Trojaner-Board - Antivir meldet TR/crypt.xpack.gen auf einem DVD-File!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Antivir meldet TR/crypt.xpack.gen auf einem DVD-File!!! (https://www.trojaner-board.de/73066-antivir-meldet-tr-crypt-xpack-gen-dvd-file.html)

Antivir meldet TR/crypt.xpack.gen auf einem DVD-File!!!

Hallo ihr lieben Helferlein,

Antivir meldet sich immer wenn ich eine bestimmte (gekauft, original und schon einmal umgetauscht) DVD eines Programms einlege den Trojaner TR/crypt.xpack.gen in einem .dll file auf der DVD.
Wenn die DVD nicht drin ist, meldet es nichts. Früher lief die DVD ohne Probleme. Jetzt kann ich nichts mehr mit ihr machen...
Ich habe mit CCleaner schon alles gereinigt, dann mit Combofix ausprobiert ( da tut sich aber nix, was immer das Programm auch macht). Malaware laufen lassen und 3 Einträge bereinigt.

Systemwiederherstellung deaktiviert.

Habe dann AntiVir durchlaufen lassen - Kein Fund (ohne DVD).
Dann Windows im abgesicherten Modus gestartet, AntiVir laufen lassen (kein Fund) dann Symantec online Scan (auch kein Fund).

Hijacjkthis Logfile ist folgendes (normaler Boot):

Code:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:32:43, on 11.05.2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal
 

Running processes:

C:\Windows\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\FreePDF_XP\fpassist.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\COMODO\Firewall\cfp.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\system32\igfxsrvc.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Users\acey90\temp\TeamViewer\Version4\TeamViewer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -s

O4 - HKLM\..\Run: [Skytel] Skytel.exe

O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKCU\..\Run: [qmkia] "c:\users\acey90\appdata\local\qmkia.exe" qmkia

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O13 - Gopher Prefix: 

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs:  C:\Windows\system32\guard32.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: RelevantKnowledge - RelevantKnowledge - C:\Program Files\RelevantKnowledge\rlservice.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
 

--

End of file - 8193 bytes

ich verzweifel schon. Irgendwas muss es doch sein, oder? Wenn nicht, wie bekomme ich dann die DVD wieder ans laufen?

Schonmal herzlichsten Dank für eure Hilfe!!!!

Gruß

Rubaen

ich schätze mal, das ist ein fehlalarm! packe die datei(en) mal in ein Zip-Archiv und schickse hier mal unter dem typ Verdacht auf Fehlalarm ein: Submit your sample

Danach solltest du eine Mail bekommen, ob es ein Fehlalarm ist, oder doch malware. falls aber doch malware, kann ich dir hier nicht mehr weiterhelfen und muss passen...

Zitat:

Zitat von maximilian11 (Beitrag 435410)

Vielen Dank dafür schonmal. Ich werde die Datei heute Abend uploaden.
Aber wieso funktioniert die DVD dann nicht, wenn es ein Fehlalarm ist??? Das verstehe ich nicht so ganz...

Danke.

Rubaen

Wahrscheinlich weil ein Programm darauf die .dll Datei benötigt, was aber (zum Glück) von Antivir gestoppt wird.

Zitat:

Zitat von maximilian11 (Beitrag 435423)

Wahrscheinlich weil ein Programm darauf die .dll Datei benötigt, was aber (zum Glück) von Antivir gestoppt wird.

Das stimmt. Der Alarm von AntiVir wird bei der Installation ausgelöst!

Das heißt wäre es ein Fehlalarm von Antivir, würde die DVD trotzdem nicht funktionieren? Kann man das umgehen?

Ich verstehe das nicht. Früher hat die DVD funktioniert (gleiches System)

Zitat:

Zitat von Rubaen (Beitrag 435398)

O4 - HKCU\..\Run: [qmkia] "c:\users\acey90\appdata\local\qmkia.exe" qmkia
O23 - Service: RelevantKnowledge - RelevantKnowledge - C:\Program Files\RelevantKnowledge\rlservice.exe

kennst du das erste??? Das zweite kann Adware sein!

wenn es ein fehlalarm wäre, würde deine datei aus der virendefinitionsdatei genommen werden und nicht mehr geblockt werden...

