Trojaner-Board - Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen (https://www.trojaner-board.de/56094-brauche-hilfe-wegen-trojaner-tr-crypt-xpack-gen.html)

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen

Hey!
Hab mich auch mal hier angemeldet weil ich folgendes Problem habe.
In der Partition D wird ein Virus Namens miloulonnouk.exe gemeldet.
Der Pfad lautet dann D:/miloulonnouk.exe!
Ich bin ratlos und schon am verzweifeln!
Bitte helft mir schnell!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:27, on 16.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\toudo.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [MPTBox] C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [lummap] C:\WINDOWS\system32\toudo.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Canon BJ Memory Card Manager (prncubyu5eyha) - Unknown owner - C:\WINDOWS\system32\seroozel.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6746 bytes

Halli hallo Splace

:hallo:

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

D:\miloulonnouk.exe
C:\WINDOWS\system32\seroozel.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Systembereinigung

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
Räume mit cCleaner auf. (Punkt 1 & 2)
Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
Beende alle anderen Arbeiten am PC und speichere alle offenen Projekte.
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
Unter File -> Database Update ->Start drücken.
Unter AVZPM -> Install extended monitoring driver drücken.
Unter AVZGuard -> Enable AVZGuard drücken dieser verhindert alle anderen Arbeiten am PC!
Im Hauptfenster oben sind verschiedene Reiter. Im Linken kannst du die Search Range einstellen. Mache hier bitte Haken vor alle deine Festplatten.
Im Reiter daneben kannst du die File Types einstellen. Wähle hier bitte All files.
Im Reiter ganz rechts kannst du die Search parameters einstellen. Schiebe den Regler der Heuristic Analysis bitte nach ganz oben und setzte den Haken bei Extended analysis. Alles weitere bleibt wie es ist!
Dann setzte rechts im Hauptfenster unter Actions den Haken bei Perform healing und danach unbedingt auch den Haken bei Copy deletet files to "infected" Folder. Sonst werden keine Backups erstellt!

Die letzten Einstellungen werden nochmal in folgendem Bild zusammengefasst. Gleiche sie bitte genau mit deinen Einstellungen ab!
http://img339.imageshack.us/img339/3...ameterssf7.png

Nun starte den Scan bitte durch Drücken des Start Buttons.
Nachdem der Scan beendet ist klicke auf den Disketten Speicher-Button und speichere das log im AVZ Ordner auf dem Desktop.
Danach klicke auf die Brille darunter. Es öffnet sich ein Fenster bei dem unten rechts bitte auf Save as CSV klickst und die Datei ebenfalls im AVZ Ordner abspeicherst.

http://img393.imageshack.us/img393/165/logti9.png

Die beiden logs hänge bitte an deinen nächsten Post an.
Deaktiviere den AVZGuard: Im Hauptfenster unter AVZGuard -> Disable AVZGuard.

Die Datei wurde bereits analysiert:
MD5: ed1afc8fe8edfcdc20393024703f0db4
First received: 2008.07.11 03:15:55 (CET)
Datum 2008.07.16 00:34:13 (CET) [<1D]
Ergebnisse 9/33
Permalink: analisis/1a8d63cf1383f3e96a16abaec0e0589a

1. Es ist nicht ersichtlich welche der Dateien untersucht wurde.

2. Brauchen wir die Ergebnisse (liste aller AntiViren Engines und deren Ergebnisse)

3. Lasse die Datei bitte nocheinmal analysieren.

[EDIT] Die Ergbnisse sind allerdings so schon recht Besorgnis erregend..
Trenne den Rechner bitte unverzüglich vom Netz und kommuniziere nur noch über Wechseldatenträge mit dem www.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Crypt.XPACK.Gen
Authentium - - -
Avast - - Win32:Rootkit-gen
AVG - - SHeur.BVWR
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - Win32:Rootkit-gen
Ikarus - - Backdoor.Win32.Oderoor.D
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - Malicious Software
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - WORM_SHEUR.APH
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Crypt.XPACK.Gen
weitere Informationen
MD5: ed1afc8fe8edfcdc20393024703f0db4
SHA1: 9225001ade6ca01291a8c8828941d8473886c86a
SHA256: 6128313ab895c3a79829c9b7902000237698dc5d382ef1f9679ddd05469db8d2
SHA512: 9ff322b60d004c52ca13f00c39d67f61bd529a9695381ea0966f3bc4814e7c7d5cac70a257f015c3219b5c823efaa32484470d0fdda2babcdd68500001cda99c

Zitat:

1. Es ist nicht ersichtlich welche der Dateien untersucht wurde.

Die Ergebnisse der ersten Datei bracuhst du nimmer posten. Hab ich mit mitlerweile selber rausgekramt..

