Trojaner-Board
Seite 5 von 5 « Erste 34 5
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE! (https://www.trojaner-board.de/31056-tr-dldr-fakeav-a6-tr-dldr-zlob-qz2-befallen-meinen-pc-hilfe.html)

angie85 23.08.2006 19:13
hier einmal der report von antivir

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 22. August 2006 23:06

Es wird nach 484638 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Angie
Computername: ANGIE-PRQVOM9A5

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 14.05.2006 16:53:57
AVSCAN.DLL : 7.0.0.42 57384 14.05.2006 16:53:57
LUKE.DLL : 7.0.0.42 118824 14.05.2006 16:53:57
LUKERES.DLL : 7.0.0.42 32808 14.05.2006 16:53:57
ANTIVIR0.VDF : 6.35.0.1 7371264 14.05.2006 16:53:57
ANTIVIR1.VDF : 6.35.1.122 1270784 14.05.2006 16:53:57
ANTIVIR2.VDF : 6.35.1.123 2048 14.05.2006 16:53:57
ANTIVIR3.VDF : 6.35.1.125 9728 14.05.2006 16:53:57
AVEWIN32.DLL : 7.1.1.2 1782272 14.05.2006 16:53:57
AVPREF.DLL : 7.0.0.1 53288 14.05.2006 16:53:57
AVREP.DLL : 6.35.1.100 757800 14.05.2006 16:53:57
AVRPBASE.DLL : 7.0.0.0 2162728 14.05.2006 16:55:46
AVPACK32.DLL : 7.1.0.1 335912 14.05.2006 16:53:57
AVREG.DLL : 6.31.0.90 27688 14.05.2006 16:53:57
NETNT.DLL : 6.32.0.0 6696 14.05.2006 16:53:57
NETNW.DLL : 6.32.0.0 9768 14.05.2006 16:53:57
RCIMAGE.DLL : 7.0.0.71 1642536 14.05.2006 16:53:58
RCTEXT.DLL : 7.0.0.75 77864 14.05.2006 16:53:58

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Laufwerke
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Bootsektoren..................: C,G,A,D,E
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Dienstag, 22. August 2006 23:06


