Trojan.Packed.Hiloti.gen.2-BitDefender-Keine Aktion möglich
 

Hallo,
der BitDefender hat vor ca.14 tage Trojaner gefunden(Trojan.Packed.Hiloti.gen.2):C:\dok.und einst.\helpass.\.\lok.ein.\temp\tmp
C:\System Vol Inform\_restore...exe;C:\Windows\system32\wbem\proquota.exe;C.\windows\temp\wpv\exe und sagte:Keine Aktion möglich.
Mit Malware scan fand ich noch weitere Viren(alles gelöscht).Seit dem stürzt mein PC immer wieder ab!
Kann mir jemand helfen?

Anhang 4645

Anhang 4646

Anhang 4647
Gruß

Hallo und :hallo:

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Hallo Arne

Danke für dein Antwort,obwohl ich Fehler beim meinem ersten Beitrag gemacht hab(bin ein PC "Anfänger").
Hier ist der Scannbericht:

Auch das Log ist recht unauffällig. Poste bitte mal das Logfile bzw. den Report vom Bitdefender bzgl. der Funde.

Hallo Arne

was vielleicht wichtig ist das sich der PC fast immer auffängt wenn ich Videos abspiele(You Tube oder auch eigene).Ich kann dann gar nichts machen,nur Maus bewegen und dann per Knopfdruck ausschalten.Protokolle vom BitDefender:
Verbleibende ProblemeObjekt Name Name der Bedrohung Abschluss Status
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\~TM4F.tmp Trojan.Packed.Hiloti.Gen.2 Keine Aktion möglich
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP302\A0049747.exe Trojan.Packed.Hiloti.Gen.2 Keine Aktion möglich
C:\WINDOWS\system32\wbem\proquota.exe Trojan.Packed.Hiloti.Gen.2 Keine Aktion möglich
C:\WINDOWS\Temp\wpv171256301239.exe Trojan.Packed.Hiloti.Gen.2 Keine Aktion möglich

Außerdem hat Behavioral Scanner folgende Anwendungen ausgeschlosssen:
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\msfeedssync.exe
C:\Programe\GemeinsameDateien\Real\Update_OB\realsched.exe
Gruß

Für Youtube: Hast Du die neuste Version vom Flashplayer installiert? Das ist immer wichtig, da am Ball zu bleiben.

Mach bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne

ich kann Combofix nicht herrunterladen(link nicht aktiv),eins hab ich gefunden aber Spanische version???

Gruß

Miki2507

Combofix war gestern down, sollte wieder funktionieren. Probier es bitte nochmal.

Hallo Arne

alles gemacht so wie du empfohlen hast.
ComboFix 09-11-09.02 - Milan 11.11.2009 11:11.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.606 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Milan\Desktop\cofi.exe
AV: BitDefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\INSTALL.LOG
c:\recycler\S-1-5-21-3558924215-1708316251-2498686361-500
c:\windows\kb913800.exe
c:\windows\rasqervy.dll
c:\windows\sdfinacs.dll
c:\windows\sdfixwcs.dll
c:\windows\system32\clrviddc.dll
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

c:\windows\system32\proquota.exe fehlte
Kopie von - c:\windows\ServicePackFiles\i386\proquota.exe wurde wiederhergestellt

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2009-10-11 bis 2009-11-11 ))))))))))))))))))))))))))))))
.

