Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Wurm- & Trojanerverseucht trotz Schutz - stimmt das???

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.11.2007, 13:02   #1
drahreg
 
Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? - Icon22

Wurm- & Trojanerverseucht trotz Schutz - stimmt das???



Hallo,
schon länger kämpfe ich mit einem stark verlangsamten System (Win XP + SP2), manchmal tagelang verzögertem email-Empfang (Thunderbird), (scheinbar) unerklärlichen Abbrüchen von Programmen und Systemabstürzen. Ich bin selbst kein Profi, habe aber PC-Freunde, die mir aber nicht weiterhelfen konnten. Eigentlich fühle ich mich gut geschützt, habe Norton Internet Security (vor kurzem lief das Abo aus, will wechseln, weil das angeblich ja auch das System stark verlangsamt - stimmt das - und auf was dann?), das keine Schädlinge findet, die Fritzbox Firewall aktiviert, Spybot findet nichts, Regcleaner ebenfalls nicht. Jetzt war ich eben auf der Website hijackfree.de, auf der man online ein Logfile auswerten lassen kann, und bin entsetzt! Laut dieser Analyse ist mein System voll von Schädlingen, Trojaner, Würmer, Keylogger und Viren - kann das sein? Seltsam ist auch, dass ich die angeblichen Kommandozeilen der Schädlinge in den jeweiligen in der Analyse bezeichneten Ordnern nicht finden kann (z.B. windows/help/help). Können sich die auch woanders verstecken oder unsichtbar machen (hab natürlich die versteckten Dateien schon sichtbar gemacht)?
Ich habe mich ja schon öfter gefragt, warum zum Beispiel ccApp so oft im taskManager angezeigt wird - stecken da wirklich Schädlinge dahinter?

Ich würde mich freuen, wenn jemand mal einen Blick auf mein Logfile werfen kann, und mir sagt, ob das stimmt, was dieser onlinetest behauptet.

Hier erstmal einige Schädlingsmeldungen, die die hijackfree-Seite mir anzeigt(es gibt noch viele mehr...!):

$statusgood$ Y ccApp ccApp.exe Part of Norton AntiVirus. Auto-protect and E-mail check will not function without this

$statusbad$ X ccApp [random filename] Added by the OBSORB TROJAN! Note the random filename compared to the valid Norton AntiVirus
$statusbad$ X ccApp WMADZ.EXE Added by the RBOT-LJ WORM!
$statusbad$ X ccApp .EXE Added by the RBOT-LJ WORM!
$statusbad$ X ccApp gcasServ.exe Added by a variant of the RBOT WORM! Do not confuse with the Microsoft AntiSpyware executable of the same name
$statusbad$ X Norton Auto-Protect ccApp.exe Added by the AKHER.D WORM! Note - for the valid Norton AV entry the filename is "navapexe". This is also not the valid Norton AV file with the same filename
$statusbad$ X Symantec Service ccApp.exe Added by the AKHER.D WORM! Note - this is also not the valid Norton AV file with the same filename
$statusbad$ X Symantec ccapp.exe Added by the REATLE WORM! Note - this is not a Symantec file

$statusbad$ X Automatic Windows Updater Update.exe Added by the GAOBOT.AO WORM!
$statusbad$ X AV UpDate Update.exe Added by the FUROOT-A TROJAN!
$statusbad$ X Windows Update Update.exe Added by the DELF-FN TROJAN!
$statusbad$ X MouseDrv update.exe Added by the ZOTOB.N WORM!
$statusbad$ X ScanRegistry update.exe Added by the DWNLDR-FZY TROJAN!
$statusbad$ X System Update2 update.exe Added by the AUTOTROJ-C TROJAN!
$statusbad$ X updatewin update.exe Added by a variant of the SDBOT WORM!
$statusbad$ X Update Update.exe QuickButton adware
$statusgood$ Y Update Service Update.exe Loaded by Handybits programs such as EasyCrypto. Re-instates itself every time the program is run so best to leave it enabled. Prevent it dialling out via a firewall
$statusbad$ X update service svxhost.exe Added by the RBOT-MG WORM!
$statusbad$ X Update Service winu32.exe Added by the RBOT-MG WORM!
$statusbad$ X update service winx.exe Added by a variant of the RBOT WORM!
$statusbad$ X startkey update.exe Added by the BIFROSE-DG TROJAN!
$statusbad$ X Microsoft Update update.exe Added by a variant of the SDBOT WORM!
$statusbad$ X OrbitUpdate update.exe Xupiter OrbitExplorer toolbar related. Drive-by foistware. Use Spybot S&D, Adware or similar to detect and remove and to prevent it re-installing in the future see here
$statusbad$ X msupdate update.exe Added by a variant of the SDBOT WORM!

