Trojaner-Board - Help plz. TR/Agent.agv.106

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Help plz. TR/Agent.agv.106 (https://www.trojaner-board.de/43267-help-plz-tr-agent-agv-106-a.html)

Help plz. TR/Agent.agv.106

guten tag liebes forum, habe mir auf dem rechner meiner freundin ein trojaner eingefangen :heulen: eigentlich wollte ich kurzen prozess machen und die kiste neu aufsetzten, doch leider ist das so eine dooooooooooofe OEM winXP kiste (zum 2 mal :heulen: )

habe jetzt einmal HJT laufen lassen, kann mir jemand helfen?

Hier das Log im normalen modus:

Logfile of HijackThis v1.99.1
Scan saved at 08:41:51, on 10.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Dokumente und Einstellungen\user\Desktop\HijackThis.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0} - C:\WINDOWS\system32\B.tmp
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121258483921
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

hier das log im abgesicherten Modus:

Logfile of HijackThis v1.99.1
Scan saved at 08:31:05, on 10.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0} - C:\WINDOWS\system32\B.tmp
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121258483921
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Antivirus findet folgenden Trojaner: TR/Agent.agv.106
habe auch die autom. HJT analyse laufen lassen, und versuchte dann
diesen B.TMP eintrag zu fixen, geht leider nicht... gibt es eine möglichkeit diese kagge wieder vom rechner zu bringen?

besten dank im voraus!

Hmm, der Log kommt mir zu kurz vor. Lade Dir mal diese Datei und starte sie. (Ist HijackThis nur mit anderem Namen - manche Viren beeinflussen die HijackThis.exe...)

Und mach mal bitte einen Scan mit BlackLight.

besten dank werd ich zu hause gleich mal machen! ja seit ich dieses ding eingefangen habe kommt mir einiges komisch vor. IE und firefox machen sich selbstständig. usw.

so habe nun die 2 progs laufen lassen, das BlackLight hat nichts gefunden,
und dies andere vers. von hijackT gibt folgendes log aus:

im abgesicherten modus:

Logfile of HijackThis v1.99.1
Scan saved at 09:02:02, on 12.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\user\Desktop\pruefung.com

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0} - C:\WINDOWS\system32\B.tmp
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1121258483921
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

im normalen modus:

Logfile of HijackThis v1.99.1
Scan saved at 09:02:02, on 12.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\user\Desktop\pruefung.com

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0} - C:\WINDOWS\system32\B.tmp
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1121258483921
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

mach ich etwas falsch oder ist der trojaner von selbst verschwunden (ist ja kaum möglich)
habe nach der virusmeldung noch SP2 installiert (hat das einen einfluss?)

heyho liebes forum leider bin ich diese teil noch immer nicht los. :mad:

kann mir jemand sagen wie ich dieses:

O2 - BHO: (no name) - {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0} - C:\WINDOWS\system32\B.tmp

löschen kann, wird immer von einem prozess benutzt (auch im abgesicherten modus)

gibt es irgend eine möglichkeit?

Hi back,

du hast also folgenden Wurm einen Monat mit dir
rumgeschleppt -> W32/Alcra-B.
Bevor wir eine Bereinung starten, erstelle bitte nocheinmal
folgende Scans, denn dein altes Log ist jetzt schon eine
Weile her und dieser Peer-to-Peer-Wurm stellt doch einiges an.

* HijackThis - Scan
1. Lade dir das Tool hier runter -> Hijackthis 2.02 Final
2. Entpacke es in einen seperaten Ordner und benenne es um
(z.b. C:\Programme\HijackThis\pruefung.com)
3. Führe die Datei aus und bestätige die Warnung mit "ok"
4. Wähle die Option "Do a System Scan and save a logfile"
5. poste den kompletten Inhalt des entstehenden LogFiles
6. Entferne persönliche Informationen sowie aktive Links

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)

mfg Cleriker

huui danke! ok hier das hj log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:03:09, on 23.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\user\Eigene Dateien\atests.exe

O2 - BHO: (no name) - {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0} - C:\WINDOWS\system32\B.tmp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121258483921
O20 - Winlogon Notify: B - C:\WINDOWS\system32\B.tmp
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 2841 bytes

so und jetzt mache ich noch dern rest

so hier das log von escan, war schon etwas ergiebiger:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 10/22/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Desktop\backups\backup-20070908-011538-488.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\vista.dll infiziert von "Trojan.Win32.BHO.pi" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Desktop\backups\backup-20070908-011538-488.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\user\Desktop\backups\backup-20070913-094616-286.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\user\Desktop\backups\backup-20070916-175257-484.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\user\Eigene Dateien\Bönz\hijackthis_199.zip/backups/backup-20070908-011538-488.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3784d90-c137-11d9-8c47-806d6172696f} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 31501
Gefundene Viren: 11
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 49
Dauer des Scans bisher: 00:05:38
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 16:36:06.59
Batchende: 16:36:12.21

auch ja seit ein paar tagen muss ich zone alarm immer beenden sonst geht gar nichts mehr..
(dann kommen etliche fehlermeldungen)

Morgen,

sieht zwar heftig aus, aber ich denke nicht,
dass man hier von einer Kompromitierung
reden kann. mach folgendes:

* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:

