Trojaner-Board - bitte logfile ansehen (hab mehrere viren)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - bitte logfile ansehen (hab mehrere viren) (https://www.trojaner-board.de/47125-bitte-logfile-ansehen-hab-mehrere-viren.html)

bitte logfile ansehen (hab mehrere viren)

hallo,

ich hab seit heute ein neues virenprogramm, das bei der ersten prüfung gleich mehrere viren gefunden hat. ich wusste jetzt allerdings nicht, was ich mit den gefundenen viren machen soll (ob ich sie einfach löschen lassen kann vom programm oder nicht), hab sie daher in quarantäne geschickt. hier ist das ergebnis der virenprüfung:

Code:

AntiVir PersonalEdition Classic

Erstellungsdatum der Reportdatei: Dienstag, 18. Dezember 2007  19:05
 

Es wird nach 980683 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir PersonalEdition Classic

Seriennummer:     0000149996-ADJIE-0001

Plattform:        Windows XP

Windowsversion:   (Service Pack 2)  [5.1.2600]

Benutzername:     SYSTEM

Computername:     ----
 

Versionsinformationen:

BUILD.DAT    : 270           15603 Bytes  19.09.2007 13:29:00

AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23.08.2007 13:16:24

AVSCAN.DLL   : 7.0.6.0       57384 Bytes  14.08.2007 15:48:28

LUKE.DLL     : 7.0.5.3      147496 Bytes  14.08.2007 15:32:43

LUKERES.DLL  : 7.0.6.0       10792 Bytes  14.08.2007 15:49:04

ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18.07.2007 14:27:15

ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14.12.2007 18:03:45

ANTIVIR2.VDF : 7.0.1.96       2048 Bytes  14.12.2007 18:03:45

ANTIVIR3.VDF : 7.0.1.117    109568 Bytes  18.12.2007 18:03:45

AVEWIN32.DLL : 7.6.0.45    3084800 Bytes  18.12.2007 18:03:45

AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26.02.2007 10:36:23

AVPREF.DLL   : 7.0.2.2       25640 Bytes  18.07.2007 07:16:50

AVREP.DLL    : 7.0.0.1      155688 Bytes  16.04.2007 13:16:24

AVPACK32.DLL : 7.3.0.15     360488 Bytes  03.08.2007 08:46:00

AVREG.DLL    : 7.0.1.6       30760 Bytes  18.07.2007 07:17:02

AVARKT.DLL   : 1.0.0.20     278568 Bytes  28.08.2007 12:26:28

AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18.07.2007 07:10:14

NETNT.DLL    : 7.0.0.0        7720 Bytes  08.03.2007 11:09:03

RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07.08.2007 12:37:51

RCTEXT.DLL   : 7.0.62.0      90152 Bytes  21.08.2007 12:50:28

SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23.07.2007 09:37:21
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Vollständige Systemprüfung

Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp

Protokollierung..................: niedrig

Primäre Aktion...................: interaktiv

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: aus

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: I:, 

Durchsuche Speicher..............: ein

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: aus

Datei Suchmodus..................: Intelligente Dateiauswahl

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: 20

Archiv Smart Extensions..........: ein

Makrovirenheuristik..............: ein

Dateiheuristik...................: mittel
 

Beginn des Suchlaufs: Dienstag, 18. Dezember 2007  19:05
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Persbackup.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'NvMixerTray.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Disk_Monitor.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '35' Prozesse mit '35' Modulen durchsucht
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

      [HINWEIS]   Es wurde kein Virus gefunden!

Bootsektor 'I:\'

      [HINWEIS]   Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '31' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\hiberfil.sys

      [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\pagefile.sys

      [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\Chiligreen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\7836d960-33c8d983

  [0] Archivtyp: ZIP

  --> BnnnnBaa.class

      [FUND]      Ist das Trojanische Pferd TR/Java.Downloader.Gen

  --> VaannnaaBaa.class

      [FUND]      Ist das Trojanische Pferd TR/ClassLoader

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479b0cdf.qua' verschoben!

C:\Spiele\Super Mario World\supermarioworld.exe

      [FUND]      Enthält Erkennungsmuster des Droppers DR/Delf.O.1

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d81481.qua' verschoben!

C:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP462\A0175991.exe

      [FUND]      Enthält Erkennungsmuster des Droppers DR/Delf.O.1

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479915e2.qua' verschoben!