Wir machen schonmal weiter:

Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

Systembereinigung

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
Räume mit cCleaner auf. (Punkt 1 & 2)
Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
Beende alle anderen Arbeiten am PC und speichere alle offenen Projekte.
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
Unter File -> Database Update ->Start drücken.
Unter AVZPM -> Install extended monitoring driver drücken.
Unter AVZGuard -> Enable AVZGuard drücken dieser verhindert alle anderen Arbeiten am PC!
Im Hauptfenster oben sind verschiedene Reiter. Im Linken kannst du die Search Range einstellen. Mache hier bitte Haken vor alle deine Festplatten.
Im Reiter daneben kannst du die File Types einstellen. Wähle hier bitte All files.
Im Reiter ganz rechts kannst du die Search parameters einstellen. Schiebe den Regler der Heuristic Analysis bitte nach ganz oben und setzte den Haken bei Extended analysis. Alles weitere bleibt wie es ist!
Dann setzte rechts im Hauptfenster unter Actions den Haken bei Perform healing und danach unbedingt auch den Haken bei Copy deletet files to "infected" Folder. Sonst werden keine Backups erstellt!

Die letzten Einstellungen werden nochmal in folgendem Bild zusammengefasst. Gleiche sie bitte genau mit deinen Einstellungen ab!
http://img339.imageshack.us/img339/3...ameterssf7.png

Nun starte den Scan bitte durch Drücken des Start Buttons.
Nachdem der Scan beendet ist klicke auf den Disketten Speicher-Button und speichere das log im AVZ Ordner auf dem Desktop.
Danach klicke auf die Brille darunter. Es öffnet sich ein Fenster bei dem unten rechts bitte auf Save as CSV klickst und die Datei ebenfalls im AVZ Ordner abspeicherst.

http://img393.imageshack.us/img393/165/logti9.png

Die beiden logs hänge bitte an deinen nächsten Post an.
Deaktiviere den AVZGuard: Im Hauptfenster unter AVZGuard -> Disable AVZGuard.

07/16/08 15:20:20 [Info]: BlackLight Engine 1.0.70 initialized
07/16/08 15:20:20 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/16/08 15:20:21 [Note]: 7019 4
07/16/08 15:20:21 [Note]: 7005 0
07/16/08 15:20:24 [Note]: 7006 0
07/16/08 15:20:24 [Note]: 7011 1768
07/16/08 15:20:24 [Note]: 7035 0
07/16/08 15:20:24 [Note]: 7026 0
07/16/08 15:20:25 [Note]: 7026 0
07/16/08 15:20:29 [Note]: FSRAW library version 1.7.1024
07/16/08 15:23:19 [Note]: 2000 1012
07/16/08 15:23:19 [Note]: 2000 1012
07/16/08 15:24:16 [Note]: 7007 0

HILLLLLLFEE?
ich bin am verzweifeln der virus nervt

:D Magst du uns die beiden AVZ logs posten?!

Dann können wir deinem HilfeRuf umgehend Folge leisten. ;)