C:\WINDOWS\system32\B.tmp
C:\Dokumente und Einstellungen\Administrator\Desktop\backups\backup-20070908-011538-488.dll
C:\Dokumente und Einstellungen\user\Desktop\backups\backup-20070913-094616-286.dll
C:\Dokumente und Einstellungen\user\Eigene Dateien\Bönz\hijackthis_199.zip/backups/backup-20070908-011538-488.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt

Bitte widerhole den escan, ich glaube nicht, dass dieser
nach 5min beendet war. Führe zuvor bitte folgendes noch durch:
(aber erst nach der Avenger-Aktion)

* CCleaner
- Lade dir den CCleaner runter
- Setze bei der Ausführung die Häkchen mindestens Cookies und Internet Files
- Kopiere bitte den Cleaning-Report ab und poste ihn

mfg Cleriker

ok, dieser avenger hat kein log geschrieben (dafür hat sich antivir gemeldet und etwas von einem wurm gefaselt..), aber er scheint etwas gemacht zu haben.

hier das log von diesem ccleaner (sind z.t. sehr ominöse coockiesgefunden worden):

REINIGUNG komplett - (15.311 Sek)
------------------------------------------------------------------------------------------
15.0MB entfernt.
------------------------------------------------------------------------------------------

Details der gelöschten Dateien
------------------------------------------------------------------------------------------
C:\Dokumente und Einstellungen\user\Cookies\user@yahoo[1].txt 82 Byte
C:\Dokumente und Einstellungen\user\Cookies\user@83.149.74[2].txt 169 Byte
Zum Löschen markiert: C:\Dokumente und Einstellungen\user\Cookies\index.dat
Geleerter Papierkorb (4 Dateien) 0.52MB
C:\WINDOWS\system32\wbem\Logs\FrameWork.log 12.80KB
C:\WINDOWS\system32\wbem\Logs\mofcomp.log 13.88KB
C:\WINDOWS\system32\wbem\Logs\replog.log 552 Byte
C:\WINDOWS\system32\wbem\Logs\setup.log 5.49KB
C:\WINDOWS\system32\wbem\Logs\wbemcore.log 329 Byte
C:\WINDOWS\system32\wbem\Logs\wbemess.log 35.33KB
C:\WINDOWS\system32\wbem\Logs\wbemprox.log 39.15KB
C:\WINDOWS\system32\wbem\Logs\wmiadap.log 3.19KB
C:\WINDOWS\system32\wbem\Logs\wmiprov.log 17.57KB
C:\WINDOWS\system32\wbem\Logs\wbemess.lo_ 64.09KB
C:\WINDOWS\0.log 0 Byte
C:\WINDOWS\chipset.log 596 Byte
C:\WINDOWS\cmsetacl.log 373 Byte
C:\WINDOWS\COM+.log 2.84KB
C:\WINDOWS\comsetup.log 0.12MB
C:\WINDOWS\DtcInstall.log 1.35KB
C:\WINDOWS\FaxSetup.log 0.34MB
C:\WINDOWS\iis6.log 0.41MB
C:\WINDOWS\imsins.log 1.34KB
C:\WINDOWS\KB873333.log 13.26KB
C:\WINDOWS\KB873339.log 10.31KB
C:\WINDOWS\KB883939.log 17.25KB
C:\WINDOWS\KB885250.log 19.63KB
C:\WINDOWS\KB885835.log 19.82KB
C:\WINDOWS\KB885836.log 10.31KB
C:\WINDOWS\KB886185.log 6.72KB
C:\WINDOWS\KB887472.log 10.82KB
C:\WINDOWS\KB887742.log 13.24KB
C:\WINDOWS\KB887797.log 9.57KB
C:\WINDOWS\KB888113.log 10.88KB
C:\WINDOWS\KB888302.log 10.85KB
C:\WINDOWS\KB890046.log 11.82KB
C:\WINDOWS\KB890175.log 10.37KB
C:\WINDOWS\KB890859.log 21.39KB
C:\WINDOWS\KB890923.log 18.77KB
C:\WINDOWS\KB891781.log 10.92KB
C:\WINDOWS\KB893066.log 29.19KB
C:\WINDOWS\KB893086.log 14.37KB
C:\WINDOWS\KB893756.log 17.09KB
C:\WINDOWS\KB893803v2.log 6.89KB
C:\WINDOWS\KB894391.log 14.68KB
C:\WINDOWS\KB896358.log 10.91KB
C:\WINDOWS\KB896422.log 11.50KB
C:\WINDOWS\KB896423.log 15.05KB
C:\WINDOWS\KB896424.log 17.52KB
C:\WINDOWS\KB896428.log 11.18KB
C:\WINDOWS\KB898461.log 11.83KB
C:\WINDOWS\KB899587.log 16.05KB
C:\WINDOWS\KB899589.log 21.51KB
C:\WINDOWS\KB899591.log 17.56KB
C:\WINDOWS\KB900485.log 25.99KB
C:\WINDOWS\KB900725.log 21.89KB
C:\WINDOWS\KB901017.log 17.25KB
C:\WINDOWS\KB901214.log 15.40KB
C:\WINDOWS\KB902400.log 29.58KB
C:\WINDOWS\KB903235.log 8.75KB
C:\WINDOWS\KB904706.log 19.21KB
C:\WINDOWS\KB905414.log 21.92KB
C:\WINDOWS\KB905749.log 19.31KB
C:\WINDOWS\KB908519.log 12.33KB
C:\WINDOWS\KB908531.log 19.74KB
C:\WINDOWS\KB910437.log 19.74KB
C:\WINDOWS\KB911280.log 16.64KB
C:\WINDOWS\KB911562.log 16.86KB
C:\WINDOWS\KB911564.log 19.29KB
C:\WINDOWS\KB911567.log 14.75KB
C:\WINDOWS\KB911927.log 17.74KB
C:\WINDOWS\KB912919.log 20.01KB
C:\WINDOWS\KB913580.log 15.93KB
C:\WINDOWS\KB914389.log 13.47KB
C:\WINDOWS\KB916281.log 22.27KB
C:\WINDOWS\KB917344.log 21.66KB
C:\WINDOWS\KB917734.log 8.21KB
C:\WINDOWS\KB917953.log 21.04KB
C:\WINDOWS\KB918439.log 24.55KB
C:\WINDOWS\MedCtrOC.log 26.47KB
C:\WINDOWS\msgsocm.log 17.57KB
C:\WINDOWS\msmqinst.log 0.11MB
C:\WINDOWS\netfxocm.log 61.95KB
C:\WINDOWS\ntdtcsetup.log 75.89KB
C:\WINDOWS\ocgen.log 0.17MB
