Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: virus in system volume information?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 29.08.2009, 23:54   #1
triggerhappy
 
virus in system volume information? - Icon27

virus in system volume information?



hallo,

bräuchte bitte mal eure hilfe,
vor zwei tagen hat avira das erste mal gemeckert nachdem ich ein java update von sun erlaubt habe, kommen viren jetzt auch schon vom hersteller?
war in eile habe daher nur zugriff verweigert, späterer scan mit malewarebytes brachte selbe meldung, habe virus in quarantäne verschoben, wo er allerdings nicht mehr ist!!! und auch nicht mehr gefunden wird..

SPR/Fake.Reg.Genie
C:SystemVolumeInformation
\...\A0019808.exe

hatte um die 5 ähnlichen warnungen..

habe jetzt im logfile vom avirascan die dateien wieder gefunden, habe versucht über google herauszufinden wie ich jetzt am besten vorgehe, nur erscheint es mir ein wenig wahnwitzig, wenn ich jetzt einfach dort auf verdacht alle .exe dateien per hand lösche.. da ich ja schließlich nicht weiss was da jetzt hingehört und was nicht..
wär toll wenn mir jmd helfen könnte!!!!

hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:22:23, on 30.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1235489033390
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1238200549390
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

--
End of file - 5328 bytes

und ein kurzer auszug von avira

C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP128\snapshot\
ComDb.Dat
domain.txt
_REGISTRY_MACHINE_SAM
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_USER_.DEFAULT
_REGISTRY_USER_NTUSER_S-1-5-18
_REGISTRY_USER_NTUSER_S-1-5-19
_REGISTRY_USER_NTUSER_S-1-5-20
_REGISTRY_USER_NTUSER_S-1-5-21-1085031214-492894223-839522115-1003
_REGISTRY_USER_NTUSER_S-1-5-21-1085031214-492894223-839522115-1005
_REGISTRY_USER_USRCLASS_S-1-5-19
_REGISTRY_USER_USRCLASS_S-1-5-20
_REGISTRY_USER_USRCLASS_S-1-5-21-1085031214-492894223-839522115-1003
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP128\snapshot\Repository\
$WinMgmt.CFG
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP128\snapshot\Repository\FS\
INDEX.BTR
INDEX.MAP
MAPPING.VER
MAPPING1.MAP
MAPPING2.MAP
OBJECTS.DATA
OBJECTS.MAP
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP129\
A0019804.ini
A0019805.lnk
A0019806.lnk
A0019807.lnk
A0019812.exe
change.log.1
drivetable.txt
RestorePointSize
rp.log
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP129\snapshot\
ComDb.Dat
domain.txt
_REGISTRY_MACHINE_SAM
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_USER_.DEFAULT
_REGISTRY_USER_NTUSER_S-1-5-18
_REGISTRY_USER_NTUSER_S-1-5-19
_REGISTRY_USER_NTUSER_S-1-5-20
_REGISTRY_USER_NTUSER_S-1-5-21-1085031214-492894223-839522115-1003
_REGISTRY_USER_NTUSER_S-1-5-21-1085031214-492894223-839522115-1005
_REGISTRY_USER_USRCLASS_S-1-5-19
_REGISTRY_USER_USRCLASS_S-1-5-20
_REGISTRY_USER_USRCLASS_S-1-5-21-1085031214-492894223-839522115-1003
_REGISTRY_USER_USRCLASS_S-1-5-21-1085031214-492894223-839522115-1005
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP129\snapshot\Repository\
$WinMgmt.CFG
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP129\snapshot\Repository\FS\
INDEX.BTR
INDEX.MAP
MAPPING.VER
MAPPING1.MAP
MAPPING2.MAP
OBJECTS.DATA
OBJECTS.MAP
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP130\