Hier mein AVZ Log
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 17.07.2008 12:10:35
Database loaded: signatures - 176618, NN profile(s) - 2, microprograms of healing - 56, signature database released 16.07.2008 18:11
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 71502
Heuristic analyzer mode: Maximum heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Restore: Disabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.4 Searching for masking processes and drivers
Searching for masking processes and drivers - complete
Driver loaded successfully
1.5 Checking of IRP handlers
\FileSystem\ntfs[IRP_MJ_CREATE] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_CLOSE] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_WRITE] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_EA] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_PNP] = 823D71E8 -> hook not defined
Checking - complete
2. Scanning memory
Number of processes found: 35
Analyzer: process under analysis is 1492 C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Loads RASAPI DLL - may use dialing ?
Analyzer: process under analysis is 1904 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 1912 C:\Programme\ScanSoft\OmniPageSE\opware32.exe
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 1920 C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 1940 C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 260 C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
Analyzer: process under analysis is 328 C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
[ES]:Contains network functionality
[ES]:Listens on TCP ports !
[ES]:Application has no visible windows
Analyzer: process under analysis is 1612 c:\programme\avira\antivir personaledition classic\avcenter.exe
[ES]:Contains network functionality
Analyzer: process under analysis is 2420 C:\Programme\WinRAR\WinRAR.exe
[ES]:Contains network functionality
Number of modules loaded: 386
Scanning memory - complete
3. Scanning disks
Direct reading C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
Direct reading C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ\331105721\Messages.mdb
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ\331105721\Owner.mdb
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ\Application.mdb
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\cert8.db
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\formhistory.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\history.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\key3.db
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\urlclassifier2.sqlite
Direct reading C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\Cache\_CACHE_001_
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\Cache\_CACHE_002_
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\Cache\_CACHE_003_
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\Cache\_CACHE_MAP_
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\ntuser.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
Direct reading C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
Direct reading C:\WINDOWS\microsoft.exe
Direct reading C:\WINDOWS\SchedLgU.Txt
Direct reading C:\WINDOWS\SoftwareDistribution\ReportingEvents.log
Direct reading C:\WINDOWS\system32\CatRoot2\edb.log
Direct reading C:\WINDOWS\system32\CatRoot2\tmp.edb
Direct reading C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
Direct reading C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Direct reading C:\WINDOWS\system32\config\AppEvent.Evt
Direct reading C:\WINDOWS\system32\config\default
Direct reading C:\WINDOWS\system32\config\ODiag.evt
Direct reading C:\WINDOWS\system32\config\OSession.evt
Direct reading C:\WINDOWS\system32\config\SAM
Direct reading C:\WINDOWS\system32\config\SecEvent.Evt
Direct reading C:\WINDOWS\system32\config\SECURITY
Direct reading C:\WINDOWS\system32\config\SysEvent.Evt
Direct reading C:\WINDOWS\system32\config\system
Direct reading C:\WINDOWS\system32\drivers\sptd.sys
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA
Direct reading C:\WINDOWS\WindowsUpdate.log
Direct reading D:\miloulonnouk.exe
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\Programme\ScanSoft\OmniPageSE\ophook32.dll --> Suspicion for Keylogger or Trojan DLL
C:\Programme\ScanSoft\OmniPageSE\ophook32.dll>>> Behavioural analysis
1. Reacts to events: keyboard, mouse, all events
C:\Programme\ScanSoft\OmniPageSE\ophook32.dll>>> Neural net: file with probability 50,00% like a typical keyboard/mouse events interceptor
File quarantined succesfully (C:\Programme\ScanSoft\OmniPageSE\ophook32.dll)
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
>>> D:\autorun.inf HSC: suspicion for hidden autorun (high degree of probability)
File quarantined succesfully (D:\autorun.inf)
>>> D:\miloulonnouk.exe HSC: suspicion for hidden autorun D:\autorun.inf [Autorun\Open]
Quarantine file: failed (error), attempt of direct disk reading (D:\miloulonnouk.exe)
Quarantine file (direct disk reading) "%S" - successful
File quarantined succesfully (D:\miloulonnouk.exe)
>>> D:\miloulonnouk.exe HSC: suspicion for hidden autorun D:\autorun.inf [Autorun\ShellExecute]
>>> D:\miloulonnouk.exe HSC: suspicion for hidden autorun D:\autorun.inf [Autorun\shell\open\command]
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Alerter (Warndienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
>> HDD autorun are allowed
>> Autorun from network drives are allowed
>> Removable media autorun are allowed
Checking - complete
Files scanned: 136671, extracted from archives: 84803, malicious software found 0, suspicions - 0
Scanning finished at 17.07.2008 12:39:10
Time of scanning: 00:28:36
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

Helf mir bitte

Wenn wir dir ordentlich helfen sollen so musst du schon genau mitarbeiten.

Das zweite log von dem in der Anleitung die Rede ist fehlt noch..