Kurz einmisch xD

@maxi (ich darf dich doch so nennen? :)

Zitat:

O4 - HKCU\..\Run: [qmkia] "c:\users\acey90\appdata\local\qmkia.exe" qmkia

Das ist Navipromo.

Besiegen kann man es mit Navilog. Versucht es mal damit ;)

Der zweite Eintrag würde ich entweder hier beim Upload Channel hochladen lassen, oder auf Virustotal.com auswerten lassen, wenn du dir nicht sicher bist.

Nun ausmische :)

hi,

darfst mich gerne maxi nennen...

mit navipromo kenne ich mich nicht so gut aus... könnte vielleicht einer, der sich damit auskennt helfen???

Lade die zweite Datei bitte mal bei VirusTotal hoch! Falls die Datei schon mal analysiert wurde, klicke auf Erneut analysieren!

Zitat:

kennst du das erste??? Das zweite kann Adware sein!

wenn es ein fehlalarm wäre, würde deine datei aus der virendefinitionsdatei genommen werden und nicht mehr geblockt werden...

Kenne beides nicht. Nach dem ich den Hijack scan gemacht hatte, habe ich die automatische Auswertung machen lassen. Da hat er auch die beiden beanstandet die ich eigentlich gefeixt hatte...

Zitat:

Das ist Navipromo.

Besiegen kann man es mit Navilog. Versucht es mal damit

Werde das ausprobieren. Ist das denn die Quelle alles Übels?

Danke für die schnelle Hilfe!!!

Rubaen

Navilog
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sind zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte Englisch auswählen.
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe

Zitat:

Zitat von maximilian11 (Beitrag 435432)

hi,
Lade die zweite Datei bitte mal bei VirusTotal hoch! Falls die Datei schon mal analysiert wurde, klicke auf Erneut analysieren!

Werde ich später machen. Bin gerade nicht am infizierten Notebook.
Ich melde mich gegen ganz spät nochmal :-)

Dann bis später oder morgen!

Vielen Dank für die Tipps!

Rubaen

lade die .dll von der dvd heute bitte auch noch bei avira, link oben, hoch, das dauert meistens 2-3 Tage!

Zitat:

und

Zitat:

Zitat von maximilian11 (Beitrag 435436)

lade die .dll von der dvd heute bitte auch noch bei avira, link oben, hoch, das dauert meistens 2-3 Tage!

Ich poste die Ergebnisse sobald ich was habe!!!

Danke an euch!!! Ihr seid meine Retter :daumenhoc

Rubaen

nachdem du das navilog log gepostet hast, arbeitet bitte folgende schritte ab:

1. Bereinigung mit CCleaner
2. Scan mit Malwarebytes Anti-Malware
3. Poste danach bitte noch ein neues Log von Hijackthis!

Ach ja, im Avira Forum brauchste nicht nochmal posten, hier langt, und hier wird dir ja schon geholfen...

Zitat:

Zitat von maximilian11 (Beitrag 435439)

Ach ja, im Avira Forum brauchste nicht nochmal posten, hier langt, und hier wird dir ja schon geholfen...

Bin auch nur noch hier aktiv! Danke nochmal.Werde mich jetzt auf den Heimweg machen und alle Schritte durchführen.

Rubaen

Hier nochmal alle Schritte, damit du den Überblick nicht verlierst:

1. .dll Datei von der DVD als Zip-Datei zu Avira hochladen! Unbedingt bei Typ Verdacht auf Fehlalarm angeben
2. Die unbekannte Datei aus dem Hijackthislog zu VirusTotal hochladen! Falls bereits analysiert unbedingt auf Erneut analysieren gehen!
3. Navilog ausführen und Log hier posten AntiVir solange deaktivieren!
4. Bereinigung mit CCleaner
5. Scan mit Malwarebytes Anti-Malware AntiVir solange deaktivieren!
6. Poste danach bitte noch ein neues Log von Hijackthis!

