Virus ? Antivir meldet sich nicht !

Kleenus5000 · 30.11.2009, 14:15

Verdammt !
Eine Sache spricht dagegen.
Und zwar habe ich meine Externe Festplatte nicht für Datensicherungen genutzt sondern als normale Festplatte wo ich alle wichtigen Daten von mir Speicher, wie z.b. Urlaubsbilder seit mehreren Jahren.

Nur dieser "Virus" oder was auch immer es ist hat sich glaube ich auf jeden Datenträger gesetzt.
Und ich will nicht riskieren das wenn ich die Daten auf einen anderen Pc bringe, der Virus mit überspringt.

Larusso · 30.11.2009, 14:16

Dann bearbeiten wir das Ding. Stell dich auf eine längere Prozedur ein.

Rootkit-Suche

Was sind Rootkits?

Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Gmer ist geeignet für => NT/W2K/XP/VISTA.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Kleenus5000 · 30.11.2009, 14:55

Habe Antivir, Firewall, Internet ausgeschaltet und das Programm geöffnet.
Nach ner kurzen Zeit wärend des Scanns kommt folgendes:

pgb6yfg2.exe hat ein Problem festgestellt und muss beendet werden.

Larusso · 30.11.2009, 15:00

Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Rootkitscan mit RootRepeal

Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
Entpacke die Datei auf Deinen Desktop.
Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
Klicke auf den Reiter Report und dann auf den Button Scan.
Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
.
Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
Wähle C:\ und klicke wieder Ok.
Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
Wenn der Suchlauf beendet ist, klicke auf Save Report.
Speichere das Logfile als RootRepeal.txt auf dem Desktop.
Kopiere den Inhalt hier in den Thread.

Kleenus5000 · 30.11.2009, 15:19

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/11/30 15:10
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name:
Image Path:
Address: 0xF7300000 Size: 98304 File Visible: No Signed: -
Status: -

Name:
Image Path:
Address: 0x00000000 Size: 0 File Visible: No Signed: -
Status: -

Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF3E5B000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7B1F000 Size: 8192 File Visible: No Signed: -
Status: -

Name: fxrcqpoc.sys
Image Path: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\fxrcqpoc.sys
Address: 0xB93CE000 Size: 91904 File Visible: No Signed: -
Status: -

Name: PCI_PNP9446
Image Path: \Driver\PCI_PNP9446
Address: 0x00000000 Size: 0 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB9440000 Size: 49152 File Visible: No Signed: -
Status: -

Name: spdc.sys
Image Path: spdc.sys
Address: 0xF73DD000 Size: 1036288 File Visible: No Signed: -
Status: -

Name: sptd
Image Path: \Driver\sptd
Address: 0x00000000 Size: 0 File Visible: No Signed: -
Status: -

SSDT
-------------------
#: 025 Function Name: NtClose
Status: Hooked by "a347bus.sys" at address 0xf73ab028

#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf7c588b6

#: 045 Function Name: NtCreatePagingFile
Status: Hooked by "a347bus.sys" at address 0xf739eb00

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf7c588ac

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf7c588bb

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf7c588c5

#: 071 Function Name: NtEnumerateKey
Status: Hooked by "a347bus.sys" at address 0xf739f5dc

#: 073 Function Name: NtEnumerateValueKey
Status: Hooked by "a347bus.sys" at address 0xf73ab120

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf7c588ca

#: 116 Function Name: NtOpenFile
Status: Hooked by "a347bus.sys" at address 0xf739eb40

#: 119 Function Name: NtOpenKey
Status: Hooked by "a347bus.sys" at address 0xf73aafa4

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf7c58898

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf7c5889d

#: 160 Function Name: NtQueryKey
Status: Hooked by "a347bus.sys" at address 0xf739f5fc

#: 177 Function Name: NtQueryValueKey
Status: Hooked by "a347bus.sys" at address 0xf73ab076

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf7c588d4

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf7c588cf

#: 241 Function Name: NtSetSystemPowerState
Status: Hooked by "a347bus.sys" at address 0xf73aa550

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf7c588c0

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xf7c588a7

Stealth Objects
-------------------
Object: Hidden Code [Driver: Ntfs, IRP_MJ_CREATE]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLOSE]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_READ]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_WRITE]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_EA]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_EA]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SHUTDOWN]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLEANUP]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_SECURITY]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_SECURITY]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_QUOTA]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_QUOTA]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_PNP]
Process: System Address: 0x867661f8 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CREATE]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CLOSE]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_READ]
Process: System Address: 0x865c91f8 Size: 11

Object: Hidden Code [Driver: Fastfat, IRP_MJ_WRITE]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_EA]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_EA]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SHUTDOWN]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CLEANUP]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_PNP]
Process: System Address: 0x86487500 Size: 121

