVDDecrypter"
"InvokeVerb" = "PlayDVDMovieOnArrival_Decrypt"
HKLM\SOFTWARE\Classes\DVDDecrypter\shell\PlayDVDMovieOnArrival_Decrypt\Command\(Default) = ""C:\Programme\DVD Decrypter\DVDDecrypter.exe" /MODE READ /SOURCE "%1"" ["LIGHTNING UK!"]

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
  -> {HKLM...CLSID} = "WPDShextAutoplay"
                   \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

NTIBurner\
"Provider" = "NTI CD-Maker"
"InvokeProgID" = "NTIBurnerOpen"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\NTIBurnerOpen\shell\open\command\(Default) = ""C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\Cdmkr32.exe"" ["NewTech Infosystems, Inc."]

PCinemaDCameraArrival\
"Provider" = "Acer Arcade"
"InvokeProgID" = "Picture"
"InvokeVerb" = "PlayWithPowerCinema"
HKLM\SOFTWARE\Classes\Picture\shell\PlayWithPowerCinema\Command\(Default) = ""C:\Program Files\Acer\Acer Arcade\Acer Arcade.exe" AUTOPLAY DSC "%L"" ["CyberLink Corp."]

PCinemaDVArrival\
"Provider" = "Acer Arcade"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = ""C:\Program Files\Acer\Acer Arcade\Acer Arcade.exe" DV "%L""
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"
                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

PCinemaMusicFilesArrival\
"Provider" = "Acer Arcade"
"InvokeProgID" = "MusicFiles"
"InvokeVerb" = "PlayWithPowerCinema"
HKLM\SOFTWARE\Classes\MusicFiles\shell\PlayWithPowerCinema\Command\(Default) = ""C:\Program Files\Acer\Acer Arcade\Acer Arcade.exe" AUTOPLAY MUSIC "%L"" ["CyberLink Corp."]

PCinemaPlayCDAudioOnArrival\
"Provider" = "Acer Arcade"
"InvokeProgID" = "AudioCD"
"InvokeVerb" = "PlayWithPowerCinema"
HKLM\SOFTWARE\Classes\AudioCD\shell\PlayWithPowerCinema\Command\(Default) = ""C:\Program Files\Acer\Acer Arcade\Acer Arcade.exe" AUTOPLAY CD "%L"" ["CyberLink Corp."]

PCinemaPlayDVDMovieOnArrival\
"Provider" = "Acer Arcade"
"InvokeProgID" = "DVD"
"InvokeVerb" = "PlayWithPowerCinema"
HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerCinema\Command\(Default) = ""C:\Program Files\Acer\Acer Arcade\Acer Arcade.exe" AUTOPLAY MOVIE "%L"" ["CyberLink Corp."]

PCinemaVideoFilesArrival\
"Provider" = "Acer Arcade"
"InvokeProgID" = "VideoFiles"
"InvokeVerb" = "PlayWithPowerCinema"
HKLM\SOFTWARE\Classes\VideoFiles\shell\PlayWithPowerCinema\Command\(Default) = ""C:\Program Files\Acer\Acer Arcade\Acer Arcade.exe" AUTOPLAY VIDEO "%L"" ["CyberLink Corp."]

PPCDBurningOnArrival\
"Provider" = "PowerProducer"
"InvokeProgID" = "Picture"
"InvokeVerb" = "OpenWithPowerProducer"
HKLM\SOFTWARE\Classes\Picture\shell\OpenWithPowerProducer\Command\(Default) = ""C:\Program Files\CyberLink\PowerProducer\Producer.exe"" ["CyberLink"]

PPDCameraArrival\
"Provider" = "PowerProducer"
"InvokeProgID" = "Picture"
"InvokeVerb" = "OpenWithPowerProducer"
HKLM\SOFTWARE\Classes\Picture\shell\OpenWithPowerProducer\Command\(Default) = ""C:\Program Files\CyberLink\PowerProducer\Producer.exe"" ["CyberLink"]

PPDVArrival\
"Provider" = "PowerProducer"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = ""C:\Program Files\CyberLink\PowerProducer\Producer.exe""
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"
                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

PSASE30ImportPicturesOnArrival\
"Provider" = "Adobe Photoshop Album Starter Edition"
"InvokeProgID" = "PSASE30.autoplay"
"InvokeVerb" = "launch"
HKLM\SOFTWARE\Classes\PSASE30.autoplay\shell\launch\command\(Default) = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\psaproxy.exe"  -v  %1\" ["Adobe Systems Incorporated"]

RPCDBurningOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.CDBurn.6"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /burn "%1"" ["RealNetworks, Inc."]

