Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: "jwgkvsq.vmx" tauchen immer wieder auf

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.01.2010, 11:38   #1
tommyta
 
"jwgkvsq.vmx" tauchen immer wieder auf - Standard

"jwgkvsq.vmx" tauchen immer wieder auf



Hallo ich brauch Hilfe !!!!!!!!!!!!!!!!!
Habe meinen älteren Rechner mit w2k sp4 Rollup sp1 nicht am Internet.
Ich hatte auch keinen Virenschutz. Er ist in letzter Zeit beim Hochfahren extram langsam geworden.
Gestern habe ich bemerkt das da etwas merkwürdig ist.
Die Ansichtsoptionen: <Alle Dateien anzeigen> im Explorer wird nicht übernommen.
Außerdem zeigen die USB-Sticks die von meinem alten Rechner kommen im ANTIVIR einen WORM KIDO.AH.40. , oder TR/CRYT.ZPack.GEN , oder
irgendwas mit KEYGEN.
Auf den Sticks wurde die Datei D:\autorun.inf oder
D:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
von antivir angemeckert.

Das aktuelle Antivir habe ich dann erst gestern installiert.
Dazu musste ich mit dem Rechner ins Internet.
Dabei ist mir aufgefallen: KEIN ZUGRIFF auf diverse Seite wie MicrosoftUpdate oder Antivir FORUM geht auch nicht. Bei goggeln habe ich von solchen Effekten schon gehört.

Ich habe dann einiges "auch hier im BOARD gelesen" und mich kurzerhand für COMBOFIX entschlossen.
Dabei wurde endlich:

Autorun.inf wurde gelöscht
c:\winnt\system32\qmgr.dll wurde gefunden und desinfiziert
c:\winnt\system32\comres.dll . . . ist infiziert!!


Erst eimal schien das System wieder OK.
COMRES.DLL kann ich jetzt aber nicht mehr finden.
Beim Wechseln der externen USB-Stick waren jedoch
<autorun.inf> und
<D:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx>
wieder da.

Ich habe dann alle Sticks und externen USB - Platten angeschlossen, davon und nocheinmal COMBOFIX gestartet.
Die <autorun.inf> ist bis jetzt nicht wieder aufgetaucht.
Jedoch die Datei
<D:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx>
tauch irgendwie immer wieder auf, erst ohne verdächtiges Muster , später dann mit TR/CRYT.ZPack.GEN

Ich gehe davon aus das irgendetwas immer noch auf dem W2000 Rechner ist.

Über Hilfe würde ich mich freuen.
ToM

Alt 27.01.2010, 18:49   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"jwgkvsq.vmx" tauchen immer wieder auf - Standard

"jwgkvsq.vmx" tauchen immer wieder auf



Hallo und

Wenn Du schon diverse Tools ausführst, dann musst Du auch schon alle Logfiles posten!

Lade dir danach Lop S&D herunter.

Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus.

Windows Vista und 7: Rechtsklick auf Lop S&D.exe => Ausführen als Admin!!

Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).
__________________

__________________

Alt 27.01.2010, 21:43   #3
tommyta
 
"jwgkvsq.vmx" tauchen immer wieder auf - Standard

"jwgkvsq.vmx" tauchen immer wieder auf



Hallo Cosinus

ich habe mi LopSD geholt. Jedoch scheint es auf W2k nicht zu laufen.
Die LOPSD.EXE erzeut nur ein Folder <C:\LOP SD> mit einigen Dateien u.a. auch
catchme.

Ich habe catchme ausgeführt (vielleicht ist das auch schon nützlich) und das log ist hier:
[DATA]
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-27 21:30:01
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\roorl]
"DisplayName"="Installer Helper"
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Allows remote users to view through WEB browsers your authorized multimedia content managed by Roxio Media Manager9."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\roorl\Parameters]
"ServiceDll"=str(2):"C:\WINNT\system32\viqhlw.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\roorl]
"DisplayName"="Installer Helper"
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Allows remote users to view through WEB browsers your authorized multimedia content managed by Roxio Media Manager9."

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\roorl\Parameters]
"ServiceDll"=str(2):"C:\WINNT\system32\viqhlw.dll"

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

[DATAEND]
__________________

Alt 27.01.2010, 22:00   #4
tommyta
 
"jwgkvsq.vmx" tauchen immer wieder auf - Standard

"jwgkvsq.vmx" tauchen immer wieder auf



Und hier noch das COMBIFIX file von gestern:

ComboFix 10-01-26.02 - TM 27.01.2010 2:55.4.1 - x86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.49.1031.18.511.221 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\TM\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Autorun.inf

Infizierte Kopie von c:\winnt\system32\qmgr.dll wurde gefunden und desinfiziert
Kopie von - c:\winnt\ERDNT\cache\qmgr.dll wurde wiederhergestellt

c:\winnt\system32\comres.dll . . . ist infiziert!!

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-27 bis 2010-01-27 ))))))))))))))))))))))))))))))
.