2009-11-10 16:58 . 2009-11-10 16:58 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-11-10 16:57 . 2009-11-10 16:57 152576 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-10 16:57 . 2009-11-10 16:57 79488 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-10 10:32 . 2009-11-10 10:37 -------- d-----w- C:\Lop SD
2009-11-09 17:30 . 2009-11-09 17:30 545 ----a-w- c:\windows\unt53.pif
2009-11-09 17:30 . 2009-11-09 17:30 266 ----a-w- c:\windows\unt53.bat
2009-11-09 11:30 . 2009-11-09 11:30 -------- d-----w- C:\rsit
2009-11-07 11:46 . 2009-11-07 11:46 -------- d-----w- c:\dokumente und einstellungen\Milan\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-11-05 18:50 . 2009-11-05 18:53 -------- dc-h--w- c:\windows\ie8
2009-11-02 17:02 . 2009-11-11 10:18 -------- d-----w- c:\windows\system32\NtmsData
2009-11-01 21:27 . 2009-11-10 08:08 -------- d-----w- c:\programme\trend micro
2009-10-31 10:24 . 2009-10-31 10:24 16384 ----a-w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\78ed404619.exe
2009-10-30 15:31 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-30 15:31 . 2009-11-03 15:35 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-10-30 15:31 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-30 12:20 . 2009-10-30 12:20 -------- d-----w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Malwarebytes
2009-10-30 12:20 . 2009-10-30 12:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-30 12:08 . 2009-10-30 12:08 -------- d-----w- c:\programme\CCleaner
2009-10-26 11:58 . 2009-10-02 04:44 92160 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-10-26 11:50 . 2009-11-05 19:03 -------- d-----w- c:\windows\ie8updates
2009-10-26 10:43 . 2009-08-29 07:54 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-10-26 10:43 . 2009-08-29 07:54 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-10-25 16:58 . 2009-10-25 19:09 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\PrivacIE
2009-10-25 16:44 . 2009-10-25 18:55 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\IECompatCache
2009-10-25 13:19 . 2009-10-25 13:19 -------- d-sh--w- c:\dokumente und einstellungen\Milan\IECompatCache
2009-10-25 13:16 . 2009-10-25 13:16 -------- d-sh--w- c:\dokumente und einstellungen\Milan\PrivacIE
2009-10-25 13:02 . 2009-11-05 18:36 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\IETldCache
2009-10-25 13:01 . 2009-10-25 13:01 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2009-10-25 12:58 . 2009-10-25 12:58 -------- d-sh--w- c:\dokumente und einstellungen\Milan\IETldCache
2009-10-23 19:28 . 2009-10-23 19:28 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\WINDOWS
2009-10-23 19:11 . 2009-10-23 19:11 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Windows Desktop Search
2009-10-23 19:11 . 2009-10-30 12:28 16384 ----a-w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\78ed404619.exe
2009-10-23 13:45 . 2009-10-23 13:45 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\ElsterFormular
2009-10-23 13:44 . 2006-08-25 09:09 -------- d-----r- c:\dokumente und einstellungen\HelpAssistant\Startmenü
2009-10-23 13:44 . 2006-08-17 09:15 -------- d-s---w- c:\dokumente und einstellungen\HelpAssistant\UserData
2009-10-23 13:44 . 2006-08-16 10:48 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant\Vorlagen
2009-10-23 13:44 . 2009-11-11 10:23 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-11 10:24 . 2007-02-03 13:24 -------- d-----w- c:\programme\WLAN Quick-Starter
2009-11-11 10:24 . 2007-02-03 13:24 -------- d-----w- c:\programme\WLAN Monitor
2009-11-11 09:33 . 2009-01-13 19:14 81984 ----a-w- c:\windows\system32\bdod.bin
2009-11-10 16:58 . 2006-08-17 06:42 -------- d-----w- c:\programme\Java
2009-11-09 17:28 . 2008-11-05 19:34 -------- d-----w- c:\programme\Veetle
2009-11-03 16:33 . 2007-03-11 13:57 -------- d-----w- c:\programme\Winamp
2009-11-02 18:09 . 2007-04-15 11:14 -------- d-----w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Simple Sudoku
2009-11-02 17:02 . 2006-12-12 21:23 29280 ----a-w- c:\dokumente und einstellungen\Milan\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-02 11:58 . 2008-01-04 09:01 -------- d-----w- c:\programme\Google
2009-11-02 11:57 . 2007-02-09 14:30 -------- d-----w- c:\programme\eMule
2009-11-02 11:53 . 2006-08-17 07:52 -------- d-----w- c:\programme\Gemeinsame Dateien\aol
2009-11-02 11:53 . 2006-08-17 07:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AOL
2009-11-02 11:53 . 2006-12-12 21:18 -------- d-----w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\AOL
2009-11-02 11:53 . 2006-08-17 07:54 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AOL
2009-11-01 17:11 . 2009-10-23 13:44 16384 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Macromedia\Common\78ed404619.exe
2009-10-25 21:40 . 2006-03-24 12:00 91800 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 21:40 . 2006-03-24 12:00 477136 ----a-w- c:\windows\system32\perfh007.dat
2009-10-08 13:57 . 2007-10-09 12:03 614912 ----a-w- c:\windows\system32\uiautomationcore.dll
2009-10-08 13:57 . 2006-03-24 12:00 23040 ----a-w- c:\windows\system32\oleaccrc.dll
2009-10-08 13:57 . 2006-03-24 12:00 220160 ----a-w- c:\windows\system32\oleacc.dll
2009-09-26 16:23 . 2009-09-26 16:22 17634800 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\rp\.exe
2009-09-26 16:22 . 2009-09-26 16:22 8405312 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\gtb\GOOGLE_TOOLBAR\GoogleToolbarInstaller.exe
2009-09-26 16:22 . 2009-09-26 16:22 10309448 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\chr\ChromeInstaller.exe
2009-09-26 16:22 . 2009-09-26 16:22 81920 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\RUP\inst_config\compat.dll
2009-09-26 16:22 . 2009-09-26 16:22 64000 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\RUP\inst_config\gcapi_dll.dll
2009-09-26 16:22 . 2009-09-26 16:22 52288 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\RUP\inst_config\gtapi.dll
2009-09-26 16:22 . 2009-09-26 16:22 50688 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\RUP\inst_config\fftbapi.dll
2009-09-26 16:21 . 2009-09-26 16:21 488968 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\setup.exe
2009-09-19 13:31 . 2009-09-19 13:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2009-09-19 07:59 . 2009-09-19 07:59 -------- d-----w- c:\programme\Philips
2009-09-19 07:59 . 2006-08-16 12:41 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-09-19 07:59 . 2009-09-19 07:59 -------- d-----w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\InstallShield
2009-09-18 11:03 . 2008-11-09 12:08 -------- d-----w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\DivX
2009-09-18 09:18 . 2008-11-09 12:06 -------- d-----w- c:\programme\DivX
2009-09-18 09:18 . 2009-05-29 14:00 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-09-11 14:17 . 2006-03-24 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-04 21:03 . 2006-03-24 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 07:54 . 2006-03-24 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-08-26 08:00 . 2006-03-24 12:00 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-14 15:10 . 2006-03-24 12:00 1850752 ----a-w- c:\windows\system32\win32k.sys
2009-03-31 17:46 . 2009-11-07 12:11 49664 ----a-w- c:\programme\mozilla firefox\components\FFComm.dll
2006-08-17 08:15 . 2006-08-17 08:15 848 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{9CB65206-89C4-402c-BA80-02D8C59F9B1D}"= "c:\programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL" [2008-03-03 57344]