A0019813.lnk
A0019814.lnk
A0019815.lnk
A0019816.lnk
A0019817.lnk
A0019818.lnk
A0019819.lnk
A0019820.lnk
A0019821.lnk
A0019822.lnk
A0019823.dll
A0019824.dll
A0019825.dll
A0019826.manifest
A0019827.manifest
A0019828.dll
A0019829.dll
A0019830.dll
A0019831.manifest
A0019832.dll
A0019833.dll
A0019834.dll
A0019835.manifest
A0019836.manifest
A0019837.dll
A0019838.dll
A0019839.manifest
A0019840.dll
A0019841.dll
A0019842.dll
A0019843.manifest
A0019844.manifest
A0019845.dll
A0019846.dll
A0019847.manifest
A0019848.dll
A0019849.dll
A0019850.sys
A0019851.sys
A0019852.sys
A0019853.exe
A0019854.exe
A0019855.exe
A0019856.exe
A0019857.ico
A0019858.exe
change.log.1
drivetable.txt
RestorePointSize
rp.log
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP130\snapshot\
ComDb.Dat
domain.txt
_REGISTRY_MACHINE_SAM
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_USER_.DEFAULT
_REGISTRY_USER_NTUSER_S-1-5-18
_REGISTRY_USER_NTUSER_S-1-5-19
_REGISTRY_USER_NTUSER_S-1-5-20
_REGISTRY_USER_NTUSER_S-1-5-21-1085031214-492894223-839522115-1003
_REGISTRY_USER_NTUSER_S-1-5-21-1085031214-492894223-839522115-1005
_REGISTRY_USER_USRCLASS_S-1-5-19
_REGISTRY_USER_USRCLASS_S-1-5-20
_REGISTRY_USER_USRCLASS_S-1-5-21-1085031214-492894223-839522115-1003
_REGISTRY_USER_USRCLASS_S-1-5-21-1085031214-492894223-839522115-1005
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP130\snapshot\Repository\
$WinMgmt.CFG
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP130\snapshot\Repository\FS\
INDEX.BTR
INDEX.MAP
MAPPING.VER
MAPPING1.MAP
MAPPING2.MAP
OBJECTS.DATA
OBJECTS.MAP
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP131\
A0019859.msi
A0019860.ini
A0019861.ini
A0019862.ini
A0019863.ini
A0019864.inf
A0019865.PNF
A0019866.ini
A0019867.lnk
A0019868.LNK
A0019869.LNK
A0019870.LNK
A0019871.LNK
A0019872.LNK
A0019873.LNK
A0019874.ini
A0019875.ini
A0019876.mfl
A0019877.ini
A0019878.mfl
A0019879.ini
A0019880.ini
A0019881.ini
A0019882.ini
A0019883.inf
A0019884.PNF
A0019885.mfl
A0019886.ini
A0019887.ini
A0019888.ini
A0019889.ini
A0019890.TAG
A0019891.ini
A0019892.ini
A0019893.ini
A0019894.ini
A0019895.ini
A0019896.lnk
A0019897.TAG
A0019898.mfl
A0019899.ini
A0019900.lnk
A0019901.lnk
A0019902.lnk
A0019903.lnk
A0019904.lnk
A0019905.lnk
A0019906.lnk
A0019907.lnk
A0019908.lnk
A0019909.lnk
A0019910.lnk
A0019911.lnk
A0019912.lnk
A0019913.lnk
A0019914.lnk
A0019915.lnk
A0019916.lnk
A0019917.lnk
A0019918.lnk
A0019919.lnk
A0019920.lnk
A0019921.lnk
A0019922.lnk
A0019923.lnk
A0019924.lnk
A0019925.lnk
A0019926.lnk
A0019927.lnk
A0019928.lnk
A0019929.lnk
A0019930.lnk
A0019931.lnk
A0019932.ini
A0019933.exe
A0019933.exe:Zone.Identifier
A0019934.ini
A0019936.dll
A0019937.dll
A0019938.dll
A0019939.dll
A0019940.dll
A0019941.dll
A0019942.dll
A0019943.dll
A0019944.dll
A0019945.dll
A0019946.dll
A0019947.dll
A0019948.dll
A0019949.dll
A0019950.dll
A0019951.ini
A0020952.ini
A0020953.ini
A0020954.ini
A0020955.inf
A0020956.PNF
A0020957.ini
A0020958.ini
A0020959.ini
A0020960.ini
A0020961.ini
A0020962.ini
change.log.1
change.log.2
change.log.3
change.log.4
change.log.5
change.log.6
change.log.7
change.log.8
drivetable.txt
RestorePointSize
rp.log
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP131\snapshot\
ComDb.Dat
domain.txt
_REGISTRY_MACHINE_SAM
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_USER_.DEFAULT
_REGISTRY_USER_NTUSER_S-1-5-18
_REGISTRY_USER_NTUSER_S-1-5-19