Und hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:49:56, on 05.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\a-squared free\a2service.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe
C:\PROGRA~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\fritzdsl.exe
C:\Programme\FRITZ!DSL\fwebprot.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Hijackthis\HJT.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BC082CD-1082-4C43-9DFB-9A47621A736C}: NameServer = 192.168.122.252,192.168.122.253
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!Box-Kindersicherung (avmidentd) - AVM Berlin - C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

So, ich freu mich, wenn sich jemand die Mühe macht, um das durchzuschauen, und sag im Voraus schon mal danke!

Mit freundlichen Grüßen
Gerhard

Alt 05.11.2007, 19:41   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? - Standard

Wurm- & Trojanerverseucht trotz Schutz - stimmt das???



Tach.

Zitat:
Eigentlich fühle ich mich gut geschützt, habe Norton Internet Security (vor kurzem lief das Abo aus, will wechseln, weil das angeblich ja auch das System stark verlangsamt - stimmt das - und auf was dann?)
Norton Internet Security ist so ziemlich das schlimmste, was man seinem System zumuten kann. Allgemein aber sind SecuritySuites doch sehr dafür bekannt, das System stark zu verlangsamen, von Norton IS gibts aber besonders viele Negativbeispiele.
Als Tipp wäre ein Virenscanner plus Windows-Firewall, das reicht dicke, denn der Hauptaugenmerk liegt auf Verhaltensgrundregeln - konsequent umgesetzt benötigt es kein Virenscanner oder Firewall, nur diese Programme melden u.U. wenn doch was im Argen ist.
Wie gesagt, Windows-Firewall reicht, lastet das System auch nicht unnötig aus, und der kostenlose Virenscanner AntiVir als Beispiel. Wenn es ein gute Bezahlvariante sein soll: Kaspersky Antivirus (nur den reinen Scanner, die Suite Kaspersky IS braucht's auch nicht!).

Zitat:
Jetzt war ich eben auf der Website hijackfree.de, auf der man online ein Logfile auswerten lassen kann, und bin entsetzt!
Hijackfree?
Meinst du nicht eher Hijackthis?!

Zitat:
Laut dieser Analyse ist mein System voll von Schädlingen, Trojaner, Würmer, Keylogger und Viren - kann das sein?
Also das hijackfree kenn ich überhaupt nicht, aber im Hijackthis-Logfile seh ich erstmal nichts von diesen angeblich vorhandenen Schädlingen.

Zitat:
Seltsam ist auch, dass ich die angeblichen Kommandozeilen der Schädlinge in den jeweiligen in der Analyse bezeichneten Ordnern nicht finden kann (z.B. windows/help/help). Können sich die auch woanders verstecken oder unsichtbar machen (hab natürlich die versteckten Dateien schon sichtbar gemacht)?
Ich schätze manche EInträge sind schlicht und ergreifend Fehlalarme. Wenn's ganz und gar mit dem Teufel zugeht, sind dort beabsichtigt Virenmeldungen, um dir die Kaufversionen schmackhaft zu machen.

Wir sollten dein System daher genauer analysieren: Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
- combofix
Und um noch weitere "krumme" Dateien im System aufzuspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing6.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei rapidshare hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________

Alt 06.11.2007, 09:01   #3
drahreg
 
Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? - Standard

Wurm- & Trojanerverseucht trotz Schutz - stimmt das???



Hallo,
danke erst mal für diese erste Antwort!
Zitat:
Hijackfree?
Meinst du nicht eher Hijackthis?!
Die Seite ist von asqared. Die online - Auswertung gibts unter Uploaden Sie Ihr a-squared HiJackFree Logfile
Hab gestern abend noch Norton rausgeschmissen, und nach langem Überlegen und Testvergleichen tatsächlich AntiVir installiert. Schön, dass du das nochmal im Nachhinein bestätigst hast!
Zitat:
Norton Internet Security ist so ziemlich das schlimmste, was man seinem System zumuten kann. Allgemein aber sind SecuritySuites doch sehr dafür bekannt, das System stark zu verlangsamen, von Norton IS gibts aber besonders viele Negativbeispiele.
Stimmt, ich bin wieder eines... Das System läuft deutlich schneller, vom Booten gar nicht zu reden! Und während des Systemscans kann ich jetzt wieder ganz normal weiterarbeiten, das ging unter Norton nicht... und dafür habe ich zwei Jahre bezahlt...
An den Rest der Analyse mach ich mich jetzt ran, und poste dann die Ergebnisse.
Vielen Dank erstmal
Gerhard
__________________

Alt 06.11.2007, 19:25   #4
drahreg
 
Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? - Standard

Wurm- & Trojanerverseucht trotz Schutz - stimmt das???



So, hier ist das Log von COMBO:

ComboFix 07-11-01.1** - Chef 2007-11-06 18:07:06.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.xxxxxxxxx [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxxx\Eigene Dateien\Downloads\Combofix\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NPF


((((((((((((((((((((((( Dateien erstellt von 2007-10-06 bis 2007-11-06 ))))))))))))))))))))))))))))))
.

