Verseuchter PC (diverse Trojaner?)

SlightlyMad · 15.01.2011, 17:21

Hallo miteinander.

Wie ihr vielleicht sehen könnt, ist das mein erster Post und ich habe mich auch ausschließlich für diesen Zweck hier registriert. Ich habe mir goldenen Regeln durchgelesen, aber sollte ich dennoch was falsch gemacht haben, so seid bitte nachsichtig

Jedenfalls, habe ich gerade einen Systemscan durchlaufen lassen und habe dabei einige Viren, Trojaner etcpp gefunden was für mich natürlich fatal ist. Ich aber hier einen HiJackThis-Log. Was ich so mit meinem Avira gefunden habe, habe ich direkt mal gelöscht

Ich hoffe auf etwas Hilfe, danke schonmal

Zitat:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:15:34, on 15.01.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\DivX\DivX Update\DivXUpdate.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WZShutdown\P_zero.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\DAEMON Tools Lite\DTLite.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\mIRC\mirc.exe
C:\WINDOWS\System32\dllhost.exe
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD0.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD0.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD0.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Ocs_SM] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe
O4 - HKLM\..\Run: [Athan] C:\Programme\Athan\Athan.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [WZShutdown] C:\WZShutdown\P_zero.exe -hide
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\steam.exe" -silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: My_AutoWarkey_Script.lnk = C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: My_AutoWarkey_Script.lnk = C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe (User 'Default user')
O4 - .DEFAULT Startup: OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe (User 'Default user')
O4 - Startup: My_AutoWarkey_Script.lnk = C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 9538 bytes

Im übrigen habe ich gelesen dass ich entweder Load.exe oder OTL & Malware-Bytes ausführen soll. Welches soll ich den nehmen?

Schönen Abend noch

markusg · 15.01.2011, 17:25

aloa,
öffne mal avira reports und poste uns das log mit den funden.

SlightlyMad · 15.01.2011, 17:39

Hi. Danke für die schnelle Antwort

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 15. Januar 2011 15:38

Es wird nach 2338575 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : BERAT

Versionsinformationen:
BUILD.DAT : 10.0.0.609 31824 Bytes 13.12.2010 09:29:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 09.12.2010 14:59:39
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 09.12.2010 14:59:39
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 11:35:04
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 11:35:04
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 11:35:04
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 11:35:04
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 11:35:04
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 11:35:04
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 11:35:04
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 11:35:04
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 11:35:04
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 11:35:04
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 11:35:04
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 11:35:04
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 11:35:05
VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 12:20:06
VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 17:56:50
VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 20:35:27
VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 20:35:27
VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 20:35:28
VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 20:35:29
VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 20:35:30
VBASE021.VDF : 7.11.1.38 2048 Bytes 07.01.2011 20:35:30
VBASE022.VDF : 7.11.1.39 2048 Bytes 07.01.2011 20:35:30
VBASE023.VDF : 7.11.1.40 2048 Bytes 07.01.2011 20:35:30
VBASE024.VDF : 7.11.1.41 2048 Bytes 07.01.2011 20:35:30
VBASE025.VDF : 7.11.1.42 2048 Bytes 07.01.2011 20:35:30
VBASE026.VDF : 7.11.1.43 2048 Bytes 07.01.2011 20:35:30
VBASE027.VDF : 7.11.1.44 2048 Bytes 07.01.2011 20:35:30
VBASE028.VDF : 7.11.1.45 2048 Bytes 07.01.2011 20:35:31
VBASE029.VDF : 7.11.1.46 2048 Bytes 07.01.2011 20:35:31
VBASE030.VDF : 7.11.1.47 2048 Bytes 07.01.2011 20:35:31
VBASE031.VDF : 7.11.1.58 93184 Bytes 09.01.2011 20:35:31
Engineversion : 8.2.4.140
AEVDF.DLL : 8.1.2.1 106868 Bytes 15.08.2010 12:11:44
AESCRIPT.DLL : 8.1.3.52 1282426 Bytes 09.01.2011 20:35:39
AESCN.DLL : 8.1.7.2 127349 Bytes 25.11.2010 14:18:51
AESBX.DLL : 8.1.3.2 254324 Bytes 25.11.2010 14:18:52
AERDL.DLL : 8.1.9.2 635252 Bytes 24.09.2010 11:19:24
AEPACK.DLL : 8.2.4.7 512375 Bytes 09.01.2011 20:35:38
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 25.11.2010 14:18:51
AEHEUR.DLL : 8.1.2.64 3154294 Bytes 09.01.2011 20:35:36
AEHELP.DLL : 8.1.16.0 246136 Bytes 09.12.2010 14:59:31
AEGEN.DLL : 8.1.5.1 397683 Bytes 09.01.2011 20:35:33
AEEMU.DLL : 8.1.3.0 393589 Bytes 25.11.2010 14:18:46
AECORE.DLL : 8.1.19.0 196984 Bytes 09.12.2010 14:59:29
AEBB.DLL : 8.1.1.0 53618 Bytes 04.05.2010 11:59:07
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 05.11.2010 12:21:36
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 09.12.2010 14:59:39
AVARKT.DLL : 10.0.22.6 231784 Bytes 09.12.2010 14:59:37
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 05.11.2010 12:21:33