Der zweite Log

C:\WINDOWS\microsoft.exe	2	Suspicion for Backdoor.Win32.Bifrose.bgn ( 13B41305 082AFDD6 002C070D 002BE912 29053)
C:\Programme\ScanSoft\OmniPageSE\ophook32.dll	5	Suspicion for Keylogger or Trojan DLL
D:\autorun.inf	3	HSC: suspicion for hidden autorun (high degree of probability)
D:\miloulonnouk.exe	3	HSC: suspicion for hidden autorun D:\autorun.inf [Autorun\Open]

Jetzt kannst du mir helfen oder???

kannste mir i-wad sagn wad ich gegn den virus tun kann????

Nun mal immer langsam. Wir opfern hier unsere Freizeit und alle Löschungen wollen wohl überlegt sein oder?!
Gedrängelt wird nicht!

Wechsel bitte in die AVZ Quarantäne (File -> Quarantine...)

Dort markiere den Eintrag

Zitat:

C:\Programme\ScanSoft\OmniPageSE\ophook32.dll 5 Suspicion for Keylogger or Trojan DLL

uind lasse ihn wieder herstellen. Es ist normal, dass er danach trotzdem noch in der Quarantäne angezeigt wird!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Wechsel bitte in die AVZ Quarantäne (File -> Quarantine...)

in File Quarantine Folder View?
da sind keine!

Zitat:

in File Quarantine Folder View?
da sind keine!

Dann gucke bitte im Infected Ordner nach.

ComboFix 08-07-15.4 - Besitzer 2008-07-17 18:17:49.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.153 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\addon.dat
C:\WINDOWS\microsoft.exe
C:\WINDOWS\system32\msssc.dll
C:\WINDOWS\system32\winsys.exe
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-17 bis 2008-07-17 ))))))))))))))))))))))))))))))
.