2007-11-06 18:05 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-06 17:15 <DIR> d-------- C:\bases_x
2007-11-06 16:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\COWON
2007-11-06 14:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird
2007-11-06 14:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback
2007-11-06 10:22 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-11-06 10:22 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-11-06 10:22 <DIR> d-a------ C:\WINDOWS\system32\systems.txt
2007-11-06 10:22 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-11-06 10:22 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-11-06 10:22 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-11-06 10:22 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-11-06 10:20 153,600 --a------ C:\WINDOWS\R.COM
2007-11-06 10:20 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-11-05 23:31 <DIR> d-------- C:\Programme\Avira
2007-11-05 23:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-11-05 22:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-11-05 22:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-11-05 22:55 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2007-11-05 22:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-11-05 22:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-11-05 22:55 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-11-05 22:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-11-05 22:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterTrust
2007-11-05 22:55 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-11-05 22:29 <DIR> d-------- C:\Programme\CCleaner
2007-11-05 19:18 <DIR> d-------- C:\Programme\Spyware Doctor
2007-11-05 19:18 <DIR> d-------- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\PC Tools
2007-11-05 19:18 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-11-05 19:18 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-11-05 19:18 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-11-05 19:18 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-11-05 19:18 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-11-05 19:18 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-10-25 21:15 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-10-25 21:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2007-10-25 21:15 <DIR> d-------- C:\Programme\Apple Software Update
2007-10-25 21:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-10-17 21:34 <DIR> d-------- C:\Programme\Exact Audio Copy
2007-10-17 21:34 <DIR> d-------- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\AccurateRip
2007-10-17 17:23 <DIR> d-------- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Steinberg
2007-10-16 08:55 <DIR> d-------- C:\Programme\VOB
2007-10-16 08:55 611,840 --a------ C:\WINDOWS\system32\vobhw.dll
2007-10-16 08:55 377,856 --a------ C:\WINDOWS\system32\PSDrvCheck.exe
2007-10-16 08:55 153,088 --a------ C:\WINDOWS\system32\IWUninstall.exe
2007-10-16 08:55 19,456 --a------ C:\WINDOWS\system32\asapi.dll
2007-10-16 08:55 11,264 --a------ C:\WINDOWS\system32\drivers\asapiW2k.sys
2007-10-16 08:53 <DIR> d-------- C:\Programme\Steinberg
2007-10-16 08:53 1,441,792 --a------ C:\WINDOWS\system32\nspw7.dll
2007-10-16 08:53 1,429,504 --a------ C:\WINDOWS\system32\nspa6.dll
2007-10-16 08:53 1,404,928 --a------ C:\WINDOWS\system32\nspm6.dll
2007-10-16 08:53 1,335,296 --a------ C:\WINDOWS\system32\nspm5.dll
2007-10-16 08:53 1,318,912 --a------ C:\WINDOWS\system32\nspp6.dll
2007-10-16 08:53 1,306,624 --a------ C:\WINDOWS\system32\nsppx.dll
2007-10-16 08:53 114,688 --a------ C:\WINDOWS\system32\nsp.dll
2007-10-16 08:53 19,968 --a------ C:\WINDOWS\system32\Cpuinf32.dll
2007-10-15 11:36 <DIR> d-------- C:\Programme\Audacity 1.3 Beta
2007-10-15 11:22 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2007-10-15 11:22 59,264 --a------ C:\WINDOWS\system32\dllcache\usbaudio.sys
2007-10-15 11:22 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-10-15 11:22 21,504 --a------ C:\WINDOWS\system32\dllcache\hidserv.dll
2007-10-15 11:22 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-10-15 11:22 9,600 --a------ C:\WINDOWS\system32\dllcache\hidusb.sys
2007-10-11 15:24 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-09 15:15 <DIR> d-------- C:\Programme\7-Zip
2007-10-07 17:29 <DIR> d-------- C:\Programme\gs