Beginne mit der Suche in 'I:\' <LaCie>

I:\LwC\Dokumente und Einstellungen\Chiligreen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\7836d960-33c8d983.gz

  [0] Archivtyp: GZ

    --> 7836d960-33c8d983

      [1] Archivtyp: ZIP

      --> BnnnnBaa.class

          [FUND]      Ist das Trojanische Pferd TR/Java.Downloader.Gen

      --> VaannnaaBaa.class

          [FUND]      Ist das Trojanische Pferd TR/ClassLoader

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479b1a13.qua' verschoben!

I:\LwC\Dokumente und Einstellungen\Chiligreen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\7836d960-33c8d983

  [0] Archivtyp: ZIP

  --> BnnnnBaa.class

      [FUND]      Ist das Trojanische Pferd TR/Java.Downloader.Gen

  --> VaannnaaBaa.class

      [FUND]      Ist das Trojanische Pferd TR/ClassLoader

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479b1a18.qua' verschoben!

I:\LwC\Spiele\Super Mario World\supermarioworld.exe.gz

  [0] Archivtyp: GZ

  --> supermarioworld.exe

      [FUND]      Enthält Erkennungsmuster des Droppers DR/Delf.O.1

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d82bd0.qua' verschoben!

I:\LwC\Spiele\Super Mario World\supermarioworld.exe

      [FUND]      Enthält Erkennungsmuster des Droppers DR/Delf.O.1

      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d82bd3.qua' verschoben!
 
 

Ende des Suchlaufs: Dienstag, 18. Dezember 2007  21:33

Benötigte Zeit:  2:27:23 min
 

Der Suchlauf wurde vollständig durchgeführt.
 

  13198 Verzeichnisse wurden überprüft

 2059970 Dateien wurden geprüft

      7 Viren bzw. unerwünschte Programme wurden gefunden

      3 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      7 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      2 Dateien konnten nicht durchsucht werden

 2059963 Dateien ohne Befall

  81087 Archive wurden durchsucht

      2 Warnungen

     63 Hinweise

hier füge ich noch das hijack- logfile an. könntet ihr euch das bitte mal ansehen und mir vielleicht weiterhelfen??? das wär echt super...

Code:

Logfile of HijackThis v1.99.1

Scan saved at 21:42:52, on 18.12.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe

C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\WINDOWS\system32\ctfmon.exe

I:\Personal Backup 4\Persbackup.exe

C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\MSN Messenger\usnsvc.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE

C:\downloads programme\Hijack\hijackthis\This.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Persbackup.lnk = I:\Personal Backup 4\Persbackup.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://safe.tele2.com/inc/accounthelper.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3C52965E-04C8-4316-85FD-DEFCBA09CAE7}: NameServer = 195.3.96.67,195.3.96.68

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe

vielen dank!!!!
lg

Hallo.

Da sind ein paar Treffer im Java-Cache Ordner. Wie gefährlich die Dinger sind, kann ich jetzt nicht einschätzen, hängt davon ab, welche Webseiten, die Java erfordern aufrufst bzw. welche Javaapplets du ausführst und welche Javaversion du einsetzt. In den alten Versionen wurden nämlich einige Sicherheitslücken gefunden. Das Risiko minderst du nicht nur das das zeitnahe Einspielen von Updates für Java, sondern auch durch den Verzicht auf Adminrechte. Wenn du Firefox verwendest wäre die Verwendung von Noscript sehr zu empfehlen.

Code:

I:\LwC\Spiele\Super Mario World\supermarioworld.exe.gz

Wo hast du diese supermarioworld her? :confused:
Wenn ich das richtig gesehen habe, wurde die auch in Quarantäne geschickt...aber was wirklich schlimmes wurde da anscheinend nicht vom AntiVir gefunden.