2010-01-26 22:00 . 2009-03-30 08:32 97512 ----a-w- c:\winnt\system32\drivers\avipbb.sys
2010-01-26 22:00 . 2009-03-24 14:07 65240 ----a-w- c:\winnt\system32\drivers\avgntflt.sys
2010-01-26 22:00 . 2009-02-13 10:28 18520 ----a-w- c:\winnt\system32\drivers\avgntmgr.sys
2010-01-26 22:00 . 2009-02-13 10:16 64488 ----a-w- c:\winnt\system32\drivers\avgntdd.sys
2010-01-26 22:00 . 2010-01-26 22:00 -------- d-----w- c:\programme\Avira
2010-01-26 22:00 . 2010-01-26 22:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-01-26 21:48 . 2010-01-26 21:48 -------- d-----w- c:\winnt\system32\Windows Media
2010-01-26 21:47 . 2005-02-25 09:43 22752 ----a-w- c:\winnt\system32\spupdsvc.exe
2010-01-26 21:47 . 2010-01-26 21:47 -------- dc-h--w- c:\winnt\$NtUpdateRollupPackUninstall$
2010-01-26 21:47 . 2010-01-26 21:47 -------- d-----w- c:\winnt\msiinst.tmp
2010-01-23 08:32 . 2007-03-07 23:51 129784 ------w- c:\winnt\system32\pxafs.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-23 09:35 . 2005-03-11 13:18 -------- d-----w- c:\programme\Tss
2010-01-23 09:07 . 2005-03-10 13:40 -------- d-----w- c:\programme\Winamp
2003-09-15 22:39 . 2003-09-15 22:39 22080 ---ha-w- c:\programme\folder.htt
2004-06-22 01:35 . 2003-06-20 12:00 168772 --sha-r- c:\winnt\system32\viqhlw.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2003-06-20 112400]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 24576]
"UpdReg"="c:\winnt\UpdReg.EXE" [2000-05-10 90112]
"Jet Detection"="c:\programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-28 28672]
"NeroFilterCheck"="c:\winnt\system32\NeroCheck.exe" [2001-07-09 155648]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"projselector"="c:\programme\Gemeinsame Dateien\Roxio Shared\Project Selector\projselector.exe" [2003-01-13 114688]
"RoxioEngineUtility"="c:\programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe" [2003-01-13 69632]
"RoxioDragToDisc"="c:\programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe" [2003-01-13 757760]
"RoxioAudioCentral"="c:\programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe" [2003-01-09 253952]
"NGServer"="c:\programme\Symantec\Ghost\ngserver.exe" [2003-10-03 693416]
"SoundMan"="SOUNDMAN.EXE" [2005-07-22 81920]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [2003-06-20 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-20 189712]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\winnt\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2006-3-5 25214]

R?2 roorl;Installer Helper;c:\winnt\system32\svchost.exe -k netsvcs [20.06.2003 13:00 7952]
R1 cdudf;cdudf;c:\winnt\system32\drivers\cdudf.sys [13.01.2003 10:19 253984]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.01.2010 23:00 108289]
R2 IgorPlug;IgorPlug-USB Driver;c:\winnt\system32\drivers\IgorPlug.sys [22.12.2006 00:57 18244]
R3 ews88mt;EWS88 WDM Audio;c:\winnt\system32\drivers\ews88wdm.sys [20.09.2006 15:28 81024]
R3 usbhub20;USB-Hub-Support;c:\winnt\system32\drivers\usbhub20.sys [16.09.2003 00:32 49776]
S0 hpt374;hpt374;c:\winnt\system32\drivers\hpt374.sys [16.09.2003 00:46 95093]
S0 hptpro;hptpro;c:\winnt\system32\drivers\hptpro.sys [16.09.2003 00:46 9826]
S3 mga64;mga64;c:\winnt\system32\drivers\mga64m.sys [16.09.2003 00:32 150960]
S3 viafilter;VIA USB Filter;c:\winnt\system32\drivers\viausb.sys [16.09.2003 00:57 9038]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
roorl
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: %SystemRoot%\system32\msafd.dll
TCP: {07EDEA0D-8B93-4B94-875E-06AAA67CC897} = 141.41.1.150,141.41.1.250
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-27 03:06
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\roorl]
"ServiceDll"="c:\winnt\system32\viqhlw.dll"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(232)
c:\winnt\system32\Ati2evxx.dll
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\winnt\system32\msv1_0.dll

- - - - - - - > 'lsass.exe'(272)
c:\winnt\system32\mpr.dll

- - - - - - - > 'explorer.exe'(1116)
c:\winnt\AppPatch\AcLayers.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\winnt\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\winnt\system32\regsvc.exe
c:\winnt\system32\MSTask.exe
c:\winnt\System32\WBEM\WinMgmt.exe
c:\winnt\system32\Ati2evxx.exe
c:\winnt\SOUNDMAN.EXE
c:\programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
c:\programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
c:\programme\Symantec\Ghost\bin\dbserv.exe
c:\programme\Symantec\Ghost\bin\rteng7.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-27 03:10:24 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-27 02:10
ComboFix2.txt 2010-01-27 00:52

Vor Suchlauf: 1.873.604.608 Bytes frei
Nach Suchlauf: 1.863.307.264 Bytes frei

- - End Of File - - 2093F2FF7AC0F99544FD62C9C11269A8

Alt 28.01.2010, 07:50   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"jwgkvsq.vmx" tauchen immer wieder auf - Standard

"jwgkvsq.vmx" tauchen immer wieder auf



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\roorl]

File::
c:\winnt\system32\viqhlw.dll

Folder::
c:\winnt\msiinst.tmp

Driver::
roorl

Netsvc::
roorl
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.01.2010, 11:19   #6
tommyta
 
"jwgkvsq.vmx" tauchen immer wieder auf - Standard

"jwgkvsq.vmx" tauchen immer wieder auf



Hallo Arne,
erst einmal Danke für die Hilfe.

Ich habe das CFScript ausgeführt.
und poste hier das LOG File

Gruß tommyta



ComboFix 10-01-26.02 - TM 28.01.2010 11:44:02.5.1 - x86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.49.1031.18.511.248 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\TM\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\TM\Desktop\CFScript.txt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
"c:\winnt\system32\viqhlw.dll"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winnt\msiinst.tmp
c:\winnt\msiinst.tmp\msiexec.exe

Infizierte Kopie von c:\winnt\system32\qmgr.dll wurde gefunden und desinfiziert
Kopie von - c:\winnt\ERDNT\cache\qmgr.dll wurde wiederhergestellt

c:\winnt\system32\comres.dll . . . ist infiziert!!

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ROORL
-------\Service_roorl


((((((((((((((((((((((( Dateien erstellt von 2009-12-28 bis 2010-01-28 ))))))))))))))))))))))))))))))
.

