Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   sysrestore.dll (https://www.trojaner-board.de/54625-sysrestore-dll.html)

TieU 26.06.2008 12:52
Kommando zurück.

Soeben erschien folgende Meldung:

Virus gefunden in C:\windows\System32\bassmod.dll

Malware-Name: Win32:Trojan-gen


:-(

blow-in 26.06.2008 13:29
Dann müssen wir mal tiefer Graben. Die gemeldete Datei bei Virustotal hochladen und scannen lassen.
Wenn du sie nicht findest kannst du ja
Zitat:
C:\windows\System32\bassmod.dll
direkt in die Zeile eintragen.
Der Scan kann etwas dauern. Trage das Ergebnis komplett hier ein.
Danach verwende mal Malwarebytes und berichte.
So ich mache jetzt erst mal Schluss. Bin dann morgen Früh wieder da.

TieU 26.06.2008 13:49
Hallo blow-in,

AVAST hat die Datei BASSMOD.DLL in den Ordner C:\Programme\Alwil Software\Avast4\Data\moved verschoben.

Der Scan dieser Datei ergab: 0 bytes size received / Se ha recibido un archivo vacio

Der Windows Explorer zeigt eine Dateigröße von 15 kb an.


Die Insatallation von Malwarebytes scheiterte mit dieser Fehlermeldung:

C:\Programme\Malwarebyts' Antimalware\mbamext.dll
DLL/OCX konnte nicht registriert werden: RegServ32-Aufruf scheiterte mit Exit-Code 0x5


:(

TieU 30.06.2008 08:27
Hallo blow-in,

wie geht es jetzt weiter?


Liebe Grüße

TieU

blow-in 30.06.2008 13:56
Hallo TieU
Kannst du die Datei sehen? Dann versuch doch mal die Datei in ein Temp Verzeichnis zu kopieren und umbenennen, sollte aber eine DLL bleiben. Dann mal versuchen hochzuladen. Eine weitere Möglichkeit währe der Upload nach Anleitung von @Sunny.

TieU 30.06.2008 14:25
Hallo blow-in,

ja, die Datei "BASSMOD.dll" ist im Ordner C:\Programme\Alwil Software\Avast4\DATA\moved sichtbar.

Ich habe sie gem. Anleitung auf den Server geladen.


Schon herzlichen Dank für deine Hilfe.


Liebe Grüße

TieU

TieU 02.07.2008 15:03
Hallo blow-in,

hier die aktuelle Log-Datei von HiJackThis


Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:22, on 02.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\cidaemon.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2&DI=108&XAPID=4210??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail&vv=400&lc=1031
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.bdsm-aktuell.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {FFB3A759-98B1-446F-BDA9-909C6EB18CC7} (PCPitstop Exam) - http://utilities.pcpitstop.com/optimize2/pcpitstop2.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{99C55F99-9FA7-4EFE-9EA1-EC836F566EB6}: NameServer = 213.191.74.19,213.191.74.18
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe

--
End of file - 7447 bytes

blow-in 03.07.2008 07:49
Hallo TieU
Wie ich erkennen kann, hast du SUPERAntiSpyware schon drauf. Hast du damit schon einen Scan gemacht?
Zeige uns das Log.
In deinem HJT-Log kann ich nichts mehr erkennen.

TieU 03.07.2008 10:43
Hallo blow-in,

hier das Log von SUPERAntiSpyware:

Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/03/2008 at 10:56 AM

Application Version : 4.15.1000

Core Rules Database Version : 3496
Trace Rules Database Version: 1487

Scan type      : Complete Scan
Total Scan Time : 00:55:45

Memory items scanned      : 548
Memory threats detected  : 0
Registry items scanned    : 6618
Registry threats detected : 0
File items scanned        : 24042
File threats detected    : 4

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\***\Cookies\***@euros4click[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@partners.webmasterplan[1].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@komtrack[2].txt
        C:\Dokumente und Einstellungen\***\Cookies\***@de.sitestat[1].txt

Was mir Sorgen macht sind die Logs von Avast:

Code:
02.07.2008 13:07:52        3640        Sign of "Win32:Agent-YJY [Trj]" has been found in "C:\System Volume Information\_restore{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP622\A0074084.exe" file. 
02.07.2008 12:58:39        3640        Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\System Volume Information\_restore{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP613\A0073488.dll" file. 
02.07.2008 11:36:53        3640        Sign of "Win32:Agent-YJY [Trj]" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\Patch.exe.vir" file. 
02.07.2008 11:36:36        3640        Sign of "Other:Malware-gen" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\402a7b1e-21201f4c.vir" file. 
02.07.2008 11:34:26        3640        Sign of "Win32:Agent-YJY [Trj]" has been found in "C:\Programme\ACD Systems\ACDSee\8.0\Patch.exe" file. 
02.07.2008 11:25:06        3640        Sign of "Other:Malware-gen" has been found in "C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\402a7b1e-21201f4c" file. 
01.07.2008 22:09:15        1308        Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\SYSTEM VOLUME INFORMATION\_RESTORE{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP613\A0073488.DLL" file. 
26.06.2008 14:36:49        1280        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\BASSMOD.dll" file. 
26.06.2008 13:45:49        1280        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\BASSMOD.dll" file. 
23.06.2008 12:34:06        1344        Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\SysRestore.dll" file
und Kaspersky