C:\WINDOWS\ocmsn.log 19.57KB
C:\WINDOWS\regopt.log 13.45KB
C:\WINDOWS\sessmgr.setup.log 4.66KB
C:\WINDOWS\setupact.log 0.18MB
C:\WINDOWS\setupapi.log 0.50MB
C:\WINDOWS\setuperr.log 0 Byte
C:\WINDOWS\spslpsrm.log 1.31KB
C:\WINDOWS\spupdsvc.log 30.09KB
C:\WINDOWS\svcpack.log 0.22MB
C:\WINDOWS\tabletoc.log 18.73KB
C:\WINDOWS\tsoc.log 0.16MB
C:\WINDOWS\updspapi.log 19.42KB
C:\WINDOWS\WindowsUpdate.log 1.25MB
C:\WINDOWS\wmsetup.log 67.12KB
C:\WINDOWS\wmsetup10.log 458 Byte
C:\WINDOWS\imsins.BAK 1.34KB
C:\WINDOWS\ntbtlog.txt 0.51MB
C:\WINDOWS\OEWABLog.txt 1.65KB
C:\WINDOWS\setuplog.txt 1.07MB
C:\WINDOWS\Debug\blastcln.log 628 Byte
C:\WINDOWS\Debug\mrt.log 3.63KB
C:\WINDOWS\Debug\mrteng.log 582 Byte
C:\WINDOWS\Debug\NetSetup.LOG 3.76KB
C:\WINDOWS\Debug\UserMode\userenv.log 0.14MB
C:\WINDOWS\Debug\UserMode\userenv.bak 0.29MB
C:\WINDOWS\SchedLgU.Txt 3.94KB
C:\WINDOWS\security\logs\backup.log 3.39KB
C:\WINDOWS\security\logs\SceRoot.log 640 Byte
C:\WINDOWS\security\logs\scesetup.log 0.45MB
C:\WINDOWS\security\logs\update.log 7.70KB
C:\WINDOWS\security\logs\scecomp.old 356 Byte
Entfernte Cookies: chip.de
Entfernte Cookies: CHIP Online - Computer, Test, Kaufberatung, News
Entfernte Cookies: ivwbox.de
Entfernte Cookies: sales.tfag.de
Entfernte Cookies: doubleclick.net
Entfernte Cookies: php.sales.tfag.de
Entfernte Cookies: tradedoubler.com
Entfernte Cookies: mediaplex.com
Entfernte Cookies: chip.de.intellitxt.com
Entfernte Cookies: sc.intellitxt.com
Entfernte Cookies: trojaner-board.de
Entfernte Cookies: google.com
Entfernte Cookies: mozilla.com
Entfernte Cookies: virus-protect.org
Entfernte Cookies: a.bluewin.ch
Entfernte Cookies: webmail.sso.bluewin.ch
Entfernte Cookies: wemfbox.ch
Entfernte Cookies: Bluewin Startseite
Entfernte Cookies: download.mozilla.org
Entfernte Cookies: aus2.mozilla.org
Entfernte Cookies: wintotal.de.intellitxt.com
Entfernte Cookies: ads-205.quarterserver.de
Entfernte Cookies: adverserve.net
Entfernte Cookies: google.ch
Entfernte Cookies: 3.adbrite.com
Entfernte Cookies: adbrite.com
Entfernte Cookies: 888.com
Entfernte Cookies: megarotic.com
Entfernte Cookies: bonuscard.ch
Entfernte Cookies: statse.webtrendslive.com
Entfernte Cookies: T-Mobile
Entfernte Cookies: OTTO - Ihr Online-Shop!
Entfernte Cookies: wdm.map24.com
Entfernte Cookies: Directories - the data source
Entfernte Cookies: directories.ch
Entfernte Cookies: cash.ch
Entfernte Cookies: board.cash.ch
Entfernte Cookies: CASH.ch | Home
Entfernte Cookies: count.xhit.com
Entfernte Cookies: virb.com
Entfernte Cookies: ClassicGaming - the home of classic gaming on the net
Entfernte Cookies: ign.com
Entfernte Cookies: gamespyid.com
Entfernte Cookies: gamespy.com
Entfernte Cookies: 216.239.59.104
Entfernte Cookies: topwiigames.com
Entfernte Cookies: nintendo.com
Entfernte Cookies: forum.electronicattack.de
Entfernte Cookies: eventful.com
Entfernte Cookies: xiti.com
Entfernte Cookies: px24.com
Entfernte Cookies: love-sms.smsdate.com
Entfernte Cookies: adserver.easyad.info
Entfernte Cookies: espace.ch
Entfernte Cookies: www.espace.ch
Entfernte Cookies: ruemligen.ch
Entfernte Cookies: data.gffn.com
Entfernte Cookies: bravenet.com
Entfernte Cookies: gulli.com
Entfernte Cookies: toplist.gulli.com
Entfernte Cookies: insightexpressai.com
Entfernte Cookies: redbean.guba.com
Entfernte Cookies: mochi.skinvideo.com
Entfernte Cookies: de.casino-gambling-174.com
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\y4caslb7.default\downloads.rdf 206 Byte
Firefox/Mozilla Temporärer Internet Cache (26 Dateien) 4.13MB
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\y4caslb7.default\history.dat 61.58KB
C:\WINDOWS\Internet Logs\ZALog2006.07.03.txt 24.55KB
C:\WINDOWS\Internet Logs\ZALog2006.07.08.txt 985 Byte
C:\WINDOWS\Internet Logs\ZALog2006.07.11.txt 1.92KB
C:\WINDOWS\Internet Logs\ZALog2006.07.14.txt 1.46KB
C:\WINDOWS\Internet Logs\ZALog2006.07.17.txt 3.50KB
C:\WINDOWS\Internet Logs\ZALog2006.07.18.txt 590 Byte
C:\WINDOWS\Internet Logs\ZALog2006.07.19.txt 2.02KB
C:\WINDOWS\Internet Logs\ZALog2006.07.21.txt 589 Byte
C:\WINDOWS\Internet Logs\ZALog2006.07.23.txt 1.72KB
C:\WINDOWS\Internet Logs\ZALog2006.08.04.txt 1.39KB
C:\WINDOWS\Internet Logs\ZALog2006.08.06.txt 1.44KB
C:\WINDOWS\Internet Logs\ZALog2006.08.08.txt 801 Byte
C:\WINDOWS\Internet Logs\ZALog2006.08.19.txt 1.72KB