Object: Hidden Code [Driver: a347scsi, IRP_MJ_CREATE]
Process: System Address: 0x867671f8 Size: 121

Object: Hidden Code [Driver: a347scsi, IRP_MJ_CLOSE]
Process: System Address: 0x867671f8 Size: 121

Object: Hidden Code [Driver: a347scsi, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x867671f8 Size: 121

Object: Hidden Code [Driver: a347scsi, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x867671f8 Size: 121

Object: Hidden Code [Driver: a347scsi, IRP_MJ_POWER]
Process: System Address: 0x867671f8 Size: 121

Object: Hidden Code [Driver: a347scsi, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x867671f8 Size: 121

Object: Hidden Code [Driver: a347scsi, IRP_MJ_PNP]
Process: System Address: 0x867671f8 Size: 121

Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE_NAMED_PIPE]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_CLOSE]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_READ]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_WRITE]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_EA]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SET_EA]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SHUTDOWN]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_CLEANUP]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE_MAILSLOT]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_SECURITY]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SET_SECURITY]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_POWER]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_DEVICE_CHANGE]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_QUOTA]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_SET_QUOTA]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: atapi, IRP_MJ_PNP]
Process: System Address: 0x86420ae8 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE_NAMED_PIPE]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_EA]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_EA]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLEANUP]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE_MAILSLOT]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_SECURITY]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_SECURITY]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CHANGE]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_QUOTA]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_QUOTA]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]
Process: System Address: 0x86447f00 Size: 99

Object: Hidden Code [Driver: dmio, IRP_MJ_CREATE]
Process: System Address: 0x867681f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_CLOSE]
Process: System Address: 0x867681f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_READ]
Process: System Address: 0x867681f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_WRITE]
Process: System Address: 0x867681f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x867681f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x867681f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x867681f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_SHUTDOWN]
Process: System Address: 0x867681f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_POWER]
Process: System Address: 0x867681f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x867681f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_PNP]
Process: System Address: 0x867681f8 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_CREATE]
Process: System Address: 0x864ae500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_CLOSE]
Process: System Address: 0x864ae500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_READ]
Process: System Address: 0x864ae500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_WRITE]
Process: System Address: 0x864ae500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x864ae500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x864ae500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_POWER]
Process: System Address: 0x864ae500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x864ae500 Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_PNP]
Process: System Address: 0x864ae500 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_CREATE]
Process: System Address: 0x8656e1f8 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_CLOSE]
Process: System Address: 0x8656e1f8 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8656e1f8 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8656e1f8 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_POWER]
Process: System Address: 0x8656e1f8 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x8656e1f8 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_PNP]
Process: System Address: 0x8656e1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CREATE]
Process: System Address: 0x867da1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_READ]
Process: System Address: 0x867da1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_WRITE]
Process: System Address: 0x867da1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x867da1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x867da1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x867da1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SHUTDOWN]
Process: System Address: 0x867da1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CLEANUP]
Process: System Address: 0x867da1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_POWER]
Process: System Address: 0x867da1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x867da1f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_PNP]
Process: System Address: 0x867da1f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CREATE]
Process: System Address: 0x85dff1f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLOSE]
Process: System Address: 0x85dff1f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x85dff1f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x85dff1f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLEANUP]
Process: System Address: 0x85dff1f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_PNP]
Process: System Address: 0x85dff1f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CREATE]
Process: System Address: 0x865621f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CLOSE]
Process: System Address: 0x865621f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x865621f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x865621f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_POWER]
Process: System Address: 0x865621f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x865621f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_PNP]
Process: System Address: 0x865621f8 Size: 121

Object: Hidden Code [Driver: Rdbss, IRP_MJ_READ]
Process: System Address: 0x867035c8 Size: 11

Object: Hidden Code [Driver: Srv, IRP_MJ_READ]
Process: System Address: 0x866007c0 Size: 11

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_NAMED_PIPE]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLOSE]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ]
Process: System Address: 0x86703188 Size: 11

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_WRITE]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_EA]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_EA]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SHUTDOWN]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLEANUP]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_MAILSLOT]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_SECURITY]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_SECURITY]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_POWER]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CHANGE]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_QUOTA]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_QUOTA]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_PNP]
Process: System Address: 0x85dfb1f8 Size: 121

Object: Hidden Code [Driver: Npfsȅఆ浍瑓裀Ⴜ, IRP_MJ_READ]
Process: System Address: 0x864e52e8 Size: 11

Object: Hidden Code [Driver: MsfsЅఈ䵃慖, IRP_MJ_READ]
Process: System Address: 0x864e65c8 Size: 11

Object: Hidden Code [Driver: Fs_Rec, IRP_MJ_READ]
Process: System Address: 0x864f7a50 Size: 11

