Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner & Viren, redirect oder "server not found" bei webseiten - bitte hilfe! (https://www.trojaner-board.de/62762-trojaner-viren-redirect-server-not-found-webseiten-bitte-hilfe.html)

sony 24.10.2008 12:39
Trojaner & Viren, redirect oder "server not found" bei webseiten - bitte hilfe!
 
hallo zusammen!

bin neu hier und versuche mal meine probleme genau zu beschreiben (bin schon etwas am verzweifeln):

windows xp professional sp2

taskleiste zeigte einen roten kreis mit "x": "your computer is infected ..."

avg konnte ich nicht mehr starten fand aber im abgesicherten modus folgendes:

trojan horseagent.AGTJ unter c:\windowsbrastk.exe
change unter c:\windows\system32\ntoskrnl.exe
trojan horse agent.3.R unter c:\windows\drivers\beep.sys und unter c:\windows\system32\dllcache\beep.sys

avg update war nicht möglich

im abgesicherten modus hab ich dann spybot s&d installiert und laufen lassen - der fand malware mit dem hinweis, dass ich die spoolsv.exe von c:\windows\system32\dllcache nach c:\windows\system32 kopieren soll (was ich auch gemacht hab) - was genau das war kann ich leider nicht mehr sagen, weil ich kein log oder ähnliches finde.


der rote kreis mitm "x" in der taskleiste ist nun weg, aber ich kann nach wie vor mein antivirenprogramm nicht updaten, keine "sicherheitsrelevanten" files downloaden (site not found) und auch webseiten wie symantec.com oder trendmicro etc. nicht aufrufen. wenn ich google hits aufrufe werde ich zu irgendwelchen anderen seiten redirected.
beim versuch eines windows update bekomme ich auch "site not found".

spybot s&d findet nun nichts mehr und auch stinger fand nichts.

auffällig im taskmanager sind ausserdem ziemlich viele svchost.exe-prozesse unter dem benutzernamen "netzwerkdienst", "lokaler dienst" und "system" mit relativ hoher speicherauslastung (bis 30.000 K)

ich hoffe ich hab nichts vergessen und es kann mir hier jemand weiterhelfen!

danke!
lg, sony

sony 24.10.2008 16:06
jetzt hab ich noch ein log von smitfraud gefunden - bitte hilfe!

Zitat:
SmitFraudFix v2.366

Scan done at 7:39:25,39, 24.10.2008
Run from C:\Dokumente und Einstellungen\xxx\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\xxx\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\karna.dat FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\brastk.exe FOUND !
C:\WINDOWS\system32\karna.dat FOUND !
C:\WINDOWS\system32\drivers\svchost.exe FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\xxx


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\xxx\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\xxx~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="karna.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK

C:\WINDOWS\system32\drivers\beep.sys infected !


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 3945ABG Network Connection - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D44FD1C4-8E71-4EEA-BB93-F7FEAEBF54EA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D44FD1C4-8E71-4EEA-BB93-F7FEAEBF54EA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Sunny 24.10.2008 16:27



SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.



Anleitung SmitfraudFix (by S!Ri)
Klick auf das Symbol und lies die Anleitung -> http://saved.im/ndc5ntnxdxq5/biohazard5b100x1005d.jpg
und lass das System durchsuchen. (Option 2)
  • Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans




Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:
http://saved.im/ndc5njj4d2lr/entfernen.png
(nach dem scannen auf den Button klicken und Funde löschen lassen!)

sony 24.10.2008 18:15
hallo!

vielen dank für deine hilfe!

ich habe alle schritte genau nach anleitung befolgt und kann nun folgende logs anbieten:

sdfix:
Zitat:
SDFix: Version 1.237
Run by xxx on 25.10.2008 at 18:12

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Rootkit Found :
C:\WINDOWS\system32\drivers\TDSSpaxt.sys - Rootkit.Win32.Agent.cku

Name :
tdssserv

Path :
\systemroot\system32\drivers\TDSSpaxt.sys

tdssserv - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\TDSSofxh.dll - Deleted
C:\WINDOWS\system32\TDSSnrsr.dll - Deleted
C:\WINDOWS\system32\TDSSriqp.dll - Deleted
C:\WINDOWS\system32\TDSScfub.dll - Deleted
C:\WINDOWS\system32\TDSSfpmp.dll - Deleted
C:\WINDOWS\system32\TDSSrhym.dll - Deleted
C:\WINDOWS\system32\wini10801.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-25 18:28:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011e2fe33bd]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0011e2fe33bd]