2008-07-17 13:16 . 2008-07-17 13:16 11,264 --a------ C:\WINDOWS\system32\drivers\uzeznzew.sys
2008-07-17 12:00 . 2008-07-17 12:00 <DIR> d-------- C:\Programme\Yahoo!
2008-07-17 12:00 . 2008-07-17 12:00 <DIR> d-------- C:\Programme\CCleaner
2008-07-16 14:23 . 2008-07-16 14:23 <DIR> d-------- C:\Programme\Trend Micro
2008-07-16 13:47 . 2008-07-16 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-07-16 11:17 . 2001-08-17 13:56 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS
2008-07-16 11:17 . 2001-08-17 13:56 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys
2008-07-15 17:00 . 2008-07-17 12:59 141,824 --ah----- C:\WINDOWS\system32\toudo.exe
2008-07-15 17:00 . 2008-07-17 12:59 141,824 --ah----- C:\WINDOWS\system32\seroozel.exe
2008-07-15 11:44 . 2008-07-16 18:00 <DIR> d-------- C:\Programme\Norton Security Scan
2008-07-12 12:19 . 2008-07-12 12:19 <DIR> d-------- C:\Programme\IconUtils
2008-07-12 12:13 . 2008-07-12 12:16 <DIR> d-------- C:\Programme\Easy Icon Maker
2008-06-27 16:42 . 2001-06-18 09:41 282,624 --a------ C:\WINDOWS\system32\ActiveSkin.ocx
2008-06-27 16:42 . 2001-01-10 12:23 162,304 --a------ C:\UNWISE.EXE
2008-06-27 16:42 . 2001-06-18 09:41 112 --a------ C:\WINDOWS\ActiveSkin.INI
2008-06-27 13:42 . 2008-06-27 13:42 <DIR> d-------- C:\OUT_MEDIA_FILES
2008-06-27 13:41 . 2008-06-27 13:42 <DIR> d-------- C:\Programme\Alt WAV MP3 WMA OGG Converter
2008-06-25 11:21 . 2008-07-13 21:15 151 --a------ C:\WINDOWS\PhotoSnapViewer.INI
2008-06-24 21:00 . 2008-07-13 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Ahead
2008-06-24 21:00 . 2008-07-16 17:30 116 --a------ C:\WINDOWS\NeroDigital.ini
2008-06-24 20:51 . 2005-07-29 17:12 2,977,792 --------- C:\WINDOWS\UNNMP.exe
2008-06-24 20:51 . 2005-11-16 15:20 49,835 --------- C:\WINDOWS\UNNMP.cfg
2008-06-24 20:50 . 2001-07-09 10:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-06-24 20:49 . 2008-06-24 20:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-06-24 20:47 . 2005-09-07 18:08 3,006,464 --------- C:\WINDOWS\UNNeroVision.exe
2008-06-24 20:47 . 2005-11-16 15:20 224,787 --------- C:\WINDOWS\UNNeroVision.cfg
2008-06-24 20:47 . 2001-03-08 18:30 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2008-06-24 20:46 . 2008-06-24 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-06-24 20:46 . 2004-07-26 16:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2008-06-24 20:46 . 2004-07-26 16:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2008-06-24 20:46 . 2004-07-26 16:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2008-06-24 20:46 . 2004-07-09 08:43 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2008-06-24 20:46 . 2004-07-26 16:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2008-06-24 20:46 . 2000-06-26 10:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2008-06-24 20:46 . 2001-06-26 07:15 38,912 --------- C:\WINDOWS\system32\picn20.dll
2008-06-24 20:45 . 2008-06-24 20:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-06-24 20:45 . 2008-06-24 20:51 <DIR> d-------- C:\Programme\Ahead
2008-06-24 20:37 . 2008-06-24 20:37 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\vlc
2008-06-24 20:35 . 2008-06-24 20:35 <DIR> d-------- C:\Programme\VideoLAN
2008-06-21 20:44 . 2008-06-21 20:44 <DIR> d-------- C:\Programme\Xvid
2008-06-21 20:44 . 2008-04-27 10:33 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-06-21 20:44 . 2008-04-27 10:35 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-06-21 20:44 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
2008-06-21 16:32 . 2008-06-21 16:32 <DIR> d-------- C:\Programme\Red Kawa
2008-06-21 16:25 . 2008-06-21 16:25 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Media Player Classic
2008-06-21 16:23 . 2008-06-21 16:23 <DIR> d-------- C:\Programme\XP Codec Pack
2008-06-21 16:23 . 2007-08-18 08:54 380,928 --a------ C:\WINDOWS\system32\ac3filter.acm
2008-06-17 16:45 . 2008-06-17 16:46 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-06-17 16:09 . 2004-08-04 00:59 105,472 --a------ C:\WINDOWS\system32\hal(2).dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-16 11:45 --------- d-----w C:\Programme\ICQToolbar
2008-07-16 11:17 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\temp
2008-06-17 14:14 --------- d-----w C:\Programme\DrivingSpeed2
2008-06-14 11:03 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-14 09:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-12 16:25 962,560 ----a-w C:\WINDOWS\system32\VSFilter.dll
2008-06-11 11:32 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Miranda
2008-06-11 11:30 --------- d-----w C:\Programme\Miranda IM
2008-06-10 13:37 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ
2008-06-09 18:42 --------- d--h--w C:\Programme\microsoft
2008-06-08 20:48 --------- d-----w C:\Programme\EA SPORTS
2008-06-07 11:11 --------- d-----w C:\Programme\Samsung
2008-06-03 13:15 3,584 ----a-w C:\WINDOWS\system32\ic32.dll
2008-06-03 13:15 18,944 ----a-w C:\WINDOWS\system32\wk32.dll
2008-06-01 11:55 --------- d-----w C:\Programme\Quizmaker
2008-05-30 12:53 --------- d-----w C:\Programme\BIMP Lite
2008-05-29 13:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2008-05-25 16:29 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-05-25 16:29 --------- d-----w C:\Programme\Windows Live
2008-05-25 16:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-05-23 07:32 --------- d--h--r C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\SecuROM
2008-05-22 19:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-05-22 12:20 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-05-22 11:26 --------- d-----w C:\Programme\Java
2008-05-22 11:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-05-22 10:21 --------- d-----w C:\Programme\Picasa2
2008-05-22 10:21 --------- d-----w C:\Programme\Google
2008-05-22 07:42 --------- d-----w C:\Programme\Canon
2008-05-22 07:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canon
2008-05-22 07:38 --------- d-----w C:\Programme\ScanSoft
2008-05-22 07:38 --------- d-----w C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2008-05-22 07:38 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ScanSoft
2008-05-22 07:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanWizard
2008-05-22 07:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
2008-05-22 07:29 --------- d-----w C:\Programme\Paint.NET
2008-05-22 07:25 --------- d-----w C:\Programme\MSXML 6.0
2008-05-22 07:12 --------- d-----w C:\Programme\Windows Media Connect 2
2008-05-22 07:09 --------- d-----w C:\Programme\Avira
2008-05-22 07:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-21 19:48 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ Toolbar
2008-05-21 19:38 --------- d-----w C:\Programme\MSBuild
2008-05-21 19:38 --------- d-----w C:\Programme\Microsoft Works
2008-05-21 19:17 --------- d-----w C:\Programme\ICQ6
2008-05-21 18:59 --------- d-----w C:\Programme\DAEMON Tools
2008-05-21 18:58 682,232 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-05-21 13:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-05-21 13:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-21 10:34 --------- d-----w C:\Programme\SystemRequirementsLab
2008-05-21 09:39 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-21 09:24 --------- d-----w C:\Programme\Analog Devices
2008-05-21 07:57 --------- d-----w C:\Programme\microsoft frontpage
2008-05-21 07:56 --------- d-----w C:\Programme\Online-Dienste
2008-05-21 07:55 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-04-30 15:27 442,368 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 00:29 165784]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088]
"SW20"="C:\WINDOWS\system32\sw20.exe" [2005-06-30 08:03 200704]
"SW24"="C:\WINDOWS\system32\sw24.exe" [2005-07-04 07:29 69632]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"Omnipage"="C:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-02-20 20:01 49152]
"MPTBox"="C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe" [2002-11-01 15:26 167936]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"lummap"="C:\WINDOWS\system32\toudo.exe" [2008-07-17 12:59 141824]
"nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