2010-01-27 21:12 . 2010-01-27 21:12 -------- d-----w- C:\Lop SD
2010-01-27 20:27 . 2010-01-27 20:06 501736 ----a-w- C:\LopSD.exe
2010-01-27 20:18 . 2010-01-27 21:10 -------- d-----w- C:\LopSD
2010-01-26 22:00 . 2009-03-30 08:32 97512 ----a-w- c:\winnt\system32\drivers\avipbb.sys
2010-01-26 22:00 . 2009-03-24 14:07 65240 ----a-w- c:\winnt\system32\drivers\avgntflt.sys
2010-01-26 22:00 . 2009-02-13 10:28 18520 ----a-w- c:\winnt\system32\drivers\avgntmgr.sys
2010-01-26 22:00 . 2009-02-13 10:16 64488 ----a-w- c:\winnt\system32\drivers\avgntdd.sys
2010-01-26 22:00 . 2010-01-26 22:00 -------- d-----w- c:\programme\Avira
2010-01-26 22:00 . 2010-01-26 22:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-01-26 21:48 . 2010-01-26 21:48 -------- d-----w- c:\winnt\system32\Windows Media
2010-01-26 21:47 . 2005-02-25 09:43 22752 ----a-w- c:\winnt\system32\spupdsvc.exe
2010-01-26 21:47 . 2010-01-26 21:47 -------- dc-h--w- c:\winnt\$NtUpdateRollupPackUninstall$
2010-01-23 08:32 . 2007-03-07 23:51 129784 ------w- c:\winnt\system32\pxafs.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-23 09:35 . 2005-03-11 13:18 -------- d-----w- c:\programme\Tss
2010-01-23 09:07 . 2005-03-10 13:40 -------- d-----w- c:\programme\Winamp
2003-09-15 22:39 . 2003-09-15 22:39 22080 ---ha-w- c:\programme\folder.htt
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2003-06-20 112400]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 24576]
"Jet Detection"="c:\programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-28 28672]
"NeroFilterCheck"="c:\winnt\system32\NeroCheck.exe" [2001-07-09 155648]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"projselector"="c:\programme\Gemeinsame Dateien\Roxio Shared\Project Selector\projselector.exe" [2003-01-13 114688]
"RoxioEngineUtility"="c:\programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe" [2003-01-13 69632]
"RoxioDragToDisc"="c:\programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe" [2003-01-13 757760]
"RoxioAudioCentral"="c:\programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe" [2003-01-09 253952]
"NGServer"="c:\programme\Symantec\Ghost\ngserver.exe" [2003-10-03 693416]
"SoundMan"="SOUNDMAN.EXE" [2005-07-22 81920]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [2003-06-20 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-20 189712]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\winnt\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2006-3-5 25214]

R1 cdudf;cdudf;c:\winnt\system32\drivers\cdudf.sys [13.01.2003 10:19 253984]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.01.2010 23:00 108289]
R2 IgorPlug;IgorPlug-USB Driver;c:\winnt\system32\drivers\IgorPlug.sys [22.12.2006 00:57 18244]
R3 ews88mt;EWS88 WDM Audio;c:\winnt\system32\drivers\ews88wdm.sys [20.09.2006 15:28 81024]
R3 usbhub20;USB-Hub-Support;c:\winnt\system32\drivers\usbhub20.sys [16.09.2003 00:32 49776]
S0 hpt374;hpt374;c:\winnt\system32\drivers\hpt374.sys [16.09.2003 00:46 95093]
S0 hptpro;hptpro;c:\winnt\system32\drivers\hptpro.sys [16.09.2003 00:46 9826]
S3 mga64;mga64;c:\winnt\system32\drivers\mga64m.sys [16.09.2003 00:32 150960]
S3 viafilter;VIA USB Filter;c:\winnt\system32\drivers\viausb.sys [16.09.2003 00:57 9038]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: %SystemRoot%\system32\msafd.dll
TCP: {07EDEA0D-8B93-4B94-875E-06AAA67CC897} = xxx.xx.x.xxx,yyy.yy.y.yyy
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-28 11:52
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(236)
c:\winnt\system32\Ati2evxx.dll
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\winnt\system32\msv1_0.dll

- - - - - - - > 'lsass.exe'(276)
c:\winnt\system32\mpr.dll

- - - - - - - > 'explorer.exe'(1140)
c:\winnt\AppPatch\AcLayers.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\winnt\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\winnt\system32\regsvc.exe
c:\winnt\system32\MSTask.exe
c:\winnt\system32\Ati2evxx.exe
c:\winnt\System32\WBEM\WinMgmt.exe
c:\programme\Symantec\Ghost\bin\dbserv.exe
c:\programme\Symantec\Ghost\bin\rteng7.exe
c:\winnt\SOUNDMAN.EXE
c:\programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
c:\programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-28 11:57:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-28 10:57
ComboFix2.txt 2010-01-27 02:10

Vor Suchlauf: 1.866.674.176 Bytes frei
Nach Suchlauf: 1.799.503.872 Bytes frei

- - End Of File - - B2E2F54F601980497BFBCAC96E4C474E

Alt 28.01.2010, 11:27   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"jwgkvsq.vmx" tauchen immer wieder auf - Standard

"jwgkvsq.vmx" tauchen immer wieder auf



Mach bitte noch einen Kontrollscan, installiere/öffne Malwarebytes und aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.01.2010, 19:35   #8
tommyta
 
"jwgkvsq.vmx" tauchen immer wieder auf - Standard

"jwgkvsq.vmx" tauchen immer wieder auf



Hallo Cosinus,

ich habe heute viel Zeit mit dem PC verbracht . Soweit ich das beurteilen kann ist auch alles relativ gut verlaufen. Dann jedoch habe ich eine weiter Externe HD über Firewire angeschlossen und wieder die verdammte jwgkvsq.vmx


Hier der Ablauf der Dinge:
1) Hatte letzte Nacht mit Antivir alles incl. Stick D: gecheckt.
Das Ergebiss war: 52 Funde Log File ist unten.
(Die Partition Z: ist mein Datenschrottlager, dort hatte ich ne Menge
uraltes Zeug auch von diversen "kollegen", was ich wohl kaum noch
brauch)

Antivir hat alle Funde gelöscht und ich habe auch die Quarantäne
gelöscht.
2) Danach habe ich den Rest von Z: verbannt.
Danach auch gleich mit CCleaner C: aufgeräumt.