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\WINDOWS\\system32\\drivers\\svchost.exe"="C:\\WINDOWS\\system32\\drivers\\svchost.exe:*:Disabled:svchost"
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"="C:\\Programme\\Grisoft\\AVG7\\avginet.exe:*:Enabled:avginet.exe"
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"="C:\\Programme\\Grisoft\\AVG7\\avgcc.exe:*:Enabled:avgcc.exe"
"C:\\Programme\\AVG\\AVG8\\avgupd.exe"="C:\\Programme\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll"
Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Sat 25 Oct 2008 4,918 A..H. --- "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft\Office\Shortcut Bar\Off3.tmp"

Finished!

hijackthis:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:16, on 25.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpywareStop] C:\Programme\SpywareStop\SpywareStop.exe -boot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} (Navigram Control) - http://www.navigram.com/engine/v911/Navigram.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 7165 bytes

smitfraudfix:
Zitat:
SmitFraudFix v2.366

Scan done at 18:36:38,37, 25.10.2008
Run from C:\Dokumente und Einstellungen\xxx\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\xxx\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\Delete_Me_Dummy_karna.dat FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\xxx


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\xxx\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\xxx~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="avgrsstx.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VE Network Connection - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{72F534FE-F3FF-4BC5-9DCF-E675D0E1FF33}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{72F534FE-F3FF-4BC5-9DCF-E675D0E1FF33}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{72F534FE-F3FF-4BC5-9DCF-E675D0E1FF33}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
smitfraudfix after clean:
Zitat:
SmitFraudFix v2.366

Scan done at 18:39:41,01, 25.10.2008
Run from C:\Dokumente und Einstellungen\xxx\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\Delete_Me_Dummy_karna.dat Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VE Network Connection - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{72F534FE-F3FF-4BC5-9DCF-E675D0E1FF33}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{72F534FE-F3FF-4BC5-9DCF-E675D0E1FF33}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{72F534FE-F3FF-4BC5-9DCF-E675D0E1FF33}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

mbam:

Zitat:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1313
Windows 5.1.2600 Service Pack 2

25.10.2008 19:06:16
mbam-log-2008-10-25 (19-06-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 93454
Laufzeit: 19 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012787.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\TDSSbubx.log (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSnmxh.log (Trojan.TDSS) -> No action taken.


mbam after clean:
Zitat:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1313
Windows 5.1.2600 Service Pack 2

25.10.2008 19:06:51
mbam-log-2008-10-25 (19-06-51).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 93454
Laufzeit: 19 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012787.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSbubx.log (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSnmxh.log (Trojan.TDSS) -> Quarantined and deleted successfully.

Sunny 24.10.2008 18:25
Sehr schön :daumenhoc!

Gibt es denn derweilen noch Probleme mit dem System?

Ansonsten rate ich dir noch zu einem Full-Scan mit Kaspersky:



Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

sony 24.10.2008 19:12
hallo!

naja: ich konnte meinen avg wieder updaten und komme auch wieder auf alle internetseiten.

ich hab jetzt mal den avg laufen lassen mit folgendem ergebnis:
Zitat:
c:\sdfix\backups\catchme.zip:\tdsspaxt.sys - trojan horse backdoor.generic10.swp
c:\sdfix\backups\catchme.zip - trojan horse backdoor.generic10.swp
c:\sdfix\backups.zip:\backups\tdsscfub.dll - virus found win32/heur
c:\sdfix\backups\backups.zip:\backups\tdssnrsr.dll - trojan horse agent.ahar
c:\sdfix\backups\backups.zip:\backups\tdssofxh.dll - trojan horse downloader.generic7.bdnn
c:\sdfix\backups\backups.zip:\backups\tdssriqp.dll - trojan horse agent.ahas
c:\sdfix\backups\backups.zip - trojan horse agent.ahar
c:\windows\system32\dllcache\wupdmgr.exe - trojan horse backdoor.generic10.tdz
c:\windows\system32\wupdmgr.exe - trojan horse backdoor.generic10.tdz

c:\dokumente und einstellungen\xxx\lokale einstellungen\tem porary internet files\content.ie5\o1ajg5qr\install[1].exe - adware generic3.ylg
c:\sdfix\backups\backups.zip:\backups\wini10801.exe - adware generic3.yjg
und einer ganzen reihe von warnungen - die aber auch alle ins "virus vault" verschoben wurden

kaspersky lädt noch immer seine virendatenbank... werde das mal abwarten und dann das ergebnis wieder posten

danke einstweilen! :dankeschoen:

Sunny 24.10.2008 19:28
Zitat:
c:\sdfix\backups\catchme.zip:\tdsspaxt.sys - trojan horse backdoor.generic10.swp
c:\sdfix\backups\catchme.zip - trojan horse backdoor.generic10.swp
c:\sdfix\backups.zip:\backups\tdsscfub.dll - virus found win32/heur
c:\sdfix\backups\backups.zip:\backups\tdssnrsr.dll - trojan horse agent.ahar
c:\sdfix\backups\backups.zip:\backups\tdssofxh.dll - trojan horse downloader.generic7.bdnn
c:\sdfix\backups\backups.zip:\backups\tdssriqp.dll - trojan horse agent.ahas
c:\sdfix\backups\backups.zip - trojan horse agent.ahar
c:\windows\system32\dllcache\wupdmgr.exe - trojan horse backdoor.generic10.tdz
c:\windows\system32\wupdmgr.exe - trojan horse backdoor.generic10.tdz
Hierbei handelt es sich einmal um den Quarantäne-Ordner unseres benutzen Programmes, und diese wupdmgr.exe scheint ein Fehlalarm zu sein!

http://www.pctipp.ch/forum/showthrea...2940#post62940
http://forum.chip.de/viren-trojaner-...e-1086890.html

Zitat:
c:\dokumente und einstellungen\xxx\lokale einstellungen\tem porary internet files\content.ie5\o1ajg5qr\install[1].exe - adware generic3.ylg
Hierbei handelt es sich "nur" um Adware, diese sollte dein AVG auch schaffen zu entfernen! ;)

Gruß
Sunny

sony 24.10.2008 19:49
klasse danke!

soll ich mit den quarantäne ordnern noch irgendetwas anstellen (inhalte löschen)?
wie kann ich ganz sicher gehen, dass das system wieder clean ist?

kaspersky braucht noch seine zeit...

lg, sony

ps: der taskmanager zeigt mir immer noch 7 mal svchost.exe - ist das normal?

Franz1968 24.10.2008 20:14
Zitat:
Zitat von sony (Beitrag 385006)
ps: der taskmanager zeigt mir immer noch 7 mal svchost.exe - ist das normal?
Im Prinzip ja. Nach Rootkit- und Backdoorbefall kann man da aber keine Aussage mehr treffen, da dann, wie in deinem Fall, ein System nicht mehr vertrauenswürdig ist.
Zitat:
wie kann ich ganz sicher gehen, dass das system wieder clean ist?
Diese Sicherheit ist ohne Neuaufsetzen nicht zu haben.

sony 24.10.2008 20:40
tja, das ist natürlich nicht sehr tröstlich - aber das neuaufsetzen wird mir nicht erspart bleiben... aber zumindest kann ich nach eurer hilfe noch ein bisschen zeit überbrücken.

hier nun das kaspersky protokoll:
Zitat:
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 25. Oktober 2008 21:28:38
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 24/10/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1202661
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
F:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 53435
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:01:14

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8\Log\avgcore.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8\Log\avglng.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8\Log\avgrs.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8\Log\avgsched.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8\Log\avgsrm.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8\Log\avgwd.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\call256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\callmember256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\chat512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\chatmember256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\chatmsg1024.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\chatmsg2048.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\chatmsg256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\chatmsg4096.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\chatmsg512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\contactgroup256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\dyncontent\bundle.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\index2.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\profile4096.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\transfer512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\user1024.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\user16384.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\user4096.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype\xxx\voicemail256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\Perflib_Perfdata_c60.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008102520081026\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\xxx\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP51\A0008769.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP51\A0008770.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP51\A0008771.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP52\A0008772.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP52\A0008773.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP54\A0011772.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP54\A0011773.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0011774.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0011775.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0011776.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0011777.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0011778.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0011779.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0012778.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0012779.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP56\A0012780.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP56\A0012781.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012782.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012783.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012788.sys Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012793.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012794.sys Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012795.sys Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012880.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013104.dll Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013105.dll Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013106.dll Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013107.dll Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013110.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013120.dll Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013122.dll Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013123.dll Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013125.dll Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013127.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013237.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013238.exe Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\change.log Das Objekt ist gesperrt übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