[HKEY_CLASSES_ROOT\clsid\{9cb65206-89c4-402c-ba80-02d8c59f9b1d}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\programme\VIAudioi\HDADeck\HDeck.exe" [2006-07-17 684032]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-12 7626752]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-12 86016]
"WLAN Quick-Starter"="c:\programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" [2006-05-30 1323008]
"wlconfig"="c:\programme\WLAN Monitor\wlconfig.exe" [2006-03-06 1347584]
"BDAgent"="c:\programme\BitDefender\BitDefender 2009\bdagent.exe" [2009-09-05 782336]
"BitDefender Antiphishing Helper"="c:\programme\BitDefender\BitDefender 2009\IEShow.exe" [2009-03-31 69632]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-08-17 282624]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-03-21 198160]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-11-10 149280]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-07-12 1519616]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk
backup=c:\windows\pss\Windows Search.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Ahead\\Nero ShowTime\\ShowTime.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop

R2 accsvc;AccSys WiFi Component;c:\programme\Gemeinsame Dateien\AccSys\accsvc.exe [03.02.2007 14:24 147456]
R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [18.09.2008 11:09 111112]
S3 Arrakis3;BitDefender Arrakis Server;c:\programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [17.07.2008 12:06 118784]
S3 FILESpy;FILESpy;\??\c:\programme\Softwin\BitDefender8\filespy.sys --> c:\programme\Softwin\BitDefender8\filespy.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - MBR
*Deregistered* - mbr

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
Inhalt des "geplante Tasks" Ordners

2009-11-11 c:\windows\Tasks\User_Feed_Synchronization-{01F42556-5085-4FCE-9952-2B66F971DFD9}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mWindow Title = Arcor AG & Co. KG
uInternet Settings,ProxyOverride = local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Öffnen mit WordPerfect - c:\programme\WordPerfect Office X3\Programs\WPLauncher.hta
FF - ProfilePath - c:\dokumente und einstellungen\Milan\Anwendungsdaten\Mozilla\Firefox\Profiles\sks4u0p2.default\
FF - component: c:\programme\Mozilla Firefox\components\FFComm.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-11 11:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\programme\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x86682B00]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x86682b00
NDIS: VIA-kompatibler Fast Ethernet-Adapter -> SendCompleteHandler -> 0x866bf200
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-957738473-3427782735-3427090091-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-957738473-3427782735-3427090091-1005\Software\Policies\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (S-1-5-21-957738473-3427782735-3427090091-1005)
@Allowed: (Read) (S-1-5-21-957738473-3427782735-3427090091-1005)
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Philips]
@DACL=(02 0000)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(696)
c:\progra~1\WINDOW~3\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\SearchProtocolHost.exe
c:\windows\system32\SearchFilterHost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-11-11 11:30 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-11-11 10:30

Vor Suchlauf: 10 Verzeichnis(se), 122.700.496.896 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 122.692.485.120 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

- - End Of File - - 415DE8239FB438C2F1FCE5456BDA0CE6

You Tube:Adobe Flashplayer 10 ist ok oder?

Gruß

Miki2507

i.) Starte den Rechner neu und dann die Wiederherstellungskonsole. Ganz am Anfang hast Du lt. Logfile zwei Sekunden Zeit dafür. Bewege die Pfeiltaste hoch oder runter und wähle dann die Wiederherstellungskonsole.
Dort bitte einloggen und diesen Befehl eintippen und mit ENTER ausführen: fixmbr
Rechner mit dem Befehl exit neustarten im normalen Windows Modus.



ii.) Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne

es gibt kleines problem!
Der Rechner fragt mich:Bei welcher Windows instalation möcten sie sich anmelden?(1:C:\WINDOWS-steht oben).Ich hab dann fixmbr eingetipt und dann kam:
VORSICHT!
Der MBR scheint ungültig oder nicht standardmäßig zu sein!
Außerdem etwas über Partitionen,Festplatte...
zum schluß:
Sind sie sicher dass sie einen neuen MBR screiben möchten?

Ich hab versucht mit enter geht aber nicht(bekomme wiederholung,Sind sie sicher dass sie.....),exit geht auch nicht?

Mach ich was falsch?


Gruß


Miki 2507

Wenn Du gefragt wirst ob Du Dir sicher bist bitte mit der J-Taste und dann ENTER bestätigen.