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 15. Januar 2011 15:38

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-515967899-854245398-725345543-1003\Software\SecuROM\License information\datasecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-515967899-854245398-725345543-1003\Software\SecuROM\License information\rkeysecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'mirc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '124' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'AutoHotkey.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '121' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADCDLicSvc.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'cfp.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'P_zero.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'HDeck.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '165' Modul(e) wurden durchsucht
Durchsuche Prozess 'cmdagent.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1669' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Besitzer\Desktop\1000HTT\Erasing_Your_Presence_From_System_Logs.txt
[FUND] Ist das Trojanische Pferd TR/Rootkit.C
C:\Dokumente und Einstellungen\Besitzer\Desktop\1000HTT\Tutorials - blacksun.box.sk\net\sendmail2.txt
[FUND] Ist das Trojanische Pferd TR/Script.80209
C:\Dokumente und Einstellungen\Besitzer\Desktop\new hobbies\Pictureloader.EXE
[0] Archivtyp: RSRC
[FUND] Ist das Trojanische Pferd TR/PSW.Agent.man
--> Object
[1] Archivtyp: CAB (Microsoft)
--> Test.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Agent.man
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads\DSREMU 2 By vpegas1234.rar
[0] Archivtyp: RAR
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
--> D-SREMU v3.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads\FringeCrypterv2.0.zip
[0] Archivtyp: ZIP
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
--> Fringe Crypter v2.0/res/winini.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads\iStealer 3,0.rar
[0] Archivtyp: RAR
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.anpx
--> iStealer 3.0.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.anpx
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads\Server.zip
[0] Archivtyp: ZIP
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
--> Server/D-SREMU v2.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
--> Server/media patcher.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads\SQLIHelperV.2.7.rar
[0] Archivtyp: RAR
[FUND] Ist das Trojanische Pferd TR/Agent2.chtj
--> SQL Helper\SQLIHelperV.2.7.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.chtj
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cache\f_0039ff
[0] Archivtyp: RAR
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.anpx
--> iStealer 3.0.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.anpx
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cache\f_003a40
[0] Archivtyp: ZIP
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
--> Fringe Crypter v2.0/res/winini.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temp\Rar$DR01.968\iStealer 3.0.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.anpx
C:\Sandbox\Besitzer\DefaultBox\user\current\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ma1v8594.default\Cache\CD044476d01
[0] Archivtyp: RAR
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
--> D-SREMU v3.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP72\A0036114.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.anpx
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP72\A0036134.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP72\A0036135.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP76\A0036259.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.chtj
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP76\A0036260.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.chtj
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP76\A0036266.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Agent.man
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP76\A0036267.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Agent.man
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP76\A0036280.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.anpx
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP76\A0036281.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Agent.man

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP76\A0036281.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Agent.man
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP76\A0036280.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.anpx
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP76\A0036267.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Agent.man
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP76\A0036266.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Agent.man
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP76\A0036260.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.chtj
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP76\A0036259.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.chtj
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP72\A0036135.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP72\A0036134.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{17ADF080-6FFE-46FD-864A-74E6553A4FE8}\RP72\A0036114.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.anpx
[HINWEIS] Die Datei wurde gelöscht.
C:\Sandbox\Besitzer\DefaultBox\user\current\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ma1v8594.default\Cache\CD044476d01
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cache\f_003a40
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cache\f_0039ff
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.anpx
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads\DSREMU 2 By vpegas1234.rar
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde gelöscht.