RPDeviceOnArrival\
"Provider" = "RealPlayer"
"ProgID" = "RealPlayer.HWEventHandler"
HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"
  -> {HKLM...CLSID} = "RealNetworks Scheduler"
                   \LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]

RPPlayCDAudioOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AudioCD.6"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe  /play %1 " ["RealNetworks, Inc."]

RPPlayDVDMovieOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.DVD.6"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe  /dvd %1 " ["RealNetworks, Inc."]

RPPlayMediaOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AutoPlay.6"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /autoplay "%1"" ["RealNetworks, Inc."]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"]


Enabled Scheduled Tasks:
------------------------

"Ad-Aware Update (Weekly)" -> launches: "C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe update all silent" ["Lavasoft"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 05, 08 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 06 - 07


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}" = (no title provided)
  -> {HKLM...CLSID} = "Acer eDataSecurity Management"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\eDStoolbar.dll" ["HiTRUST"]
"{0FBB9689-D3D7-4F7A-A2E2-585B10099BFC}" = "Veoh Web Player Video Finder"
  -> {HKLM...CLSID} = "Veoh Web Player Video Finder"
                   \InProcServer32\(Default) = "C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll" ["Veoh Networks Inc"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" [file not found]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

a-squared Free Service, a2free, ""c:\programme\a-squared free\a2service.exe"" ["Emsi Software GmbH"]
AdminWorks Agent X6, AWService, ""C:\Acer\Empowering Technology\admServ.exe"" ["Avocent Inc."]
avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" ["ALWIL Software"]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" ["ALWIL Software"]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
CyberLink Background Capture Service (CBCS), CLCapSvc, ""C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe"" [empty string]
CyberLink Media Library Service, CyberLink Media Library Service, ""C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe"" ["Cyberlink"]
Cyberlink RichVideo Service(CRVS), RichVideo, ""C:\Programme\CyberLink\Shared Files\RichVideo.exe"" [empty string]
CyberLink Task Scheduler (CTS), CLSched, ""C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe"" [empty string]
ICQ Service, ICQ Service, "C:\Programme\ICQ6Toolbar\ICQ Service.exe" [empty string]
Intel(R) PROSet/Wireless Event Log, EvtEng, "C:\Programme\Intel\Wireless\Bin\EvtEng.exe" ["Intel Corporation"]
Intel(R) PROSet/Wireless Registry Service, RegSrvc, "C:\Programme\Intel\Wireless\Bin\RegSrvc.exe" ["Intel Corporation"]
Intel(R) PROSet/Wireless Service, S24EventMonitor, "C:\Programme\Intel\Wireless\Bin\S24EvMon.exe" ["Intel Corporation "]
Java Quick Starter, JavaQuickStarterService, ""C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf"" ["Sun Microsystems, Inc."]
Lavasoft Ad-Aware Service, Lavasoft Ad-Aware Service, ""C:\Programme\Lavasoft\Ad-Aware\AAWService.exe"" ["Lavasoft"]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"]
Net Driver HPZ12, Net Driver HPZ12, "C:\WINDOWS\System32\svchost.exe -k HPZ12" {"C:\WINDOWS\system32\HPZinw12.dll" ["Hewlett-Packard"]}
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\System32\svchost.exe -k HPZ12" {"C:\WINDOWS\system32\HPZipm12.dll" ["Hewlett-Packard"]}
Sygate Personal Firewall, SmcService, "C:\Programme\Sygate\SPF\smc.exe" ["Sygate Technologies, Inc."]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
BJ Language Monitor2\Driver = "CNBJMON2.DLL" [MS]
HP Standard TCP/IP Port\Driver = "HpTcpMon.dll" ["Hewlett Packard"]
hpz3l4sa\Driver = "hpz3l4sa.dll" ["Hewlett-Packard Company"]
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
PDFCreator\Driver = "pdfcmnnt.dll" [null data]


---------- (launch time: 2009-03-25 14:12:34)
<<!>>: Suspicious data at a malware launch point.
         