_REGISTRY_USER_NTUSER_S-1-5-20
_REGISTRY_USER_NTUSER_S-1-5-21-1085031214-492894223-839522115-1003
_REGISTRY_USER_NTUSER_S-1-5-21-1085031214-492894223-839522115-1005
_REGISTRY_USER_USRCLASS_S-1-5-19
_REGISTRY_USER_USRCLASS_S-1-5-20
_REGISTRY_USER_USRCLASS_S-1-5-21-1085031214-492894223-839522115-1003
_REGISTRY_USER_USRCLASS_S-1-5-21-1085031214-492894223-839522115-1005
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP131\snapshot\Repository\
$WinMgmt.CFG
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP131\snapshot\Repository\FS\
INDEX.BTR
INDEX.MAP
MAPPING.VER
MAPPING1.MAP
MAPPING2.MAP
OBJECTS.DATA
OBJECTS.MAP
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP132\
A0020963.ini
A0020964.ini
A0020965.ini
A0020966.ini
A0020967.ini
A0020968.ini
A0020969.ini
A0020970.ini
A0020971.ini
A0020972.ini
A0020973.lnk
A0020974.lnk
A0020975.lnk
A0020976.lnk
A0020977.lnk
A0020978.lnk
A0020979.ini
A0020980.ini
A0020981.ini
A0020982.ini
A0020983.dll
A0020984.dll
A0020985.dll
A0020986.dll
A0020987.dll
A0020988.dll
A0020989.dll
A0020990.dll
A0020991.dll
A0020992.dll
A0020993.dll
A0020994.dll
A0020995.dll
A0020996.dll
A0020997.lnk
A0020998.lnk
A0020999.lnk
A0021000.lnk
A0021001.lnk
A0021002.lnk
A0021003.lnk
A0021004.lnk
A0021005.lnk
A0021006.lnk
A0021007.lnk
A0021008.lnk
A0021009.mfl
A0021010.ini
A0021011.ini
A0021012.ini
A0021013.ini
A0021014.ini
A0021015.mfl
A0021016.ini
A0021017.ini
A0021018.ini
A0021019.ini
A0021020.dll
A0021021.dll
A0021022.dll
A0021023.dll
A0021024.dll
A0021025.dll
A0021026.dll
A0021027.dll
A0021028.dll
A0021029.dll
A0021030.dll
A0021031.dll
A0021032.dll
A0021033.dll
A0021034.ini
A0021035.ini
A0021036.ini
A0021037.ini
change.log.1
change.log.2
change.log.3
change.log.4
change.log.5
change.log.6
change.log.7
drivetable.txt
RestorePointSize
rp.log
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP132\snapshot\
ComDb.Dat
domain.txt
_REGISTRY_MACHINE_SAM
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_USER_.DEFAULT
_REGISTRY_USER_NTUSER_S-1-5-18
_REGISTRY_USER_NTUSER_S-1-5-19
_REGISTRY_USER_NTUSER_S-1-5-20
_REGISTRY_USER_NTUSER_S-1-5-21-1085031214-492894223-839522115-1003
_REGISTRY_USER_NTUSER_S-1-5-21-1085031214-492894223-839522115-1005
_REGISTRY_USER_USRCLASS_S-1-5-19
_REGISTRY_USER_USRCLASS_S-1-5-20
_REGISTRY_USER_USRCLASS_S-1-5-21-1085031214-492894223-839522115-1005
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP132\snapshot\Repository\
$WinMgmt.CFG
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP132\snapshot\Repository\FS\
INDEX.BTR
INDEX.MAP
MAPPING.VER
MAPPING1.MAP
MAPPING2.MAP
OBJECTS.DATA
OBJECTS.MAP
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP133\
A0021038.ini
A0021039.ini
A0021040.ini
A0021041.ini
A0021042.lnk
A0021043.ini
A0021044.ini
A0021045.ini
A0021046.ini
A0021047.ini
A0021048.mfl
A0021049.ini
A0021050.ini
A0021051.ini
A0021052.mfl
A0021053.ini
A0021054.ini
A0021055.ini
A0021056.ini
A0021057.inf
A0021058.PNF
A0021059.ini
A0021060.dll
A0021061.dll
A0021062.dll
A0021063.dll
A0021064.dll
A0021065.dll
A0021066.dll
A0021067.dll
A0021068.dll
A0021069.dll
A0021070.dll
A0021071.dll
A0021072.dll
A0021073.dll
A0021074.mfl
A0021075.ini
A0021076.ini
A0021077.ini
A0021078.ini
A0021079.mfl
A0021080.ini
A0021081.manifest
A0021082.dll
A0021083.dll
A0021084.ini
A0021085.mfl
change.log.1
change.log.2
change.log.3
change.log.4
drivetable.txt
RestorePointSize