Hier findest du noch eine Anleitung für Navilog:

Navilog

Zitat:

1. .dll Datei von der DVD als Zip-Datei zu Avira hochladen! Unbedingt bei Typ Verdacht auf Fehlalarm angeben

Habe ich hochgeladen

Zitat:

2. Die unbekannte Datei aus dem Hijackthislog zu VirusTotal hochladen! Falls bereits analysiert unbedingt auf Erneut analysieren gehen!

Hbe die beiden Dateien, die Hijackthis beanstanded hat (qmkia.exe und rlservice.exe) beide nicht gefunden (weder in den angegebenen Ordnern noch über die Windowssuche)

Zitat:

3. Navilog ausführen und Log hier posten AntiVir solange deaktivieren!

Code:

Search Navipromo version 3.7.7 began on 12.05.2009 at 21:55:23,24
 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!
 

Fix running from C:\Program Files\navilog1
 

Updated on 12.05.2009 at 18h00 by IL-MAFIOSO
 

Microsoft® Windows Vista™ Home Premium  ( v6.0.6001 ) Service Pack 1

X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T7300  @ 2.00GHz )

BIOS : ZD1 v1.3811 3H11

USER : acey90 ( Administrator )

BOOT : Normal boot
 

Antivirus : Avira AntiVir PersonalEdition 8.0.1.27 (Activated)

Firewall  : COMODO Firewall Pro 3.0 (Activated)
 

C:\ (Local Disk) - NTFS - Total:69 Go (Free:14 Go)

D:\ (Local Disk) - NTFS - Total:66 Go (Free:65 Go)

F:\ (CD or DVD) - CDFS - Total:3 Go (Free:0 Go)
 
 

Search done in normal mode
 
 

*** Search folders in "C:\Windows" ***
 
 

*** Search folders in "C:\Program Files" ***
 
 

*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***
 
 

*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***
 
 

*** Search folders in "C:\ProgramData" ***
 
 

*** Search folders in "c:\users\acey90\appdata\roaming\micros~1\windows\startm~1\programs" ***
 
 

*** Search folders in "C:\Users\acey90\AppData\Local\virtualstore\Program Files" ***
 
 
 

*** Search folders in "C:\Users\acey90\AppData\Local" ***
 
 
 
 

*** Search folders in "C:\Users\acey90\AppData\Roaming" ***
 
 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : http://www.gmer.net
 
 
 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!
 

* Scan in "C:\Windows\system32" *
 

* Scan in "C:\Users\acey90\AppData\Local\Microsoft" *
 

* Scan in "C:\Users\acey90\AppData\Local" *
 
 
 

*** Search files *** 
 
 
 

*** Search specific Registry keys ***

!! Following keys are not certainly all infected !!
 
 

*** Complementary Search ***

(Search specific files)
 

1)Search new Instant Access files :
 
 

2)Heuristic Search :
 

* In "C:\Windows\system32" :
 
 

* In "C:\Users\acey90\AppData\Local\Microsoft" :
 
 

* In "C:\Users\acey90\AppData\Local" :
 
 

3)Certificates Search :
 

Egroup certificate not found !

Electronic-Group certificate not found !

Montorgueil certificate not found !

OOO-Favorit certificate not found !

Sunny-Day-Design-Ltd certificate not found !

Ist das normal das das sehr lange dauert (30 min.)? Irgendwie fehLT doch auch ab 4. was, oder? Entgegen dem was Log-File sagt habe ich auch AntiVir deaktiviert gehabt (den AntiVir Guard).