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-06 07:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2007-11-05 20:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-11-05 20:19 --------- d-----w C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Symantec
2007-11-02 19:50 --------- d-----w C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\FRITZ!
2007-11-01 08:55 --------- d-----w C:\Programme\Imagistik Pictures
2007-10-28 22:17 --------- d-----w C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Apple Computer
2007-10-27 09:43 --------- d-----w C:\Programme\PC Inspector File Recovery
2007-10-27 09:43 --------- d-----w C:\Programme\HD Tune
2007-10-27 09:43 --------- d-----w C:\Programme\Harry Potter und der Feuerkelch
2007-10-27 09:43 --------- d-----w C:\Programme\Google Earth
2007-10-27 09:43 --------- d-----w C:\Programme\FRITZ!DSL
2007-10-27 09:43 --------- d-----w C:\Programme\Die Schlacht um Mittelerde(tm)
2007-10-25 20:21 --------- d-----w C:\Programme\iTunes
2007-10-25 20:20 --------- d-----w C:\Programme\iPod
2007-10-25 20:18 --------- d-----w C:\Programme\QuickTime
2007-10-25 20:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-10-22 20:17 --------- d-----w C:\Programme\Mozilla Thunderbird
2007-10-22 17:08 27,262,976 ----a-w C:\VIRTPART.DAT
2007-10-18 14:51 --------- d-----w C:\Programme\AstroWorld40ger
2007-10-18 14:07 --------- d-----w C:\Programme\Gemeinsame Dateien\AstroWorld Shared
2007-10-09 15:34 --------- d-----w C:\Programme\FreeMind
2007-10-07 16:30 --------- d-----w C:\Programme\FreePDF_XP
2007-10-06 16:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-10-02 22:15 --------- d-----w C:\Programme\Windows Media Connect 2
2007-10-02 22:02 --------- d-----w C:\Programme\FRITZ!Box-Kindersicherung
2007-10-02 22:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-10-02 22:00 --------- d-----w C:\Programme\FRANZIS Schriften-Bibliothek 20_24
2007-10-02 14:21 --------- d-----w C:\Programme\ParentsFriend
2007-09-27 11:48 --------- d-----w C:\Programme\JetAudio
2007-09-25 15:17 --------- d-----w C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Image Zone Express
2007-09-18 14:46 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLec.DAT
2007-09-17 08:49 --------- d-----w C:\Programme\Zattoo
2007-09-12 13:43 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-09-11 13:35 --------- d-----w C:\Programme\XPcleanv5
2007-09-10 20:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2007-09-10 19:38 --------- d-----w C:\Programme\Cartoonist
2007-03-14 16:39 51,344 ----a-w C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-05-13 13:36 40 ----a-w C:\Programme\gfhggggg.ud2
2006-05-13 13:36 36 ----a-w C:\Programme\hgggg.ud2
2006-04-13 14:10 37 ----a-w C:\Programme\Gerhard.ud2
2006-04-13 14:10 35 ----a-w C:\Programme\Lukas.ud2
2001-02-08 12:52:06 24,576 --sha-w C:\WINDOWS\system32\comsysh.exe
2006-11-15 21:18:07 952 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2004-08-03 22:57:24 1,028,096 --sh--w C:\WINDOWS\system32\mfc42.dll
2004-08-03 22:57:30 54,784 --sh--w C:\WINDOWS\system32\msvcirt.dll
2004-08-03 22:57:30 413,696 --sh--w C:\WINDOWS\system32\msvcp60.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22]
"EM_EXEC"="C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-01-28 08:43]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-28 09:41]
"_winadm"="C:\WINDOWS\system32\winadm.exe" [2007-06-21 17:47]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 19:27]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-02-23 15:55]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-05 23:42]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
@=

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostStartTrayApp]
C:\Programme\Norton Ghost 2003\GhostStartTrayApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mustek MDC 3000]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Update Service]
"C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"xmlprov"=3 (0x3)
"WZCSVC"=2 (0x2)
"WmdmPmSN"=3 (0x3)
"TapiSrv"=3 (0x3)
"mnmsrvc"=3 (0x3)
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"GhostStartService"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"LiveUpdate Notice Service"=2 (0x2)
"LiveUpdate"=3 (0x3)
"navapsvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"NECStartPage"=C:\apps\HomePage\HomePgui.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime

R1 GhPciScan;GhostPciScanner;\??\C:\Programme\Norton Ghost 2003\ghpciscan.sys
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys
R2 avmidentd;AVM FRITZ!Box-Kindersicherung;C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys
S2 CoachWdm;Mustek MDC 3000;C:\WINDOWS\system32\Drivers\CoachWdm.sys

.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-06 18:17:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-06 18:20:46 - machine was rebooted
.
--- E O F ---

Alt 06.11.2007, 19:27   #5
drahreg
 
Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? - Standard

Wurm- & Trojanerverseucht trotz Schutz - stimmt das???