Alt 25.03.2009, 17:30   #6
misa
 
Virus.Win32.Virut.q!IK - Standard

Virus.Win32.Virut.q!IK



Dr. Web hat was gefunden, allerdings ist der nächste Report so lang, dass ich ihn in mindestens 10 Teile stückeln könnte.

Irgendeine andere Methode die du bevorzugen würdest, wie ich das File onstellen könnte?

Ach ja, Prevx hat nichts gefunden.

Geändert von misa (25.03.2009 um 17:37 Uhr)

Alt 25.03.2009, 18:35   #7
nochdigger
 
Virus.Win32.Virut.q!IK - Standard

Virus.Win32.Virut.q!IK



Hallo

lade das Log doch z.B. hier hoch
File-Upload.net - Ihr kostenloser File Hoster!
und poste den Link hierher.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 25.03.2009, 19:27   #8
misa
 
Virus.Win32.Virut.q!IK - Standard

Virus.Win32.Virut.q!IK



Okay, danke. Hier wäre dann der Link:

http://www.file-upload.net/download-1549541/CureIt.txt.html


Ich hoffe, ich habe das richtige File gefunden.

Alt 26.03.2009, 19:56   #9
misa
 
Virus.Win32.Virut.q!IK - Standard

Virus.Win32.Virut.q!IK



Ach ja, hab gestern noch vergessen zu erwähnen was Dr. Web gefunden hat:

Code:
ATTFilter
RegUBP2b-User.reg

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots2

Trojan.StartPage.1505
         
Dr. Prev hat nichts gefunden.

Wie soll ich nun weiter vorgehen?

Und kann ich Daten auch auf einer externen Festplatte sichern, oder ist davon eher abzuraten?

Misa

Alt 27.03.2009, 07:38   #10
Chris4You
 
Virus.Win32.Virut.q!IK - Standard

Virus.Win32.Virut.q!IK



Hi,

auch das Silentrunner-Log sieht sauber aus...
Beim anstöpseln der HD die SHIFT-Taste gedrückt halten...
Ausserdem würde ich die Immunisierung mit "Flashdisinfector" empfehlen (Unterdrückung von autorun und Immunisierung (schriebt eine autorun.inf-Verzeichnis, das nicht überschrieben werden kann, damit können sich autorunviren/trojaner) darüber nicht mehr "fortpflanzen").

Was mach der Rechner?

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 27.03.2009, 08:13   #11
misa
 
Virus.Win32.Virut.q!IK - Standard

Virus.Win32.Virut.q!IK



Also der Rechner läuft noch stabil, allerdings hat a-squared eine neue Datei als verdächtig eingestuft:

Code:
ATTFilter
C:/WINDOWS/system32/dllcache/chkrzm.exe
         
Und meinst du Immunisierung für die HD, oder allgemein?
Ich glaub, dass musst du mir noch näher erklären. Ist das einfach ein weiteres Programm was ich starten muss?

Danke für deine Hile.

Grüße
Misa

Geändert von misa (27.03.2009 um 08:20 Uhr)

Alt 27.03.2009, 11:04   #12
Chris4You
 
Virus.Win32.Virut.q!IK - Standard

Virus.Win32.Virut.q!IK



Hi,

die Datei bei Virustotal prüfen lassen...
virustotal

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:/WINDOWS/system32/dllcache/chkrzm.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Autorun-Vrius und Autorun disablen!
Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
oder
http://www.trojaner-board.de/72847-flash-disinfector-externe-medien-desinfizieren-und-absichern.html
Trenne den Rechner physikalisch vom Netz.
Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden).
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 28.03.2009, 10:38   #13
misa
 
Virus.Win32.Virut.q!IK - Standard

Virus.Win32.Virut.q!IK



Hallo

Erster Punkt ist erledigt:

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.101	2009.03.28	-
AhnLab-V3	5.0.0.2	2009.03.27	-
AntiVir	7.9.0.129	2009.03.27	-
Antiy-AVL	2.0.3.1	2009.03.28	-
Authentium	5.1.2.4	2009.03.27	-
Avast	4.8.1335.0	2009.03.27	-
AVG	8.5.0.285	2009.03.27	-
BitDefender	7.2	2009.03.28	-
CAT-QuickHeal	10.00	2009.03.28	-
ClamAV	0.94.1	2009.03.28	-
Comodo	1087	2009.03.28	-
DrWeb	4.44.0.09170	2009.03.28	-
eSafe	7.0.17.0	2009.03.27	-
eTrust-Vet	31.6.6421	2009.03.27	-
F-Prot	4.4.4.56	2009.03.27	-
F-Secure	8.0.14470.0	2009.03.28	-
Fortinet	3.117.0.0	2009.03.28	-
GData	19	2009.03.28	-
Ikarus	T3.1.1.48.0	2009.03.28	-
K7AntiVirus	7.10.683	2009.03.27	-
Kaspersky	7.0.0.125	2009.03.28	-
McAfee	5566	2009.03.27	-
McAfee+Artemis	5566	2009.03.27	-
McAfee-GW-Edition	6.7.6	2009.03.28	-
Microsoft	1.4502	2009.03.27	-
NOD32	3971	2009.03.28	-
Norman	6.00.06	2009.03.27	-
nProtect	2009.1.8.0	2009.03.28	-
Panda	10.0.0.10	2009.03.27	-
PCTools	4.4.2.0	2009.03.27	-
Rising	21.22.52.00	2009.03.28	-
Sophos	4.40.0	2009.03.28	-
Sunbelt	3.2.1858.2	2009.03.28	-
Symantec	1.4.4.12	2009.03.28	-
TheHacker	6.3.3.8.294	2009.03.28	-
TrendMicro	8.700.0.1004	2009.03.28	-
VBA32	3.12.10.1	2009.03.27	-
ViRobot	2009.3.27.1666	2009.03.27	-
weitere Informationen
File size: 42575 bytes
MD5...: 5cb19e77d8d7ede3f803b52d3c8cde16
SHA1..: d02b6ba2ab96c1429fe6c136ec8e4f06dad01b48
SHA256: b1a90e2bd8270dc7a6b4f4d3ed900893b4d44cf639e62dcb05c8d432b4c97ed8
SHA512: bc87c079af70bfc8350f81ab0fbb7779ca3126f7d769853811a4d8d8b7f6de85
0c524ff327e1e106f661e0e950c014f61a6d8556969587c63cd2c5c66fd1131a
ssdeep: 768:oqqC0XaTgWNKBnbWQn7GUF3Ho1s11fTaTF01laJ9v9AFvx:oRC0XSgWoSmss
1FAyar9AFJ
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2f88
timedatestamp.....: 0x3b0ecabe (Fri May 25 21:12:30 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2484 0x2600 5.55 1a6143476fe76365afdf9f5a7d9eb872
.data 0x4000 0x12a0 0x1400 4.48 4ccf1f67e11cd6fa0a0beebdf21657c1
.rsrc 0x6000 0x7000 0x6800 6.03 f43614dc9858c0c2f76d6df5b5fec2a9

( 6 imports )
> UNIANSI.dll: FormatMessageW, GetModuleFileNameW, lstrcpyW, LoadStringW
> KERNEL32.dll: GetUserDefaultLangID, GetModuleHandleA, GetStartupInfoA, MultiByteToWideChar, lstrlenA, lstrcmpA
> USER32.dll: MessageBoxW
> ole32.dll: CoInitialize, CLSIDFromProgID, CoCreateInstance, CoUninitialize
> OLEAUT32.dll: -, -, -
> MSVCRT.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, exit, _exit, _acmdln, _XcptFilter

( 0 exports )
RDS...: NSRL Reference Data Set

( Microsoft )

> MSDN Disc 2041: chkrzm.exe
> MSDN Disc 2307: chkrzm.exe
> MSDN Disc 3264: chkrzm.exe
> Applications, Platforms, Servers: chkrzm.exe
> Platforms, SDK/DDK: chkrzm.exe
> Windows XP Home Edition: chkrzm.exe
> MSDN Disc 2438.7: chkrzm.exe
> MSDN Disc 2438.2: chkrzm.exe
> MSDN DISC 2438.3: chkrzm.exe
> MSDN Disc 2438.1: chkrzm.exe
> Disc 2438.5: chkrzm.exe
> MSDN Disc 2438: chkrzm.exe
> MSDN Disc 2438.8: chkrzm.exe
         
Der Rest folgt zugleich, melde mich dann wieder wenn ich fertig bin.

Grüße
Misa

Alt 28.03.2009, 13:26   #14
misa
 
Virus.Win32.Virut.q!IK - Standard

Virus.Win32.Virut.q!IK



Danke für die ausführliche Anleitung, alles erledigt jetzt.