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 39 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 22 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Angie\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Angie\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\parent.lock
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Angie\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Angie\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Angie\Lokale Einstellungen\Temp\hsperfdata_Angie\3860
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\VundoFix Backups\atfmybys.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4551771a.qua' verschoben!
C:\VundoFix Backups\bwhmqyya.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45537722.qua' verschoben!
C:\VundoFix Backups\cjsordws.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455e7719.qua' verschoben!
C:\VundoFix Backups\ephyrulu.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44dc1f8b.qua' verschoben!
C:\VundoFix Backups\eqxmqryk.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45637726.qua' verschoben!
C:\VundoFix Backups\fabacnfn.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454d771b.qua' verschoben!
C:\VundoFix Backups\fhtbpile.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455f7726.qua' verschoben!
C:\VundoFix Backups\hqdxmjwr.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454f7732.qua' verschoben!
C:\VundoFix Backups\irxaxafq.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45637736.qua' verschoben!
C:\VundoFix Backups\iufljuju.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4551773c.qua' verschoben!
C:\VundoFix Backups\iwohmfkh.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455a7743.qua' verschoben!
C:\VundoFix Backups\kgbhtqke.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454d7736.qua' verschoben!
C:\VundoFix Backups\lnpwlpmv.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS
[INFO] Die Datei wurde gelöscht.
C:\VundoFix Backups\lnsbighb.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS
[INFO] Die Datei wurde gelöscht.
C:\VundoFix Backups\sogarvnl.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4552774f.qua' verschoben!
C:\VundoFix Backups\stlgbgmi.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS
[INFO] Die Datei wurde gelöscht.
C:\VundoFix Backups\tumwfiso.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4558776d.qua' verschoben!
C:\VundoFix Backups\yvkbugek.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45567772.qua' verschoben!
C:\WINDOWS\SoftwareDistribution\EventCache\{81CD9779-3E3D-4DEC-B095-86304408B219}.bin
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\anfdawfw.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45517a98.qua' verschoben!
C:\WINDOWS\system32\bagcvujr.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45527a90.qua' verschoben!
C:\WINDOWS\system32\btsjvgpv.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455e7aa6.qua' verschoben!
C:\WINDOWS\system32\bxeesgwb.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45507aab.qua' verschoben!
C:\WINDOWS\system32\ctfrftyw.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45517ab0.qua' verschoben!
C:\WINDOWS\system32\cvprcjow.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455b7ab4.qua' verschoben!
C:\WINDOWS\system32\dhboxixk.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454d7aac.qua' verschoben!
C:\WINDOWS\system32\dsycwedj.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45647abd.qua' verschoben!
C:\WINDOWS\system32\dtcsxpnf.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454e7ac1.qua' verschoben!
C:\WINDOWS\system32\dvlwvixd.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45577ac5.qua' verschoben!
C:\WINDOWS\system32\dxxsukoh.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45637ac9.qua' verschoben!
C:\WINDOWS\system32\gnuwsigx.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45607ac4.qua' verschoben!
C:\WINDOWS\system32\haohwmdi.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455a7ab9.qua' verschoben!
C:\WINDOWS\system32\idgwnjdj.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45527abf.qua' verschoben!
C:\WINDOWS\system32\ihiatabs.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45547ac5.qua' verschoben!
C:\WINDOWS\system32\jpdaeclg.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454f7ad4.qua' verschoben!
C:\WINDOWS\system32\jrigiavr.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45547ad8.qua' verschoben!
C:\WINDOWS\system32\juhembfa.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45537add.qua' verschoben!
C:\WINDOWS\system32\jxxnnaoj.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45637ae2.qua' verschoben!
C:\WINDOWS\system32\lnrjmhhx.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455d7ae0.qua' verschoben!
C:\WINDOWS\system32\lpcrpbme.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454e7ae4.qua' verschoben!
C:\WINDOWS\system32\lrsmbref.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455e7ae8.qua' verschoben!
C:\WINDOWS\system32\lufbbocl.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45517aed.qua' verschoben!
C:\WINDOWS\system32\nhkeyilx.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45567b59.qua' verschoben!
C:\WINDOWS\system32\pvvnkabv.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45617b95.qua' verschoben!
C:\WINDOWS\system32\pxctpxxv.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454e7b9a.qua' verschoben!
C:\WINDOWS\system32\sndqucjf.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454f7ba1.qua' verschoben!
C:\WINDOWS\system32\srlmwrdc.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45577baa.qua' verschoben!
C:\WINDOWS\system32\sxeqkigr.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45507bb8.qua' verschoben!
C:\WINDOWS\system32\udbdveuf.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454d7bae.qua' verschoben!
C:\WINDOWS\system32\vdktioot.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45567bbc.qua' verschoben!
C:\WINDOWS\system32\vlequefl.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45507bc7.qua' verschoben!
C:\WINDOWS\system32\wxqmppcy.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455c7c01.qua' verschoben!
C:\WINDOWS\system32\xwybtlni.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45647c04.qua' verschoben!
C:\WINDOWS\system32\ylywytec.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45647bfc.qua' verschoben!
C:\WINDOWS\system32\yuftbfkj.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45517c08.qua' verschoben!
C:\WINDOWS\system32\yxsghooj.exe
[FUND] Ist das Trojanische Pferd TR/Adload.MAS.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455e7c0f.qua' verschoben!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Dienstag, 22. August 2006 23:54
Benötigte Zeit: 48:17 min

Der Suchlauf wurde vollständig durchgeführt.

3265 Verzeichnisse wurden überprüft
145738 Dateien wurden geprüft
55 Viren bzw. unerwünschte Programme wurden gefunden
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
52 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1497 Archive wurden durchsucht
26 Warnungen
4 Hinweise

Wildone 23.08.2006 19:19
Hallo,
hmm, gefällt mir nicht. Könnte zwar sein das es nur Reste waren, und Antivir da erst jetzt drauf anspringt, aber poste mal auf jeden Fall die Logfiles.