rp.log
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP133\snapshot\
ComDb.Dat
domain.txt
_REGISTRY_MACHINE_SAM
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_USER_.DEFAULT
_REGISTRY_USER_NTUSER_S-1-5-18
_REGISTRY_USER_NTUSER_S-1-5-19
_REGISTRY_USER_NTUSER_S-1-5-20
_REGISTRY_USER_NTUSER_S-1-5-21-1085031214-492894223-839522115-1003
_REGISTRY_USER_NTUSER_S-1-5-21-1085031214-492894223-839522115-1005
_REGISTRY_USER_USRCLASS_S-1-5-19
_REGISTRY_USER_USRCLASS_S-1-5-20
_REGISTRY_USER_USRCLASS_S-1-5-21-1085031214-492894223-839522115-1005
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP133\snapshot\Repository\
$WinMgmt.CFG
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP133\snapshot\Repository\FS\
INDEX.BTR
INDEX.MAP
MAPPING.VER
MAPPING1.MAP
MAPPING2.MAP
OBJECTS.DATA
OBJECTS.MAP
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP134\
A0021086.mfl
A0021087.ini
A0021088.ini
A0021089.ini
A0021090.ini
A0021091.mfl
A0021092.dll
A0021093.dll
A0021094.dll
A0021095.dll
A0021096.dll
A0021097.dll
A0021098.dll
A0021099.dll
A0021100.dll
A0021101.dll
A0021102.dll
A0021103.dll
A0021104.dll
A0021105.dll
A0021106.dll
A0021107.dll
A0021108.dll
A0021109.dll
A0021110.ini
A0021111.ini
A0021112.ini
A0021113.ini
A0021114.mfl
change.log.1
change.log.2
change.log.3
drivetable.txt
RestorePointSize
rp.log
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP134\snapshot\
ComDb.Dat
domain.txt
_REGISTRY_MACHINE_SAM
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_USER_.DEFAULT
_REGISTRY_USER_NTUSER_S-1-5-18
_REGISTRY_USER_NTUSER_S-1-5-19
_REGISTRY_USER_NTUSER_S-1-5-20
_REGISTRY_USER_NTUSER_S-1-5-21-1085031214-492894223-839522115-1003
_REGISTRY_USER_NTUSER_S-1-5-21-1085031214-492894223-839522115-1005
_REGISTRY_USER_USRCLASS_S-1-5-19
_REGISTRY_USER_USRCLASS_S-1-5-20
_REGISTRY_USER_USRCLASS_S-1-5-21-1085031214-492894223-839522115-1005
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP134\snapshot\Repository\
$WinMgmt.CFG
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP134\snapshot\Repository\FS\
INDEX.BTR
INDEX.MAP
MAPPING.VER
MAPPING1.MAP
MAPPING2.MAP
OBJECTS.DATA
OBJECTS.MAP
C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP135\
A0021115.ini
A0021116.ini
A0021117.ini
A0021118.ini
A0021119.dll
A0021120.dll
A0021121.dll
A0021122.dll
A0021123.dll
A0021124.dll
A0021125.dll
A0021126.dll
A0021127.dll
A0021128.dll
A0021129.dll
A0021130.dll
A0021131.dll
A0021132.dll
A0021133.mfl
A0021134.ini
A0021135.ini
A0021136.ini
A0021137.ini
A0021138.ini
A0021139.ini
A0021140.ini
A0021141.ini
A0021142.ini
A0021143.lnk
A0021144.lnk
A0021145.lnk
A0021146.lnk
A0021147.lnk
A0021148.lnk
A0021149.lnk
A0021150.lnk
A0021151.lnk
A0021152.lnk
A0021153.lnk
A0021154.lnk
A0021155.lnk
A0021156.lnk
A0021157.lnk
A0021158.lnk
A0021159.lnk
A0021160.lnk
A0021161.lnk
A0021162.lnk
A0021163.lnk
A0021164.lnk
A0021165.lnk
A0021166.lnk
A0021167.lnk
A0021168.lnk
A0021169.lnk
A0021170.lnk
A0021171.lnk
A0021172.lnk
A0021173.lnk
A0021174.lnk
A0021175.lnk
A0021176.lnk
A0021177.lnk
A0021178.lnk
A0021179.lnk
A0021180.ini
A0021181.lnk
A0021182.ini
A0021184.LNK
A0021185.LNK
A0021186.LNK
A0021187.LNK
A0021188.LNK
A0021189.LNK
A0021190.ini
A0021191.ini
A0021192.ref
A0021193.lnk
A0021194.lnk
A0021195.lnk
A0021196.lnk
A0021197.lnk
A0021198.lnk
A0021199.lnk
change.log.1
change.log.2
change.log.3
change.log.4
drivetable.txt
RestorePointSize
rp.log