S2 prncubyu5eyha;Canon BJ Memory Card Manager;C:\WINDOWS\system32\seroozel.exe [2008-07-17 12:59]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8c75372-2718-11dd-9409-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL miloulonnouk.exe
\Shell\explore\command - D:\miloulonnouk.exe
\Shell\find\command - D:\miloulonnouk.exe
\Shell\open\command - D:\miloulonnouk.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22D6EFF9-8449-445F-E64A-EF11D4FCC47E}]
C:\Programme\microsoft\microsoft.exe s
.
Inhalt des "geplante Tasks" Ordners
"2008-07-16 16:00:12 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-17 18:19:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-17 18:20:29
ComboFix-quarantined-files.txt 2008-07-17 16:20:22

9 Verzeichnis(se), 14,941,212,672 Bytes frei
13 Verzeichnis(se), 15,039,766,528 Bytes frei

194 --- E O F --- 2008-05-24 07:05:14

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Files to delete:

C:\WINDOWS\system32\toudo.exe

C:\WINDOWS\system32\drivers\uzeznzew.sys

C:\WINDOWS\system32\seroozel.exe

C:\WINDOWS\system32\ActiveSkin.ocx

C:\UNWISE.EXE

C:\WINDOWS\ActiveSkin.INI

C:\WINDOWS\PhotoSnapViewer.INI
 
 
 

Folders to delete:

C:\Programme\Yahoo!

C:\Programme\Norton Security Scan

C:\OUT_MEDIA_FILES

C:\Programme\Alt WAV MP3 WMA OGG Converter

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit " (ohne " ") eingeben und Enter drücken.

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest.. ;)

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Zitat:

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{c8c75372-2718-11dd-9409-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL miloulonnouk.exe
\Shell\explore\command - D:\miloulonnouk.exe
\Shell\find\command - D:\miloulonnouk.exe
\Shell\open\command - D:\miloulonnouk.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"lummap"="C:\WINDOWS\system32\toudo.exe" [2008-07-17 12:59 141824]

Danach lasse cCleaner dein System bereinigen. -Punkt 1 und 2 !

Dann startest du den Rechner im normalen Modus neu.