Und wie geht es nun weiter?

Grüße
Misa

Alt 28.03.2009, 14:11   #15
Chris4You
 
Virus.Win32.Virut.q!IK - Standard

Virus.Win32.Virut.q!IK



Hi,

ich halte die Meldung von asquere für eine Falschmeldung...
http://www.filename.info/f/chkrzm.exe.html

Bennen die Datei einfach um, auf z.B. chkrzm.exe.vir, dann kann sie nicht mehr ausgeführt werden und falls es Probleme gibt, ist die Wiederherstellung einfach!

Da kein Scanner mehr was findet kannst Du den Rechner mit einem gewissen Risiko weiter benutzen, jedoch würde ich kein eBanking etc. darauf machen, dann doch lieber Neuaufsetzen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Virus.Win32.Virut.q!IK
ad-aware, ad-watch, adobe, antivirus, avast, avast!, bho, excel, explorer, firefox, firewall, hijackthis, hkus\s-1-5-18, internet, internet explorer, launch, logfile, mozilla, object, plug-in, programm, registry, rundll, scan, software, system, temp, windows, windows xp



Ähnliche Themen: Virus.Win32.Virut.q!IK


  1. Eset meldet Win32/Virut.NBP Virus
    Plagegeister aller Art und deren Bekämpfung - 25.10.2013 (9)
  2. Trojan.Win32.Yakes.cmpu und not-a-virus:RemoteAdmin.Win32.WinVNC.mx durch Kasperky gefunden - Vorgehen?
    Log-Analyse und Auswertung - 01.04.2013 (22)
  3. Virus "W32/Virut.Gen" auf Externer Festplatte ('F:\AppInst.exe')
    Log-Analyse und Auswertung - 21.11.2011 (27)
  4. Entfernen von Virus:Win32/Bamital.H und Trojan:Win32/Spyeye.H aus wininit.exe und explorer.exe
    Plagegeister aller Art und deren Bekämpfung - 19.11.2010 (37)
  5. Avast findet "Win32 Virut" auf Externer Festplatte
    Log-Analyse und Auswertung - 20.10.2010 (7)
  6. Worm:Win32/Conficker.B Virus:Win32/Sality.AM PWS:Win32/Verweli.A
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (1)
  7. Virus.Win32.Protector.f & Trojan-Dropper.Win32.delf.eu
    Log-Analyse und Auswertung - 19.05.2010 (13)
  8. Virus.Win32.virut!K - Gefunden - Bekämpft - Aber wirklich weg?
    Plagegeister aller Art und deren Bekämpfung - 01.04.2010 (3)
  9. Win32/Virut gefunden und in Quarantäne, seitdem ständig Trojanermeldungen
    Log-Analyse und Auswertung - 29.11.2009 (1)
  10. WIN32.Virut.gen Infektion
    Log-Analyse und Auswertung - 08.11.2009 (3)
  11. TR/Dropper.Gen - Virus:W32/Virut.Gen Trojaner
    Log-Analyse und Auswertung - 07.10.2009 (3)
  12. w32.virut.cf
    Plagegeister aller Art und deren Bekämpfung - 26.08.2009 (16)
  13. Virus.Win32.Virut.ce bzw Win32/Virut.gen!O
    Log-Analyse und Auswertung - 26.05.2009 (0)
  14. winlogon.exe infiziert mit Win32.LooksLike.Virut?
    Plagegeister aller Art und deren Bekämpfung - 01.05.2009 (6)
  15. Trojan-Spy.Win32.Pophot.gzv / Trojan.Win32.Buzus.alwl / Virus.Win32.Virut.ce
    Plagegeister aller Art und deren Bekämpfung - 19.02.2009 (1)
  16. Win32/Virut.4960
    Plagegeister aller Art und deren Bekämpfung - 03.01.2007 (8)
  17. W32/Virut.b
    Log-Analyse und Auswertung - 12.10.2006 (19)

Zum Thema Virus.Win32.Virut.q!IK - Hallo Ich bräuchte Hilfe bezüglich des von a-squared gefundenen Virus.Win32.Virut.q!IK. Dieser wurde vom Programm in Quarantäne gesetzt, lässt sich aber nicht löschen. Nach dem Scan waren noch mehrere Dateien infiziert - Virus.Win32.Virut.q!IK...
Archiv
Du betrachtest: Virus.Win32.Virut.q!IK auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.