C:\WINDOWS\Internet Logs\ZALog2006.08.20.txt 472 Byte
C:\WINDOWS\Internet Logs\ZALog2006.08.22.txt 1.09KB
C:\WINDOWS\Internet Logs\ZALog2006.08.24.txt 1.34KB
C:\WINDOWS\Internet Logs\ZALog2006.08.26.txt 472 Byte
C:\WINDOWS\Internet Logs\ZALog2006.08.29.txt 1.47KB
C:\WINDOWS\Internet Logs\ZALog2006.09.04.txt 925 Byte
C:\WINDOWS\Internet Logs\ZALog2006.09.07.txt 590 Byte
C:\WINDOWS\Internet Logs\ZALog2006.09.11.txt 734 Byte
C:\WINDOWS\Internet Logs\ZALog2006.09.14.txt 1.81KB
C:\WINDOWS\Internet Logs\ZALog2006.09.17.txt 472 Byte
C:\WINDOWS\Internet Logs\ZALog2006.09.20.txt 472 Byte
C:\WINDOWS\Internet Logs\ZALog2006.10.07.txt 853 Byte
C:\WINDOWS\Internet Logs\ZALog2006.10.09.txt 590 Byte
C:\WINDOWS\Internet Logs\ZALog2006.10.11.txt 472 Byte
C:\WINDOWS\Internet Logs\ZALog2006.10.12.txt 588 Byte
C:\WINDOWS\Internet Logs\ZALog2006.10.13.txt 590 Byte
C:\WINDOWS\Internet Logs\ZALog2006.10.15.txt 590 Byte
C:\WINDOWS\Internet Logs\ZALog2006.10.16.txt 1.51KB
C:\WINDOWS\Internet Logs\ZALog2006.10.23.txt 2.23KB
C:\WINDOWS\Internet Logs\ZALog2006.10.27.txt 758 Byte
C:\WINDOWS\Internet Logs\ZALog2006.10.29.txt 4.89KB
C:\WINDOWS\Internet Logs\ZALog2006.10.30.txt 3.23KB
C:\WINDOWS\Internet Logs\ZALog2006.10.31.txt 2.85KB
C:\WINDOWS\Internet Logs\ZALog2006.11.03.txt 1.21KB
C:\WINDOWS\Internet Logs\ZALog2006.11.04.txt 1.72KB
C:\WINDOWS\Internet Logs\ZALog2006.11.12.txt 1.05KB
C:\WINDOWS\Internet Logs\ZALog2006.11.13.txt 472 Byte
C:\WINDOWS\Internet Logs\ZALog2006.11.15.txt 2.74KB
C:\WINDOWS\Internet Logs\ZALog2006.11.17.txt 651 Byte
C:\WINDOWS\Internet Logs\ZALog2006.11.18.txt 472 Byte
C:\WINDOWS\Internet Logs\ZALog2006.11.20.txt 591 Byte
C:\WINDOWS\Internet Logs\ZALog2006.11.24.txt 472 Byte
C:\WINDOWS\Internet Logs\ZALog2006.11.27.txt 2.53KB
C:\WINDOWS\Internet Logs\ZALog2006.11.28.txt 635 Byte
C:\WINDOWS\Internet Logs\ZALog2006.12.03.txt 925 Byte
C:\WINDOWS\Internet Logs\ZALog2006.12.05.txt 591 Byte
C:\WINDOWS\Internet Logs\ZALog2006.12.16.txt 663 Byte
C:\WINDOWS\Internet Logs\ZALog2006.12.18.txt 1.15KB
C:\WINDOWS\Internet Logs\ZALog2006.12.20.txt 2.91KB
C:\WINDOWS\Internet Logs\ZALog2006.12.25.txt 922 Byte
C:\WINDOWS\Internet Logs\ZALog2006.12.27.txt 1.06KB
C:\WINDOWS\Internet Logs\ZALog2007.01.05.txt 1.80KB
C:\WINDOWS\Internet Logs\ZALog2007.01.10.txt 1.38KB
C:\WINDOWS\Internet Logs\ZALog2007.01.12.txt 2.40KB
C:\WINDOWS\Internet Logs\ZALog2007.01.14.txt 1.39KB
C:\WINDOWS\Internet Logs\ZALog2007.01.15.txt 1.04KB
C:\WINDOWS\Internet Logs\ZALog2007.01.21.txt 1.03KB
C:\WINDOWS\Internet Logs\ZALog2007.02.10.txt 2.09KB
C:\WINDOWS\Internet Logs\ZALog2007.02.19.txt 903 Byte
C:\WINDOWS\Internet Logs\ZALog2007.02.22.txt 785 Byte
C:\WINDOWS\Internet Logs\ZALog2007.02.24.txt 785 Byte
C:\WINDOWS\Internet Logs\ZALog2007.02.26.txt 785 Byte
C:\WINDOWS\Internet Logs\ZALog2007.03.06.txt 1.50KB
C:\WINDOWS\Internet Logs\ZALog2007.03.08.txt 785 Byte
C:\WINDOWS\Internet Logs\ZALog2007.03.12.txt 1.97KB
C:\WINDOWS\Internet Logs\ZALog2007.03.13.txt 1.08KB
C:\WINDOWS\Internet Logs\ZALog2007.03.14.txt 3.67KB
C:\WINDOWS\Internet Logs\ZALog2007.03.18.txt 1.83KB
C:\WINDOWS\Internet Logs\ZALog2007.03.20.txt 962 Byte
C:\WINDOWS\Internet Logs\ZALog2007.03.21.txt 1.40KB
C:\WINDOWS\Internet Logs\ZALog2007.04.03.txt 1.50KB
C:\WINDOWS\Internet Logs\ZALog2007.04.08.txt 1.23KB
C:\WINDOWS\Internet Logs\ZALog2007.04.09.txt 1.49KB
C:\WINDOWS\Internet Logs\ZALog2007.04.18.txt 903 Byte
C:\WINDOWS\Internet Logs\ZALog2007.04.23.txt 1.26KB
C:\WINDOWS\Internet Logs\ZALog2007.04.24.txt 1.39KB
C:\WINDOWS\Internet Logs\ZALog2007.04.26.txt 1.08KB
C:\WINDOWS\Internet Logs\ZALog2007.04.29.txt 992 Byte
C:\WINDOWS\Internet Logs\ZALog2007.05.02.txt 1.41KB
C:\WINDOWS\Internet Logs\ZALog2007.05.03.txt 1.26KB
C:\WINDOWS\Internet Logs\ZALog2007.05.10.txt 1.62KB
C:\WINDOWS\Internet Logs\ZALog2007.05.12.txt 609 Byte
C:\WINDOWS\Internet Logs\ZALog2007.05.15.txt 1.51KB
C:\WINDOWS\Internet Logs\ZALog2007.05.16.txt 785 Byte
C:\WINDOWS\Internet Logs\ZALog2007.05.20.txt 3.37KB
C:\WINDOWS\Internet Logs\ZALog2007.05.22.txt 3.67KB
C:\WINDOWS\Internet Logs\ZALog2007.05.24.txt 1.26KB
C:\WINDOWS\Internet Logs\ZALog2007.05.28.txt 3.02KB
C:\WINDOWS\Internet Logs\ZALog2007.05.29.txt 591 Byte
C:\WINDOWS\Internet Logs\ZALog2007.05.31.txt 9.62KB
C:\WINDOWS\Internet Logs\ZALog2007.06.06.txt 3.15KB
C:\WINDOWS\Internet Logs\ZALog2007.06.07.txt 3.31KB