3) Dann kam der Durchlauf von Malwarebytes.
Währendessen war nur Antivir am meckern mit:

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20100127-194937-4C3EF81B\ARK1.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

4) Ich habe dann Malwarebytes abgebrochen. Da ich auch noch eine andere externe Platte checken wollte. Bei anschliessen der Platte, schaute ich in den RECYCLER und da war wieder die jwgkvsq.vmx
Habe sie mit Antivir gelöscht.
In der Datei 'I:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

5) So und z.Zt. läuft immer noch Malwarebytes mit C: D: F:G:I:und Z:.
Das wird wohl noch etwas dauern. Mittler weile ist er auf F: und hatte noch keinen Fund. Ich hoffe ....


Hier das Log von Antivir von heute nacht:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 27. Januar 2010 22:34

Es wird nach 1700684 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 2000
Windowsversion : (Service Pack 4) [5.0.2195]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : GOLIATH

Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 22:06:44
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 22:07:05
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 22:07:11
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 22:07:12
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 22:07:12
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 22:07:12
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 22:07:12
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 22:07:12
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 22:07:12
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 22:07:13
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 22:07:13
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 22:07:13
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 22:07:13
VBASE014.VDF : 7.10.3.86 2048 Bytes 26.01.2010 22:07:13
VBASE015.VDF : 7.10.3.87 2048 Bytes 26.01.2010 22:07:13
VBASE016.VDF : 7.10.3.88 2048 Bytes 26.01.2010 22:07:13
VBASE017.VDF : 7.10.3.89 2048 Bytes 26.01.2010 22:07:13
VBASE018.VDF : 7.10.3.90 2048 Bytes 26.01.2010 22:07:13
VBASE019.VDF : 7.10.3.91 2048 Bytes 26.01.2010 22:07:13
VBASE020.VDF : 7.10.3.92 2048 Bytes 26.01.2010 22:07:13
VBASE021.VDF : 7.10.3.93 2048 Bytes 26.01.2010 22:07:13
VBASE022.VDF : 7.10.3.94 2048 Bytes 26.01.2010 22:07:14
VBASE023.VDF : 7.10.3.95 2048 Bytes 26.01.2010 22:07:14
VBASE024.VDF : 7.10.3.96 2048 Bytes 26.01.2010 22:07:14
VBASE025.VDF : 7.10.3.97 2048 Bytes 26.01.2010 22:07:14
VBASE026.VDF : 7.10.3.98 2048 Bytes 26.01.2010 22:07:14
VBASE027.VDF : 7.10.3.99 2048 Bytes 26.01.2010 22:07:14
VBASE028.VDF : 7.10.3.100 2048 Bytes 26.01.2010 22:07:14
VBASE029.VDF : 7.10.3.101 2048 Bytes 26.01.2010 22:07:14
VBASE030.VDF : 7.10.3.102 2048 Bytes 26.01.2010 22:07:15
VBASE031.VDF : 7.10.3.104 11264 Bytes 26.01.2010 22:07:15
Engineversion : 8.2.1.150
AEVDF.DLL : 8.1.1.3 106868 Bytes 26.01.2010 22:07:31
AESCRIPT.DLL : 8.1.3.12 823675 Bytes 26.01.2010 22:07:30
AESCN.DLL : 8.1.3.1 127348 Bytes 26.01.2010 22:07:28
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 26.01.2010 22:07:28
AEPACK.DLL : 8.2.0.5 422262 Bytes 26.01.2010 22:07:26
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.195 2232695 Bytes 26.01.2010 22:07:24
AEHELP.DLL : 8.1.10.0 237942 Bytes 26.01.2010 22:07:18
AEGEN.DLL : 8.1.1.83 369014 Bytes 26.01.2010 22:07:18
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.9.5 184693 Bytes 26.01.2010 22:07:16
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, F:, G:, H:, Z:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 27. Januar 2010 22:34