Und hier das Log von escan, das mich erst mal schockiert hat - ist da wirklich so viel verseucht?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.5.1
Sprache: German
Virus-Datenbank Datum: 10/30/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with multipassrecover Spyware (start.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with multipassrecover Spyware (readme.txt)! Action taken: Keine Aktion vorgenommen.
System found infected with multipassrecover Spyware (readme.txt)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unzip32.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei {} infiziert von "Backdoor.Win32.Agent.akf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\04AD1D5A.wmf//CryptFF infiziert von "Trojan-Downloader.Win32.Agent.acd" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\06AE2CDB.tmp//CryptFF infiziert von "Trojan.Java.Binny.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\140D0AB3.zip//CryptFF/BaaaaBaa.class infiziert von "Exploit.Java.Gimsh.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\202625A0.tmp//CryptFF infiziert von "Trojan-Downloader.Java.OpenStream.w" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\32DF4E45.wmf//CryptFF infiziert von "Trojan-Downloader.Win32.Agent.acd" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\42905FD1.tmp//CryptFF infiziert von "Trojan.Java.Binny.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\429309CD.tmp//CryptFF infiziert von "Trojan.Java.Binny.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-484763869-1592454029-1801674531-1004\Dc3\Quarantine\4E9D0E5B.wmf//CryptFF infiziert von "Trojan-Downloader.Win32.Agent.acd" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0418288.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\TDSLCheck.txt infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\WINDOWS\RESTORE.INS/C:/OEMCUST/TOOLS/WIN32/PSKILL.EXE markiert als not-a-virus:NetTool.Win32.PsKill.a. Keine Aktion vorgenommen.
File C:\WINDOWS\system32\Comclg32.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\winadmd.exe markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Chef\Eigene Dateien\Downloads\Kindersicheung parentsfriends\pfsetup.exe//data0032 markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP356\A0407339.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0408336.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0408352.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0409352.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0409387.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0409406.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0410406.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0410512.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0410525.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0410581.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0410606.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0411606.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0412606.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP357\A0412614.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0412675.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0412686.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0412701.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0413701.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414701.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414711.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414721.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414747.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414756.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414771.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414825.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414871.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414896.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414910.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414943.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0414951.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0415951.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0415959.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0415981.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0415996.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416018.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416096.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416108.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416117.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416156.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416190.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416200.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416210.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416226.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP358\A0416234.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416502.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416519.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416559.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416641.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416697.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416718.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416769.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416827.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416882.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP359\A0416912.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417070.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417084.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417098.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417141.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417155.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417218.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417238.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0417247.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0418247.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0418260.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP360\A0418871.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP362\A0418937.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP363\A0418946.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP364\A0418986.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP365\A0418996.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP366\A0419041.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP366\A0419397.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP366\A0419405.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP366\A0419410.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP366\A0419418.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP367\A0419461.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP368\A0419470.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP368\A0419493.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP368\A0419520.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{51CFEF1D-9642-4D72-8B1D-76FA0FA14C66}\RP368\A0419528.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\RESTORE.INS/C:/OEMCUST/TOOLS/WIN32/PSKILL.EXE markiert als not-a-virus:NetTool.Win32.PsKill.a. Keine Aktion vorgenommen.
Datei C:\WINDOWS\system\RESTORE.INS/C:/OEMCUST/TOOLS/WIN32/PSKILL.EXE markiert als not-a-virus:NetTool.Win32.PsKill.a. Keine Aktion vorgenommen.
File C:\WINDOWS\system32\Comclg32.dll markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\winadmd.exe markiert als "not-a-virus:Monitor.Win32.ParentsFriend.7004". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\start.exe
Offending file found: C:\Dokumente und Einstellungen\Chef\Eigene Dateien\downloads\regseeker\regseeker\readme.txt
Offending file found: C:\Dokumente und Einstellungen\Chef\Eigene Dateien\downloads\spiele\elite\pc elite plus\readme.txt
Offending file found: C:\WINDOWS\system32\unzip32.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Spiele\Die Siedler IV\ReadMe\bluebyte_minigame.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 154615
Gefundene Viren: 103
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 71
Dauer des Scans bisher: 04:08:52
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 17:16:53,71
Batchende: 17:17:05,03


Und der Link von Silentrunners funktioniert nicht, der führt ins Leere, bzw. von der Seite aus führt alles ins Leere, kann da nichts runterladen. Gibts da noch einen anderen?
Soweit erstmal. Rest folgt.
Vielen Dank schon mal für weitere Tipps
Gerhard


Alt 06.11.2007, 19:32   #6
Sunny
Administrator
> Competence Manager
 

Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? - Standard

Wurm- & Trojanerverseucht trotz Schutz - stimmt das???



*kurz einmisch*




Schädlinge im Ordner der Systemwiederherstellung:


* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\system32\Comclg32.dll (eine Überwachungssoftware deiner Eltern?)
C:\WINDOWS\system32\winadmd.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________
--> Wurm- & Trojanerverseucht trotz Schutz - stimmt das???

Alt 06.11.2007, 19:34   #7
drahreg
 
Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? - Standard

Silentrunner-Log



...und jetzt hat´s doch geklappt - hier das Silentrunner - Log:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"EM_EXEC" = "C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE" ["Logitech Inc. "]
"HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" ["HP"]
"_winadm" = "C:\WINDOWS\system32\winadm.exe" [null data]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"FreePDF Assistant" = "C:\Programme\FreePDF_XP\fpassist.exe" [null data]
"PinnacleDriverCheck" = "C:\WINDOWS\system32\PSDrvCheck.exe" [null data]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{A0752120-6D75-D111-B5B1-0800095A2318}" = "HandyBits EasyCrypto Shell Extensions"
-> {HKLM...CLSID} = "EasyCrypto Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\tsseCryp.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{57C51AF9-DEF7-11D3-A801-00C04F163490}" = "Ghost Shell Extension"
-> {HKLM...CLSID} = "PropPage Class"
\InProcServer32\(Default) = "C:\Programme\Norton Ghost 2003\GhoShExt.dll" ["Symantec Corporation"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
EasyCryptoMenu\(Default) = "{A0752120-6D75-D111-B5B1-0800095A2318}"
-> {HKLM...CLSID} = "EasyCrypto Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\tsseCryp.dll" [null data]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
EasyCryptoMenu\(Default) = "{A0752120-6D75-D111-B5B1-0800095A2318}"
-> {HKLM...CLSID} = "EasyCrypto Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\tsseCryp.dll" [null data]
jetAudio\(Default) = "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}"
-> {HKLM...CLSID} = "JetFlExt"
\InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
jetAudio\(Default) = "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}"
-> {HKLM...CLSID} = "JetFlExt"
\InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]