C:\WINDOWS\Internet Logs\ZALog2007.06.11.txt 1.81KB
C:\WINDOWS\Internet Logs\ZALog2007.06.13.txt 1.78KB
C:\WINDOWS\Internet Logs\ZALog2007.06.14.txt 1.83KB
C:\WINDOWS\Internet Logs\ZALog2007.06.18.txt 1.73KB
C:\WINDOWS\Internet Logs\ZALog2007.06.22.txt 1.52KB
C:\WINDOWS\Internet Logs\ZALog2007.06.23.txt 2.53KB
C:\WINDOWS\Internet Logs\ZALog2007.06.24.txt 1.97KB
C:\WINDOWS\Internet Logs\ZALog2007.06.28.txt 973 Byte
C:\WINDOWS\Internet Logs\ZALog2007.06.29.txt 1.01KB
C:\WINDOWS\Internet Logs\ZALog2007.07.02.txt 2.86KB
C:\WINDOWS\Internet Logs\ZALog2007.07.04.txt 1.12KB
C:\WINDOWS\Internet Logs\ZALog2007.07.08.txt 1.94KB
C:\WINDOWS\Internet Logs\ZALog2007.07.09.txt 3.02KB
C:\WINDOWS\Internet Logs\ZALog2007.07.11.txt 1.61KB
C:\WINDOWS\Internet Logs\ZALog2007.07.13.txt 1.12KB
C:\WINDOWS\Internet Logs\ZALog2007.07.17.txt 854 Byte
C:\WINDOWS\Internet Logs\ZALog2007.07.19.txt 3.01KB
C:\WINDOWS\Internet Logs\ZALog2007.07.20.txt 1.09KB
C:\WINDOWS\Internet Logs\ZALog2007.07.22.txt 2.38KB
C:\WINDOWS\Internet Logs\ZALog2007.07.23.txt 1.15KB
C:\WINDOWS\Internet Logs\ZALog2007.07.25.txt 1.68KB
C:\WINDOWS\Internet Logs\ZALog2007.07.26.txt 2.12KB
C:\WINDOWS\Internet Logs\ZALog2007.07.27.txt 1.01KB
C:\WINDOWS\Internet Logs\ZALog2007.07.29.txt 1.79KB
C:\WINDOWS\Internet Logs\ZALog2007.07.30.txt 1.89KB
C:\WINDOWS\Internet Logs\ZALog2007.08.05.txt 1.29KB
C:\WINDOWS\Internet Logs\ZALog2007.08.06.txt 752 Byte
C:\WINDOWS\Internet Logs\ZALog2007.08.07.txt 3.19KB
C:\WINDOWS\Internet Logs\ZALog2007.08.08.txt 1.56KB
C:\WINDOWS\Internet Logs\ZALog2007.08.13.txt 1.32KB
C:\WINDOWS\Internet Logs\ZALog2007.08.15.txt 2.18KB
C:\WINDOWS\Internet Logs\ZALog2007.08.16.txt 1.32KB
C:\WINDOWS\Internet Logs\ZALog2007.08.19.txt 1.01KB
C:\WINDOWS\Internet Logs\ZALog2007.08.20.txt 1.29KB
C:\WINDOWS\Internet Logs\ZALog2007.08.24.txt 854 Byte
C:\WINDOWS\Internet Logs\ZALog2007.08.26.txt 1.89KB
C:\WINDOWS\Internet Logs\ZALog2007.08.27.txt 1.32KB
C:\WINDOWS\Internet Logs\ZALog2007.08.29.txt 1.01KB
C:\WINDOWS\Internet Logs\ZALog2007.08.31.txt 854 Byte
C:\WINDOWS\Internet Logs\ZALog2007.09.03.txt 1.27KB
C:\WINDOWS\Internet Logs\ZALog2007.09.04.txt 4.03KB
C:\WINDOWS\Internet Logs\ZALog2007.09.06.txt 854 Byte
C:\WINDOWS\Internet Logs\ZALog2007.09.07.txt 8.25KB
C:\WINDOWS\Internet Logs\ZALog2007.09.08.txt 823 Byte
C:\WINDOWS\Internet Logs\ZALog2007.09.10.txt 1.22KB
C:\WINDOWS\Internet Logs\ZALog2007.09.12.txt 1.24KB
C:\WINDOWS\Internet Logs\ZALog2007.09.13.txt 1.98KB
C:\WINDOWS\Internet Logs\ZALog2007.09.16.txt 7.56KB
C:\WINDOWS\Internet Logs\ZALog2007.09.17.txt 3.31KB
C:\WINDOWS\Internet Logs\ZALog2007.09.19.txt 1.29KB
C:\WINDOWS\Internet Logs\ZALog2007.09.20.txt 1.11KB
C:\WINDOWS\Internet Logs\ZALog2007.09.24.txt 2.70KB
C:\WINDOWS\Internet Logs\ZALog2007.09.25.txt 1.85KB
C:\WINDOWS\Internet Logs\ZALog2007.09.26.txt 989 Byte
C:\WINDOWS\Internet Logs\ZALog2007.09.27.txt 648 Byte
C:\WINDOWS\Internet Logs\ZALog2007.10.01.txt 472 Byte
C:\WINDOWS\Internet Logs\ZALog2007.10.02.txt 472 Byte
C:\WINDOWS\Internet Logs\ZALog2007.10.09.txt 648 Byte
C:\WINDOWS\Internet Logs\ZALog2007.10.12.txt 824 Byte
C:\WINDOWS\Internet Logs\ZALog2007.10.17.txt 1'000 Byte
C:\WINDOWS\Internet Logs\ZALog2007.10.19.txt 648 Byte
C:\Programme\eMule\config\AC_SearchStrings.dat 574 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\cache.gizmodo.com\assets\v2.gizmodo.com\img\giz_logoAnim2.swf\savedData.sol 54 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\cimages.broadcaster.com\f.sol 6.72KB
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\cimages.broadcaster.com\gh.sol 4.36KB
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\directories.maponair.com\Directories\flash\CategoryList.swf\myCategories.sol 52 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\directories.maponair.com\Directories\flash\Mapping.swf\myAlpha.sol 48 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\directories.maponair.com\Directories\flash\Mapping.swf\myCategories.sol 45 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\directories.maponair.com\Directories\flash\Mapping.swf\myParams.sol 115 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\directories.maponair.com\Directories\flash\Mapping.swf\sliderLevel_mc_619_450.sol 93 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\directories.maponair.com\Directories\flash\Mapping.swf\sliderOrtho_mc_619_450.sol 