Object: Hidden Code [Driver: Ma, IRP_MJ_CREATE]
Process: System Address: 0x86486500 Size: 121

Object: Hidden Code [Driver: Ma, IRP_MJ_CLOSE]
Process: System Address: 0x86486500 Size: 121

Object: Hidden Code [Driver: Ma, IRP_MJ_READ]
Process: System Address: 0x864d9318 Size: 11

Object: Hidden Code [Driver: Ma, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x86486500 Size: 121

Object: Hidden Code [Driver: Ma, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x86486500 Size: 121

Object: Hidden Code [Driver: Ma, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x86486500 Size: 121

Object: Hidden Code [Driver: Ma, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x86486500 Size: 121

Object: Hidden Code [Driver: Ma, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x86486500 Size: 121

Object: Hidden Code [Driver: Ma, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x86486500 Size: 121

Object: Hidden Code [Driver: Ma, IRP_MJ_SHUTDOWN]
Process: System Address: 0x86486500 Size: 121

Object: Hidden Code [Driver: Ma, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x86486500 Size: 121

Object: Hidden Code [Driver: Ma, IRP_MJ_CLEANUP]
Process: System Address: 0x86486500 Size: 121

Object: Hidden Code [Driver: Ma, IRP_MJ_PNP]
Process: System Address: 0x86486500 Size: 121

==EOF==

Larusso · 30.11.2009, 15:51

Ist eine XP CD vorhanden?

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.

Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code:

ATTFilter

:filefind
atapi"
iastor*
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]

Klicke nun auf den Button Look, um den Scan zu starten.
Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

schritt 2

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

Starte das Tool mit Doppelklick.
Vista User: Bitte mit Rechtsklick "als Administrator starten".
Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.

Kleenus5000 · 01.12.2009, 15:31

Hallo !
heute morgen kam das erste mal eine Warnung von Antivir, das ich einen Trojaner drauf habe.
Habe jetzt einen Scan machen lassen.
Soll ich das Ergebnis hier einfügen ?

Larusso · 01.12.2009, 15:53

ja bitte. (ihr text muss mind 10 zeichen enthalten

)

Kleenus5000 · 01.12.2009, 16:18

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 1. Dezember 2009 14:04

Es wird nach 1407540 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ********

Versionsinformationen:
BUILD.DAT : 9.0.0.415 21609 Bytes 08.11.2009 09:55:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 04:15:20
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 04:15:20
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 04:15:20
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 04:15:20
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 04:15:20
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 04:15:20
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 04:15:20
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 04:15:20
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 04:15:20
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 04:15:20
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 04:15:20
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 04:15:20
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 04:15:20
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 04:15:20
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 14:06:42
VBASE014.VDF : 7.10.1.80 2048 Bytes 25.11.2009 14:06:42
VBASE015.VDF : 7.10.1.81 2048 Bytes 25.11.2009 14:06:42
VBASE016.VDF : 7.10.1.82 2048 Bytes 25.11.2009 14:06:42
VBASE017.VDF : 7.10.1.83 2048 Bytes 25.11.2009 14:06:42
VBASE018.VDF : 7.10.1.84 2048 Bytes 25.11.2009 14:06:43
VBASE019.VDF : 7.10.1.85 2048 Bytes 25.11.2009 14:06:43
VBASE020.VDF : 7.10.1.86 2048 Bytes 25.11.2009 14:06:43
VBASE021.VDF : 7.10.1.87 2048 Bytes 25.11.2009 14:06:43
VBASE022.VDF : 7.10.1.88 2048 Bytes 25.11.2009 14:06:43
VBASE023.VDF : 7.10.1.89 2048 Bytes 25.11.2009 14:06:43
VBASE024.VDF : 7.10.1.90 2048 Bytes 25.11.2009 14:06:43
VBASE025.VDF : 7.10.1.91 2048 Bytes 25.11.2009 14:06:43
VBASE026.VDF : 7.10.1.92 2048 Bytes 25.11.2009 14:06:43
VBASE027.VDF : 7.10.1.93 2048 Bytes 25.11.2009 14:06:43
VBASE028.VDF : 7.10.1.94 2048 Bytes 25.11.2009 14:06:43
VBASE029.VDF : 7.10.1.95 2048 Bytes 25.11.2009 14:06:43
VBASE030.VDF : 7.10.1.96 2048 Bytes 25.11.2009 14:06:43
VBASE031.VDF : 7.10.1.125 197632 Bytes 30.11.2009 05:21:09
Engineversion : 8.2.1.88
AEVDF.DLL : 8.1.1.2 106867 Bytes 15.09.2009 18:38:12
AESCRIPT.DLL : 8.1.2.45 586108 Bytes 17.11.2009 17:03:12
AESCN.DLL : 8.1.2.5 127346 Bytes 04.09.2009 15:17:22
AESBX.DLL : 8.1.1.1 246132 Bytes 20.11.2009 04:15:20
AERDL.DLL : 8.1.3.4 479605 Bytes 01.12.2009 05:21:14
AEPACK.DLL : 8.2.0.3 422261 Bytes 13.11.2009 17:20:31
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 12:58:11
AEHEUR.DLL : 8.1.0.184 2146681 Bytes 01.12.2009 05:21:13
AEHELP.DLL : 8.1.7.5 237942 Bytes 25.11.2009 14:06:45
AEGEN.DLL : 8.1.1.78 364917 Bytes 25.11.2009 14:06:44
AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 10:11:06
AECORE.DLL : 8.1.8.4 180599 Bytes 01.12.2009 05:21:10
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 09.09.2009 12:21:17
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 19:35:45
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 09.06.2009 12:13:22
RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 04:15:19