Default executables:
--------------------

HKLM\Software\Classes\.hta\(Default) = (value not set)
<<!>> HKLM\Software\Classes\htafile\shell\open\command\(Default) = "mshta.exe "%1" %*" [MS]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoLowDiskSpaceChecks" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoDrives" = (REG_BINARY) hex:00 00 00 00
{unrecognized setting}

HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\

"NoTheaterMode" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Chef\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Chef" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"HP Digital Imaging Monitor" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\FRITZ!DSL\sarah.dll" ["AVM Berlin"]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\Programme\FRITZ!DSL\sarah.dll ["AVM Berlin"], 01 - 03, 09
%SystemRoot%\system32\mswsock.dll [MS], 04 - 06, 10 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 07 - 08


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0008-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.5.0_08"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_08"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll" ["Sun Microsystems, Inc."]

{1D49B7D4-524D-4AC9-BC34-B4822CAE4BB1}\
"ButtonText" = "Packard Bell"
"Script" = "C:\Apps\IECustom\script.htm" [null data]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

a-squared Free Service, a2free, "c:\programme\a-squared free\a2service.exe" ["Emsi Software GmbH"]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
AVM FRITZ!Box-Kindersicherung, avmidentd, "C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe" ["AVM Berlin"]
AVM IGD CTRL Service, AVM IGD CTRL Service, "C:\Programme\FRITZ!DSL\IGDCTRL.EXE" ["AVM Berlin"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\system32\HPZipm12.exe" ["HP"]


Keyboard Driver Filters:
------------------------

HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
"UpperFilters" = <<!>> "Lkbdflt2" ["Logitech"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
HP Standard TCP/IP Port\Driver = "HpTcpMon.dll" ["Hewlett Packard"]
hpzlnt05\Driver = "hpzlnt05.dll" ["HP"]
hpzsnt12\Driver = "hpzsnt12.dll" ["HP"]
Redirected Port\Driver = "redmonnt.dll" [null data]


---------- (launch time: 2007-11-06 19:32:34)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 80 seconds, including 11 seconds for message boxes)

Alt 06.11.2007, 20:41   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? - Standard

Wurm- & Trojanerverseucht trotz Schutz - stimmt das???



Code:
ATTFilter
C:\WINDOWS\system32\comsysh.exe
         
Werte auch mal diese Datei bei Virsutotal aus und poste die Ergebnisse.
Übrigens sind manche Einträge sehr besorgniserregend, der hier z.B.:

Zitat:
Datei {} infiziert von "Backdoor.Win32.Agent.akf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Du möchtest mal bitte nach einer Datei suchen, die "{}" heißt...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.11.2007, 21:26   #9
drahreg
 
Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? - Standard

Wurm- & Trojanerverseucht trotz Schutz - stimmt das???