Dein HJT-Log sieht soweit auch okay aus, du hast aber die alte Version benutzt. Erstell am besten nochmal ein neues Logfile mit der aktuellen Version, nimm am besten dazu diese umbenannte hijackthis.exe, dann sehen wir weiter.

hallo,

vielen dank für deine antwort!!!!!

ich wollte das aktuelle logfile erstellen - nachdem ich mir aber das programm von deinem link heruntergeladen habe, kam beim starten folgende meldung:
"'name des programmes' ist keine zulässige win32-anwendung"... was mach ich denn jetzt??

wie kann ich denn das java updaten?? hab leider nicht so viel ahnung, wie das gehen könnte...

supermarioworld ist ein spiel, ich hab das schon ewig (seit jahren), war eine freeware von einem freund - und ich gebe zu, dass ich das ab und an spiele ;-), deswegen ist es jetzt auch auf diesem pc wieder installiert (bei dem ausschnitt, den du kopiert hast, ist es allerdings auf laufwerk i - "i" ist die 2. festplatte, die ich seit kurzem habe, damit ich eine datensicherung durchführen kann - dann müsste das zeug, was auch immer es ist, ja eigentlich auch auf c sein...?)

wenn ich jetzt das nächste mal einen virenscan mache, kann ich dann die gefundenen objekte löschen lassen oder könnte da eventuell was passieren?

vielen dank!!!!!
lg

Zitat:

"'name des programmes' ist keine zulässige win32-anwendung"... was mach ich denn jetzt??

Hm, du bist der erste der bei meinem hjt-Link dieses Problem hat. Speicher es mal über ein Rechtsklick => "Ziel speichern unter" auf dem Desktop und stell sicher, dass diese Datei (abc123.com) auch eine Größe von 392 KB (401.720 Bytes) hat. Dann sollte das eigentlich problemlos klappen.

Zitat:

wie kann ich denn das java updaten?? hab leider nicht so viel ahnung, wie das gehen könnte...

Das ist nicht weiter schwierig. Lad dir von hier die aktuelle Version 6 Update 3 herunter. Deinstalliere dann unter Systemsteuerung => Software sämtliche alte Versionen von Java und installiere dann die neue. Dann hast du nur noch die aktuelle drauf.

Wenn du schon beim Updaten bist: Lad dir auch gleich den aktuellsten Flashplayer runter, ältere Versionen vom FP haben ebenfalls Sicherheitslücken.

Zitat:

wenn ich jetzt das nächste mal einen virenscan mache, kann ich dann die gefundenen objekte löschen lassen oder könnte da eventuell was passieren?

So einfach löschen sollte man nicht, es kann immer mal passieren, dass der Virenscanner einen Fehlalarm erzeugt und dann aus Versehen eine wichtige legitime Datei gelöscht wird, die in Wirklichkeit garnicht verseucht ist. Daher lieber genauer hinschauen und im Zweifelsfall bei Virustotal auswerten und/oder hier im Board nachfragen.

hallo,

vielen dank für deine antwort!!!
ich hab alle updates durchgeführt und diesmal hat auch das logfile geklappt - ich poste es hier:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:48:08, on 21.12.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe

C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

I:\Personal Backup 4\Persbackup.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

C:\Programme\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\ntvdm.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Programme\Internet Explorer\iexplore.exe

C:\Dokumente und Einstellungen\Chiligreen\Desktop\abc123.com
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Persbackup.lnk = I:\Personal Backup 4\Persbackup.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://safe.tele2.com/inc/accounthelper.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3C52965E-04C8-4316-85FD-DEFCBA09CAE7}: NameServer = 195.3.96.67,195.3.96.68

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

--

End of file - 8981 bytes

was mach ich denn jetzt wegen diesen virenmeldungen von meinem programm??

dankeschön,
lg

Das HJT-Log sieht sauber aus. Aber:

Zitat:

C:\Programme\Internet Explorer\iexplore.exe

Den Internet Explorer solltest du besser nicht verwenden. Richte dir einen sichereren Alternativbrowser wie z.B. Firefox oder Opera ein.

Jetzt kommt die Feinanalyse, da im HJT-Log offensichtlich nichts zu finden ist. Führ dazu mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

* Blacklight
* eScan
* Silentrunners
* combofix

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

hallo,

vielen dank für deine antwort, ich poste mal, was ich bisher habe, der letzte scan hat nämlich fast 5 stunden gedauert...

also, hier mal silent runners:

Code:

 "Silent Runners.vbs", revision 55, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]

"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]

"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]

"Disk Monitor" = "C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe" ["Neodio Corp."]

"NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"]

"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]

"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]

"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]

"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot" ["RealNetworks, Inc."]