93 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\directories.maponair.com\Directories\flash\Mapping.swf\videoPlayback_mc_619_450.sol 95 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\directories1.maponair.com\Directories\flash\CategoryList.swf\myCategories.sol 52 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\directories1.maponair.com\Directories\flash\Mapping.swf\myAlpha.sol 48 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\directories1.maponair.com\Directories\flash\Mapping.swf\myCategories.sol 45 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\directories1.maponair.com\Directories\flash\Mapping.swf\myParams.sol 115 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\directories1.maponair.com\Directories\flash\Mapping.swf\sliderLevel_mc_619_450.sol 93 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\directories1.maponair.com\Directories\flash\Mapping.swf\sliderOrtho_mc_619_450.sol 93 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\directories1.maponair.com\Directories\flash\Mapping.swf\videoPlayback_mc_619_450.sol 95 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\media.scanscout.com\savedText.sol 78 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\spieletipps.de\st_news.sol 9.26KB
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\static.userplane.com\presence\presence.swf\presence_1.sol 103 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\video.google.com\googleplayer.swf\mediaPlayerUserSettings.sol 94 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\www.chip.de\ChipVideo_data.sol 82 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\www.ifilm.com\flash\container.swf\settings.sol 45 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\www.livevideo.com\flvplayer\flvplayer.swf\UserVolume.sol 55 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\www.yourfilehost.com\flash\flvplayer3.swf\UserVolume.sol 55 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\www.yourfilehost.com\flash\flvplayer4.swf\UserVolume.sol 55 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\www.youtube.com\soundData.sol 58 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\67P27XKL\www.youtube.com\timeDisplayConfig.sol 65 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#cache.gizmodo.com\settings.sol 87 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#cimages.broadcaster.com\settings.sol 93 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#directories.maponair.com\settings.sol 94 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#directories1.maponair.com\settings.sol 95 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#media.scanscout.com\settings.sol 89 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#myspace.com\settings.sol 81 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#skinvideo.com\settings.sol 83 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#spieletipps.de\settings.sol 84 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#static.userplane.com\settings.sol 90 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#video.google.com\settings.sol 86 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.chip.de\settings.sol 81 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.ifilm.com\settings.sol 83 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.livevideo.com\settings.sol 87 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.yourfilehost.com\settings.sol 90 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.youtube.com\settings.sol 85 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#youtube.com\settings.sol 81 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol 695 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\spieletipps.de\st_news.sol 5.99KB
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\static.userplane.com\presence\m\presence.swf\presence.sol 93 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\static.userplane.com\presence\presence.swf\presence_1.sol 103 Byte
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Flash Player\youtube.com\soundData.sol 58 Byte
C:\Programme\AntiVir PersonalEdition Classic\avewin32.dll.old 2.58MB
------------------------------------------------------------------------------------------