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '21184' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rteng7.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dbserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Playlist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RxMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DrgToDsc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'projselector.ex' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTHELPER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winmgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'regsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ngserver.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '26' Prozesse mit '26' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'Z:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '48' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Boot S120F>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'F:\' <Sam1TA>
Beginne mit der Suche in 'G:\' <Sam1TB>
Beginne mit der Suche in 'H:\' <Sam 750>
H:\@ D_Input\Ghost\NG 10\Patch\Patch.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47481.A
H:\@PlatteD BigDirs\@Doescher\nero.zip
[0] Archivtyp: ZIP
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Keygen.GM
Beginne mit der Suche in 'Z:\' <Part S120F>
Z:\0) C Programming\VC - Quell Demos\gifload_demo.zip
[0] Archivtyp: ZIP
--> GifLoad.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
Z:\1) Audio\FruityLoops 3.56 Full with ADDON\crcCheck.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Dadobr.BK
Z:\1) Audio\Fruityloops 355\31010reg.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
Z:\1) Audio\Fruityloops 355\fruityloops.r03
[0] Archivtyp: RAR
--> 31010reg.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
Z:\1) Audio\Magix (OK)7.21\Magix.Samplitude.Professional.v7.21.incl.KeyGen-H2O.rar
[0] Archivtyp: RAR
--> Magix.Samplitude.Professional.v7.21.Retail.part01.exe
--> Magix.Samplitude.Professional.v7.21.Retail.part18.rar
[1] Archivtyp: RAR
--> KG\h2o.nfo
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Z:\1) Audio\Magix Samplitude v8.0 Professional\samp8pkg.exe
[FUND] Ist das Trojanische Pferd TR/Keygen.AN
Z:\1) Audio\Samplitude 8\sam8pkg.exe
[FUND] Ist das Trojanische Pferd TR/Keygen.AN
Z:\1) Audio\Winamp\realreverb310.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Aureate.A.45
Z:\1) Audio\WinAmp 5.05\keygen.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
Z:\1) Audio\Winamp 5.08 Pro\winamp.zip
[0] Archivtyp: ZIP
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
Z:\1) Audio\Winamp 5.08_Pro\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.25849
Z:\1) Audio\Winamp 503c Full\keygen_winamp.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
Z:\1) Audio\Winamp v5.08 Pro Incl. KeyGen\keygen_winamp.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
Z:\1) Audio\WinAmp5\WinAmp 5\cr_wp50.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
Z:\1) Audio\WinAmp5\WinAmp 5\cr_wp50.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
Z:\1) Audio Plugins\Plugins WWW Mai 00\Samplitools IR2\Samplitools IR for Acoustic Modeler\samp-am.r00
[0] Archivtyp: RAR
--> High-End IRS Vol 1\Multi\018 flanged hall.sfi
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Z:\1) Audio Plugins\Plugins WWW Mai 00\Samplitools IR3\Samplitools IR for Acoustic Modeler\samp-am.r01
[0] Archivtyp: RAR
--> High-End IRS Vol 2\Wild Spaces\05 20w50.sfi
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Z:\1) Audio Plugins\Plugins WWW Mai 00\Samplitools IR4\Samplitools IR for Acoustic Modeler\samp-am.r02
[0] Archivtyp: RAR
--> High-End IRS Vol 1\Multi\073 compressed snarehall.sfi
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Z:\1) Audio Plugins\PlugIns2\Samplitools IR2\Samplitools IR for Acoustic Modeler\samp-am.r00
[0] Archivtyp: RAR
--> High-End IRS Vol 1\Multi\018 flanged hall.sfi
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Z:\1) Audio Plugins\PlugIns2\Samplitools IR3\Samplitools IR for Acoustic Modeler\samp-am.r01
[0] Archivtyp: RAR
--> High-End IRS Vol 2\Wild Spaces\05 20w50.sfi
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Z:\1) Audio Plugins\PlugIns2\Samplitools IR4\Samplitools IR for Acoustic Modeler\samp-am.r02
[0] Archivtyp: RAR
--> High-End IRS Vol 1\Multi\073 compressed snarehall.sfi
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Z:\1) Software\Norton Ghost 2004 (Symantec).crack nocd keygen.zip
[0] Archivtyp: ZIP
--> Norton Ghost 2004 (Symantec).exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/Generic (Dialer)
Z:\1) Software\wrar32b3.exe
[0] Archivtyp: RAR SFX (self extracting)
--> Zip.SFX
[FUND] Ist das Trojanische Pferd TR/Agent.35550
Z:\1) Software\FlashGet\FlashGet_v1[1].65_Final.zip
[0] Archivtyp: ZIP
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.78336.A
Z:\1) Software\Total Commander v6.03a + Crack\tc6Uni_crk.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.A.3
Z:\1) Software\Winzip80\wace211_Setup.exe