Code:
-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Dienstag, 1. Juli 2008 21:01:01
 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken:  1/07/2008
 Anzahl der Einträge in den Antiviren-Datenbanken: 901910
-------------------------------------------------------------------------------

Scan-Einstellungen:
        Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
        Archive untersuchen: ja
        Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
        A:\
        C:\
        D:\
        E:\
        F:\

Untersuchungsergebnisse:
        Untersuchte Objekte insgesamt: 78137
        Viren gefunden: 5
        Infizierte Objekte gefunden: 12
        Verdächtige Objekte gefunden: 0
        Untersuchungszeit: 01:44:25

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-02282007-091803.log        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search.zip/plugin.dll        Infizierte Objekte: Trojan-Clicker.Win32.Small.ja        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search.zip        ZIP: infiziert - 1        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search14.zip/plugin.dll_tobedeleted        Infizierte Objekte: Trojan-Clicker.Win32.Small.ja        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search14.zip/uninstall.exe        Infizierte Objekte: Trojan-Clicker.Win32.Small.iz        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search14.zip        ZIP: infiziert - 2        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search16.zip/plugin.dll_tobedeleted        Infizierte Objekte: Trojan-Clicker.Win32.Small.ja        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search16.zip        ZIP: infiziert - 1        übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c/TakePrivileges.class        Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.ak        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c/SuperMSClassLoader.class        Infizierte Objekte: Trojan.Java.ClassLoader.aq        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c/Installer.class        Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.ak        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c        ZIP: infiziert - 3        übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\402a7b1e-21201f4c        Infizierte Objekte: Exploit.Java.Gimsh.a        übersprungen
C:\Dokumente und Einstellungen\***\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Defender\FileTracker\{69DD543D-0611-4DEA-A6F0-039F36132066}        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Programme\Alwil Software\Avast4\DATA\aswResp.dat        Das Objekt ist gesperrt        übersprungen
C:\Programme\Alwil Software\Avast4\DATA\Avast4.db        Das Objekt ist gesperrt        übersprungen
C:\Programme\Alwil Software\Avast4\DATA\integ\avast.int        Das Objekt ist gesperrt        übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\AshWebSv.ws        Das Objekt ist gesperrt        übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\aswMaiSv.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\nshield.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\selfdef.log        Das Objekt ist gesperrt        übersprungen
C:\Programme\Alwil Software\Avast4\DATA\report\Residenter Schutz.txt        Das Objekt ist gesperrt        übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\master.mdf        Das Objekt ist gesperrt        übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\mastlog.ldf        Das Objekt ist gesperrt        übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\model.mdf        Das Objekt ist gesperrt        übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\modellog.ldf        Das Objekt ist gesperrt        übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\tempdb.mdf        Das Objekt ist gesperrt        übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\templog.ldf        Das Objekt ist gesperrt        übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\LOG\ERRORLOG        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\00000002.ps1        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\00000002.ps2        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\00010017.ci        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\cicat.fid        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\cicat.hsh        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\CiCL0001.000        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\CiP10000.000        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\CiP20000.000        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\CiPT0000.000        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\CiSL0001.000        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\CiSP0000.000        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\CiST0000.000        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\CiVP0000.000        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\INDEX.000        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\propstor.bk1        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\catalog.wci\propstor.bk2        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\_restore{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP620\change.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SchedLgU.Txt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Sti_Trace.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\Antivirus.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\Internet.evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\h323log.txt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_51c.dat        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_628.dat        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Temp\spnserv.dat        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Temp\_avast4_\Webshlock.txt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\wiadebug.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\wiaservc.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\WindowsUpdate.log        Das Objekt ist gesperrt        übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
D:\System Volume Information\_restore{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP620\change.log        Das Objekt ist gesperrt        übersprungen

Die Untersuchung wurde abgeschlossen.

Danke für Deine weitere Hilfe


Liebe Grüße

TieU

blow-in 04.07.2008 07:58
Hallo TieU

Deaktiviere als erstes deine Systemwiederherstellung und starte den Rechner neu.
Lösche den Quarantäneordner von Avast. Papierkorb leeren.
CCleaner instalieren und nach Anleitung ausführen. Die Registry mehrmals Fehler beheben lassen, bis keine mehr gemeldet werden.
Dann mache noch ein neues Hijackthis Log und poste es.