"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]

"Symantec PIF AlertEng" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"" ["Symantec Corporation"]

"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]

"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"

                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "SSVHelper Class"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Windows Live Sign-in Helper"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"

  -> {HKLM...CLSID} = "DesktopContext Class"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"

  -> {HKLM...CLSID} = "Desktop Explorer"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"

  -> {HKLM...CLSID} = "nView Desktop Context Menu"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"

  -> {HKLM...CLSID} = "NVIDIA CPL Extension"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"

                   \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"

  -> {HKLM...CLSID} = "Meine freigegebenen Ordner"

                   \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]

"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser"

  -> {HKLM...CLSID} = "Nokia Phone Browser"

                   \InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]

"{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}" = "All To WMA Converter"

  -> {HKLM...CLSID} = "WMAExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string]

"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"

  -> {HKLM...CLSID} = "Microsoft Office Outlook"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]

"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"

  -> {HKLM...CLSID} = "ZLAVShExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

  -> {HKLM...CLSID} = "WPDShServiceObj Class"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
 

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\

<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
 

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

WMAShellExt\(Default) = "{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}"

  -> {HKLM...CLSID} = "WMAExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string]

ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"

  -> {HKLM...CLSID} = "ZLAVShExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
 

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

WMAShellExt\(Default) = "{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}"

  -> {HKLM...CLSID} = "WMAExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"

  -> {HKLM...CLSID} = "ZLAVShExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
 
 

Group Policies {policy setting}:

--------------------------------
 

Note: detected settings may not have any effect.
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
 

"NoActiveDesktop" = (REG_BINARY) hex:00 00 00 00

{Disable Active Desktop}
 

"NoSaveSettings" = (REG_DWORD) dword:0x00000000

{Don't save settings at exit}
 

"ClearRecentDocsOnExit" = (REG_DWORD) dword:0x00000000

{unrecognized setting}
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
 

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Shutdown: Allow system to be shut down without having to log on}
 

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Devices: Allow undock without having to log on}
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Dokumente und Einstellungen\Chiligreen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 
 

Startup items in "Chiligreen" & "All Users" startup folders:

------------------------------------------------------------
 

C:\Dokumente und Einstellungen\Chiligreen\Startmenü\Programme\Autostart

"Persbackup" -> shortcut to: "I:\Personal Backup 4\Persbackup.exe /auto" ["J. Rathlev, IEAP, Uni-Kiel"]
 

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]

"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
 
 

Winsock2 Service Provider DLLs:

-------------------------------
 

Namespace Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 

Transport Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
 
 

Toolbars, Explorer Bars, Extensions:

------------------------------------
 

Toolbars
 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{F2CF5485-4E02-4F68-819C-B92DE9277049}"

  -> {HKLM...CLSID} = "&Links"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [MS]
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\

"{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"

  -> {HKLM...CLSID} = "Easy-WebPrint"

                   \InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]
 

Explorer Bars
 

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\

{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "&Recherchieren"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL" [MS]
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
 

HKLM\SOFTWARE\Classes\CLSID\{03C1C47F-0538-4645-8372-D3109B9FC636}\(Default) = "Easy-WebPrint"

Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]

InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]
 

Extensions (Tools menu items, main toolbar menu buttons)
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Konsole"

"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"

  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]
 

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\

"ButtonText" = "Recherchieren"
 

{B205A35E-1FC4-4CE3-818B-899DBBB3388C}\
 

{E2E2DD38-D088-4134-82B7-F2BA38496583}\

"MenuText" = "@xpsp3res.dll,-20001"

"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]
 

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
 
 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------
 

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]

AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]

Automatisches LiveUpdate - Scheduler, Automatisches LiveUpdate - Scheduler, ""C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"]

Cyberlink RichVideo Service(CRVS), RichVideo, ""C:\Programme\CyberLink\Shared Files\RichVideo.exe"" [empty string]

LiveUpdate Notice Service, LiveUpdate Notice Service, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll"" ["Symantec Corporation"]

Messenger USN Journal Reader-Service für freigegebene Ordner, usnjsvc, ""C:\Programme\MSN Messenger\usnsvc.exe"" [MS]

NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]

ServiceLayer, ServiceLayer, ""C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe"" ["Nokia."]

TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
 
 

Print Monitors:

---------------
 

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\

Canon BJ Language Monitor iP4200\Driver = "CNMLM78.DLL" ["CANON INC."]

Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
 
 

---------- (launch time: 2007-12-23 01:05:21)

<<!>>: Suspicious data at a malware launch point.
 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 142 seconds.