[0] Archivtyp: ACE SFX (self extracting)
--> winace.cnt
[WARNUNG] Zu wenig Speicher! Virus bzw. unerwünschtes Programm wurde nicht entfernt!
--> winace_enu.cnt
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Z:\1) Software (Döscher)\DVD Video\Super.DVD.Creator.v8.5.8.0.2005.4.26-DVT\DVT\PATCH.EXE
[FUND] Ist das Trojanische Pferd TR/Radar.C
Z:\1) Software (Döscher)\DVD Video\TVSweeper 1.2.3 Deutsch\Patch-MP2K\patch.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.NSPM.Gen
Z:\1) Software (Döscher)\DVD Video\Ulead Moviefactory 4.0\crack.rar
[0] Archivtyp: RAR
--> keygeneraz0r.exe
[FUND] Ist das Trojanische Pferd TR/Spy.33280.J
Z:\1) Software (Döscher)\DVD Video\Ulead VideoStudio 9.0\StudioPlus93248_Unlocker.zip
[0] Archivtyp: ZIP
--> StudioPlus93248_Unlocker/Pinnacle Studio Plus 9.3.2.48 Trial to Full - Bidjan.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rbot.346094
Z:\1) Software (Döscher)\DVD Video\Ulead VideoStudio 9.0\Ulead[1].DVD.MovieFactory.v4.0.Incl.Keygen-SSG.ZIP
[0] Archivtyp: ZIP
--> Ulead.DVD.MovieFactory.v4.0.Incl.Keygen-SSG/keygen.rar
[1] Archivtyp: RAR
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Spy.33280.J
Z:\1) Software (Döscher)\DVD Video\WinMPG 5.7\WinMPG.Video.Convert.5.7_SoftArchive.NET\Crack.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
Z:\1) Software (Döscher)\Graphic\Adobe.Photoshop.CS2.v9.0\Adobe.Photoshop.CS2.keygen-paradox[www.Go-Down.dl.am].rar
[0] Archivtyp: RAR
--> keygen-paradox-pscs2.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
Z:\1) Software (Döscher)\Graphic\Adobe.Photoshop.CS2.v9.0\photoshop.rar
[0] Archivtyp: RAR
--> InstallPatch
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.59904.B
--> Setup.exe
[FUND] Ist das Trojanische Pferd TR/Small.EN.A
Z:\1) Software (Döscher)\Graphic\Adobe.Photoshop.CS2.v9.0\PS9_Tryout_d\TryOut\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.59904.B
Z:\1) Software (Döscher)\Graphic\Adobe.Photoshop.CS2.v9.0\PS9_Tryout_d\TryOut\setup.exe
[FUND] Ist das Trojanische Pferd TR/Small.EN.A
Z:\1) Software (Döscher)\Graphic\Corel 12\Data1.cab
[0] Archivtyp: CAB (Microsoft)
--> RAVE3_Quick_Reference_Card.10
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Z:\1) Software (Döscher)\Sound\Samplitude 8\samp.part35.rar
[0] Archivtyp: RAR
--> sam8pkg.exe
[FUND] Ist das Trojanische Pferd TR/Keygen.AN
Z:\1) Software (Döscher)\Sound\winamp\keygen.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
Z:\1) Software (Döscher)\Sound\winamp 5.05\keygen.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
Z:\1) Software (Döscher)\Sound\Winamp 5.08 Pro\winamp.zip
[0] Archivtyp: ZIP
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
Z:\1) Software (Döscher)\Sound\Winamp Pro v5.02\keygen_winamp.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
Z:\1) Software (Döscher)\Sound\Winamp.5.03.Pro\Winamp.5.03.Pro.Full\keygen.zip
[0] Archivtyp: ZIP
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
Z:\1) Software (Döscher)\System\AutoPlay Media Studio 5.0 Projects\Copy of LG 1\CD_Root\AutoPlay\Docs\cr-cdv13.exe
[FUND] Ist das Trojanische Pferd TR/Agent.117936.A
Z:\1) Software (Döscher)\System\AutoPlay Media Studio 5.0 Projects\LG 1\CD_Root\AutoPlay\Docs\cr-cdv13.exe
[FUND] Ist das Trojanische Pferd TR/Agent.117936.A
Z:\1) Software (Döscher)\System\AutoPlay Media Studio 5.0 Projects\LG 1\CD_Root\AutoPlay\Nero\Keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.HABR
Z:\1) Software (Döscher)\System\AutoPlay Media Studio 5.0 Projects\LG 1\CD_Root\CloneDVD 1.3.11.2\clonereg\cr-cdv13.exe
[FUND] Ist das Trojanische Pferd TR/Agent.117936.A
Z:\1) Software (Döscher)\System\Barefoot IP Monitor v4.0\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Z:\1) Software (Döscher)\System\DataBeckerXP\Keygen.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Z:\1) Software (Döscher)\System\FlashGet 1.65\FlashGet_v1[1].65_Final.zip
[0] Archivtyp: ZIP
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.78336.A
Z:\1) Software (Döscher)\System\Norton Antivirus1 2005\tmg-nav2k5.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
Z:\1) Software (Döscher)\System\sophos\cd\DISKIMGS\ESDOS2.r00
[0] Archivtyp: RAR
--> ESDOS2\VDL.D03
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Z:\1) Software (Döscher)\System\sophos\cd\DISKIMGS\ESDOS2.r01
[0] Archivtyp: RAR
--> ESDOS2\VDL.D04
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Z:\1) Software (Döscher)\System\sophos\cd\DISKIMGS\ESDOS2.r02
[0] Archivtyp: RAR
--> ESDOS2\VDL.D05
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Z:\1) Software (Döscher)\System\sophos\cd\DISKIMGS\ESDOS2.r03
[0] Archivtyp: RAR
--> ESDOS2\SVEXT.DAT
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Z:\1) Software (Döscher)\System\Symantec[1].Norton.Ghost.v9.0\keygen\ssg-ng90.exe
[FUND] Ist das Trojanische Pferd TR/Keygen.S
Z:\1) Software (Döscher)\System\VMware Workstation v4.0.5 Build 6030\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.244224
Z:\1) Software (Döscher)\System\VMware Workstation v4.5.1 build 7568 eng\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.244224
Z:\1) Software (Döscher)\XP Tools\ABS5520.zip
[0] Archivtyp: ZIP
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Z:\1) Software (Döscher)\XP Tools\ash_burn.zip
[0] Archivtyp: ZIP
--> Keygen/KeyGen 5.2.0.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Z:\1) Software Brenner\CloneDVD 3.6.1.0\clonedvd3.6.1.0.rar
[0] Archivtyp: RAR
--> Keygen.exe
[FUND] Ist das Trojanische Pferd TR/Packed.31915
Z:\1) Software Brenner\Nero Neu\Nero.Burning.ROM.7.2.0.3.exe
[FUND] Ist das Trojanische Pferd TR/Spy.208101
Z:\1) Software System\Flashget\flashget.1.65.final.keygen-tsrh.zip
[0] Archivtyp: ZIP
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.78336.A