Alt 30.08.2009, 00:13   #2
BataAlexander
> MalwareDB
 
virus in system volume information? - Standard

virus in system volume information?



Deaktiviere bitte die Systemwiederherstellung wie hier angegeben, dann den Rechnern neu starten.

Bitte arbeite DIESE LISTE ab Punkt 2 ab.

Jetzt die Systemwiederherstellung wie im Link beschrieben wieder aktivieren und alle Logs posten.
__________________

__________________

Alt 30.08.2009, 01:21   #3
triggerhappy
 
virus in system volume information? - Beitrag

virus in system volume information?



sorry für den Mangel an präzision..

Logfile of random's system information tool 1.06 (written by random/random)
Run by admin at 2009-08-30 02:06:33
Microsoft Windows XP Professional Service Pack 2
System drive C: has 151 GB (86%) free of 176 GB
Total RAM: 2047 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:06:35, on 30.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\**\Desktop\download\RSIT.exe
C:\Programme\Trend Micro\HijackThis\admin.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1235489033390
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1238200549390
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

--
End of file - 5224 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\WGASetup.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-09 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-08-20 16384512]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-03-09 148888]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe [2007-03-01 153136]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe [2009-04-10 37888]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2009-02-04 155648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
WgaLogon.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2004-08-04 240128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"notification packages"=
:\WINDOW

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=255
"NoDriveAutoRun"=67108863
"HonorAutorunSetting"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"E:\Installation\Setupx.exe"="E:\Installation\Setupx.exe:*:Enabled:Nero ControlCenter"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2009-08-30 01:29:00 ----D---- C:\rsit
2009-08-28 17:12:01 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$
2009-08-26 18:49:55 ----N---- C:\WINDOWS\system32\tzchange.exe
2009-08-20 07:30:25 ----HDC---- C:\WINDOWS\$NtUninstallKB968389$
2009-08-17 08:10:45 ----D---- C:\Config.Msi
2009-08-17 06:55:09 ----D---- C:\WINDOWS\Minidump
2009-08-15 00:07:59 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2009-08-15 00:07:15 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2009-08-15 00:07:07 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2009-08-15 00:07:00 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2009-08-15 00:06:50 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9L$
2009-08-15 00:06:45 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2009-08-15 00:06:37 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2009-08-15 00:05:13 ----D---- C:\WINDOWS\ServicePackFiles
2009-08-15 00:05:11 ----HDC---- C:\WINDOWS\$NtUninstallKB958470$
2009-08-15 00:05:03 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2009-08-15 00:04:47 ----HDC---- C:\WINDOWS\$NtUninstallKB971032$

======List of files/folders modified in the last 1 months======

2009-08-30 02:00:06 ----D---- C:\Programme\Mozilla Firefox
2009-08-30 01:44:02 ----D---- C:\WINDOWS\Temp
2009-08-30 01:43:58 ----D---- C:\WINDOWS\system32\CatRoot2
2009-08-30 01:43:54 ----D---- C:\WINDOWS
2009-08-30 01:43:28 ----D---- C:\WINDOWS\system32
2009-08-30 01:42:31 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-08-30 01:42:12 ----D---- C:\WINDOWS\system32\Restore
2009-08-30 01:41:24 ----D---- C:\WINDOWS\Prefetch
2009-08-29 19:26:05 ----SHD---- C:\WINDOWS\Installer
2009-08-29 19:25:50 ----D---- C:\Programme\TuneUp Utilities 2009
2009-08-29 19:22:56 ----D---- C:\Programme\Google
2009-08-28 17:12:41 ----HD---- C:\WINDOWS\inf
2009-08-26 19:05:23 ----A---- C:\WINDOWS\NeroDigital.ini
2009-08-20 07:30:28 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-08-20 07:30:27 ----D---- C:\WINDOWS\system32\drivers
2009-08-20 07:28:18 ----HD---- C:\WINDOWS\$hf_mig$
2009-08-20 07:27:45 ----D---- C:\Dokumente und Einstellungen
2009-08-17 22:25:09 ----D---- C:\WINDOWS\Debug
2009-08-17 10:35:14 ----D---- C:\WINDOWS\system32\Setup
2009-08-17 08:49:06 ----D---- C:\Programme\Outlook Express
2009-08-17 08:45:06 ----D---- C:\WINDOWS\system32\CatRoot
2009-08-17 08:18:46 ----D---- C:\WINDOWS\system32\config
2009-08-17 08:18:35 ----D---- C:\WINDOWS\system32\wbem
2009-08-17 08:18:34 ----D---- C:\WINDOWS\Registration
2009-08-07 06:17:51 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-08-05 11:05:18 ----A---- C:\WINDOWS\system32\mswebdvd.dll

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-06 55656]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2009-02-04 3488768]
R3 AtiHdmiService;ATI Function Driver for HDMI Service; C:\WINDOWS\system32\drivers\AtiHdmi.sys [2008-10-31 93184]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-08-28 4609024]
R3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 RTL8023xp;Realtek 10/100/1000 PCI NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2006-12-14 85120]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-04 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480]
S3 ENTECH;ENTECH; \??\C:\WINDOWS\system32\DRIVERS\ENTECH.sys []
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter; \??\C:\DOKUME~1\**\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys []
S3 GMSIPCI;GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS []
S3 NETGEAR_MA111;NETGEAR 802.11b MA111 Driver; C:\WINDOWS\system32\DRIVERS\MA111nd5.sys [2003-08-29 644608]
S3 NTACCESS;NTACCESS; \??\E:\NTACCESS.sys []
S3 PCANDIS5;PCANDIS5 Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS []
S3 SANDRA;SANDRA; \??\C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP3c\WNt500x86\Sandra.sys []
S3 SetupNTGLM7X;SetupNTGLM7X; \??\E:\NTGLM7X.sys []
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-04 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-06 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2009-02-04 602112]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-09 152984]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-20 322120]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe [2007-09-20 853288]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-11 38912]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2009-02-03 593920]
S3 gusvc;Google Updater Service; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe []
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe [2007-10-15 382248]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]