---------- (total run time: 198 seconds)

Blacklight hat nichts gefunden

und hier escan:

Code:



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Header 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  

find.bat Version 2007.06.16.01 
 

Microsoft Windows XP [Version 5.1.2600]

Bootmodus: NETWORK 

    

eScan Version: 9.6.3 

Sprache: German 

Virus-Datenbank Datum: 12/19/2007  

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Infektionsmeldungen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "spyshield Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "spyshield Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "funwebproducts Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "topsearch Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. 

 System found infected with ezula Spyware/Adware (amazon.com.url)! Action taken: Keine Aktion vorgenommen. 

 System found infected with ezula Spyware/Adware (internet.url)! Action taken: Keine Aktion vorgenommen. 

 System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/nosavesettings)! Action taken: Keine Aktion vorgenommen. 

 System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/noactivedesktop)! Action taken: Keine Aktion vorgenommen. 

 

 

~~~~~~~~~~~ 
 Dateien 

~~~~~~~~~~~ 

~~~~ Infected files 

~~~~~~~~~~~ 

 Datei C:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP433\A0149183.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 

 Datei C:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP461\A0175523.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 

 Datei C:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP462\A0176409.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 

 Datei I:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP462\A0175992.exe//Stream//data0001//UPX infiziert von "Trojan-Clicker.Win32.Delf.dx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 

 Datei I:\LwC\norton\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 

 Datei I:\LwC\Programme\Norton SystemWorks\Norton AntiVirus\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 

~~~~~~~~~~~ 

~~~~ Tagged files 

~~~~~~~~~~~ 

 File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\704E3EC7.exe//CryptFF//PE_Patch.PFD//PE-Crypt.PFD//UPX markiert als "not-a-virus:AdWare.Win32.Bestofer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\Programme\MSN Messenger\riched20.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP467\A0177613.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\Vollversionen\FileSplitter\ashampoo_filesplitterjoiner210_w.exe//WISE0119.BIN//stream//data0006 markiert als "not-a-virus:AdWare.Win32.SearchIt.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File I:\LwC\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\704E3EC7.exe.gz//704E3EC7.exe//CryptFF//PE_Patch.PFD//PE-Crypt.PFD//UPX markiert als "not-a-virus:AdWare.Win32.Bestofer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File I:\LwC\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\704E3EC7.exe//CryptFF//PE_Patch.PFD//PE-Crypt.PFD//UPX markiert als "not-a-virus:AdWare.Win32.Bestofer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File I:\LwC\Programme\MSN Messenger\msimg32.dll.gz//msimg32.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File I:\LwC\Programme\MSN Messenger\riched20.dll.gz//riched20.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File I:\LwC\Programme\MSN Messenger\msimg32.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File I:\LwC\Programme\MSN Messenger\riched20.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File I:\LwC\Vollversionen\FileSplitter\ashampoo_filesplitterjoiner210_w.exe.gz//ashampoo_filesplitterjoiner210_w.exe//WISE0119.BIN//stream//data0006 markiert als "not-a-virus:AdWare.Win32.SearchIt.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File I:\LwC\Vollversionen\FileSplitter\ashampoo_filesplitterjoiner210_w.exe//WISE0119.BIN//stream//data0006 markiert als "not-a-virus:AdWare.Win32.SearchIt.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

~~~~~~~~~~~ 

~~~~ Offending files 

~~~~~~~~~~~ 

 Offending file found: C:\Dokumente und Einstellungen\Chiligreen\Favoriten\amazon.com.url 

 Offending file found: C:\Dokumente und Einstellungen\Chiligreen\Favoriten\tele2\tele2internet\internet.url 

~~~~~~~~~~~ 
 Ordner 

~~~~~~~~~~~ 

 Offending Folder found: C:\WINDOWS\cache329 

 Offending Folder found: C:\Dokumente und Einstellungen\Chiligreen\Startmenü\programs\altnet 

~~~~~~~~~~~ 
 Registry 

~~~~~~~~~~~ 

 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\need2findbar uninstall !!! 

 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\tbon !!! 

 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\need2findbar uninstall !!! 

 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\tbon !!! 

 Offending Key found: HKLM\Software\magnet !!! 

 Offending Key found: HKLM\Software\need2find !!! 

 Offending Key found: HKCU\Software\funwebproducts !!! 

 Offending Key found: HKCU\Software\need2find !!! 

 Offending Key found: HKCR\magnet !!! 

