|
Anfänger mit Problemen Ich bekomme seit neuestem diese Meldung von Avira Antivir: C:\Windows\Temp\126328.exe die letzten Ziffern ändern sich aber auch bei jeder Meldung. Ich habe Avira Antivir über meinen PC laufen lassen. Hier: Es wird nach 748775 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: Ertan Computername: HOMEOFFICE Versionsinformationen: BUILD.DAT : 244 11838 Bytes 16.04.2007 15:57:00 AVSCAN.EXE : 7.0.4.15 274472 Bytes 24.04.2007 15:51:14 AVSCAN.DLL : 7.0.4.0 41000 Bytes 24.04.2007 15:51:14 LUKE.DLL : 7.0.4.11 135208 Bytes 24.04.2007 15:51:15 LUKERES.DLL : 7.0.4.0 10792 Bytes 24.04.2007 15:51:15 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:36 ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 20:39:49 ANTIVIR2.VDF : 6.38.1.1 798720 Bytes 17.04.2007 16:00:18 ANTIVIR3.VDF : 6.38.1.32 112128 Bytes 24.04.2007 15:51:16 AVEWIN32.DLL : 7.4.0.15 2421248 Bytes 24.04.2007 15:51:16 AVWINLL.DLL : 1.0.0.7 14376 Bytes 24.04.2007 15:51:14 AVPREF.DLL : 7.0.2.1 18984 Bytes 24.04.2007 15:51:14 AVREP.DLL : 7.0.0.1 122920 Bytes 24.04.2007 15:51:16 AVPACK32.DLL : 7.3.0.8 348200 Bytes 02.04.2007 17:11:14 AVREG.DLL : 7.0.1.2 31784 Bytes 24.04.2007 15:51:14 AVEVTLOG.DLL : 7.0.0.18 81960 Bytes 24.04.2007 15:51:14 AVARKT.DLL : Keine Information! NETNT.DLL : Keine Information! RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 24.04.2007 15:51:09 RCTEXT.DLL : 7.0.45.0 86056 Bytes 24.04.2007 15:51:09 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Festplatten Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: D:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Sonntag, 13. Januar 2008 11:13 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLLoginProxy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Notifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLLoginProxy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'profilemgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sc_watch.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'javaw.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'kernel.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FxSvr2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'InfoCockpit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LogiTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LVCOMSX.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StatusClient.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WZCSLDR2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AirCFG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WgaTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '57' Prozesse mit '57' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '30' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Festplatte_1> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\46390.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77c318a1.qua' verschoben! C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\50687.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7ec21bb4.qua' verschoben! C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\50828.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7fbc1db6.qua' verschoben! C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\52328.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7fbc18ba.qua' verschoben! C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\59796.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7dc31cc3.qua' verschoben! C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\60203.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7aba17bc.qua' verschoben! C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\68968.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7fc01ec6.qua' verschoben! C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\73109.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '80ba16c4.qua' verschoben! C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\86765.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7cc01cc8.qua' verschoben! C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\93187.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7ec216ce.qua' verschoben! C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\94656.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7dbf1bd1.qua' verschoben! C:\Dokumente und Einstellungen\Dilara\Lokale Einstellungen\Temp\96828.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7fbc1dd4.qua' verschoben! C:\Dokumente und Einstellungen\Ertan\Lokale Einstellungen\Temp\43000.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77ba172e.qua' verschoben! C:\Dokumente und Einstellungen\Ertan\Lokale Einstellungen\Temp\519953.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7cc3202e.qua' verschoben! C:\Dokumente und Einstellungen\Ertan\Lokale Einstellungen\Temp\74625.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7cbc1d32.qua' verschoben! C:\Dokumente und Einstellungen\Ertan\Lokale Einstellungen\Temp\94000.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77ba1734.qua' verschoben! C:\WINDOWS\Voy62.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\Nqg16.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\Voy62.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\Temp\125312.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '78bd2049.qua' verschoben! C:\WINDOWS\Temp\125718.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '78c1204b.qua' verschoben! C:\WINDOWS\Temp\125921.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '79c3204e.qua' verschoben! C:\WINDOWS\Temp\126046.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7bba2150.qua' verschoben! C:\WINDOWS\Temp\126281.