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 1. Dezember 2009 14:04

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '43652' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKKBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '36' Prozesse mit '36' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\CleanDisk.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP542\A0071286.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP542\A0072334.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP545\A0073477.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP547\A0073499.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP551\A0073977.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP556\A0074212.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP572\A0075070.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP572\A0075124.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP578\A0076370.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP580\A0076527.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP584\A0076708.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP587\A0076844.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP587\A0076849.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP587\A0076858.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP587\A0077049.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP587\A0077064.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP588\A0077322.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP588\A0077323.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP588\A0077330.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP592\A0077484.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP592\A0077528.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\WINDOWS\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\'
E:\CleanDisk.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
Beginne mit der Suche in 'H:\' <EXTERNE>
H:\CleanDisk.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
H:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP547\A0073504.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
H:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP584\A0076715.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen

Beginne mit der Desinfektion:
C:\CleanDisk.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7a28bf.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP542\A0071286.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b452883.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP542\A0072334.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a323744.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP545\A0073477.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a362824.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP547\A0073499.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b452884.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP551\A0073977.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3038b5.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP556\A0074212.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3d0f0d.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP572\A0075070.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3c07d5.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP572\A0075124.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '480a237d.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP578\A0076370.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '480b2cb5.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP580\A0076527.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48143b4d.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP584\A0076708.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48170cb5.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP587\A0076844.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4816037d.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP587\A0076849.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48111b45.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP587\A0076858.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4810130d.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP587\A0077049.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48136bd5.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP587\A0077064.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4812639d.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP588\A0077322.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '481f88b5.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP588\A0077323.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '481e8f7d.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP588\A0077330.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48198745.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP592\A0077484.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48189f0d.qua' verschoben!
C:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP592\A0077528.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b452885.qua' verschoben!
E:\CleanDisk.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7a28c1.qua' verschoben!
H:\CleanDisk.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0ad9d2.qua' verschoben!
H:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP547\A0073504.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dbcd926.qua' verschoben!
H:\System Volume Information\_restore{210D243C-F439-4C90-8775-20672A7CF4C2}\RP584\A0076715.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b452886.qua' verschoben!

Ende des Suchlaufs: Dienstag, 1. Dezember 2009 15:29
Benötigte Zeit: 42:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

12663 Verzeichnisse wurden überprüft
424642 Dateien wurden geprüft
26 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
26 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
424613 Dateien ohne Befall
3063 Archive wurden durchsucht
3 Warnungen
27 Hinweise
43652 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Kleenus5000 · 01.12.2009, 18:15

Naja habe gerade keine Probleme mehr

Ich danke dir recht herzlich für deine Bemühungen

Damit schließe ich das Thema

Larusso · 01.12.2009, 22:05

Das verschwinden der Symptome bedeutet nicht, dass Dein Rechner auch sauber ist !!!

Kleenus5000 · 01.12.2009, 23:18

Wäre auch zu schön gewesen

Was soll ich deiner meinung nach machen ?
Lg

Larusso · 01.12.2009, 23:51

Meine Anleitung von Hier

01.12.2009, 15:53	#23
Larusso /// Selecta Jahrusso	Virus ? Antivir meldet sich nicht ! ja bitte. (ihr text muss mind 10 zeichen enthalten ) __________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie

01.12.2009, 22:05	#26
Larusso /// Selecta Jahrusso	Virus ? Antivir meldet sich nicht ! Das verschwinden der Symptome bedeutet nicht, dass Dein Rechner auch sauber ist !!! __________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie

01.12.2009, 23:51	#28
Larusso /// Selecta Jahrusso	Virus ? Antivir meldet sich nicht ! Meine Anleitung von Hier __________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie

Virus ? Antivir meldet sich nicht !

Plagegeister aller Art und deren Bekämpfung: Virus ? Antivir meldet sich nicht !