 Offending Key found: HKCR\msiede1egate.application.2 !!! 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Diverses 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

~~~~~~~~~~~~~~~~~~~~~~ 
 Prozesse und Module 

~~~~~~~~~~~~~~~~~~~~~~ 

~~~~~~~~~~~~~~~~~~~~~~ 
 Scanfehler 

~~~~~~~~~~~~~~~~~~~~~~ 

 C:\downloads programme\abc123.com nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\downloads programme\hijack this_neu.com nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Programme\RegSeeker145.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 I:\LwC\Programme\RegSeeker145.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

~~~~~~~~~~~~~~~~~~~~~~ 
 Hosts-Datei 

~~~~~~~~~~~~~~~~~~~~~~ 

DataBasePath: %SystemRoot%\System32\drivers\etc 

Zeilen die nicht dem Standard entsprechen: 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Statistiken: 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Gescannte Dateien: 284809 

 Gefundene Viren: 35 

 Anzahl der desinfizierten Dateien: 0 

 Umbenannte Dateien: 0 

 Anzahl der gelöschten Dateien: 0 

 Anzahl Fehler: 687 

 Dauer des Scans bisher: 04:14:14 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Scan-Optionen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Specherüberprüfung: Aktiviert 

 Registry Überprüfung: Aktiviert 

 System-Ordner Überprüfung: Aktiviert 

 Überprüfung der Systembereiche: Deaktiviert 

 Überprüfung der Dienste: Aktiviert 

 Überprüfung der Festplatten: Deaktiviert 

 Überprüfung aller Festplatten :Aktiviert 

 

Batchstart: 19:05:50,32 

Batchende: 19:05:58,34

dieses programm hat 35 viren und über 600 fehler gefunden....

hallo,

ich wolle jetzt noch ComboFix durchführen, aber wenn ich die downgeloadete datei starten will, kommt wieder die meldung "...ist keine zulässige win32-anwendung".
ich hab auch schon versucht, die datei auf dem desktop zu speichern und dann zu starten, aber da kommt leider die gleiche fehlermeldung...

was soll ich denn jetzt machen??

vielen dank
lg

Der combofix-Link ist mal wieder tot. Lass es daher erstmal weg...

Zitat:

C:\Programme\Adobe\Acrobat 7.0

Adobe hat ein Update verdient. Deinstalliere diese Version und steig auf die aktuelle Version 8.1.1 um oder nimm als Alternative den schlanken Foxit Reader.

Das Silentrunners sieht soweit i.O. aus, eScan hat wieder viele Fehlalarme erzeugt. Werte aber mal diese Dateien bei Virustotal aus und poste die Ergebnisse:

Code:

C:\Programme\MSN Messenger\riched20.dll

I:\LwC\Programme\MSN Messenger\msimg32.dll

Der Ashampoo-Filesplitter wird von eScan als Adware klassifiziert. Evtl. deinstallierst du das Teil und suchst nach Alternativen...

danke erstmal für die antwort, hier die 1. datei:

Code:

Datei riched20.dll empfangen 2007.12.23 22:04:30 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 
 

Ergebnis: 17/32 (53.13%)

Laden der Serverinformationen... 

Ihre Datei wartet momentan auf Position: 4.

Geschätzte Startzeit is zwischen 47 und 68 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen. 

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt. 

 Filter Drucken der Ergebnisse  

Datei existiert nicht oder dessen Lebensdauer wurde überschritten 

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 

 Email:  

  
 

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2007.12.22.10 2007.12.21 - 

AntiVir 7.6.0.46 2007.12.23 ADSPY/Mywebsearch.A.47 

Authentium 4.93.8 2007.12.23 - 

Avast 4.7.1098.0 2007.12.23 - 

AVG 7.5.0.516 2007.12.23 - 

BitDefender 7.2 2007.12.23 Adware.MyWebSearch.AV 

CAT-QuickHeal 9.00 2007.12.22 AdvWare.ToolBar.MyWebSearch (Not a Virus) 