-----------------EOF-----------------
__________________

Alt 30.08.2009, 01:23   #4
triggerhappy
 
virus in system volume information? - Standard

virus in system volume information?



info.txt logfile of random's system information tool 1.06 2009-08-30 01:29:05

======Uninstall list======

-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Programme\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
3DMark03-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FF35F637-72B9-43BE-A281-06EB2854393A}\Setup.exe" -l0x9
3DMark06-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7F3AD00A-1819-4B15-BB7D-08B3586336D7}\setup.exe" -l0x9 -removeonly
50 FREE MP3s +1 Free Audiobook!-->"C:\Programme\Winamp\eMusic\Uninst-eMusic-promotion.exe"
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop 6.0-->C:\WINDOWS\ISUN0407.EXE -fd:\Uninst.isu -cd:\Uninst.dll
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Adobe SVG Viewer-->C:\WINDOWS\IsUn0407.exe -f"C:\WINDOWS\System32\Adobe\SVG Viewer\Uninst.isu"
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Programme\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Harry's Filters 3.01-->"C:\Programme\HarrysFilters3\unins000.exe"
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB935448)-->"C:\WINDOWS\$NtUninstallKB935448$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
Kaspersky Online Scanner-->C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.5.2)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 8 Essentials-->MsiExec.exe /X{50BC0FF8-F19C-42C3-AB28-55280DA21031}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Picasa 3-->"C:\Programme\Google\Picasa3\Uninstall.exe"
Portrait Professional 8.1 Test-->"C:\Programme\Portrait Professional 8 Test\unins000.exe"
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7 -removeonly
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9L$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118)-->"C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918439)-->"C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213)-->"C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920670)-->"C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683)-->"C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685)-->"C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191)-->"C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB923980)-->"C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270)-->"C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667)-->"C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925902)-->"C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255)-->"C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436)-->"C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779)-->"C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802)-->"C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255)-->"C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929123)-->"C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB930178)-->"C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931261)-->"C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB932168)-->"C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933729)-->"C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935839)-->"C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB937894)-->"C:\WINDOWS\$NtUninstallKB937894$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938127)-->"C:\WINDOWS\$NtUninstallKB938127$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055)-->"C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485)-->"C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944653)-->"C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB945553)-->"C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026)-->"C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950749)-->"C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958470)-->"C:\WINDOWS\$NtUninstallKB958470$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971032)-->"C:\WINDOWS\$NtUninstallKB971032$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
SoulSeek 157 NS 13d-->"C:\Programme\SoulseekNS\uninstall.exe"
Update für Windows Internet Explorer 8 (KB971930)-->"C:\WINDOWS\ie8updates\KB971930-IE8\spuninst\spuninst.exe"
Update für Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900485)-->"C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB908531)-->"C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Update für Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Update für Windows XP (KB916595)-->"C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Update für Windows XP (KB920872)-->"C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Update für Windows XP (KB922582)-->"C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Update für Windows XP (KB927891)-->"C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Update für Windows XP (KB930916)-->"C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Update für Windows XP (KB936357)-->"C:\WINDOWS\$NtUninstallKB936357$\spuninst\spuninst.exe"
Update für Windows XP (KB938828)-->"C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VideoLAN VLC media player 0.8.5-->C:\Programme\VideoLAN\VLC\uninstall.exe
Winamp-->"C:\Programme\Winamp\UninstWA.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows XP-Hotfix - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe

=====HijackThis Backups=====

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing) [2009-07-29]
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing) [2009-08-29]

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: **-8D420BF0B9
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Beendet".

Record Number: 11557
Source Name: Service Control Manager
Time Written: 20090730104822.000000+120
Event Type: Informationen
User:

Computer Name: **-8D420BF0B9
Event Code: 7036
Message: Dienst "IMAPI-CD-Brenn-COM-Dienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 11556
Source Name: Service Control Manager
Time Written: 20090730104816.000000+120
Event Type: Informationen
User:

Computer Name: **-8D420BF0B9
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "IMAPI-CD-Brenn-COM-Dienste" gesendet.

Record Number: 11555
Source Name: Service Control Manager
Time Written: 20090730104816.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: **-8D420BF0B9
Event Code: 1002
Message: Die IP-Adresslease 192.168.100.2 für die Netzwerkkarte mit der Netzwerkadresse 0019DBF2C7EA wurde durch
den DHCP-Server 192.168.100.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet).