Beginne mit der Desinfektion:
H:\@ D_Input\Ghost\NG 10\Patch\Patch.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47481.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bd543b0.qua' verschoben!
H:\@PlatteD BigDirs\@Doescher\nero.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bd343b4.qua' verschoben!
Z:\0) C Programming\VC - Quell Demos\gifload_demo.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc743b8.qua' verschoben!
Z:\1) Audio\FruityLoops 3.56 Full with ADDON\crcCheck.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Dadobr.BK
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc443c1.qua' verschoben!
Z:\1) Audio\Fruityloops 355\31010reg.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b914382.qua' verschoben!
Z:\1) Audio\Fruityloops 355\fruityloops.r03
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bd643c3.qua' verschoben!
Z:\1) Audio\Magix Samplitude v8.0 Professional\samp8pkg.exe
[FUND] Ist das Trojanische Pferd TR/Keygen.AN
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bce43b3.qua' verschoben!
Z:\1) Audio\Samplitude 8\sam8pkg.exe
[FUND] Ist das Trojanische Pferd TR/Keygen.AN
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49b9f63c.qua' verschoben!
Z:\1) Audio\Winamp\realreverb310.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Aureate.A.45
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc243b7.qua' verschoben!
Z:\1) Audio\WinAmp 5.05\keygen.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bda43b7.qua' verschoben!
Z:\1) Audio\Winamp 5.08 Pro\winamp.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcf43bb.qua' verschoben!
Z:\1) Audio\Winamp 5.08_Pro\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.25849
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49a08f58.qua' verschoben!
Z:\1) Audio\Winamp 503c Full\keygen_winamp.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49a19710.qua' verschoben!
Z:\1) Audio\Winamp v5.08 Pro Incl. KeyGen\keygen_winamp.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ab22a18.qua' verschoben!
Z:\1) Audio\WinAmp5\WinAmp 5\cr_wp50.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc043c4.qua' verschoben!
Z:\1) Audio\WinAmp5\WinAmp 5\cr_wp50.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49bc9fb5.qua' verschoben!
Z:\1) Software\Norton Ghost 2004 (Symantec).crack nocd keygen.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bd343c1.qua' verschoben!
Z:\1) Software\wrar32b3.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc243c4.qua' verschoben!
Z:\1) Software\FlashGet\FlashGet_v1[1].65_Final.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc243be.qua' verschoben!
Z:\1) Software\Total Commander v6.03a + Crack\tc6Uni_crk.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.A.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b9743b5.qua' verschoben!
Z:\1) Software (Döscher)\DVD Video\Super.DVD.Creator.v8.5.8.0.2005.4.26-DVT\DVT\PATCH.EXE
[FUND] Ist das Trojanische Pferd TR/Radar.C
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bb54394.qua' verschoben!
Z:\1) Software (Döscher)\DVD Video\TVSweeper 1.2.3 Deutsch\Patch-MP2K\patch.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.NSPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bd543b4.qua' verschoben!
Z:\1) Software (Döscher)\DVD Video\Ulead Moviefactory 4.0\crack.rar
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc243c5.qua' verschoben!
Z:\1) Software (Döscher)\DVD Video\Ulead VideoStudio 9.0\StudioPlus93248_Unlocker.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bd643c7.qua' verschoben!
Z:\1) Software (Döscher)\DVD Video\Ulead VideoStudio 9.0\Ulead[1].DVD.MovieFactory.v4.0.Incl.Keygen-SSG.ZIP
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc643c0.qua' verschoben!
Z:\1) Software (Döscher)\DVD Video\WinMPG 5.7\WinMPG.Video.Convert.5.7_SoftArchive.NET\Crack.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc243c6.qua' verschoben!
Z:\1) Software (Döscher)\Graphic\Adobe.Photoshop.CS2.v9.0\Adobe.Photoshop.CS2.keygen-paradox[www.Go-Down.dl.am].rar
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bd043b8.qua' verschoben!
Z:\1) Software (Döscher)\Graphic\Adobe.Photoshop.CS2.v9.0\photoshop.rar
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bd043bc.qua' verschoben!
Z:\1) Software (Döscher)\Graphic\Adobe.Photoshop.CS2.v9.0\PS9_Tryout_d\TryOut\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.59904.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bda43bb.qua' verschoben!
Z:\1) Software (Döscher)\Graphic\Adobe.Photoshop.CS2.v9.0\PS9_Tryout_d\TryOut\setup.exe
[FUND] Ist das Trojanische Pferd TR/Small.EN.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bd543bb.qua' verschoben!
Z:\1) Software (Döscher)\Sound\Samplitude 8\samp.part35.rar
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bce43b7.qua' verschoben!
Z:\1) Software (Döscher)\Sound\winamp\keygen.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bda43bc.qua' verschoben!
Z:\1) Software (Döscher)\Sound\winamp 5.05\keygen.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bda43bd.qua' verschoben!
Z:\1) Software (Döscher)\Sound\Winamp 5.08 Pro\winamp.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcf43c1.qua' verschoben!
Z:\1) Software (Döscher)\Sound\Winamp Pro v5.02\keygen_winamp.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.PVU
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497bba1e.qua' verschoben!
Z:\1) Software (Döscher)\Sound\Winamp.5.03.Pro\Winamp.5.03.Pro.Full\keygen.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49469106.qua' verschoben!
Z:\1) Software (Döscher)\System\AutoPlay Media Studio 5.0 Projects\Copy of LG 1\CD_Root\AutoPlay\Docs\cr-cdv13.exe
[FUND] Ist das Trojanische Pferd TR/Agent.117936.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b8e43ca.qua' verschoben!
Z:\1) Software (Döscher)\System\AutoPlay Media Studio 5.0 Projects\LG 1\CD_Root\AutoPlay\Docs\cr-cdv13.exe
[FUND] Ist das Trojanische Pferd TR/Agent.117936.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4922913b.qua' verschoben!
Z:\1) Software (Döscher)\System\AutoPlay Media Studio 5.0 Projects\LG 1\CD_Root\AutoPlay\Nero\Keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.HABR
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4975a9f6.qua' verschoben!
Z:\1) Software (Döscher)\System\AutoPlay Media Studio 5.0 Projects\LG 1\CD_Root\CloneDVD 1.3.11.2\clonereg\cr-cdv13.exe
[FUND] Ist das Trojanische Pferd TR/Agent.117936.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493eb1db.qua' verschoben!
Z:\1) Software (Döscher)\System\Barefoot IP Monitor v4.0\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4944a1f6.qua' verschoben!
Z:\1) Software (Döscher)\System\DataBeckerXP\Keygen.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4970f19e.qua' verschoben!
Z:\1) Software (Döscher)\System\FlashGet 1.65\FlashGet_v1[1].65_Final.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496f997d.qua' verschoben!
Z:\1) Software (Döscher)\System\Norton Antivirus1 2005\tmg-nav2k5.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc843c5.qua' verschoben!
Z:\1) Software (Döscher)\System\Symantec[1].Norton.Ghost.v9.0\keygen\ssg-ng90.exe
[FUND] Ist das Trojanische Pferd TR/Keygen.S
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc843cb.qua' verschoben!
Z:\1) Software (Döscher)\System\VMware Workstation v4.0.5 Build 6030\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.244224
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496bba66.qua' verschoben!
Z:\1) Software (Döscher)\System\VMware Workstation v4.5.1 build 7568 eng\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.244224
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4969421e.qua' verschoben!
Z:\1) Software (Döscher)\XP Tools\ABS5520.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bb4439a.qua' verschoben!
Z:\1) Software (Döscher)\XP Tools\ash_burn.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc943cd.qua' verschoben!
Z:\1) Software Brenner\CloneDVD 3.6.1.0\clonedvd3.6.1.0.rar
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bd043c6.qua' verschoben!
Z:\1) Software Brenner\Nero Neu\Nero.Burning.ROM.7.2.0.3.exe
[FUND] Ist das Trojanische Pferd TR/Spy.208101
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bd343bf.qua' verschoben!
Z:\1) Software System\Flashget\flashget.1.65.final.keygen-tsrh.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490c40ef.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 28. Januar 2010 08:57
Benötigte Zeit: 5:53:19 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