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\system32\sw20.exe
C:\WINDOWS\system32\sw24.exe

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\toudo.exe" deleted successfully.
File "C:\WINDOWS\system32\drivers\uzeznzew.sys" deleted successfully.
File "C:\WINDOWS\system32\seroozel.exe" deleted successfully.
File "C:\WINDOWS\system32\ActiveSkin.ocx" deleted successfully.
File "C:\UNWISE.EXE" deleted successfully.
File "C:\WINDOWS\ActiveSkin.INI" deleted successfully.
File "C:\WINDOWS\PhotoSnapViewer.INI" deleted successfully.
Folder "C:\Programme\Yahoo!" deleted successfully.
Folder "C:\Programme\Norton Security Scan" deleted successfully.
Folder "C:\OUT_MEDIA_FILES" deleted successfully.
Folder "C:\Programme\Alt WAV MP3 WMA OGG Converter" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL miloulonnouk.exe
\Shell\explore\command - D:\miloulonnouk.exe
\Shell\find\command - D:\miloulonnouk.exe
\Shell\open\command - D:\miloulonnouk.exe

Die fett geschrieben Pfande kann ich leider nicht finden könntest du sie mir vielleicht so ausführlich wie z.B. [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{c8c75372-2718-11dd-9409-806d6172696f}]
diesen Pfad erklären.
Sorry, das ich eine Laie am PC bin

Besten Dank im Voraus!

Hast du diese Pfade gelöscht?

Zitat:

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{c8c75372-2718-11dd-9409-806d6172696f}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"lummap"="C:\WINDOWS\system32\toudo.exe"

Suche am besten einfach nochmal über die Suchfunktion in regedit nach toudo.exe und D:\miloulonnouk.exe und lösche die Schlüssel in denen die Dateien erwähnt werden.

den ersten Pfad hab ich schon gelöscht!!!

Zitat:

Zitat von Splace (Beitrag 355328)

den ersten Pfad hab ich schon gelöscht!!!

Hab jetzt beide gelöscht.

Neue Analyse

Datei miloulonnouk.exe empfangen 2008.07.18 13:08:23 (CET)
Status: Beendet
Ergebnis: 15/33 (45.45%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.17.0 2008.07.18 -
AntiVir 7.8.0.68 2008.07.18 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.07.18 W32/Downldr2.DBPO
Avast 4.8.1195.0 2008.07.18 Win32:Rootkit-gen
AVG 8.0.0.130 2008.07.18 SHeur.BVYX
BitDefender 7.2 2008.07.18 -
CAT-QuickHeal 9.50 2008.07.17 -
ClamAV 0.93.1 2008.07.18 -
DrWeb 4.44.0.09170 2008.07.18 -
eSafe 7.0.17.0 2008.07.17 Suspicious File
eTrust-Vet 31.6.5965 2008.07.18 Win32/Cotmonger.GE
Ewido 4.0 2008.07.18 -
F-Prot 4.4.4.56 2008.07.18 W32/Downldr2.DBPO
F-Secure 7.60.13501.0 2008.07.18 Trojan-Downloader.Win32.Agent.wig
Fortinet 3.14.0.0 2008.07.18 -
GData 2.0.7306.1023 2008.07.18 Trojan-Downloader.Win32.Agent.wig
Ikarus T3.1.1.34.0 2008.07.18 Backdoor.Win32.Oderoor.D
Kaspersky 7.0.0.125 2008.07.18 Trojan-Downloader.Win32.Agent.wig
McAfee 5341 2008.07.18 -
Microsoft 1.3704 2008.07.18 Backdoor:Win32/Oderoor.gen!D
NOD32v2 3278 2008.07.18 -
Norman 5.80.02 2008.07.17 -
Panda 9.0.0.4 2008.07.17 -
Prevx1 V2 2008.07.18 Malicious Software
Rising 20.53.42.00 2008.07.18 -
Sophos 4.31.0 2008.07.18 -
Sunbelt 3.1.1536.1 2008.07.17 -
Symantec 10 2008.07.18 -
TheHacker 6.2.96.381 2008.07.16 -
TrendMicro 8.700.0.1004 2008.07.18 PAK_Generic.001
VBA32 3.12.8.0 2008.07.17 -
VirusBuster 4.5.11.0 2008.07.17 -
Webwasher-Gateway 6.6.2 2008.07.18 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 141824 bytes
MD5...: 0b70550c8311315df42d8b61fe2da29f
SHA1..: 7e3c26053af59622c7baec910d0725e79a49450f
SHA256: e942a960d054f94a76f3b45d412dab56f7ffff236eeac579ae3b493e16b84484
SHA512: e7ca5d70310ebe1f05ed9899fc4de05c6e2c9d2a2d3f22c619be497e92be27a4
69462bda545db726aba1f531e7f7e0b9822a7f9763c32f7196dbb05489dbbceb
PEiD..: UPX 2.93 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4296a0
timedatestamp.....: 0x46da3ccc (Sun Sep 02 04:32:12 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x8000 0x23000 0x22400 7.99 31565d01c8e05ff0bc0868e08a3c35d9
UPX2 0x2b000 0x1000 0x200 2.55 0f495d0666e5000d27b244492b7b1d97