Record Number: 11554
Source Name: Dhcp
Time Written: 20090730093143.000000+120
Event Type: Fehler
User:

Computer Name: **-8D420BF0B9
Event Code: 4201
Message: Netzwerkadapter "\DEVICE\TCPIP_{8348B237-83C3-425E-8BA0-9349ADB37F36}" wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.

Record Number: 11553
Source Name: Tcpip
Time Written: 20090730093123.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: **-8D420BF0B9
Event Code: 0
Message:
Record Number: 2870
Source Name: Nero BackItUp Scheduler 3
Time Written: 20090819122512.000000+120
Event Type: Informationen
User:

Computer Name: **-8D420BF0B9
Event Code: 105
Message: The service was started.

Record Number: 2869
Source Name: ATI Smart
Time Written: 20090819122508.000000+120
Event Type: Informationen
User:

Computer Name: **-8D420BF0B9
Event Code: 1517
Message: Die Registrierung des Benutzers "**-8D420BF0B9\worldwide" wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird.


Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden.

Record Number: 2868
Source Name: Userenv
Time Written: 20090819101845.000000+120
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: **-8D420BF0B9
Event Code: 11708
Message: Produkt: QuickTime -- Die Installation ist fehlgeschlagen.

Record Number: 2867
Source Name: MsiInstaller
Time Written: 20090819094040.000000+120
Event Type: Informationen
User: **-8D420BF0B9\worldwide

Computer Name: **-8D420BF0B9
Event Code: 10005
Message: Produkt: QuickTime -- Sie besitzen keine ausreichenden Berechtigungen, um diese Installation für alle Benutzer dieses Computers auszuführen. Melden Sie sich als Administrator an, und wiederholen Sie diese Installation.

Record Number: 2866
Source Name: MsiInstaller
Time Written: 20090819094038.000000+120
Event Type: Fehler
User: **-8D420BF0B9\worldwide

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Gemeinsame Dateien\DivX Shared\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0409
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2712
Windows 5.1.2600 Service Pack 2

30.08.2009 02:06:15
mbam-log-2009-08-30 (02-06-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 144442
Laufzeit: 21 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 30.08.2009, 01:34   #5
BataAlexander
> MalwareDB
 
virus in system volume information? - Standard

virus in system volume information?



Hattest Du vorher schon mal eine Infektion?

Stelle Dein Avira mal ein, wie hier beschrieben, poste dann das Logfile nach dem Scan.

__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 30.08.2009, 02:10   #6
triggerhappy
 
virus in system volume information? - Standard

virus in system volume information?



In der Datei 'C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP129\A0019811.exe'
wurde ein Virus oder unerwünschtes Programm 'SPR/Fake.RegGenie' [riskware] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

reichen die jeweiligen fehlermeldungen?
die komplette logfile hat viel zu viele zeichen.. oder gibt es eine möglichkeit diese zu komprimieren?

nein, das müsste die erste infektion sein.. glaube ich zumindest!

In der Datei 'C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP129\A0019810.exe'
wurde ein Virus oder unerwünschtes Programm 'SPR/Fake.RegGenie' [riskware] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben



In der Datei 'C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP129\A0019809.exe'
wurde ein Virus oder unerwünschtes Programm 'SPR/Fake.RegGenie' [riskware] gefunden.

In der Datei 'C:\System Volume Information\_restore{1E9F494D-B84E-4F9E-8217-50E56345C954}\RP129\A0019808.exe'
wurde ein Virus oder unerwünschtes Programm 'SPR/Fake.RegGenie' [riskware] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\Inga\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\4f5l01pe.default\Cache\3443DD60d01'
wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.

Alt 30.08.2009, 02:18   #7
BataAlexander
> MalwareDB
 
virus in system volume information? - Standard

virus in system volume information?



Ich tippe mal, da hast Du irgendwas runtergeladen.
Schick das Avira Log doch mal hierhin.
Poste den Link dann.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 30.08.2009, 02:33   #8
triggerhappy
 
virus in system volume information? - Standard

virus in system volume information?



http://www.file-upload.net/download-1855799/AVSCAN-20090830-024228-70659BA3.LOG.html

http://www.file-upload.net/delete-1855799/53kjq.html

hm, den einzigen zusammenhang den ich herstellen kann, ist das java update,
werde bei updates gefragt was ich tun will, machte alles einen sehr authentischen eindruck.. kann man sowas auch faken..?

Alt 30.08.2009, 02:40   #9
BataAlexander
> MalwareDB
 
virus in system volume information? - Standard

virus in system volume information?