Hallo Arne

ich glaube,es hat geklapt!?
Hier ist der log:
ComboFix 09-11-09.02 - Milan 11.11.2009 14:39.2.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.654 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Milan\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Milan\Desktop\CFScript.txt
AV: BitDefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

FILE ::
"c:\windows\unt53.bat"
"c:\windows\unt53.pif"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Milan\Anwendungsdaten\Macromedia\Common
c:\dokumente und einstellungen\Milan\Anwendungsdaten\Macromedia\Common\78ed404619.exe
c:\programme\eMule
c:\programme\eMule\config\cancelled.met
c:\programme\eMule\config\clients.met
c:\programme\eMule\config\emfriends.met
c:\programme\eMule\config\known.met
c:\programme\eMule\config\known2_64.met
c:\programme\eMule\config\preferences.ini
c:\programme\eMule\config\server_met.old
c:\programme\eMule\config\statistics.ini
c:\programme\eMule\Incoming\AlbumArt_{7A48D370-0018-4463-B394-2EE4A3E91809}_Large.jpg
c:\programme\eMule\Incoming\AlbumArt_{7A48D370-0018-4463-B394-2EE4A3E91809}_Small.jpg
c:\programme\eMule\Incoming\AlbumArtSmall.jpg
c:\programme\eMule\Incoming\Colonia-Najbolje.od.0svega\Colonia - Najbolje od svega 2005\01 Track 1.mp3
c:\programme\eMule\Incoming\Colonia-Najbolje.od.0svega\Colonia - Najbolje od svega 2005\02 Track 2.mp3
c:\programme\eMule\Incoming\Colonia-Najbolje.od.0svega\Colonia - Najbolje od svega 2005\03 Track 3.mp3
c:\programme\eMule\Incoming\Colonia-Najbolje.od.0svega\Colonia - Najbolje od svega 2005\04 Track 4.mp3
c:\programme\eMule\Incoming\Colonia-Najbolje.od.0svega\Colonia - Najbolje od svega 2005\05 Track 5.mp3
c:\programme\eMule\Incoming\Colonia-Najbolje.od.0svega\Colonia - Najbolje od svega 2005\06 Track 6.mp3
c:\programme\eMule\Incoming\Colonia-Najbolje.od.0svega\Colonia - Najbolje od svega 2005\07 Track 7.mp3
c:\programme\eMule\Incoming\Colonia-Najbolje.od.0svega\Colonia - Najbolje od svega 2005\08 Track 8.mp3
c:\programme\eMule\Incoming\Colonia-Najbolje.od.0svega\Colonia - Najbolje od svega 2005\09 Track 9.mp3
c:\programme\eMule\Incoming\Colonia-Najbolje.od.0svega\Colonia - Najbolje od svega 2005\10 Track 10.mp3
c:\programme\eMule\Incoming\Colonia-Najbolje.od.0svega\Colonia - Najbolje od svega 2005\11 Track 11.mp3
c:\programme\eMule\Incoming\Colonia-Najbolje.od.0svega\Colonia - Najbolje od svega 2005\12 Track 12.mp3
c:\programme\eMule\Incoming\Colonia-Najbolje.od.0svega\Colonia - Najbolje od svega 2005\13 Track 13.mp3
c:\programme\eMule\Incoming\Colonia-Najbolje.od.0svega\Colonia - Najbolje od svega 2005\desktop.ini
c:\programme\eMule\Incoming\desktop.ini
c:\programme\eMule\Incoming\Folder.jpg
c:\windows\unt53.bat
c:\windows\unt53.pif

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


((((((((((((((((((((((( Dateien erstellt von 2009-10-11 bis 2009-11-11 ))))))))))))))))))))))))))))))
.