Ende des Suchlaufs: Samstag, 15. Januar 2011 17:14
Benötigte Zeit: 1:11:25 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

10586 Verzeichnisse wurden überprüft
353524 Dateien wurden geprüft
22 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
21 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
353502 Dateien ohne Befall
4522 Archive wurden durchsucht
0 Warnungen
21 Hinweise
301617 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

markusg · 15.01.2011, 17:42

das sieht aber nach backdoors etc aus die du dir selbst geladen hast... kann das sein?

SlightlyMad · 15.01.2011, 17:45

Ja, zu meiner Schande muss ich das zugeben. Hatte eigentlich eher das Gefühl dass mein Antivir Programm eben nur anspringt, weils Backdoors sind und nicht weil sie gegen mich arbeiten. Aber jetzt möchte ich das Zeugs lieber doch los werden.

Ich hoffe damit habe ich mich nicht schon als unwürdig bewiesen^^

markusg · 15.01.2011, 17:57

avira zeigt dir halt jede schädliche datei, unabhängig davon ob sie aktiev ist oder nicht.
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.
bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig.
den update auftrag auf 1x pro tag einstellen.
und "nachhohlen falls zeit überschritten" auswählen

SlightlyMad · 15.01.2011, 19:13

Danke für deine Hilfe. Ich habe Avira wie im Guide vorgeschrieben installiert, die von dir erwähnten letzten Schritte stehen dort übrigens genau so drin.

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 15. Januar 2011 18:13

Es wird nach 3140431 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Besitzer
Computername : BERAT

Versionsinformationen:
BUILD.DAT : 10.0.0.609 31824 Bytes 13.12.2010 09:29:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 09.12.2010 14:59:39
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 09.12.2010 14:59:39
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:39:29
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 07:39:30
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 07:39:32
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 07:39:34
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 07:39:35
VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 07:39:35
VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 07:39:35
VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 07:39:35
VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 07:39:35
VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 07:39:35
VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 07:39:35
VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 07:39:35
VBASE017.VDF : 7.10.13.243 147456 Bytes 15.11.2010 07:39:36
VBASE018.VDF : 7.10.14.15 142848 Bytes 17.11.2010 07:39:36
VBASE019.VDF : 7.10.14.41 134144 Bytes 19.11.2010 07:39:36
VBASE020.VDF : 7.10.14.63 128000 Bytes 22.11.2010 07:39:36
VBASE021.VDF : 7.10.14.87 143872 Bytes 24.11.2010 07:39:36
VBASE022.VDF : 7.10.14.116 140800 Bytes 26.11.2010 07:39:36
VBASE023.VDF : 7.10.14.147 150528 Bytes 30.11.2010 07:39:36
VBASE024.VDF : 7.10.14.175 126464 Bytes 03.12.2010 07:39:36
VBASE025.VDF : 7.10.14.203 120320 Bytes 07.12.2010 07:39:36
VBASE026.VDF : 7.10.14.230 137216 Bytes 09.12.2010 07:39:37
VBASE027.VDF : 7.10.14.231 2048 Bytes 09.12.2010 07:39:37
VBASE028.VDF : 7.10.14.232 2048 Bytes 09.12.2010 07:39:37
VBASE029.VDF : 7.10.14.233 2048 Bytes 09.12.2010 07:39:37
VBASE030.VDF : 7.10.14.234 2048 Bytes 09.12.2010 07:39:37
VBASE031.VDF : 7.10.15.0 100352 Bytes 12.12.2010 17:37:11
Engineversion : 8.2.4.122
AEVDF.DLL : 8.1.2.1 106868 Bytes 15.08.2010 12:11:44
AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 13.12.2010 07:39:16
AESCN.DLL : 8.1.7.2 127349 Bytes 25.11.2010 14:18:51
AESBX.DLL : 8.1.3.2 254324 Bytes 25.11.2010 14:18:52
AERDL.DLL : 8.1.9.2 635252 Bytes 24.09.2010 11:19:24
AEPACK.DLL : 8.2.4.1 512375 Bytes 13.12.2010 07:39:15
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 25.11.2010 14:18:51
AEHEUR.DLL : 8.1.2.54 3113335 Bytes 13.12.2010 07:39:15
AEHELP.DLL : 8.1.16.0 246136 Bytes 09.12.2010 14:59:31
AEGEN.DLL : 8.1.5.0 397685 Bytes 13.12.2010 07:39:10
AEEMU.DLL : 8.1.3.0 393589 Bytes 25.11.2010 14:18:46
AECORE.DLL : 8.1.19.0 196984 Bytes 09.12.2010 14:59:29
AEBB.DLL : 8.1.1.0 53618 Bytes 04.05.2010 11:59:07
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 05.11.2010 12:21:36
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 09.12.2010 14:59:39
AVARKT.DLL : 10.0.22.6 231784 Bytes 09.12.2010 14:59:37
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 05.11.2010 12:21:33