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7fbc2153.qua' verschoben! C:\WINDOWS\Temp\126328.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '79bd21a5.qua' verschoben! C:\WINDOWS\Temp\126578.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7ebf21a8.qua' verschoben! C:\WINDOWS\Temp\127406.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77be22ac.qua' verschoben! C:\WINDOWS\Temp\127703.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77c122b1.qua' verschoben! C:\WINDOWS\Temp\128062.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7dba23b3.qua' verschoben! C:\WINDOWS\Temp\128609.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77c023b6.qua' verschoben! C:\WINDOWS\Temp\128734.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7ac123b8.qua' verschoben! C:\WINDOWS\Temp\128890.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '80c223ba.qua' verschoben! C:\WINDOWS\Temp\129890.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '80c224bc.qua' verschoben! C:\WINDOWS\Temp\129953.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7cc324bf.qua' verschoben! C:\WINDOWS\Temp\147453.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7cbe22c3.qua' verschoben! C:\WINDOWS\Temp\147609.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77c022c6.qua' verschoben! C:\WINDOWS\Temp\147625.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '79c022ca.qua' verschoben! C:\WINDOWS\Temp\147765.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7dc122cd.qua' verschoben! C:\WINDOWS\Temp\148062.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7dba23cf.qua' verschoben! C:\WINDOWS\Temp\148093.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '80ba23d2.qua' verschoben! C:\WINDOWS\Temp\148500.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '77bf23d5.qua' verschoben! C:\WINDOWS\Temp\148531.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7abf23d8.qua' verschoben! C:\WINDOWS\Temp\148781.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7fc123db.qua' verschoben! C:\WINDOWS\Temp\149687.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7fc024de.qua' verschoben! C:\WINDOWS\Temp\BNB.tmp [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'bbb82dfc.qua' verschoben! C:\WINDOWS\Temp\BNC.tmp [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'bbb82efe.qua' verschoben! C:\WINDOWS\Temp\BND.tmp [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'bbb83001.qua' verschoben! C:\WINDOWS\Temp\BNE.tmp [FUND] Enthält verdächtigen Code: HEUR/Malware [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'bbb83103.qua' verschoben! Beginne mit der Suche in 'D:\' <Festplatte_2> Ende des Suchlaufs: Sonntag, 13. Januar 2008 11:48 Benötigte Zeit: 35:14 min Der Suchlauf wurde vollständig durchgeführt. 5393 Verzeichnisse wurden überprüft 324555 Dateien wurden geprüft 45 Viren bzw. unerwünschte Programme wurden gefunden 45 davon wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 45 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 4 Dateien konnten nicht durchsucht werden 324465 Dateien ohne Befall 1741 Archive wurden durchsucht 4 Warnungen 0 Hinweise 0 Versteckte Objekte wurden gefunden |
Hier noch meine hijacktis liste: Logfile of HijackThis v1.99.1 Scan saved at 12:32:43, on 13.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\D-Link\Air USB Utility\AirCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\WINDOWS\stsystra.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Dokumente und Einstellungen\Ertan\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Programme\Systran\4_0\Premium\IEPlugIn.dll O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Baixar com o Rapidown... - C:\Programme\Rapidown\RapidownGet.htm O8 - Extra context menu item: Baixar tudo com o Rapidown... - C:\Programme\Rapidown\RapidownGetAll.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\Rapidown.exe O9 - Extra 'Tools' menuitem: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\Rapidown.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe |
Hi, führe mal bitte die folgenden Schritte aus: Temp-Ordner bereinigen Lade dir bitte atf-cleaner und lass deine Tempordner leeren. (Wähle "Windowstemp", "CurrentUserTemp" "All Users Temp" aus) Die restlichen Auswahlpunkte sind nicht unbedingt notwendig, aber auch nicht schädlich. ;) Blacklight scannen lassen * Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link. * Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen. * Klick "I accept the agreement", "next", "Scan". * Wenn der Scan fertig ist beende Blacklight mit "Close". * Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern. Sophos scannen lassen * Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe. * Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht. * Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme. * Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse. * Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten. Gmer scannen lassen * Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop. * Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein. * Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist (Wichtig: "Show all" darf nicht angehakt sein) * Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft. * Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet. * Füge das Log aus der Zwischenablage in deine Antwort hier ein. Dateien bei Virustotal hochladen Lasse bitte außerdem die folgenden Dateien bei virustotal auswerten. Poste die gesamten Ergebnisse hier, mit MD5 und SHA1. Zitat:
|
ich verstehe nicht wie ich das mit blbeta.exe starten soll ?? |