2009-11-11 10:17 . 2008-04-14 02:22 50688 -c--a-w- c:\windows\system32\dllcache\proquota.exe
2009-11-11 10:17 . 2008-04-14 02:22 50688 ----a-w- c:\windows\system32\proquota.exe
2009-11-10 16:58 . 2009-11-10 16:58 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-11-10 16:57 . 2009-11-10 16:57 152576 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-10 16:57 . 2009-11-10 16:57 79488 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-10 10:32 . 2009-11-10 10:37 -------- d-----w- C:\Lop SD
2009-11-09 11:30 . 2009-11-09 11:30 -------- d-----w- C:\rsit
2009-11-07 11:46 . 2009-11-07 11:46 -------- d-----w- c:\dokumente und einstellungen\Milan\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-11-05 18:50 . 2009-11-05 18:53 -------- dc-h--w- c:\windows\ie8
2009-11-02 17:02 . 2009-11-11 10:18 -------- d-----w- c:\windows\system32\NtmsData
2009-11-01 21:27 . 2009-11-10 08:08 -------- d-----w- c:\programme\trend micro
2009-10-31 10:24 . 2009-10-31 10:24 16384 ----a-w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\78ed404619.exe
2009-10-30 15:31 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-30 15:31 . 2009-11-03 15:35 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-10-30 15:31 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-30 12:20 . 2009-10-30 12:20 -------- d-----w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Malwarebytes
2009-10-30 12:20 . 2009-10-30 12:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-30 12:08 . 2009-10-30 12:08 -------- d-----w- c:\programme\CCleaner
2009-10-26 11:58 . 2009-10-02 04:44 92160 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-10-26 11:50 . 2009-11-05 19:03 -------- d-----w- c:\windows\ie8updates
2009-10-26 10:43 . 2009-08-29 07:54 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-10-26 10:43 . 2009-08-29 07:54 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-10-25 16:58 . 2009-10-25 19:09 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\PrivacIE
2009-10-25 16:44 . 2009-10-25 18:55 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\IECompatCache
2009-10-25 13:19 . 2009-10-25 13:19 -------- d-sh--w- c:\dokumente und einstellungen\Milan\IECompatCache
2009-10-25 13:16 . 2009-10-25 13:16 -------- d-sh--w- c:\dokumente und einstellungen\Milan\PrivacIE
2009-10-25 13:02 . 2009-11-05 18:36 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\IETldCache
2009-10-25 13:01 . 2009-10-25 13:01 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2009-10-25 12:58 . 2009-10-25 12:58 -------- d-sh--w- c:\dokumente und einstellungen\Milan\IETldCache
2009-10-23 19:28 . 2009-10-23 19:28 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\WINDOWS
2009-10-23 19:11 . 2009-10-23 19:11 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Windows Desktop Search
2009-10-23 19:11 . 2009-10-30 12:28 16384 ----a-w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\78ed404619.exe
2009-10-23 13:44 . 2006-08-25 09:09 -------- d-----r- c:\dokumente und einstellungen\HelpAssistant\Startmenü
2009-10-23 13:44 . 2006-08-17 09:15 -------- d-s---w- c:\dokumente und einstellungen\HelpAssistant\UserData
2009-10-23 13:44 . 2006-08-16 10:48 -------- d--h--w- c:\dokumente und einstellungen\HelpAssistant\Vorlagen
2009-10-23 13:44 . 2009-11-11 12:47 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-11 13:48 . 2007-02-03 13:24 -------- d-----w- c:\programme\WLAN Quick-Starter
2009-11-11 13:48 . 2007-02-03 13:24 -------- d-----w- c:\programme\WLAN Monitor
2009-11-11 13:46 . 2009-01-13 19:14 81984 ----a-w- c:\windows\system32\bdod.bin
2009-11-10 16:58 . 2006-08-17 06:42 -------- d-----w- c:\programme\Java
2009-11-09 17:28 . 2008-11-05 19:34 -------- d-----w- c:\programme\Veetle
2009-11-03 16:33 . 2007-03-11 13:57 -------- d-----w- c:\programme\Winamp
2009-11-02 18:09 . 2007-04-15 11:14 -------- d-----w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Simple Sudoku
2009-11-02 17:02 . 2006-12-12 21:23 29280 ----a-w- c:\dokumente und einstellungen\Milan\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-02 11:58 . 2008-01-04 09:01 -------- d-----w- c:\programme\Google
2009-11-02 11:53 . 2006-08-17 07:52 -------- d-----w- c:\programme\Gemeinsame Dateien\aol
2009-11-02 11:53 . 2006-08-17 07:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AOL
2009-11-02 11:53 . 2006-12-12 21:18 -------- d-----w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\AOL
2009-11-02 11:53 . 2006-08-17 07:54 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AOL
2009-10-25 21:40 . 2006-03-24 12:00 91800 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 21:40 . 2006-03-24 12:00 477136 ----a-w- c:\windows\system32\perfh007.dat
2009-10-08 13:57 . 2007-10-09 12:03 614912 ----a-w- c:\windows\system32\uiautomationcore.dll
2009-10-08 13:57 . 2006-03-24 12:00 23040 ----a-w- c:\windows\system32\oleaccrc.dll
2009-10-08 13:57 . 2006-03-24 12:00 220160 ----a-w- c:\windows\system32\oleacc.dll
2009-09-26 16:23 . 2009-09-26 16:22 17634800 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\rp\.exe
2009-09-26 16:22 . 2009-09-26 16:22 8405312 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\gtb\GOOGLE_TOOLBAR\GoogleToolbarInstaller.exe
2009-09-26 16:22 . 2009-09-26 16:22 10309448 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\chr\ChromeInstaller.exe
2009-09-26 16:22 . 2009-09-26 16:22 81920 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\RUP\inst_config\compat.dll
2009-09-26 16:22 . 2009-09-26 16:22 64000 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\RUP\inst_config\gcapi_dll.dll
2009-09-26 16:22 . 2009-09-26 16:22 52288 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\RUP\inst_config\gtapi.dll
2009-09-26 16:22 . 2009-09-26 16:22 50688 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\RUP\inst_config\fftbapi.dll
2009-09-26 16:21 . 2009-09-26 16:21 488968 ----a-w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\Real\Update\setup\setup.exe
2009-09-19 13:31 . 2009-09-19 13:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2009-09-19 07:59 . 2009-09-19 07:59 -------- d-----w- c:\programme\Philips
2009-09-19 07:59 . 2006-08-16 12:41 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-09-19 07:59 . 2009-09-19 07:59 -------- d-----w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\InstallShield
2009-09-18 11:03 . 2008-11-09 12:08 -------- d-----w- c:\dokumente und einstellungen\Milan\Anwendungsdaten\DivX
2009-09-18 09:18 . 2008-11-09 12:06 -------- d-----w- c:\programme\DivX
2009-09-18 09:18 . 2009-05-29 14:00 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-09-11 14:17 . 2006-03-24 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-04 21:03 . 2006-03-24 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 07:54 . 2006-03-24 12:00 916480 ------w- c:\windows\system32\wininet.dll
2009-08-26 08:00 . 2006-03-24 12:00 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-14 15:10 . 2006-03-24 12:00 1850752 ----a-w- c:\windows\system32\win32k.sys
2009-03-31 17:46 . 2009-11-07 12:11 49664 ----a-w- c:\programme\mozilla firefox\components\FFComm.dll
2006-08-17 08:15 . 2006-08-17 08:15 848 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-11-11_10.24.34 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-11-11 13:47 . 2009-11-11 13:47 16384 c:\windows\Temp\Perflib_Perfdata_65c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{9CB65206-89C4-402c-BA80-02D8C59F9B1D}"= "c:\programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL" [2008-03-03 57344]