ClamAV 0.91.2 2007.12.23 Adware.Searchbar-19 

DrWeb 4.44.0.09170 2007.12.23 Adware.Msearch 

eSafe 7.0.15.0 2007.12.23 - 

eTrust-Vet 31.3.5395 2007.12.21 - 

Ewido 4.0 2007.12.23 - 

FileAdvisor 1 2007.12.23 High threat detected 

Fortinet 3.14.0.0 2007.12.23 Adware/MyWebSearch 

F-Prot 4.4.2.54 2007.12.23 W32/Adware.AGJ 

F-Secure 6.70.13030.0 2007.12.23 - 

Ikarus T3.1.1.15 2007.12.23 not-a-virus:AdTool.Win32.MyWebSearch 

Kaspersky 7.0.0.125 2007.12.23 not-a-virus:AdTool.Win32.MyWebSearch 

McAfee 5191 2007.12.21 potentially unwanted program MWS 

Microsoft 1.3109 2007.12.23 - 

NOD32v2 2744 2007.12.23 Win32/FunWeb 

Norman 5.80.02 2007.12.21 - 

Panda 9.0.0.4 2007.12.23 - 

Prevx1 V2 2007.12.23 - 

Rising 20.23.62.00 2007.12.23 - 

Sophos 4.24.0 2007.12.23 MyWebSearch 

Sunbelt 2.2.907.0 2007.12.21 FunWebProducts 

Symantec 10 2007.12.23 - 

TheHacker 6.2.9.168 2007.12.22 Adware/MyWebSearch 

VBA32 3.12.2.5 2007.12.22 AdWare.ToolBar.MyWebSearch 

VirusBuster 4.3.26:9 2007.12.23 - 

Webwasher-Gateway 6.6.2 2007.12.23 Ad-Spyware.Mywebsearch.A.47 

weitere Informationen 

File size: 24576 bytes 

MD5: e9b3073dbf662cae01d79a4bda061018 

SHA1: 23ae964b34ecd915c4146ee46c0224b1d87c680c 

PEiD: - 

Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=e9b3073dbf662cae01d79a4bda061018 

Sunbelt info: Fun Web Products bundles adware software in its products.

bei der 2. datei hatte ich leider ein paar probleme: ich hatte diese datei 2mal (exakt gleicher name) - laufwerk i ist meine datensicherung, bei der leider irgendetwas schief gegangen ist - dadurch hab ich jetzt viele dateien 2mal...

die erste "version" der msimg32.dll konnte ich leider nicht analysieren, da sie mein virenprogramm sofort in quarantäne verschoben hat.

hier das ergebnis der 2. "version" dieser datei:

Code:

Datei msimg32.dll.gz empfangen 2007.12.23 22:20:14 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 
 

Ergebnis: 11/32 (34.38%)

Laden der Serverinformationen... 

Ihre Datei wartet momentan auf Position: 3.

Geschätzte Startzeit is zwischen 44 und 63 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen. 

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt. 

 Filter Drucken der Ergebnisse  

Datei existiert nicht oder dessen Lebensdauer wurde überschritten 

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 

 Email:  

  
 

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2007.12.22.10 2007.12.21 - 

AntiVir 7.6.0.46 2007.12.23 - 

Authentium 4.93.8 2007.12.23 - 

Avast 4.7.1098.0 2007.12.23 - 

AVG 7.5.0.516 2007.12.23 - 

BitDefender 7.2 2007.12.23 Adware.MyWebSearch.M 

CAT-QuickHeal 9.00 2007.12.22 AdTool.MyWebSearch.au (Not a Virus) 