joaar, war wohl einiges zugemölt auf
deinem System. Whatever, das Avenger-log
wäre aber ganz hilfreich. Hat er die Aktionen
denn überhaupt durchgeführt? Und was meinst
du mit Wurmgefasel? Wo, was, welcher Pfad?

mfg Cleriker

zuerst mal vielen dank für deine hilfe!

also wenn ich diesen avenger ausführe kommt der free-av und sagt das der avenger den wurm WORM/Nuj.A.165 enthält...

bei ersten mal hat der avenger etwas gemacht, ich wurde auch gefragt ob ich das system booten will, aber ein log war nicht im entsprechenden ordner, wenn ich ihn noch einmal ausführen will kommt eine fehlermeldung

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: selected file does not appear to be a valid script.
Error code: 1813

ok hier das neue escan log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 10/23/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\user\Desktop\backups\backup-20070913-094616-286.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\user\Desktop\backups\backup-20070916-175257-484.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\vista.dll infiziert von "Trojan.Win32.BHO.pi" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Desktop\backups\backup-20070908-011538-488.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\user\Desktop\backups\backup-20070913-094616-286.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\user\Desktop\backups\backup-20070916-175257-484.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\user\Eigene Dateien\Bönz\hijackthis_199.zip/backups/backup-20070908-011538-488.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\vista.dll infiziert von "Trojan.Win32.BHO.pi" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2a6a1816-efbd-11d9-9633-806d6172696f} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3784d90-c137-11d9-8c47-806d6172696f} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 70297
Gefundene Viren: 15
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 50
Dauer des Scans bisher: 01:02:47
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 16:40:48.15
Batchende: 16:41:00.73

Deaktiviere bitte dein AV-Tool oder lasse
den Avenger zu.
Nehme folgenden Pfad auch noch mit rein.
Der Rest ist aber auch noch da.