[HKEY_CLASSES_ROOT\clsid\{9cb65206-89c4-402c-ba80-02d8c59f9b1d}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\programme\VIAudioi\HDADeck\HDeck.exe" [2006-07-17 684032]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-12 7626752]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-12 86016]
"WLAN Quick-Starter"="c:\programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" [2006-05-30 1323008]
"wlconfig"="c:\programme\WLAN Monitor\wlconfig.exe" [2006-03-06 1347584]
"BDAgent"="c:\programme\BitDefender\BitDefender 2009\bdagent.exe" [2009-09-05 782336]
"BitDefender Antiphishing Helper"="c:\programme\BitDefender\BitDefender 2009\IEShow.exe" [2009-03-31 69632]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-08-17 282624]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-03-21 198160]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-11-10 149280]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-07-12 1519616]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk
backup=c:\windows\pss\Windows Search.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Ahead\\Nero ShowTime\\ShowTime.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"%windir%\\system32\\sessmgr.exe"=

R2 accsvc;AccSys WiFi Component;c:\programme\Gemeinsame Dateien\AccSys\accsvc.exe [03.02.2007 14:24 147456]
R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [18.09.2008 11:09 111112]
S3 Arrakis3;BitDefender Arrakis Server;c:\programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [17.07.2008 12:06 118784]
S3 FILESpy;FILESpy;\??\c:\programme\Softwin\BitDefender8\filespy.sys --> c:\programme\Softwin\BitDefender8\filespy.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mbr

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
Inhalt des "geplante Tasks" Ordners

2009-11-11 c:\windows\Tasks\User_Feed_Synchronization-{01F42556-5085-4FCE-9952-2B66F971DFD9}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mWindow Title = Arcor AG & Co. KG
uInternet Settings,ProxyOverride = local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Öffnen mit WordPerfect - c:\programme\WordPerfect Office X3\Programs\WPLauncher.hta
FF - ProfilePath - c:\dokumente und einstellungen\Milan\Anwendungsdaten\Mozilla\Firefox\Profiles\sks4u0p2.default\
FF - component: c:\programme\Mozilla Firefox\components\FFComm.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.

**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\programme\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-957738473-3427782735-3427090091-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-957738473-3427782735-3427090091-1005\Software\Policies\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (S-1-5-21-957738473-3427782735-3427090091-1005)
@Allowed: (Read) (S-1-5-21-957738473-3427782735-3427090091-1005)
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Philips]
@DACL=(02 0000)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(876)
c:\progra~1\WINDOW~3\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-11-11 14:53 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-11-11 13:52
ComboFix2.txt 2009-11-11 10:30

Vor Suchlauf: 10 Verzeichnis(se), 122.740.793.344 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 122.699.632.640 Bytes frei

- - End Of File - - 33E6C8EAF06D755843CCA94779A9A66E

Gruß

Miki2507

Kontrollscan: Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

Hallo Arne

der Prevx hat nichts gefunden(2x gescannt).Wollte dich fragen ob ich ihn behalten oder löschen soll?Noch etwas,ich hab hier viel positives über AVIRA gelesen,soll ich BitDef.deinstalieren und AVIRA reinmachen.

Ah,ja bin ich jetzt wieder gesund?fragt dich mein PC.

Gruß

Miki2507

Ja dürfte wieder okay sein. Ob Du lieber AntiVir benutzen willst, sei Dir überlassen, schlecht ist der nicht. Dann Bitdefender aber vorher löschen. PrevX kanst Du auch deinstallieren.

Lt. den Logs sieht Dein PC okay aus! :) Wenn soweit keine Probleme mehr sind, würde ich Dich entlassen ;)

Danke für alles,Mr.Cosinus!!!!!!!!!!!!!

Trojaner-board is the Best!