ClamAV 0.91.2 2007.12.23 - 

DrWeb 4.44.0.09170 2007.12.23 Adware.Funweb 

eSafe 7.0.15.0 2007.12.23 - 

eTrust-Vet 31.3.5395 2007.12.21 - 

Ewido 4.0 2007.12.23 - 

FileAdvisor 1 2007.12.23 - 

Fortinet 3.14.0.0 2007.12.23 W32/MyWebSearch 

F-Prot 4.4.2.54 2007.12.23 W32/HackTool.CEE 

F-Secure 6.70.13030.0 2007.12.23 - 

Ikarus T3.1.1.15 2007.12.23 not-a-virus:AdTool.Win32.MyWebSearch.au 

Kaspersky 7.0.0.125 2007.12.23 not-a-virus:AdTool.Win32.MyWebSearch.au 

McAfee 5191 2007.12.21 potentially unwanted program MWS 

Microsoft 1.3109 2007.12.23 - 

NOD32v2 2744 2007.12.23 - 

Norman 5.80.02 2007.12.21 W32/WebSearch.KS 

Panda 9.0.0.4 2007.12.23 - 

Prevx1 V2 2007.12.23 - 

Rising 20.23.62.00 2007.12.23 - 

Sophos 4.24.0 2007.12.23 MyWebSearch 

Sunbelt 2.2.907.0 2007.12.21 - 

Symantec 10 2007.12.23 - 

TheHacker 6.2.9.168 2007.12.22 - 

VBA32 3.12.2.5 2007.12.22 - 

VirusBuster 4.3.26:9 2007.12.23 - 

Webwasher-Gateway 6.6.2 2007.12.23 Riskware.AdTool.MyWebSearch.AU 

weitere Informationen 

File size: 3650 bytes 

MD5: 62b7d311202fc0003c14b9fe0635c7cd 

SHA1: fd43d805a21caf8e2a8fda6e597466cc8957b02b 

PEiD: -

adobe hab ich bereits aktualisiert und Ashampoo-Filesplitter werf ich runter, ich brauch das gar nicht...

dankeschön,
lg

Dann hat sich diese MyWebSearch-Adware irgendwie in den MSN-Ordner eingenistet. Die erwähnten Dateien kannst du löschen.

Was ist denn mit Blacklight und dem Filelisting?

Zitat:

Zitat von cosinus (Beitrag 311627)

Dann hat sich diese MyWebSearch-Adware irgendwie in den MSN-Ordner eingenistet. Die erwähnten Dateien kannst du löschen.

meinst du mit löschen die dateien, die ich bei virustotal hab auswerten lassen (will auf keinen fall was falsches löschen...)??

sorry, filelisting hab ich total übersehen - hier der link:

File-Upload.net - Ihr kostenloser File Hoster!

bei blacklight hab ich in irgendeinem vorangegangenen post geschrieben, dass nichts gefunden wurde. brauchst du ein logfile von diesem programm (ich hab diesbezüglich nichts im programm gesehen)?

vielen dank für deine hilfe, das ist echt nett!!
lg

Sieht auch soweit okay aus, hab dort keine verdächtigen Dateien mehr gesehen.
Verhält sich dein System denn mittlerweile wieder normal?

hallo,

dankeschön!!!

ja, es ist alles normal... aber das problem ist, vorher war auch schon alles normal. ich habe das erst bemerkt, da ich seit ein paar tagen ein neues virenprogramm habe und dieses mein system gescannt hat... dabei fand es all diese viren und hat sie in quarantäne verschoben (einfach "löschen" anklicken war mir eben zu gefährlich).
ich hab vorher auch nie was bemerkt wegen der viren, der computer läuft ganz normal...

hat es sich vielleicht in der zwischenzeit erledigt? mit all den programmen, die wir durchgeführt haben??

dickes dankeschön,
jvc

ps: kannst du mir bitte noch sagen, welche dateien ich löschen soll (siehe mein voriges post)?

Also was da noch weg könnte wären diese hier:

C:\Programme\MSN Messenger\riched20.dll
I:\LwC\Programme\MSN Messenger\msimg32.dll

Sofern sie nicht schon weg sind. ;)
Sonst hab ich da keine schädlichen Dateien mehr gesehen, außer noch in der Systemwiederherstellung, die du vllt. mal deaktivieren solltest - das löscht aber alle Wiederherstellungspunkte. Aber im Pfad der SWH wurde zumindest eine schädliche Datei gefunden, zumindest auf Laufwerk I:

Zitat:

Datei I:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP462\A0175992.exe//Stream//data0001//UPX infiziert von "Trojan-Clicker.Win32.Delf.dx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Zitat:

Zitat von cosinus (Beitrag 311647)

außer noch in der Systemwiederherstellung, die du vllt. mal deaktivieren solltest - das löscht aber alle Wiederherstellungspunkte. Aber im Pfad der SWH wurde zumindest eine schädliche Datei gefunden, zumindest auf Laufwerk I:

leider hab ich keine ahnung, was die systemwiederherstellung ist (also, das heißt, ich kann's mir so ungefähr denken, vom namen her) - wo deaktivier ich das denn???
und dass die wiederherstellungspunkte gelöscht werden - was bedeutet das denn????

vielen herzlichen dank für deine hilfe und deine geduld!!!!! bin echt froh, dass es dieses forum gibt und so viele nette und kompetente helfer!!!

ich wünsche dir schöne weihnachten!!!!! und danke nochmal!!!!
lg

Guckst du mal hier => Systemwiederherstellung - Wikipedia

Hier wird dir gezeigt wie man die SWH deaktivieren kann.

Dir auch ein frohes Fest! :party:

danke!!!!!

:party: ;-)