39341 Verzeichnisse wurden überprüft
1423089 Dateien wurden geprüft
50 Viren bzw. unerwünschte Programme wurden gefunden
3 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
52 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
1423035 Dateien ohne Befall
15573 Archive wurden durchsucht
27 Warnungen
53 Hinweise
21184 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Alt 28.01.2010, 19:37   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"jwgkvsq.vmx" tauchen immer wieder auf - Standard

"jwgkvsq.vmx" tauchen immer wieder auf



Zitat:
Z:\1) Software System\Flashget\flashget.1.65.final.keygen-tsrh.zip
Sry, aber steigst Du noch durch bei Deiner Warez-Sammlung!
Das ist nicht der einzige (illegale!!) Keygen!

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.


Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.01.2010, 22:13   #10
tommyta
 
"jwgkvsq.vmx" tauchen immer wieder auf - Standard

"jwgkvsq.vmx" tauchen immer wieder auf



Ja wird mir eine Lehre sein.
Das ganze alte Zeug wird beim Neuaufsetzen überformatiert.
Ich werde mich wohl für XP entscheiden.
Danke für den Tip mit den Passwörtern, das werde ich wohl schnell machen müssen.

Danke für die Hilfe

Antwort

Themen zu "jwgkvsq.vmx" tauchen immer wieder auf
antivir, anzeige, anzeigen, autorun.inf, combofix, d:\autorun.inf, dateien, diverse, explorer, forum, gelöscht, jwgkvsq.vmx, kein zugriff, langsam, merkwürdig, nicht mehr, ram, rechner, recycler, seite, system, system32, update, worm, zugriff



Ähnliche Themen: "jwgkvsq.vmx" tauchen immer wieder auf


  1. win 7 firefox langsam "keine Rückmeldung" immer wieder Meldung "ein skript auf dieser Seite ist eventuell beschädigt...."
    Plagegeister aller Art und deren Bekämpfung - 14.01.2015 (11)
  2. Malwarebyte meldet immer wieder "habe bösartige Website blockiert"
    Plagegeister aller Art und deren Bekämpfung - 02.12.2014 (14)
  3. Win 8: TR/Trash.Gen kommt immer wieder und "istart.websearch" als Google Chrome Startseite.
    Log-Analyse und Auswertung - 01.08.2014 (3)
  4. WinXP - Avire meldet "tr/trash.gen" immer wieder
    Log-Analyse und Auswertung - 21.06.2014 (3)
  5. Beim Öffnen von Mozilla FireFox immer wieder "http://istart.webssearches.com"
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (9)
  6. Windows 7: GoogleChrome Erweiterung "DownSave5.2" taucht nach Löschen immer wieder auf
    Log-Analyse und Auswertung - 10.01.2014 (9)
  7. Win 7 32 Bit - Avira findet immer wieder diesen Virus "HTML/Malicious.Flash.Gen"
    Log-Analyse und Auswertung - 05.10.2013 (12)
  8. Komische Zeichen tauchen von selbst als Verknüpfungen unter "Zuletzt Verwendet" auf
    Plagegeister aller Art und deren Bekämpfung - 14.06.2013 (25)
  9. Laptop langsam, "sbs_ve_ambr" immer wieder entdeckt und selbstverschickte Emails?
    Log-Analyse und Auswertung - 05.06.2011 (13)
  10. malware bytes meldet immer wieder "stolen data"
    Log-Analyse und Auswertung - 29.04.2011 (2)
  11. "service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (26)
  12. Antimalware Doctor - "idstrf" kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 03.05.2010 (11)
  13. Immer wieder aufpopendes Fenster "prockiller 0,0,0,0"
    Log-Analyse und Auswertung - 25.11.2009 (1)
  14. IE öffnet immer wieder "C:\WINDOWS\pop.htm", Log-File erstellt
    Log-Analyse und Auswertung - 24.01.2009 (0)
  15. Immer wieder "Google-error" und unnütze Seiten
    Log-Analyse und Auswertung - 06.09.2007 (2)
  16. Trojaner: "Trojan.DNSchanger.hg" kommt immer wieder zurück
    Log-Analyse und Auswertung - 14.12.2006 (3)
  17. Startseite wird immer wieder "verbogen"...
    Log-Analyse und Auswertung - 08.02.2006 (1)

Zum Thema "jwgkvsq.vmx" tauchen immer wieder auf - Hallo ich brauch Hilfe !!!!!!!!!!!!!!!!! Habe meinen älteren Rechner mit w2k sp4 Rollup sp1 nicht am Internet. Ich hatte auch keinen Virenschutz. Er ist in letzter Zeit beim Hochfahren extram - "jwgkvsq.vmx" tauchen immer wieder auf...
Archiv
Du betrachtest: "jwgkvsq.vmx" tauchen immer wieder auf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.