Guten Abend,
Zitat:
Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)
Die Systemwiederherstellung funktioniert schon seit 2 Jahren nicht mehr, hab da auch mal lange rumgebastelt und nach ein paar Tagen und vielen posts entnervt aufgegeben - dann muß ich das schon mal nicht machen, right?
Zitat:
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
sind 3 leere Ornder zu je 0 kb.
Zitat:
C:\WINDOWS\system32\Comclg32.dll (eine Überwachungssoftware deiner Eltern?)
Laut Virustotal-scan nicht infiziert, folgende Zusatzangaben:
File size: 281088 bytes
MD5: 1f2df0ea7b70b98ae2682d542e4a49ea
SHA1: 9b651d7b0a84461d74c7333cfcf0e782ba521181
Überwachungssoftware meiner Eltern? ...höchtens Überwachungssoftware für meinen Sohn...! (Parents friend?)
Dito:
Zitat:
C:\WINDOWS\system32\winadmd.exe
Ist die Überwachungssoftware "Parents friend V 7.0"... Hab sie trotzdem mal durchlaufen lassen, mit diesem Ergebnis:
Datei winadmkill.exe empfangen 2007.11.06 20:58:36 (CET)
Ergebnis: 2/31 (6.46%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.7.0 2007.11.06 -
AntiVir 7.6.0.30 2007.11.06 -
Authentium 4.93.8 2007.11.05 Possibly a new variant of W32/VB-EMU:VB-Backdoor-HRS-based!Maximus
Avast 4.7.1074.0 2007.11.05 -
AVG 7.5.0.503 2007.11.06 -
BitDefender 7.2 2007.11.06 -
CAT-QuickHeal 9.00 2007.11.06 -
ClamAV 0.91.2 2007.11.06 -
DrWeb 4.44.0.09170 2007.11.06 -
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5270 2007.11.05 -
Ewido 4.0 2007.11.06 -
FileAdvisor 1 2007.11.06 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.06 W32/VB-EMU:VB-Backdoor-HRS-based!Maximus
F-Secure 6.70.13030.0 2007.11.06 -
Ikarus T3.1.1.12 2007.11.06 -
Kaspersky 7.0.0.125 2007.11.06 -
McAfee 5157 2007.11.06 -
Microsoft 1.3007 2007.11.06 -
NOD32v2 2641 2007.11.06 -
Norman 5.80.02 2007.11.06 -
Panda 9.0.0.4 2007.11.06 -
Rising 20.17.12.00 2007.11.06 -
Sophos 4.23.0 2007.11.06 -
Sunbelt 2.2.907.0 2007.11.02 -
Symantec 10 2007.11.06 -
TheHacker 6.2.9.117 2007.11.06 -
VBA32 3.12.2.4 2007.11.06 -
VirusBuster 4.3.26:9 2007.11.06 -
Webwasher-Gateway 6.0.1 2007.11.06 -
weitere Informationen
File size: 61440 bytes
MD5: edec8177a85972b5bc269edc4aa9dc4a
SHA1: 3cf1ea5a5f0a798976b34ca730fcc812718db4eb

Ich glaube aber trotzdem, dass die Datei sauber ist.
Zitat:
Code:

C:\WINDOWS\system32\comsysh.exe

Werte auch mal diese Datei bei Virsutotal aus und poste die Ergebnisse.
Auch sauber -0% gefunden:
weitere Informationen
File size: 24576 bytes
MD5: d44f0697e10c4145e8eba37258af29f6
SHA1: 625070643c6a268b84a2283735ea6c494ecb59c2

Zitat:
Übrigens sind manche Einträge sehr besorgniserregend, der hier z.B.:

Zitat:
Datei {} infiziert von "Backdoor.Win32.Agent.akf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Du möchtest mal bitte nach einer Datei suchen, die "{}" heißt...
... wem sagst du das - über die war ich auch schon gestolpert!

Kann ich dir das Skript, das zu lange zum posten ist, auch an deine email schicken? Ich versuchs mal... Komme mit Rapidshare nicht klar - bin ich zu blöd, oder ist die Seite überlastet? In jeder Anleitung dazu gibts Buttons, die ich nicht sehe, wenn ich auf die Page gehe!

Ratlosen Gruß
Gerhard

Alt 07.11.2007, 20:33   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? - Standard

Wurm- & Trojanerverseucht trotz Schutz - stimmt das???



Zitat:
Die Systemwiederherstellung funktioniert schon seit 2 Jahren nicht mehr,
Dann sind aber noch sehr sehr alte Wiederherstellungspunkte auf der Platte. Wenn diese ohne Nutzen sind - weg damit.
Zitat:
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe

=> sind 3 leere Ornder zu je 0 kb.
Schon klar, das sind Ordner die mwav/escan zweifelhafter Weise erstellt.

Zitat:
Laut Virustotal-scan nicht infiziert, folgende Zusatzangaben:
File size: 281088 bytes
MD5: 1f2df0ea7b70b98ae2682d542e4a49ea
SHA1: 9b651d7b0a84461d74c7333cfcf0e782ba521181
MD5: 1f2df0ea7b70b98ae2682d542e4a49ea
Categoría: Process Monitor / Processes
ID / Tamaño/ Fecha: #93706 / 274.5 KB / 2006-04-18
Versión / Fabricante: 6.00.2900.2180(xpsp_sp2_rtm.040803-2158) / Microsoft Corporation

=> legitim!

Zitat:
Ist die Überwachungssoftware "Parents friend V 7.0"... Hab sie trotzdem mal durchlaufen lassen, mit diesem Ergebnis:
Datei winadmkill.exe empfangen 2007.11.06 20:58:36 (CET)
Ergebnis: 2/31 (6.46%)
Wenn's definitiv zu ParentsFriends gehört, sind die zwei Funde bei Virustotal Fehlalarme.

Zitat:
... wem sagst du das - über die war ich auch schon gestolpert!
Kann ich dir das Skript, das zu lange zum posten ist, auch an deine email schicken? Ich versuchs mal... Komme mit Rapidshare nicht klar - bin ich zu blöd, oder ist die Seite überlastet? In jeder Anleitung dazu gibts Buttons, die ich nicht sehe, wenn ich auf die Page gehe!
Hmja, kannst du gerne machen => nimm dieses script
Wie's funktioniert weißte ja oder? Abspeichern auf Desktop, doppelklicken und die erzeugte listing.txt mailen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.11.2007, 20:46   #11
drahreg
 
Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? - Standard

Wurm- & Trojanerverseucht trotz Schutz - stimmt das???