Hallo Arne

leider habich mich zu früh gefreut.Gestern Abend kam zuerst vom Bitdef.;
BitDefender Protokolldatei

Produkt: BitDefender Antivirus 2009
Version: BitDefender UIScanner v.12
Prüfaufgabe: Tiefe Systemprüfung
Protokoll Datum: 11.11.2009 22:15:27
Protokoll Pfad: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bitdefender\Desktop\Profiles\Logs\deep_scan\1257974127_1_01.xml

PrüfpfadPfad 0000: C:\
Pfad 0001: D:\
Pfad 0002: E:\

PrüfoptionenAuf Viren prüfen: Ja
Auf Adware prüfen: Ja
Auf Spyware prüfen: Ja
Auf Anwendungen prüfen: Ja
Auf Dialer prüfen: Ja
Auf Rootkits prüfen: Ja

Optionen zur Zielauswahl:Registry-Schlüssel überprüfen: Ja
Cookies überprüfen: Ja
Boot-Sektoren überprüfen: Ja
Speicher-Prozesse überprüfen: Ja
Archive prüfen: Ja
Laufzeitkomprimierung prüfen: Ja
E-Mails prüfen: Ja
Alle Dateien überprüfen: Ja
Heuristische Prüfung: Ja
Geprüfte Erweiterungen:
Ausgeschlossene Erweiterungen:

Ablauf für Ziel:Standardaktion, die bei einem Virenfund angewendet wird: Desinfiziert
Standardaktion für verdächtige Objekte: Keine
Standardaktion bei versteckten Objekten: Keine
Standardaktion bei verschlüsselten infizierten Objekten: Keine
Standardaktion bei verschlüsselten verdächtigen Objekten: Keine
Standardaktion für passwortgeschützte Objekte: Als nicht geprüft protokollieren

Zusammenfassung der PrüfungAnzahl der Virensignaturen: 4523818
Archiv Plug-Ins: 44
E-Mail Plug-Ins: 6
Scan Plug-Ins: 13
System Plug-Ins: 5
Entpackungs-Plug-Ins: 8

Gesamtübersicht der PrüfungGeprüfte Objekte: 314535
Infizierte Objekte: 23
Verdächtige Objekte: 0
Geklärte Objekte: 23
Ungeklärte Objekte: 0
Passwortgeschützte Objekte: 0
Kennwortgeschützte Objekte : 0
Einzelne Viren gefunden: 3
Geprüfte Datenverzeichnisse: 8498
Geprüfte Boot-Sektoren: 4
Geprüfte Archive: 11082
Input-Output Fehler: 0
Prüfzeit: 01:12:19
Dateien pro Sekunde: 72

Zusammenfassung der geprüften ProzesseGeprüft: 30
Infiziert: 0

Überprüft die Systemregistrierung von WindowsGeprüft: 1037
Infiziert: 0

Übersicht der geprüften CookiesGeprüft: 0
Infiziert: 0

Gelöste ProblemeObjekt Name Name der Bedrohung Abschluss Status
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\0bf06b2bfc01ab4e.exe Dropped:Trojan.Generic.2619228 In Quarantäne verschoben
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\94e62a1ad4d62b39.exe Dropped:Trojan.Generic.2619228 In Quarantäne verschoben
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP302\A0044329.exe Dropped:Trojan.Generic.2619228 In Quarantäne verschoben
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP302\A0045329.exe Dropped:Trojan.Generic.2619228 In Quarantäne verschoben
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP302\A0045905.exe Dropped:Trojan.Generic.2619228 In Quarantäne verschoben
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP302\A0045907.exe Dropped:Trojan.Generic.2619228 In Quarantäne verschoben
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP302\A0044553.drv Trojan.Generic.2619228 Gelöscht
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP302\A0045731.drv Trojan.Generic.2619228 Gelöscht
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temp\78ed40462.tmp Trojan.Generic.2642487 Gelöscht
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP305\A0050666.dll Trojan.Generic.2642487 Gelöscht
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP305\A0051021.dll Trojan.Generic.2642487 Gelöscht
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP305\A0051486.dll Trojan.Generic.2642487 Gelöscht
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP305\A0051831.dll Trojan.Generic.2642487 Gelöscht
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP306\A0052208.dll Trojan.Generic.2642487 Gelöscht
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP307\A0054232.dll Trojan.Generic.2642487 Gelöscht
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP307\A0055230.dll Trojan.Generic.2642487 Gelöscht
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP307\A0055579.dll Trojan.Generic.2642487 Gelöscht
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP307\A0056580.dll Trojan.Generic.2642487 Gelöscht
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP308\A0056947.dll Trojan.Generic.2642487 Gelöscht
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP308\A0057940.dll Trojan.Generic.2642487 Gelöscht
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP309\A0058941.dll Trojan.Generic.2642487 Gelöscht
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP309\A0059256.dll Trojan.Generic.2642487 Gelöscht
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP309\A0060306.dll Trojan.Generic.2642487 Gelöscht

und dann noch das hier:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3145
Windows 5.1.2600 Service Pack 3

12.11.2009 02:15:26
mbam-log-2009-11-12 (02-15-26).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 258679
Laufzeit: 56 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP321\A0096818.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F6633D3A-5EBC-4272-90A1-DC1877891A1C}\RP321\A0097235.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Woher kommt es plötzlich,(um 19 uhr war alles I.O)und kann man was unternehmen?