Zitat:

4. Bereinigung mit CCleaner

Habe ich gemacht

Zitat:

5. Scan mit Malwarebytes Anti-Malware AntiVir solange deaktivieren!

Hier ist der Bericht:

Code:

Malwarebytes' Anti-Malware 1.36

Datenbank Version: 2117

Windows 6.0.6001 Service Pack 1
 

12.05.2009 23:13:24

mbam-log-2009-05-12 (23-13-24).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)

Durchsuchte Objekte: 188906

Laufzeit: 1 hour(s), 15 minute(s), 35 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Program Files\DVD-Cover-Designer-2005\coverdesigner.exe (Backdoor.Bifrose) -> Quarantined and deleted successfully.

Zitat:

6. Poste danach bitte noch ein neues Log von Hijackthis!

Das wäre dann das hier:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:32:43, on 11.05.2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal
 

Running processes:

C:\Windows\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\FreePDF_XP\fpassist.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\COMODO\Firewall\cfp.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\system32\igfxsrvc.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Users\acey90\temp\TeamViewer\Version4\TeamViewer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -s

O4 - HKLM\..\Run: [Skytel] Skytel.exe

O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKCU\..\Run: [qmkia] "c:\users\acey90\appdata\local\qmkia.exe" qmkia

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O13 - Gopher Prefix: 

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs:  C:\Windows\system32\guard32.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: RelevantKnowledge - RelevantKnowledge - C:\Program Files\RelevantKnowledge\rlservice.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
 

--

End of file - 8193 bytes

Ich weiß gar nicht, wie ich dir danken kann, dass du mir so hilfst.
:party:

Bis morgen

Rubaen

Zitat:

C:\Program Files\DVD-Cover-Designer-2005\coverdesigner.exe (Backdoor.Bifrose) -> Quarantined and deleted successfully.

Sieht ziemlich schlecht aus.

Der Backdoor Bifrose ist ein Anzeichen dafür, das auf deinem PC ein RAT installiert ist/war.
Anscheind hat jemand Vollzugriff auf deinen Rechner.

Ich würde sicher gehen und http://www.trojaner-board.de/51262-a...sicherung.html machen.
Hast du diese Datei Angeboten bekommen von jemanden?

Kannst Du diese Datei

Zitat:

coverdesigner.exe

wo er den Backdoor Bifrose fand nochmal aus der Quarantäne wiederherstellen und es bei Virustotal.com auswerten lassen?

Zitat:

Zitat von Angel21 (Beitrag 435522)

Das ist das Notebook meiner Mutter. ich glaube nicht, dass sie die Datei angeboten bekommen hat. Höchstens irgendwo den Cover designer runtergeladen.Ich frage sie mal und melde mich dann!

Bei der Sicherung des Systemes, sichere ich da nichtden Backdoor mit???

Das macht mir aufjedenfall Angst. Ich werde das Notebook wohl erstmal offline lassen...

Zitat:

Kannst Du diese Datei
Zitat:
coverdesigner.exe
wo er den Backdoor Bifrose fand nochmal aus der Quarantäne wiederherstellen und es bei Virustotal.com auswerten lassen?

Ja kann ich machen, sobald ich wieder am Notebook bin. Feedback gibts gegen Nachmittag!

Übrigens habe ich gerade die Antwort von Antivir bekommen, dass Der TR/Crypt eine Fehlmeldung ist!
Aber wie es aussieht habe ich sowieso ein größeres Problem...

Danke!!!

Hast du die Datei schonmal aus der Quarantäne wiederhergestellt und bei VirusTotal hochgeladen??? Kopiere bitte das Ergebnis! Wahrscheinlich läuft bei dir noch ein Rootkit, weil du die Dateien nicht finden konntest, aber die erste Datei sollte eingentlich schon von Navilog enfernt worden sein!

Aber wenigstens eine gute Nachricht, dass es nur eine Fehlermeldung war! ^^

Zitat:

Zitat von maximilian11 (Beitrag 435580)

Ich bin derzeit mal wieder nicht an dem Notebook. Werde es wieder heute Abend machen müssen.
Melde mich sobald ich das Ergebnis habe.

Danke

Kann die Datei erst morgen hochladen.
Melde mich dann aber sofort.