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,

Beginn des Suchlaufs: Samstag, 15. Januar 2011 18:13

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mirc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AutoHotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADCDLicSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cfp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'P_zero.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HDeck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cmdagent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1669' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Besitzer\Desktop\1000HTT\Tutorials - blacksun.box.sk\coding\Batch File Programming.txt
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/Small.42701
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Besitzer\Desktop\1000HTT\Tutorials - blacksun.box.sk\coding\Batch File Programming.txt
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/Small.42701
[HINWEIS] Die Datei wurde gelöscht.

Ende des Suchlaufs: Samstag, 15. Januar 2011 19:12
Benötigte Zeit: 57:44 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

10536 Verzeichnisse wurden überprüft
347437 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
347436 Dateien ohne Befall
4445 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Diesen einen Fund habe ich ausversehen gelöscht, habe das mit der Quarantäne überlesen.

markusg · 15.01.2011, 19:18

passt schon.

download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

SlightlyMad · 16.01.2011, 03:05

So, habs erst etwas später durchgeführt, da es ja etwas gedauert hat.

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5525

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

16.01.2011 03:03:47
mbam-log-2011-01-16 (03-03-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 216359
Laufzeit: 1 Stunde(n), 21 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{17adf080-6ffe-46fd-864a-74e6553a4fe8}\RP72\A0036144.exe (HackTool.MSNCrack) -> Quarantined and deleted successfully.

markusg · 16.01.2011, 11:35

aber der pc läuft sonst wie er soll oder? du fragtest nur wegen der avira funde.

SlightlyMad · 16.01.2011, 13:59

Naja, mein Internet läuft manchmal sehr langsam, aber das kann genau so gut ( ist sogar wahrscheinlicher) an meiner Wirelessverbindung liegen. Ansonsten habe ich keine Probleme. Ich habe mich auch nie wirklich fragwürdige Dateien geladen, außer eben diese Malware die ich jetzt mit deiner Hilfe aus dem PC geschafft habe.
Aber kannst du mir Tipps geben was ich denn sonst noch alles machen kann, damit ich auf der sicheren Seite bin? ( außer vielleicht nicht mehr fiese Dateien downloaden

)

Ich habe noch die COMODO Firewall und für mein Firefox habe ich WOT-Addon.

SlightlyMad · 16.01.2011, 14:01

Doublepost, bitte löschen.

markusg · 16.01.2011, 15:30

klar, scahun wir erst mal.
lade den CCleaner slim:
Piriform - Builds
falls der CCleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

SlightlyMad · 16.01.2011, 16:38

Hier bitteschön. Soll ich gleich mal dem CCleaner Guide Folge leisten?