TieU 04.07.2008 09:02
Hallo blow-in,

die Deaktivierung der Systemwiederherstellung ging problemlos, ebenso wie das Leeren des Papierkorbs.

Der Inhalt der Quarantäneordners von Avast lies sich nicht mit dem Windows-Explorer löschen, sondern funktionierte nur über die Löschfunktion von Avast.

CCleaner lief mehrfach, incl. Registrysäuberung - Fehler stellt CCleaner nicht mehr fest.

Bevor ich HijackThis laufen lies guckte ich nochmals in den Quarantäneordner von Avast und fand in der dortigen index.xml diesen Inhalt.

Code:
<?xml version="1.0" encoding="UTF-8" ?>
- <aswObject>
  <NewId>00000010</NewId>
  <Size>1090872</Size>
- <ChestEntry>
  <ChestId>0000000D</ChestId>
  <FileTime>1208139733</FileTime>
  <OrigFileName>kernel32.dll</OrigFileName>
  <OrigFolder>C:\WINDOWS\system32</OrigFolder>
  <Comment />
  <Category>System</Category>
  <TransferTime>1215157437</TransferTime>
  <FileSize>1063424</FileSize>
  </ChestEntry>
- <ChestEntry>
  <ChestId>0000000E</ChestId>
  <FileTime>1030622400</FileTime>
  <OrigFileName>winsock.dll</OrigFileName>
  <OrigFolder>C:\WINDOWS\system32</OrigFolder>
  <Comment />
  <Category>System</Category>
  <TransferTime>1215157437</TransferTime>
  <FileSize>2864</FileSize>
  </ChestEntry>
- <ChestEntry>
  <ChestId>0000000F</ChestId>
  <FileTime>1208139752</FileTime>
  <OrigFileName>wsock32.dll</OrigFileName>
  <OrigFolder>C:\WINDOWS\system32</OrigFolder>
  <Comment />
  <Category>System</Category>
  <TransferTime>1215157437</TransferTime>
  <FileSize>24576</FileSize>
  </ChestEntry>
  </aswObject
Das neueste Logfile von : HijackThis

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:49:06, on 04.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2&DI=108&XAPID=4210??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail&vv=400&lc=1031
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.bdsm-aktuell.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - h**p://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - h**p://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O16 - DPF: {FFB3A759-98B1-446F-BDA9-909C6EB18CC7} (PCPitstop Exam) - h**p://utilities.pcpitstop.com/optimize2/pcpitstop2.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{64910133-4AD9-4A10-8F13-8DCB1EA89E01}: NameServer = 62.109.123.197 213.191.74.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{99C55F99-9FA7-4EFE-9EA1-EC836F566EB6}: NameServer = 213.191.74.19,213.191.74.18
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe

--
End of file - 7666 bytes
Weitere Aktionen habe ich nicht durchgeführt.


Liebe Grüße

TieU

blow-in 04.07.2008 09:50
Hallo TieU

Führe mit Hijackthis eine <To a Systemscan only> durch und Fixe diesen Eintrag
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) Haken vor dieser Zeile und dann auf Fix checked.
Wie verhält sich denn dein Rechner jetzt?
Du kannst ja noch mal den Scan mit Malwahrebytes verssuchen.

TieU 04.07.2008 12:17
Hallo blow-in,

den Eintrag habe ich gefixt.
Insgesamt scheint sich der Rechner (wieder) normal zu verhalten, die vormals beobachtete CPU-Auslastung von 100% bei Untätigkeit ist zurückgegangen auf das Normalmaß, 3-5%.

Die Installation von MalwareBytes stoppte mit der Fehlermeldung:

C:\Programme\Malwarebyts' Antimalware\mbamext.dll
DLL/OCX konnte nicht registriert werden: RegServ32-Aufruf scheiterte mit Exit-Code 0x5

Konnte jedoch mit "Ignorieren" übergangen/fortgesetzt werden.
Ein Scan lieferte keine Infektionsergebnisse.


Liebe Grüße

TieU

blow-in 04.07.2008 12:55
Halihallo

du könntest noch einen Versuch mit der mbr.exe machen. Also auf den Desktop laden und ausführen. Wenn dann die Meldung kommt, das nicht gefunden wurde, kann ich dich dann als geheilt entlassen.

TieU 04.07.2008 13:23
Hallo blow-in,

der Scan mit mbr.exe öffnete kurz ein DOS-Fenster, welches sich sofort wieder geschlossen hat.

Heilung trotz der Meldungen von Kaspersky Online und dem Inhalt der index.xml aus dem Quarantäneordner von avast?
Das wäre ja Klasse!

Also Systemwiederherstellung wieder aktiveren und alles ist wieder in Butter?


Liebe Grüße

TieU


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:23 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131