Zitat:

C:\WINDOWS\system32\vista.dll

mfg Cleriker

ok jetzt hats geklappt!

das escan log sieht nun so aus:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 10/22/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\avenger\backup-24.10.2007-19.09.39.37.zip/avenger/B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\user\Desktop\backups\backup-20070916-175257-484.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\user\Eigene Dateien\Bönz\hijackthis_199.zip/backups/backup-20070908-011538-488.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3784d90-c137-11d9-8c47-806d6172696f} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = C:\WINDOWS\system32\B.tmp (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\B). Deleting Registry Key B...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 70237
Gefundene Viren: 4
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 50
Dauer des Scans bisher: 00:59:50
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 21:19:58.79
Batchende: 21:20:12.21

so jetzt habe ich nur noch folgendes problem:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 10/22/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{C0E80359-48D4-4C09-84BD-212088181EFB}\RP9\A0015089.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3784d90-c137-11d9-8c47-806d6172696f} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 67864
Gefundene Viren: 2
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 21
Dauer des Scans bisher: 01:09:47
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:55:22.82
Batchende: 14:55:44.29

vielen vieln dank für die hilfe! :aplaus:

kann mir ev. noch jemand sagen wie den auch noch weg kriege?

Hallo,

maßgeblich ist leider nicht dein "frisches" eScan-Logfile, sondern das ursprüngliche. Und das spricht deutlich für eine Kompromittierung deines Systems:

Zitat:

Zitat von musix (Beitrag 301198)

~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Zitat:

Zitat von musix

auch ja seit ein paar tagen muss ich zone alarm immer beenden sonst geht gar nichts mehr..
(dann kommen etliche fehlermeldungen)

Wirklich empfehlenswert ist daher nur ein Neuaufsetzen deines Systems.

ja das ist eben nicht einfach ist so ein OME winXp drauf....

aber wieso meinst du? ich dacht jetzt das ich den mit avanger weg geputzt habe?
(seit diesem zeitpunkt, spinnt auch zonealarm nicht mehr)

so habe nochmal alle eure tricks&tipps durchgeführt und dann ein escan gemacht, der sieht nun so aus:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 10/22/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3784d90-c137-11d9-8c47-806d6172696f} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 67633
Gefundene Viren: 1
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 22
Dauer des Scans bisher: 00:50:01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 13:40:34.57
Batchende: 13:40:49.79

irgendetwas ist noch immer nicht ok :(
diesen reg key habe ich eigentlich gelöscht

nutzt es was wenn ich dieses escan kaufe?

Meiner Ansicht nach: nein. Was versprichst du dir davon?

E-Scan will entdeckte Schädlinge entfernen können, wenn es gekauft wird. In deinem Fall sind Schädlinge entdeckt worden, und der sichtbare Anteil des Befalls ist entfernt worden. Mehr könnte eScan auch in der kostenpflichtigen Version nicht leisten.

Das Problem liegt anderswo: Auf deinem Rechner war eine Backdoor aktiv. Sie hat dein System kompromittiert. Was das bedeutet, kannst du hier nachlesen:

Homepage von Malte J. Wetz

Ich verlinke dir das, weil Herr Wetz gut erklärt, was Kompromittierung bedeutet: Dein System ist nicht mehr vertrauenswürdig, weil nicht nachvollzogen werden kann, was an ihm manipuliert worden ist. Du kannst nicht mehr sicher sein, dass du noch Herr über deinen Rechner bist. Es muss nicht, kann aber sein, dass ein Anderer ihn kontrolliert und ihn in einem extremen Fall für kriminelle Aktionen missbraucht, die dann dir angelastet werden können. Auch solche Fälle hat es bereits gegeben.

Letztlich musst du entscheiden, ob du dieses schwer zu beziffernde Risiko tragen willst, denn es ist dein Rechner. Wenn du neu aufsetzt, bist du auf der sicheren Seite. Wenn du darauf vertraust, dass mit der Entfernung des sichtbaren Befalls dein Rechner wieder "clean" ist, bleibt ein Risiko.

Hi Leuts nach einem Päuschen,

sorry Franz, wenn ich nochmal dazwischen
funke, aber ich habe deshalb sein System
NICHT als kompromitiert angesehen, weil
der besagte Wurm zwar im escan-Virenscanner
das Wort "Bagdoor" enthält, jedoch die
Sophos-Bedrohungsanalyse folgendes sagt:

Zitat:

W32/Alcra-B verbreitet sich über den Dateiaustausch auf P2P-Netzwerken.
W32/Alcra-B enthält Funktionalität zum Herunterladen, Installieren und Starten neuer Malware.

Weiterhin sind die meißten Einträge gar nicht weiter
zu finden auf seinem Rechner. Deshalb plediere ich
auf eine weitere Bereinigung. Berichtige mich, wenn
ich falsch liege.

mfg Cleriker

Cleriker, vielleicht sehe ich es nur nicht. Wie kommst du auf Alcra.B?

Ähm hast Recht....
die meißten Scanner bestätigen eine Bagdoorfunktionalität...
demzufolge schließe ich mich deiner Anweisung an
-> * System neu aufsetzen mit anschließender Absicherung

mfg Cleriker