Wenn ich das System denn neu installiere. Gibt es einen zuverlässigen, idiotensicheren schutz gegen sowas? Das ist ja das NB meiner Mutter und die hat die Comodo-Firewall drauf. Allerdings nervt die die ganze zeit, so dass meine Mutter dann wohl immer auf erlauben geklickt hat ohne zu schauen, was da ankommt....
Für Tipps bin ich sehr dankbar!!!

Danke an euch beide!

Einen idiotensicheren Schutz gibt es nicht, aber man sollte, wie du schon geschrieben, nicht einfach alles ohne zu lesen anklicken! Außerdem nutzt eine zusätzliche Firewall nichts!

Bei einem kompletten Neuaufsetzen des Systems sicherst du keine Schädlichen Datein mit, wenn du folgende Grundregel beachtest und zwar: Nur MP3/MP4, Bilder und Dokumentdatein sichern,
Solange du keine ausführbare Programme (die evtl. befallen sein können von weiteren/anderen Schädlingen) mitsicherst wirst du nach dem Neu Aufsetzen keine Probleme bekommen werden.

Lasse aber zur Sicherheit noch einmal bevor diese Daten, die du sicherst auf dem neu aufgesetzten PC gelangen mit Avira oder einem anderen Antivirscanner überprüfen.

Zitat:

Zitat von maximilian11 (Beitrag 435620)

Einen idiotensicheren Schutz gibt es nicht, aber man sollte, wie du schon geschrieben, nicht einfach alles ohne zu lesen anklicken! Außerdem nutzt eine zusätzliche Firewall nichts!

Das heißt die Windows Firewall ist ausreichend, bzw. es gibt nichts besseres?
Sollte man denn einen weiteren Schutz installieren, sowas wie Ad-Aware oder gibt es da was besseres?

So hier die Auswertung von Antivirus.com:

Code:

Antivirus  Version  letzte aktualisierung  Ergebnis

a-squared  4.0.0.101  2009.05.13  -

AhnLab-V3  5.0.0.2  2009.05.13  -

AntiVir  7.9.0.166  2009.05.13  -

Antiy-AVL  2.0.3.1  2009.05.13  -

Authentium  5.1.2.4  2009.05.13  -

Avast  4.8.1335.0  2009.05.13  -

AVG  8.5.0.327  2009.05.13  -

BitDefender  7.2  2009.05.13  -

CAT-QuickHeal  10.00  2009.05.13  -

ClamAV  0.94.1  2009.05.13  -

Comodo  1157  2009.05.08  -

DrWeb  5.0.0.12182  2009.05.13  -

eSafe  7.0.17.0  2009.05.12  -

eTrust-Vet  31.6.6504  2009.05.13  -

F-Prot  4.4.4.56  2009.05.13  -

F-Secure  8.0.14470.0  2009.05.13  -

Fortinet  3.117.0.0  2009.05.13  -

GData  19  2009.05.13  -

Ikarus  T3.1.1.49.0  2009.05.13  -

K7AntiVirus  7.10.734  2009.05.13  -

Kaspersky  7.0.0.125  2009.05.13  -

McAfee  5614  2009.05.13  -

McAfee+Artemis  5614  2009.05.13  -

McAfee-GW-Edition  6.7.6  2009.05.13  -

Microsoft  1.4602  2009.05.13  -

NOD32  4072  2009.05.13  -

Norman  6.01.05  2009.05.13  -

nProtect  2009.1.8.0  2009.05.13  -

Panda  10.0.0.14  2009.05.13  -

PCTools  4.4.2.0  2009.05.13  -

Prevx  3.0  2009.05.13  -

Rising  21.29.24.00  2009.05.13  -

Sophos  4.41.0  2009.05.13  -

Sunbelt  3.2.1858.2  2009.05.13  -

Symantec  1.4.4.12  2009.05.13  -

TheHacker  6.3.4.1.325  2009.05.13  -

TrendMicro  8.950.0.1092  2009.05.13  -

VBA32  3.12.10.5  2009.05.13  -

ViRobot  2009.5.13.1733  2009.05.13  -

weitere Informationen

File size: 221184 bytes

MD5...: 2535d142d8ed54d5b3cd9b7b7cd7a2ca

SHA1..: 356ae3db57b5c0f2188cc5d7fed1abed4a5b8b18

SHA256: 5f26136b99dd7ddfd2deac33a7fa69a4ee283c10d7c5d59f933a85db1b2220fc

SHA512: a7aaf32f7a79361df0d96801fd7f906ba8b4d4d426da4d89bca9640c089c3424

161dad2c573bf5e204cfa00afc8b2c71eac11544cb596bff45b122ad9d0b6241

ssdeep: 6144:FmVmmd45f51lAg/V0RmVmmd45f51lAcmVmmd45f51lAcmVmmd45f51lAtmV

mmd4Q:FmVmmd45f51lA6V0RmVmmd45f51lAcme

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x214c

timedatestamp.....: 0x424c6bb8 (Thu Mar 31 21:29:28 2005)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x32fd8 0x33000 6.12 5b6565e5fbf53042bdbbfcd9ee9d7106

.data 0x34000 0x5174 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110

.rsrc 0x3a000 0xfa0 0x1000 4.28 72563274ddb732df1578791ea8a231a5
 

( 1 imports )

> MSVBVM60.DLL: __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaFreeVar, __vbaLenBstr, __vbaStrVarMove, __vbaLateIdCall, __vbaFreeVarList, __vbaEnd, _adj_fdiv_m64, __vbaFreeObjList, -, _adj_fprem1, __vbaRecAnsiToUni, __vbaCopyBytes, __vbaStrCat, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaLateMemSt, -, __vbaVarForInit, __vbaExitProc, -, __vbaObjSet, __vbaOnError, _adj_fdiv_m16i, -, __vbaObjSetAddref, _adj_fdivr_m16i, -, -, __vbaBoolVar, -, __vbaBoolVarNull, __vbaFpR8, _CIsin, -, __vbaLateMemStAd, __vbaChkstk, -, EVENT_SINK_AddRef, __vbaStrCmp, __vbaVarTstEq, -, __vbaPrintObj, __vbaI2I4, DllFunctionCall, __vbaVarOr, __vbaVarLateMemSt, _adj_fpatan, __vbaR4Var, __vbaLateIdCallLd, __vbaStrR8, __vbaRecUniToAnsi, EVENT_SINK_Release, -, __vbaUI1I2, _CIsqrt, __vbaObjIs, EVENT_SINK_QueryInterface, __vbaVarMul, __vbaExceptHandler, __vbaStrToUnicode, -, -, -, _adj_fprem, _adj_fdivr_m64, -, __vbaVarDiv, __vbaI2Str, -, __vbaFPException, __vbaStrVarVal, __vbaCheckType, __vbaI2Var, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaR8Str, __vbaVarLateMemCallLdRf, -, __vbaNew2, _adj_fdiv_m32i, _adj_fdivr_m32i, -, __vbaStrCopy, -, __vbaVarCmpLt, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaI4Var, __vbaVarCmpEq, __vbaVarAdd, __vbaLateMemCall, __vbaStrToAnsi, __vbaVarDup, __vbaFpI4, __vbaVarLateMemCallLd, -, __vbaLateMemCallLd, _CIatan, __vbaCastObj, __vbaStrMove, -, _allmul, __vbaLateIdSt, _CItan, __vbaVarForNext, _CIexp, __vbaFreeStr, __vbaFreeObj
 

( 0 exports )

PDFiD.: -

RDS...: NSRL Reference Data Set

-

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=2535d142d8ed54d5b3cd9b7b7cd7a2ca

Hilft euch das weiter? Bekommt man den BAckdoor weg oder soll ich das System neu aufsetzen???

Neuaufsetzen ist natürlich immer die sicherste Variante!!!

Zitat:

Zitat von maximilian11 (Beitrag 435767)

Neuaufsetzen ist natürlich immer die sicherste Variante!!!