Grüße Wildone

angie85 23.08.2006 19:20
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0FD-FF8D

Verzeichnis von C:\WINDOWS\system32

17.08.2006 23:37 13.844 epvpamtc.exe
17.08.2006 22:50 13.844 axvuhsyd.exe
17.08.2006 21:41 13.844 yvaptklg.exe
17.08.2006 21:01 13.844 cmbgujon.exe
13.08.2006 07:54 143 mcrh.tmp
09.08.2006 21:03 8.325.544 MRT.exe
02.08.2006 21:18 2.206 wpa.dbl
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0FD-FF8D

Verzeichnis von C:\DOKUME~1\Angie\LOKALE~1\Temp

23.08.2006 20:15 240 datFind.zip
23.08.2006 19:38 112.796 xpinstall.exe
23.08.2006 19:38 1.324.838 tmp.xpi
23.08.2006 19:27 40.960 rtdrvmon.exe
23.08.2006 15:23 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}603.html
23.08.2006 13:06 3.137 jusched.log
23.08.2006 12:58 65.536 ~DF9F9A.tmp
23.08.2006 12:57 16.384 ~DF3E1.tmp
23.08.2006 12:57 16.384 ~DFE162.tmp
23.08.2006 12:57 512 ~DFE173.tmp
22.08.2006 19:07 2.496 java_install_reg.log
21.08.2006 14:22 0 jinstall.cfg
21.08.2006 14:13 65.536 ~DFEAEF.tmp
20.08.2006 23:23 0 nuaA6.tmp
20.08.2006 23:23 0 ocuA5.tmp
20.08.2006 23:22 0 nhlA4.tmp
20.08.2006 14:43 0 NBR67.tmp
20.08.2006 00:32 0 y0p27.tmp
20.08.2006 00:29 0 7nm26.tmp
20.08.2006 00:28 0 muw25.tmp
20.08.2006 00:22 65.536 ~DFD796.tmp
18.08.2006 01:58 14.756 Z@R15.tmp
18.08.2006 01:58 9.016 Z@R11.tmp
18.08.2006 01:58 17.192 Z@RD.tmp
18.08.2006 01:58 21.464 Z@R9.tmp
18.08.2006 01:58 17.368 Z@R5.tmp
27.07.2006 01:40 251.656 AutoDL%3FBundleId=10641_b1977ba6.exe
27 Datei(en) 2.046.790 Bytes
0 Verzeichnis(se), 10.149.834.752 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0FD-FF8D

Verzeichnis von C:\WINDOWS

23.08.2006 19:38 2.896 mozver.dat
23.08.2006 17:46 387 lexstat.ini
23.08.2006 13:04 1.931.102 WindowsUpdate.log
23.08.2006 12:57 0 0.log
23.08.2006 12:56 159 wiadebug.log
23.08.2006 12:56 50 wiaservc.log
23.08.2006 12:56 2.048 bootstat.dat
23.08.2006 00:59 32.588 SchedLgU.Txt
16.08.2006 21:29 4.868 cdplayer.ini
14.08.2006 13:41 0 nsreg.dat
14.08.2006 13:41 107.132 UninstallFirefox.exe
17.06.2006 22:24 151 PhotoSnapViewer.INI


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0FD-FF8D

Verzeichnis von C:\

23.08.2006 20:20 0 sys.txt
23.08.2006 20:20 4.194 system.txt
23.08.2006 20:19 1.619 systemtemp.txt
23.08.2006 20:19 95.820 system32.txt
23.08.2006 12:56 553.648.128 pagefile.sys
18.08.2006 00:04 4.642 VundoFix.txt
10.08.2006 22:20 891 rapport.txt2.txt
10.08.2006 22:20 891 rapport.txt
27.04.2006 20:02 32 ALCSetup.log