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> GDI32.dll: Polygon
> USER32.dll: FindWindowExA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=9D8D0498005AC57B2AB10236DD798A0051568309

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Files to delete:

D:\miloulonnouk.exe

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Virus ist weg!!!
Ich lass das System jetzt nochmal mit Antivir überprüfen!
OK?

Ja, aber bitte konfiguriere es vorher aggresiv, update die Signaturen und führe den Scan im abgesicherten Modus durch.

Danke für die Hilfe und den Großenaufwand den ihr betrieben habt!
Echt super
DANKE!!!
Warum soll ich den Scan im abgesicherten Modus ablaufen lassen?

Zitat:

Warum soll ich den Scan im abgesicherten Modus ablaufen lassen?

Weil da nur absolut nötige Treiber geladen werden und so die Malware nicht mitgeladen wird. Daher kann sie sich auch nicht verstecken.

So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich

Bei dem Durchlauf wurden weitere Viren bzw. unerwünschte Programme gefunden!

Hier der Log:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 18. Juli 2008 14:58

Es wird nach 1475367 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: Besitzer
Computername: WORKSTATION

Versionsinformationen:
BUILD.DAT : 8.1.0.326 16933 Bytes 11.07.2008 12:52:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 12:48:57
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 12:48:57
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 12:48:57
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 12:48:57
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 07:02:31
ANTIVIR2.VDF : 7.0.5.119 1264128 Bytes 15.07.2008 11:19:55
ANTIVIR3.VDF : 7.0.5.137 313856 Bytes 18.07.2008 12:48:57
Engineversion : 8.1.1.9
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.54 303482 Bytes 18.07.2008 12:48:57
AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 11:20:04
AERDL.DLL : 8.1.0.20 418165 Bytes 23.05.2008 07:08:14
AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 11:20:03
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 20.06.2008 12:58:36
AEHEUR.DLL : 8.1.0.42 1339766 Bytes 18.07.2008 12:48:57
AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 12:49:55
AEGEN.DLL : 8.1.0.29 307573 Bytes 20.06.2008 12:58:00
AEEMU.DLL : 8.1.0.6 430451 Bytes 23.05.2008 07:08:06
AECORE.DLL : 8.1.1.6 172405 Bytes 18.07.2008 12:48:57
AEBB.DLL : 8.1.0.1 53617 Bytes 18.07.2008 12:48:57
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 12:48:57
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 12:48:57
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 12:48:57
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 12:48:56
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 12:48:57
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 12:48:54
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 12:48:54

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 18. Juli 2008 14:58

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '54' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Programme gegen virus\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 327882R2FWJFW\psexec.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
--> 327882R2FWJFW\pv.cfexe
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ed9543.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\microsoft.exe.vir
[FUND] Ist das Trojanische Pferd TR/Agent.bcn
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e3978f.qua' verschoben!
C:\WINDOWS\Nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f29795.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'

Ende des Suchlaufs: Freitag, 18. Juli 2008 15:20
Benötigte Zeit: 21:49 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4129 Verzeichnisse wurden überprüft
174064 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
174055 Dateien ohne Befall
6417 Archive wurden durchsucht
2 Warnungen
3 Hinweise

sind es schlimme Viren oder harmlose?
Kannst du mir vielleicht wieder helfen?
Wäre sehr nett!

sind die oben genannten Funde schlimme Viren oder harmlose Viren?
Wäre sehr nett wenn du mir helfen kannst!

Die Funde sind alle nicht weiter schlimm. Dein Rechner ist sauber!