Das habe ich mir fast gedacht ;)

Aber besteht denn eine Möglichkeit das NB ohne neu aufsetzen wieder sauber zu bekommen?
Wenn ja würde ich die gerne ausprobieren.
Was sagt dir denn die Antivirus Auswertung?

aktuell gar nichts, da ja keine schädlinge gefunden worden sind....

hast du alles von malewarebytes anti malware gelöscht???

Zitat:

Zitat von maximilian11 (Beitrag 435808)

aktuell gar nichts, da ja keine schädlinge gefunden worden sind....

hast du alles von malewarebytes anti malware gelöscht???

Aber natürlich. Sollte ich doch, oder?
Heißt das denn, dass auch keine Schädlinge mehr drauf sind??? Das wäre ja schnell gegangen...Kann ich irgendwie nicht glauben. Aber du bist der Experte!!!

Danke!!!

mach hiermit nochmal einen scan: Avira AntiVir Agressive Einstellungen

Zitat:

Zitat von maximilian11 (Beitrag 435893)

mach hiermit nochmal einen scan: Avira AntiVir Agressive Einstellungen

Hallo, sorry dass ich mich so lange nicht gemeldet habe, aber ich war krank. Hier der Report von AntiVir mit den aggressiven Einstellungen:

Code:

Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Mittwoch, 20. Mai 2009  22:14
 

Es wird nach 1410306 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir PersonalEdition Classic

Seriennummer:     0000149996-ADJIE-0001

Plattform:        Windows Vista

Windowsversion:   (Service Pack 1)  [6.0.6001]

Boot Modus:       Normal gebootet

Benutzername:     SYSTEM

Computername:     ACEY90-PC
 

Versionsinformationen:

BUILD.DAT     : 8.2.0.347      16934 Bytes  16.03.2009 14:45:00

AVSCAN.EXE    : 8.1.4.10      315649 Bytes  01.12.2008 11:36:27

AVSCAN.DLL    : 8.1.4.0        48897 Bytes  19.07.2008 06:44:35

LUKE.DLL      : 8.1.4.5       164097 Bytes  19.07.2008 06:44:35

LUKERES.DLL   : 8.1.4.0        12545 Bytes  19.07.2008 06:44:35

ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 08:02:56

ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 11:46:48

ANTIVIR2.VDF  : 7.1.3.185    2010112 Bytes  12.05.2009 11:50:51

ANTIVIR3.VDF  : 7.1.3.231     325632 Bytes  19.05.2009 21:24:31

Engineversion : 8.2.0.168 

AEVDF.DLL     : 8.1.1.1       106868 Bytes  05.05.2009 08:13:43

AESCRIPT.DLL  : 8.1.2.0       389497 Bytes  19.05.2009 21:24:39

AESCN.DLL     : 8.1.2.3       127347 Bytes  19.05.2009 21:24:38

AERDL.DLL     : 8.1.1.3       438645 Bytes  10.11.2008 18:00:19

AEPACK.DLL    : 8.1.3.16      397686 Bytes  11.05.2009 18:33:03

AEOFFICE.DLL  : 8.1.0.36      196987 Bytes  28.02.2009 08:29:16

AEHEUR.DLL    : 8.1.0.129    1761655 Bytes  19.05.2009 21:24:37

AEHELP.DLL    : 8.1.2.2       119158 Bytes  28.02.2009 08:29:14

AEGEN.DLL     : 8.1.1.44      348532 Bytes  19.05.2009 21:24:33

AEEMU.DLL     : 8.1.0.9       393588 Bytes  15.10.2008 20:36:48

AECORE.DLL    : 8.1.6.9       176500 Bytes  16.04.2009 06:26:11

AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 20:36:45

AVWINLL.DLL   : 1.0.0.12       15105 Bytes  19.07.2008 06:44:35

AVPREF.DLL    : 8.0.2.0        38657 Bytes  19.07.2008 06:44:35

AVREP.DLL     : 8.0.0.3       155688 Bytes  21.04.2009 09:35:33

AVREG.DLL     : 8.0.0.1        33537 Bytes  19.07.2008 06:44:35

AVARKT.DLL    : 1.0.0.23      307457 Bytes  26.04.2008 18:50:39

AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  19.07.2008 06:44:35

SQLITE3.DLL   : 3.3.17.1      339968 Bytes  26.04.2008 18:50:40

SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  19.07.2008 06:44:35

NETNT.DLL     : 8.0.0.1         7937 Bytes  26.04.2008 18:50:40

RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  19.07.2008 06:43:47

RCTEXT.DLL    : 8.0.52.0       86273 Bytes  19.07.2008 06:43:51
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Vollständige Systemprüfung

Konfigurationsdatei..............: C:\program files\avira\antivir personaledition classic\sysscan.avp

Protokollierung..................: niedrig

Primäre Aktion...................: interaktiv

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: C:, D:, 

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: ein

Datei Suchmodus..................: Alle Dateien

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: aus

Archiv Smart Extensions..........: ein

Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 

Makrovirenheuristik..............: ein

Dateiheuristik...................: hoch

Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
 

Beginn des Suchlaufs: Mittwoch, 20. Mai 2009  22:14
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Es wurden '78369' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'FirewallControlPanel.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'BrccMCtl.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'BrMfcWnd.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Pareto_AV.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'cfp.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ePowerSvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'plasservice.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'XAudio.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'IAANTmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'cmdagent.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '52' Prozesse mit '52' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'D:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '48' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\' <ACER>

C:\hiberfil.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\ComboFix\psexec.cfexe

    [0] Archivtyp: RSRC

    --> Object

      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a796621.qua' verschoben!

C:\Dokumente und Einstellungen\acey90\AppData\Local\Temp\Av-test.txt

    [FUND]      Enthält Code des Eicar-Test-Signature-Virus

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a416aac.qua' verschoben!

C:\Dokumente und Einstellungen\acey90\Desktop\ComboFix.exe

    [0] Archivtyp: RAR SFX (self extracting)

      --> 32788R22FWJFW\psexec.cfexe

        [1] Archivtyp: RSRC

        --> Object

          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a8170b5.qua' verschoben!

C:\Program Files\Acer GameZone\Jewel Quest Solitaire\Launch.exe

    [FUND]      Enthält Erkennungsmuster des Spielprogrammes GAME/Downloader.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a8a0bc0.qua' verschoben!

C:\Susanne\Dozentenliste Kolping.pdf

    [0] Archivtyp: PDF Stream

    --> Object

      [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a8f0f51.qua' verschoben!

C:\Susanne\ruben\URL2FILE.exe

    [FUND]      Enthält Erkennungsmuster des SPR/Dldr.Url2File.A-Programmes

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a610f9a.qua' verschoben!

C:\Windows\PSEXESVC.EXE

    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5a131d.qua' verschoben!

C:\Windows\System32\drivers\sptd.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Beginne mit der Suche in 'D:\' <DATA>
 
 

Ende des Suchlaufs: Donnerstag, 21. Mai 2009  12:47

Benötigte Zeit: 14:33:15 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  20347 Verzeichnisse wurden überprüft

 520372 Dateien wurden geprüft

      6 Viren bzw. unerwünschte Programme wurden gefunden

      1 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      7 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      3 Dateien konnten nicht durchsucht werden

 520362 Dateien ohne Befall

   4096 Archive wurden durchsucht

      3 Warnungen

      7 Hinweise

  78369 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

Sieht so aus, als hätte er was gefunden... Habe die Sachen in die Quarantäne geschoben.

VIELEN DANK!

Ruben

Maximillian nicht mehr da???

Kann mir sonst jemand helfen?

Danke!

Rubaen

Wirklich niemand?
Jetzt weiß ich, dass da jemand Vollzugriff auf mein Notebook hat und stehe da und weiß nicht, was ich tun soll/kann/muss...

Rubaen