Zitat:

ActiveState ActivePython 2.7.1.3 (32-bit) ActiveState Software Inc. 2.7.3 <--- Notwendig
Adobe AIR Adobe Systems Inc. 1.5.2.8900 <--- unbekannt
Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 10.1.53.64 <--- notwendig
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 10.1.102.64 <--- notwendig
Adobe Reader 9.4.1 - Deutsch Adobe Systems Incorporated 9.4.1 <--- notwendig
Adobe Shockwave Player 11.5 Adobe Systems, Inc. 11.5.9.615 <--- notwendig
AMD Processor Driver AMD 1.3.2.0053 <--- Unbekannt (sieht mir wie ein Treiber aus)
Apple Application Support Apple Inc. 1.3.0 <--- Notwendig, sofern es mit meinem iPod zusammen hängt
Apple Mobile Device Support Apple Inc. 3.1.0.62 <--- Notwendig, sofern es mit meinem iPod zusammen hängt
Apple Software Update Apple Inc. 2.1.2.120 <--- Notwendig, sofern es mit meinem iPod zusammen hängt
ASIO4ALL <--- unbekannt (ist glaub ich mein sound treiber )
Athan Basic 3.9 <--- notwendig
Audacity 1.2.6 <--- unwichtig
Avira AntiVir Personal - Free Antivirus Avira GmbH 10.0.0.609 <--- notwendig
Azureus 2.5.0.4 <--- notwendig
Belkin F5D8053 N Wireless USB Adapter Belkin 2.0.0.10 <--- notwendig
Bonjour Apple Inc. 2.0.2.0 <--- unbekannt
CCleaner Piriform 3.02 <--- notwendig
Command & Conquer™ Red Alert™ 3 Electronic Arts 1.0.1.0 <--- unnötig
COMODO Internet Security COMODO Group Inc. 5.3.44816.1227 <--- Das ist meine Firewall, sag du mir ob ich sie brauch