übrigens springt jetzt mein avg immer wieder an und bringt unendlich viele virenmeldungen:
Zitat:
Resident Shield detection
Infection;"Object";"Result";"Detection time";"Object Type";"Process"
Trojan horse BackDoor.Generic10.TDZ;"C:\DOKUME~1\xxxS~1\LOKALE~1\Temp\VEK0FHa02796";"Moved to Virus Vault";"25.10.2008, 19:33:07";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse BackDoor.Generic10.TDZ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013237.exe";"Moved to Virus Vault";"25.10.2008, 18:57:59";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse BackDoor.Generic10.TDZ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013238.exe";"Moved to Virus Vault";"25.10.2008, 18:57:59";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Adware Generic3.YJG;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013127.exe";"Moved to Virus Vault";"25.10.2008, 18:57:39";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AHAS;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013125.dll";"Moved to Virus Vault";"25.10.2008, 18:57:37";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Virus found Win32/Heur;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013120.dll";"Moved to Virus Vault";"25.10.2008, 18:57:34";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AHAR;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013122.dll";"Moved to Virus Vault";"25.10.2008, 18:57:34";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Downloader.Generic7.BDNN;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013123.dll";"Moved to Virus Vault";"25.10.2008, 18:57:34";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Adware Generic3.YJG;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013110.exe";"Moved to Virus Vault";"25.10.2008, 18:57:31";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AHAR;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013105.dll";"Moved to Virus Vault";"25.10.2008, 18:57:26";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AHAS;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013106.dll";"Moved to Virus Vault";"25.10.2008, 18:57:26";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Virus found Win32/Heur;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013107.dll";"Moved to Virus Vault";"25.10.2008, 18:57:26";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Downloader.Generic7.BDNN;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0013104.dll";"Moved to Virus Vault";"25.10.2008, 18:57:26";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Adware Generic3.YJG;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012880.exe";"Moved to Virus Vault";"25.10.2008, 18:55:50";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.3.R;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012788.sys";"Moved to Virus Vault";"25.10.2008, 18:55:36";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012783.exe";"Moved to Virus Vault";"25.10.2008, 18:55:36";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012782.exe";"Moved to Virus Vault";"25.10.2008, 18:55:36";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.3.R;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012795.sys";"Moved to Virus Vault";"25.10.2008, 18:55:36";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012793.exe";"Moved to Virus Vault";"25.10.2008, 18:55:36";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.3.R;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP57\A0012794.sys";"Moved to Virus Vault";"25.10.2008, 18:55:36";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP56\A0012780.exe";"Moved to Virus Vault";"25.10.2008, 18:55:35";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP56\A0012781.exe";"Moved to Virus Vault";"25.10.2008, 18:55:35";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP54\A0011773.exe";"Moved to Virus Vault";"25.10.2008, 18:55:34";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0011774.exe";"Moved to Virus Vault";"25.10.2008, 18:55:34";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0011776.exe";"Moved to Virus Vault";"25.10.2008, 18:55:34";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP54\A0011772.exe";"Moved to Virus Vault";"25.10.2008, 18:55:34";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0012779.exe";"Moved to Virus Vault";"25.10.2008, 18:55:34";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0011775.exe";"Moved to Virus Vault";"25.10.2008, 18:55:34";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0012778.exe";"Moved to Virus Vault";"25.10.2008, 18:55:34";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0011779.exe";"Moved to Virus Vault";"25.10.2008, 18:55:34";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0011778.exe";"Moved to Virus Vault";"25.10.2008, 18:55:34";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP55\A0011777.exe";"Moved to Virus Vault";"25.10.2008, 18:55:34";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP52\A0008773.exe";"Moved to Virus Vault";"25.10.2008, 18:55:32";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP52\A0008772.exe";"Moved to Virus Vault";"25.10.2008, 18:55:32";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP51\A0008770.exe";"Moved to Virus Vault";"25.10.2008, 18:55:28";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP51\A0008769.exe";"Moved to Virus Vault";"25.10.2008, 18:55:28";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse Agent.AGTJ;"C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP51\A0008771.exe";"Moved to Virus Vault";"25.10.2008, 18:55:28";"file";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojan horse BackDoor.Generic10.TDZ;"C:\windows\system32\wupdmgr.exe";"Moved to Virus Vault";"25.10.2008, 17:50:28";"file";"C:\WINDOWS\system32\winlogon.exe"
Trojan horse BackDoor.Generic10.TDZ;"C:\WINDOWS\system32\wupdmgr.exe";"Moved to Virus Vault";"25.10.2008, 17:50:23";"file";"C:\WINDOWS\system32\winlogon.exe"
hoffe das ist halbwegs lesbar...

lg, sony

Sunny 24.10.2008 21:58
Schädlinge im Ordner der Systemwiederherstellung:

(Systemwiederherstellung kann nun wieder aktiviert werden.)


Danach bitte unbedingt deinen AVG updaten, ich denke immer noch das es sich um einen Fehlalarm handel bei der wupdmgr.exe.

Sunny


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:41 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129