Hallo Arne,
die listing.txt hab ich dir schon geschickt - über seinen TJ-Account. Haste hoffentlich erhalten?
Hab heute Spyware Doctor drüberlaufen lassen, hat 2 Trojaner gefunden:
Trojan.PWS.Tanspy
Specific911 browser hijack
Beide aber lt. Protokoll auf IE ausgelegt, den ich nie benutze (hab Firefox).

Besten Gruß
Gerhard

Alt 07.11.2007, 20:55   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? - Standard

Wurm- & Trojanerverseucht trotz Schutz - stimmt das???



Zitat:
die listing.txt hab ich dir schon geschickt - über seinen TJ-Account. Haste hoffentlich erhalten?
Ich schau mal eben nach - ich meld mich gleich wieder.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.11.2007, 21:11   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? - Standard

Wurm- & Trojanerverseucht trotz Schutz - stimmt das???



C:\WINDOWS\system32\Mswinmask32.dll

Überprüf mal diese Datei bei Virustotal - Ergebnisse posten.

Code:
ATTFilter
C:\WINDOWS\system32\hdined32.nls.{00021401-0000-0000-C000-000000000046}
         
Dieser Ordner sieht merkwürdig aus. Öffne den mal und berichte, was für Dateien (Typen, Endung...) da drin sind. Stell sicher, dass alle Dateien angezeigt werden.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Wurm- & Trojanerverseucht trotz Schutz - stimmt das???
abbrüche, adobe, antispyware, auswerten, bho, drivers, dsl, e-mail, excel, explorer, firefox, google, hijackthis, internet, internet explorer, internet security, logfile, mozilla, mozilla firefox, mozilla thunderbird, packard bell, picasa, protection center, registry, rundll, schutz, security, software, system, taskmanager, trojaner, unknown file in winsock lsp, viren, warum, windows xp



Ähnliche Themen: Wurm- & Trojanerverseucht trotz Schutz - stimmt das???


  1. Selbständiges deaktivieren von Avira Echtzeitscanner, Firewall, Browser-Schutz und E-Mail-Schutz
    Plagegeister aller Art und deren Bekämpfung - 28.01.2014 (10)
  2. Trotz Mcaffe Virenscanner - Windows Recovery Wurm + andere Trojaner
    Antiviren-, Firewall- und andere Schutzprogramme - 06.05.2011 (2)
  3. Der richtige Schutz - Welchen Virenscanner? Zusatz-Schutz?
    Antiviren-, Firewall- und andere Schutzprogramme - 24.02.2011 (9)
  4. Wurm oder nicht Wurm (Verschickt Spam-Mails)
    Plagegeister aller Art und deren Bekämpfung - 25.10.2010 (1)
  5. System Trojanerverseucht
    Log-Analyse und Auswertung - 07.05.2010 (1)
  6. Wurm oder nicht Wurm?
    Mülltonne - 25.11.2008 (0)
  7. Wurm oder nicht Wurm?
    Mülltonne - 25.11.2008 (0)
  8. Eingeschlichen trotz Schutz
    Antiviren-, Firewall- und andere Schutzprogramme - 09.10.2008 (4)
  9. HJ-logfile, neuer Wurm trotz aktualisiertem System? Bitte um hilfe
    Log-Analyse und Auswertung - 23.04.2007 (5)
  10. PC sendet ständig Signale zum Microlink 56K, vermutlich trojanerverseucht
    Log-Analyse und Auswertung - 30.12.2006 (7)
  11. Trotz LLF und kompletter *NEU* Install weiterhin Wurm
    Plagegeister aller Art und deren Bekämpfung - 16.05.2006 (27)
  12. Mein HJT log <-- da stimmt was net
    Log-Analyse und Auswertung - 17.01.2006 (7)
  13. Was stimmt bei mir nicht?
    Log-Analyse und Auswertung - 12.01.2006 (2)
  14. das stimmt was nicht
    Log-Analyse und Auswertung - 02.03.2005 (6)
  15. Stimmt es das man...
    Alles rund um Windows - 31.12.2004 (38)
  16. Wurm trotz Neuinstallation!!!!!!!
    Plagegeister aller Art und deren Bekämpfung - 11.11.2004 (6)
  17. Stimmt es daß,
    Plagegeister aller Art und deren Bekämpfung - 28.10.2004 (1)

Zum Thema Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? - Hallo, schon länger kämpfe ich mit einem stark verlangsamten System (Win XP + SP2), manchmal tagelang verzögertem email-Empfang (Thunderbird), (scheinbar) unerklärlichen Abbrüchen von Programmen und Systemabstürzen. Ich bin selbst kein - Wurm- & Trojanerverseucht trotz Schutz - stimmt das???...
Archiv
Du betrachtest: Wurm- & Trojanerverseucht trotz Schutz - stimmt das??? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.