Wildone 23.08.2006 19:33
Hallo,
scheint harmlos zu sein, das sind wohl noch die Reste von dem Schädling den wir schon beseitigt haben. Lösche noch folgende Dateien aus dem System32 Ordner:
17.08.2006 23:37 13.844 epvpamtc.exe
17.08.2006 22:50 13.844 axvuhsyd.exe
17.08.2006 21:41 13.844 yvaptklg.exe
17.08.2006 21:01 13.844 cmbgujon.exe
13.08.2006 07:54 143 mcrh.tmp

Außerdem löschst du noch den Ordner
C:\VundoFix Backups\

Im Prinzip sollte es das gewesen sein. Aber beobachte mal dein System weiter, falls, entgegen meiner Vermutung, noch etwas kommen sollte meldest du dich wieder, ansonsten war das jetzt aber wirklich mein letztes Posting in den Userforenhttp://www.comicforum.de/comicforum/...lies/wavey.gif



Grüße Wildone

angie85 23.08.2006 22:36
danke :bussi:

angie85 24.08.2006 19:12
und da ist nochmal was....
und zwar:
TR/Adload.MAS.3
Quelle ist:
C:/System Volume Information\_resort(A17E5493-3DC2-4BAC-BE7F54C9D2CD2339)\RP183\A0126078.exe

nochdigger 25.08.2006 14:23
mOIn angie85,

deaktiviere die Systemwiederherstellung --> Neustart -->
Systemwiederherstellung kann wieder aktiviert werden.

MFG

msam 25.08.2006 21:30
Ich hab auch ein Problem mit folgender Datei: mcrh.tmp
und diesem Ordner C:\VundoFix Backups\
ich kann beide nicht löschen. Windows sagt: Datei wird von einem anderen Programm verwendet. Was soll ich tun??
Hat das was damit zu tun, dass ich keine Dateien downloaden kann, d.h. Win sagt immer: Datei bereits vorhanden. Überschreiben?, obwohl die Datei keinesfalls im jeweiligen Ordner ist. Wenn ich dann auf Ja klicke und die Datei heruntergeladen ist sagt er, dass er die Datei nicht öffnen kann, weil sie von einem anderen Prozess oder Programm verwendet wird. HILFE!!:confused: :heulen:
Auch Windows Live Mail Desktop Beta hat bis gestern noch funktioniert nun kann ich das Programm nicht mehr öffnen kommt ne komische Fehlermeldung. Als Admin im Abgesicherten Modus gings noch.

nightmare96 29.06.2010 21:00
hey hab glaube den selben virus -.-

hier schonmal der :

HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:51:19, on 29.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WinDir\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\AIM\aim.exe
C:\Programme\Jumi\Jumi.exe
C:\Programme\ICQ7.0\ICQ.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\iPod\bin\iPodService.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avnotify.exe
C:\Programme\Avira\AntiVir Desktop\avnotify.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Suche
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O1 - Hosts: 88.198.16.154 status.wow-europe.com
O1 - Hosts: 88.198.16.154 launcher.worldofwarcraft.com
O1 - Hosts: 88.198.16.154 eu.logon.worldofwarcraft.com
O1 - Hosts: 88.198.16.154 eu.version.worldofwarcraft.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG DWL-G122] C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_16_Plus_Download-Version\TrayServer.exe
O4 - HKLM\..\Run: [Recordpad] "C:\Programme\NCH Swift Sound\Recordpad\recordpad.exe" -logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\WinDir\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Aim] "C:\Programme\AIM\aim.exe" /d locale=de-DE
O4 - HKCU\..\Run: [JumiController] C:\Programme\Jumi\Jumi.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ7.0\ICQ.exe" silent loginmode=4
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\WinDir\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\WinDir\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\WinDir\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe (file missing)
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 11016 bytes
--- --- ---

hoffe ihr könnt mir helfen


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:51 Uhr.
Seite 5 von 5 « Erste 34 5
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131