Counter-Strike Valve <--- Notwendig
Cultures Gold Edition <-- notwendig
Defraggler Piriform 2.01 <--- notwendig
Die Gilde Gold Update v. 2.06 <--- notwendig
Die Gilde Gold-Edition <--- notwendig
DivX-Setup DivX, Inc. 1.0.1.5 <-- keine ahnung ob ihc das brauch
DotAlicious Gaming Client <--- notwendig
Driver Updater Carambis 1.1.0.0 <--- unnötig
DVDVideoSoftTB Toolbar <--- unnötig
Europa Universalis III <-- unnötig
Free Audio CD Burner version 1.4 DVDVideoSoft Limited. <--- unnötig
Free Download Manager 3.0 FreeDownloadManager.ORG <--- unnötig
Free YouTube to MP3 Converter version 3.8 DVDVideoSoft Limited. <--- notwendig
Garena 2010 Garena Online Pte Ltd. 2010 <--- notwendig
Google Chrome Google Inc. 4.1.249.1059 <-- ich benutz zwar FF, aber manchmal ist es schon nötig
Gothic II JoWooD Productions Software AG Gothic II <-- notwendig
Gothic II - Die Nacht des Raben JoWooD Productions Software AG <-- notwendig
Hamachi 1.0.1.4 <-- notwendig
HiJackThis Trend Micro 1.0.0 <-- notwendig
ICCup Launcher ICCup 1.4 <-- notwendig
ICQ 7.2 Build #3129 Banner Remover 1.0 murb.com
ICQ7.2 ICQ 7.2 <--- unnötig, da ich auf pidgin umsteigen werde
In Nomine 3.2 GamersGate <--- unnötig
iTunes Apple Inc. 9.2.1.5 <--- notwendig
Java(TM) 6 Update 18 Sun Microsystems, Inc. 6.0.180 <--- notwendig
Java(TM) 6 Update 20 Sun Microsystems, Inc. 6.0.200 <--- notwendig
JDownloader AppWork UG (haftungsbeschränkt) 0.89 <--- unnötig
Malwarebytes' Anti-Malware Malwarebytes Corporation <--- notwendig
Medieval II Total War SEGA 1.03.000 <--- notwendig
Microsoft .NET Framework 2.0 Service Pack 1 Microsoft Corporation 2.1.21022
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU Microsoft Corporation 2.1.21022
Microsoft .NET Framework 3.0 Service Pack 1 Microsoft Corporation 3.1.21022 <--- keine ahnung welches framework wichtig ist
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU Microsoft Corporation 3.1.21022
Microsoft .NET Framework 3.5 Microsoft Corporation
Microsoft .NET Framework 3.5 Language Pack - DEU Microsoft Corporation
Microsoft Rise Of Nations Microsoft <--- notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 9.0.30729 <--- unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 <--- unbekannt
mIRC mIRC Co. Ltd. 6.35 <--- notwendig
Mozilla Firefox (3.6.13) Mozilla 3.6.13 (de) <--- notwendig
MSXML4 Parser Microsoft Game Studios 1.0.0 <--- unbekannt
NVIDIA Drivers
NVIDIA Grafiktreiber 260.99 NVIDIA Corporation 260.99 <--- Sofern alle 3 Nvidia sachen treiber sind, notwendig
NVIDIA nView 135.36 NVIDIA Corporation 135.36
OpenOffice.org 3.2 OpenOffice.org 3.2.9483 <--- notwendig
Opera 11.00 Opera Software ASA 11.00 <--- nicht wirklich nötig
Pando Media Booster Pando Networks Inc. 2.3.3.9 <--- unbekannt
QuickTime Apple Inc. 7.66.73.0 <--- unnötig
RouterControl 2.0 <--- unnötig
SearchAnonymizer 1.0.1 (de) <--- unbekannt (keine ahnung wie das am pc gekommen ist)
Silkroad <--- unnötig
Simple Shutdown Timer PcWinTech.com 1.1.2 <--- unnötig
Skype™ 4.2 Skype Technologies S.A. 4.2.158 <--- notwendig
SPORE™ Electronic Arts 1.00.0000 <--- notwendig
Steam Valve Corporation 1.0.0.0 <--- notwendig
System Requirements Lab <--- unbekannt
TeamSpeak 2 RC2 Dominating Bytes Design 2.0.32.60 <--- notwendig
TeamSpeak 3 Client TeamSpeak Systems GmbH <--- notwendig
TeamViewer 5 TeamViewer GmbH 5.0.8625
Ultimate AI GrandViZ 1.6 <--- notwendig
Uninstall 1.0.0.1 <-- unbekannt
VIA Plattform-Geräte-Manager VIA Technologies, Inc. 1.27 <--- unbekannt
Warcraft III: All Products <--- notwendig
Warkeys 1.16.0.0b 1.16.0.0b <--- notwendig
Warlords Battlecry II <--- notwendig
Winamp Nullsoft, Inc 5.572 <--- notwendig
Winamp Detector Plug-in Nullsoft, Inc 1.0.0.1
Windows Live Anmelde-Assistent Microsoft Corporation 5.000.818.5
Windows Live Essentials Microsoft Corporation 14.0.8089.0726
Windows Live-Uploadtool Microsoft Corporation 14.0.8014.1029
Windows XP Service Pack 3 Microsoft Corporation 20080414.031514 < der rest notwendig
WinRAR

markusg · 16.01.2011, 16:56

deinstaliere:
Adobe AIR
Adobe Reader 9.4
ersetzen:
Adobe - Adobe Reader herunterladen - Alle Versionen

bitte den mcafee security scan nicht mit instalieren.
öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus.
so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden.
unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken.
unter update, auf instalieren stellen.
klicke übernehmen /ok

deinstaliere:
Audacity
Bonjour
Command & Conquer™
DivX-Setup
Driver Updater
DVDVideoSoftTB Toolbar
Europa Universalis III
Free Audio CD Burner
Free Download Manager
In Nomine 3
Java beide versionen.
neue version:
Java SE Downloads
klicke auf download jre.
deinstaliere:
JDownloader
QuickTime
RouterControl
SearchAnonymizer
Silkroad
Simple Shutdown
öffne skype, updaten.
Windows Live steht nichts zu, falls unnötig, weg
bereinige jetzt dateien + registry mit dem ccleaner.

15.01.2011, 17:25	#2
markusg /// Malware-holic	Verseuchter PC (diverse Trojaner?) aloa, öffne mal avira reports und poste uns das log mit den funden. __________________ __________________

Verseuchter PC (diverse Trojaner?)

Log-Analyse und Auswertung: Verseuchter PC (diverse Trojaner?)