Das Avira Log war ok, ich habe es dann auch gelöscht.
Wie kam es zu dem Java Update? Über eine Webseite oder hat sich das Programm in der Startleiste rechts gemeldet, etwa so




Es sieht bei Dir aber alles soweit in Ordnung aus, sonst irgendwelche Auffälligkeiten?
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 30.08.2009, 02:52   #10
triggerhappy
 
virus in system volume information? - Standard

virus in system volume information?



es sprang mich quasi aus der startleiste an..

was mache ich jetzt mit den infizierten dateien, die sich im system volume rumtreiben? reicht es ,wenn ich versuche die mit avira zu löschen oder besser per hand?

echt, vielen dank für deine zeit!
gute nacht

Alt 30.08.2009, 02:54   #11
BataAlexander
> MalwareDB
 
virus in system volume information? - Standard

virus in system volume information?



Zitat:
Zitat von triggerhappy Beitrag anzeigen
was mache ich jetzt mit den infizierten dateien, die sich im system volume rumtreiben?
Wenn Du wie beschrieben, dies Systemwiederherstellung deaktiviert hast, der Rechner neu gestartet wurde, dann ist die SWH leer und es finden sich hier keine Schädlinge mehr.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 30.08.2009, 03:00   #12
triggerhappy
 
virus in system volume information? - Standard

virus in system volume information?



das update war allerdings ohne "open office" zusatz, es sah aus als wenn es direkt von sun kommen würde,
naja, seit vier wochen bekomme ich unregelmäßig eine fehlermeldung vom device treiber, "stopp-fehler", so dass mein rechner beim hochfahren gleich wieder abstürzt und einen neustart hinlegt... ist aber erst 3mal passiert, dachte da stimmt was mit einem laufwerk vielleicht nicht?

Alt 30.08.2009, 03:06   #13
BataAlexander
> MalwareDB
 
virus in system volume information? - Standard

virus in system volume information?



Zitat:
Zitat von triggerhappy Beitrag anzeigen
device treiber
Das ist dann eher ein Treiberproblem. Da musst Du den Stop Code ggf. notieren, sieht ca. so aus Stop 0x000000D1 0x00000...
Der Open Office Zusatz ist auch nicht obligatorisch, habe auf die schnelle nur nix besseres gefunden

Sieht aber insgesamt gut aus, bei Dir. Ich würd da erstmal nichts weiter machen wollen.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Antwort

Themen zu virus in system volume information?
adobe, antivir, antivir guard, avira, bho, desktop, erste mal, excel, f-secure, firefox, google, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, ntuser, object, registry, scan, software, system, viren, virus, windows, windows xp, zugriff verweigert



Ähnliche Themen: virus in system volume information?


  1. $Recycle.Bin, System Volume Information u.Ä. auf allen Laufwerken ... Virus? Was tun?
    Plagegeister aller Art und deren Bekämpfung - 21.07.2014 (13)
  2. Win xp, System Volume Information Virus
    Log-Analyse und Auswertung - 07.08.2013 (11)
  3. Ist in dieser Datei ein Virus?/System Volume Information Virus
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (7)
  4. Irgendein komischer Virus in C:\System Volume Information\
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (13)
  5. Virus aus System Volume Information löschen?
    Plagegeister aller Art und deren Bekämpfung - 04.06.2010 (9)
  6. system volume information
    Plagegeister aller Art und deren Bekämpfung - 13.06.2009 (6)
  7. Virus in System Volume Information
    Plagegeister aller Art und deren Bekämpfung - 08.03.2009 (41)
  8. Virus auf Botsector (Denke in System Volume Information) plz Help
    Plagegeister aller Art und deren Bekämpfung - 20.08.2008 (6)
  9. System Volume Information
    Alles rund um Windows - 14.02.2008 (32)
  10. System Volume Information
    Log-Analyse und Auswertung - 25.07.2007 (1)
  11. System Volume Information
    Alles rund um Windows - 14.07.2007 (1)
  12. system volume information
    Plagegeister aller Art und deren Bekämpfung - 11.08.2006 (3)
  13. System Volume Information
    Alles rund um Windows - 03.06.2006 (1)
  14. Virus in C:\System Volume Information
    Plagegeister aller Art und deren Bekämpfung - 18.07.2005 (1)
  15. System volume information
    Alles rund um Windows - 13.02.2005 (1)
  16. System Volume Information
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (4)
  17. System Volume Information??
    Plagegeister aller Art und deren Bekämpfung - 21.11.2004 (2)

Zum Thema virus in system volume information? - hallo, bräuchte bitte mal eure hilfe, vor zwei tagen hat avira das erste mal gemeckert nachdem ich ein java update von sun erlaubt habe, kommen viren jetzt auch schon vom - virus in system volume information?...
Archiv
Du betrachtest: virus in system volume information? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.