Gruß

Miki2507

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Mach danach einen Durchlauf mit: GMER - Anleitung

Hallo Arne

hier ist der log:
GMER 1.0.15.15220 - http://www.gmer.net
Rootkit scan 2009-11-12 12:15:50
Windows 5.1.2600 Service Pack 3
Running: jlr9wo28.exe; Driver: C:\DOKUME~1\Milan\LOKALE~1\Temp\afeyqpob.sys


---- System - GMER 1.0.15 ----

SSDT \??\C:\Programme\BitDefender\BitDefender 2009\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwOpenProcess [0xB9B28C90]
SSDT \??\C:\Programme\BitDefender\BitDefender 2009\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwOpenThread [0xB9B28D7E]
SSDT \??\C:\Programme\BitDefender\BitDefender 2009\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwTerminateProcess [0xB9B28BF4]
SSDT \??\C:\Programme\BitDefender\BitDefender 2009\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwTerminateThread [0xB9B28EC4]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\SearchIndexer.exe[184] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)
AttachedDevice \Driver\Tcpip \Device\Tcp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)
AttachedDevice \Driver\Tcpip \Device\Udp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)
AttachedDevice \Driver\Tcpip \Device\RawIp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\Canon iP4300@ChangeID 4671281
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\Canon iP4300@Attributes 2560

---- EOF - GMER 1.0.15 ----

Ich hab den Drucker während des scanns ausgeschaltet??????
Soll ich es nochmal machen?

Gruß

Miki2507

Scanne mal mit agressiven Einstellungen von AntiVir - Bitdefender vorher deaktivieren!!

Hallo Arne

Systemwiederherstellung aktivieren oder ?

Gruß

Miki2507

Nein, die auslassen!

Hallo Arne

hier ist der Bericht



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 12. November 2009 15:21

Es wird nach 1562564 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : OEM-5BF5F49CF7E

Versionsinformationen:
BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 13:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 09:21:42
ANTIVIR2.VDF : 7.1.4.253 1779200 Bytes 19.07.2009 22:08:01
ANTIVIR3.VDF : 7.1.5.19 139776 Bytes 23.07.2009 07:36:13
Engineversion : 8.2.0.228
AEVDF.DLL : 8.1.1.1 106868 Bytes 28.07.2009 13:17:15
AESCRIPT.DLL : 8.1.2.18 442746 Bytes 23.07.2009 09:59:39
AESCN.DLL : 8.1.2.4 127348 Bytes 23.07.2009 09:59:39
AERDL.DLL : 8.1.2.4 430452 Bytes 23.07.2009 09:59:39
AEPACK.DLL : 8.1.3.18 401783 Bytes 28.07.2009 13:17:14
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 09:59:39
AEHEUR.DLL : 8.1.0.143 1864055 Bytes 23.07.2009 09:59:39
AEHELP.DLL : 8.1.5.3 233846 Bytes 23.07.2009 09:59:39
AEGEN.DLL : 8.1.1.50 352629 Bytes 23.07.2009 09:59:39
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 14:32:40
AECORE.DLL : 8.1.7.6 184694 Bytes 23.07.2009 09:59:39
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 11:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 14:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 10:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 12. November 2009 15:21

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr\Instances\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr\Instances\bdfsfltr instance
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdftdif\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdftdif\security
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\BDSelfPr\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\BDSelfPr\security
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\LIVESRV\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\LIVESRV\security
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Profos\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Profos\security
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\scan\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\scan\parameters
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\scan\security
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Trufos\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Trufos\security
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VSSERV\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VSSERV\security
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '107522' Objekte überprüft, '17' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'seccenter.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bdagent.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLConfig.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HDeck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'searchindexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'accsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsserv.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'livesrv.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '38' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '62' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O09BEOW1\count[1].htm
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PSYFLGKL\trueSince[1].pdf
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Malicious.PDF.Gen
Beginne mit der Suche in 'D:\' <BACKUP>
Beginne mit der Suche in 'E:\' <RECOVER>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O09BEOW1\count[1].htm
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b712426.qua' verschoben!
C:\Dokumente und Einstellungen\HelpAssistant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PSYFLGKL\trueSince[1].pdf
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Malicious.PDF.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b712429.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 12. November 2009 16:03
Benötigte Zeit: 40:56 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8345 Verzeichnisse wurden überprüft
404617 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
404613 Dateien ohne Befall
10253 Archive wurden durchsucht
2 Warnungen
4 Hinweise
107522 Objekte wurden beim Rootkitscan durchsucht
17 Versteckte Objekte wurden gefunden

Gruß

Miki 2507

Infektionen im HelpAssistant-Userprofil sind echt hartnäckig und beobachte zum wiederholten Male eine sehr wahrscheinliche Rootkitinfektion:
mit einhergehendem Silentbanker (hab ich leider nicht drauf hingewiesen :o) siehe hier:
Betreibst Du Onlinebanking?
Möchtest Du nicht lieber aus Sicherheitsgründen das System neu aufsetzen?

Hallo Arne

ich betreibe kein Onlinebanking,bin ganz "normaler user",eher "Anfänger".Wenn man die Infektion nicht beseitigen kann muß
ich versuchen das system Neuaufsetzen.
Was mach ich mit Systemwiederherstellung(aktiviere oder deaktiviert lassen)?

Gruß

Miki2507

Dank dir nochmals!:daumenhoc

Wenn Du eine Neuinstallation durchführst ist es völlig egal ob Du die nun wieder anstellst oder nicht. Neuinstallation mit vorheriger Formatierung bedeutet eine vollständige Lösung der jetzigen Windows-Installation...