Blacklight: 01/13/08 15:55:30 [Info]: BlackLight Engine 1.0.67 initialized 01/13/08 15:55:30 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/13/08 15:55:30 [Note]: 7019 4 01/13/08 15:55:30 [Note]: 7005 0 01/13/08 15:55:37 [Note]: 7006 0 01/13/08 15:55:37 [Note]: 7011 1552 01/13/08 15:55:38 [Note]: 7026 0 01/13/08 15:55:38 [Note]: 7026 0 01/13/08 15:55:38 [Note]: 7024 3 01/13/08 15:55:38 [Info]: Hidden process: C:\WINDOWS\System32\qmmnokha.exe 01/13/08 15:55:38 [Note]: 7024 3 01/13/08 15:55:38 [Info]: Hidden process: C:\Programme\Internet Explorer\iexplore.exe 01/13/08 15:55:38 [Note]: 7024 3 01/13/08 15:55:38 [Info]: Hidden process: C:\Programme\Internet Explorer\iexplore.exe 01/13/08 15:55:41 [Note]: FSRAW library version 1.7.1024 01/13/08 15:59:51 [Info]: Hidden file: c:\WINDOWS\system32\lanmandrv.sys 01/13/08 15:59:51 [Note]: 10002 1 01/13/08 15:59:51 [Info]: Hidden file: c:\WINDOWS\system32\lanmanwrk.exe 01/13/08 15:59:51 [Note]: 10002 1 01/13/08 15:59:52 [Info]: Hidden file: C:\WINDOWS\System32\qmmnokha.exe 01/13/08 15:59:52 [Note]: 10002 1 01/13/08 16:00:32 [Note]: 2000 1012 01/13/08 16:02:44 [Note]: 7007 0 |
Hi, du hast dir offensichtlich ein Rootkit eingefangen. Daher würde ich dir empfehlen deinen Rechner neuaufzusetzen. Wenn du das (vorerst, ich kann nicht garantieren, dass man den Rechner sauberkriegen kann) nicht tun willst, brauche ich noch die weiteren Scans und insbesondere die Auswertung der 3 Dateien, die ich am Ende genannt habe. Ich vermute, du hast noch mehr auf dem Rechner. lg myrtille |
Sophos Anti-Rootkit Version 1.3.1 (data 1.07) (c) 2006 Sophos Plc Started logging on 13.01.2008 at 16:25:02 Hidden: process C:\WINDOWS\System32\qmmnokha.exe Hidden: process C:\Programme\Internet Explorer\iexplore.exe Hidden: process C:\Programme\Internet Explorer\iexplore.exe Hidden: registry item \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lanmanwrk.exe Warning: Error parsing raw registry hive S-1-5-18. Registry scan may not be supported on this version of Windows. Hidden: file C:\WINDOWS\system32\lanmanwrk.exe Hidden: file C:\WINDOWS\system32\qmmnokha.exe Hidden: file C:\WINDOWS\system32\lanmandrv.sys Stopped logging on 13.01.2008 at 16:28:37 Sophos Anti-Rootkit Version 1.3.1 (data 1.07) (c) 2006 Sophos Plc Started logging on 13.01.2008 at 16:33:22 Hidden: process C:\WINDOWS\System32\qmmnokha.exe Hidden: process C:\Programme\Internet Explorer\iexplore.exe Hidden: process C:\Programme\Internet Explorer\iexplore.exe Hidden: registry item \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lanmanwrk.exe Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA}\InprocServer32 Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0012-ABCDEFFEDCBA} Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0014-ABCDEFFEDCBC} Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0015-ABCDEFFEDCBA} Warning: Failed to query live registry key \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0016-ABCDEFFEDCBB}\InprocServer32. You may not have access rights to the whole registry. Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde. Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0020-ABCDEFFEDCBC}\InprocServer32 Warning: Failed to query live registry key \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0021-ABCDEFFEDCBA}. You may not have access rights to the whole registry. Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde. Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0021-ABCDEFFEDCBB}\InprocServer32 Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0023-ABCDEFFEDCBB} Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0024-ABCDEFFEDCBA}\InprocServer32 Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0015-0000-0024-ABCDEFFEDCBB} Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBB} Hidden: registry item \HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{E19F9331-3110-11D4-991C-005004D3B3DB} Warning: Error parsing raw registry hive S-1-5-18. Registry scan may not be supported on this version of Windows. Hidden: file C:\WINDOWS\system32\lanmanwrk.exe Hidden: file C:\WINDOWS\system32\qmmnokha.exe Hidden: file C:\WINDOWS\system32\lanmandrv.sys Stopped logging on 13.01.2008 at 16:36:14 |
die scans von diesen 3 dateien? Es steht immer dasselbe: und zwar das hier: 0 bytes size received / Se ha recibido un archivo vacio |
Mahlzeit. Ich hab ein Problem, [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
genau das selbe kommt auch bei mir ^^ |
*grml* Ok, also alles nochmal, ich würd ja schwören, dass ich dir das schon vor ner Stunde geschickt hab. *grml* Also nun im 2. Anlauf: Die Dateien sind wahrscheinlich 0 Byte groß, weil sie sich vor dem hochladen schützen. Am besten gehst du hin und kopierst die Datei zb auf den Desktop, benennst sie in virus.vir oder Ähnliches um und lädst sie erneut hoch. Dann fehlt mir noch das Log von Gmer. ;) Außerdem würde ich dich bitten noch folgende Anleitung abzuarbeiten: ComboFix -Lade dir das Tool hier herunter -> KLICK -Beende alle derzeit laufenden Prozesse -Starte nun die combofix.exe, bestätige mit (1), dass du den Disclaimer gelesen und akzeptiert hast und lass die Bereinigung durchlaufen -Combofix wird eventuell deinen Rechner neustarten, lass das bitte zu. Kopiere zum Schluß den erscheinenden Text ab, und füge ihn in deinen Beitrag im Board ein. Sollte der Text nicht automatisch erscheinen, solltest du ihn in der Datei C:\combofix.txt finden. lg myrtille |
Dieser ist auf dem Rechner aktiv, zudem sind die Avira Signaturen veraltet! Damit macht ein weiterer Scan nur sehr wenig Sinn, aber lassen wir die myrtille mal machen, kann ja auch interessant werden. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:20 Uhr. |
Copyright ©2000-2024, Trojaner-Board