|
svchost.exe lässt CPU auf 100% laufen Remote Desktop Trojaner? Hallo, eine von 9 svchost.exes lässt die CPU auf fast 100% laufen, ständig! Process Explorer zeigt folgende Services für die svchost.exe: http://img9.abload.de/img/svchostgpsh.png Einer dieser Services ist oft ein Trojaner laut Googlerecherche, nämlich termsrv.dll Ich weiß nun nicht sicher ob es malware ist, aber es scheint hier um Remote Desktop Anwendungen zu gehen. Was soll ich tun? |
ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "run Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt poste bitte beide, evtl. aufteilen. |
geändert worden |
geändert worden |
otl.txt ist nicht vollständig |
Zitat:
|
Fixen mit OTL • Starte bitte die OTL.exe. Vista-User mit Rechtsklick "als Administrator starten" • Kopiere nun das Folgende in die Textbox. :OTL O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O2 - BHO: (no ) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O4 - HKLM..\Run: [WireLessKeyboard] C:\Programme\Multimedia Combo Set Driver\StartAutorun.exe PS2USBKbdDrv.exe File not found O4 - HKU\S-1-5-21-1644491937-823518204-839522115-1004..\Run: [{CF719CE8-2691-82FE-5F22-C0678976B124}] C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Usize\iltua.exe () O4 - Startup: C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe () @Alternate Data Stream - 135 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:0CE7F3C9 @Alternate Data Stream - 108 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:44807EFA :Files C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Run Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten |
All processes killed ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ not found. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\WireLessKeyboard deleted successfully. Registry value HKEY_USERS\S-1-5-21-1644491937-823518204-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\{CF719CE8-2691-82FE-5F22-C0678976B124} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF719CE8-2691-82FE-5F22-C0678976B124}\ not found. C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Usize\iltua.exe moved successfully. File move failed. C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe scheduled to be moved on reboot. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:0CE7F3C9 deleted successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:44807EFA deleted successfully. ========== FILES ========== File move failed. C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe scheduled to be moved on reboot. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Boris ->Flash cache emptied: 2018959 bytes User: Default User ->Flash cache emptied: 84 bytes User: LocalService User: NetworkService Total Flash Files Cleaned = 2.00 mb [EMPTYTEMP] User: All Users User: Boris ->Temp folder emptied: 13848602 bytes ->Temporary Internet Files folder emptied: 3045485 bytes ->Java cache emptied: 19168485 bytes ->FireFox cache emptied: 46509662 bytes ->Google Chrome cache emptied: 118703112 bytes ->Apple Safari cache emptied: 42427732 bytes ->Opera cache emptied: 24473284 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 2895751 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1179506 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 260.00 mb OTL by OldTimer - Version 3.2.6.0 log created on 06182010_201053 Files\Folders moved on Reboot... C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe moved successfully. Registry entries deleted on Reboot... |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Jetzt komm ich mit keinem browser mehr ins internet. Der pc hat verbindung zum router aber der browser hat keine verbindung. Combofix lief und hat einige dateien gelöscht. darunter unter treiber/dienste: legacy_browserrpcss und service_browserrpcss. in system 32 gelöscht: 2192046697.dat adsnts.ex thumbs.db win.com bei systemstart meldet die ashampoo firewall einen fehler und schliesst sich gleich wieder. bitte genaue anweisung wie ich die browser wieder mit dem internet verbinden lassen. Ich schreibe von meinem handy, also vielleicht gleich mehrere lösungen bitte. |
starte mal den pc neu und schau ob sich das problem dann wieder gegeben hat |
Ich hab schon neu gestartet. Das hilft nicht. Ich schreib vom handy. |
Hallo? Hilft mir jemand heute weiter? Der browser meldet netzwerkproblem, internes kommunikationsproblem, nachdem gestern combofix durchlief. |
wo sind die ganzen otl logs hin? und hast du schon die manuelle reparatur der internetverbindung versucht wie im combofix tutorial beschrieben? unter punkt 5 zu finden |
Zitat:
Die OTL logs habe ich gelöscht den Schritt sind wir ja schon durch. Ich habe die manuelle Reparatur aus dem Combofix versucht, es erscheint folgende Fehlermeldung: "Reperatur fehlgeschlagen. Löschen von NetBT konnte nicht ausgeführt werden." Der PC hat ja Verbindung zum LAN, nur der Browser meldet internes Netzwerkproblem. Hier noch das log von Combofix: Combofix Logfile: Code: ComboFix 10-06-17.03 - Boris 18.06.2010 20:35:30.3.1 - x86 |
naja und, die logs kann ich doch deswegen nicht auswendig... also nicht löschen. sehe es mir jetzt an. |
versuch mal eine neuinstalation deiner firewall. tritt das verbindungsproblem dann immernoch auf? wenn ja, mit allen browsern? |
Super, es geht nun wieder nach Firewall Neuinstallation :) Wie gehts weiter? Was hatte ich da Schädliches auf dem PC? Muß ich mir Sorgen um meine Passwörter machen? |
ok, wunderbar. rechtsklickavira schirm, guard deatktivieren. öffne nun den arbeitzplatz, dort den ordner c: da siehst du nun _otl und qoobox. rechtsklick auf _otl und zu _otl.rar oder zip hinzufügen. das selbe mit qoobox. http://www.trojaner-board.de/54791-a...ner-board.html lad das zu unserem file upload hoch. gib bescheid wenn fertig. danach führe einen gmer scan aus, poste das log. um deine passwörter kümmern wir uns zum schlus! |
Files sind hochgeladen. Starte jetzt GMER. |
Schade, GMER stürzt ab nach etwa 2 Minuten :( So wie im April zu einem anderen Problem, da konnte ich GMER auch nicht komplett durchlaufen lassen weil es immer abstürzte. Und jetzt? Soll ich es mal 2 Minuten bis circa kurz vor dem Absturz laufen lassen und das log hier posten? |
nein, erstelle erst mal ein neues otl.txt wie in meinem ersten posting in diesem thread beschrieben |
Hier ist es: OTL Logfile: Code: OTL logfile created on: 19.06.2010 17:52:22 - Run 3< MD5 for: [2002.01.30 14:49:08 | 000,086,912 | ---- | M] (MICROSOFT CORPORATION) > [2002.01.30 14:49:08 | 000,086,912 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys < MD5 for: [2002.06.27 17:12:22 | 000,047,616 | ---- | M] (MICROSOFT CORPORATION) > [2002.06.27 17:12:22 | 000,047,616 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll < MD5 for: [2002.06.27 17:17:11 | 000,397,824 | ---- | M] (MICROSOFT CORPORATION) > [2002.06.27 17:17:11 | 000,397,824 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll < MD5 for: [2002.06.27 17:19:57 | 000,180,736 | ---- | M] (MICROSOFT CORPORATION) > [2002.06.27 17:19:57 | 000,180,736 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll < MD5 for: [2002.06.27 17:23:10 | 000,022,016 | ---- | M] (MICROSOFT CORPORATION) > [2002.06.27 17:23:10 | 000,022,016 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe < MD5 for: [2002.06.27 17:25:34 | 000,012,032 | ---- | M] (MICROSOFT CORPORATION) > [2002.06.27 17:25:34 | 000,012,032 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys [2002.06.27 17:25:34 | 000,012,032 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < MD5 for: [2004.08.03 22:59:44 | 000,095,360 | ---- | M] (MICROSOFT CORPORATION) > [2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\ERDNT\cache\atapi.sys [2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys [2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\drivers\atapi.sys < MD5 for: [2004.08.03 23:07:42 | 000,042,368 | ---- | M] (MICROSOFT CORPORATION) > [2004.08.03 23:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\ERDNT\cache\agp440.sys [2004.08.03 23:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys [2004.08.03 23:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\drivers\agp440.sys < MD5 for: [2004.08.04 00:57:20 | 000,055,808 | ---- | M] (MICROSOFT CORPORATION) > [2004.08.04 00:57:20 | 000,055,808 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\ERDNT\cache\eventlog.dll [2004.08.04 00:57:20 | 000,055,808 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll [2004.08.04 00:57:20 | 000,055,808 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\eventlog.dll < MD5 for: [2004.08.04 00:57:32 | 000,407,040 | ---- | M] (MICROSOFT CORPORATION) > [2004.08.04 00:57:32 | 000,407,040 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\ERDNT\cache\netlogon.dll [2004.08.04 00:57:32 | 000,407,040 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll [2004.08.04 00:57:32 | 000,407,040 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\netlogon.dll < MD5 for: [2004.08.04 00:57:34 | 000,186,880 | ---- | M] (MICROSOFT CORPORATION) > [2004.08.04 00:57:34 | 000,186,880 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\ERDNT\cache\scecli.dll [2004.08.04 00:57:34 | 000,186,880 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll [2004.08.04 00:57:34 | 000,186,880 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\scecli.dll < MD5 for: [2004.08.04 00:58:18 | 000,025,088 | ---- | M] (MICROSOFT CORPORATION) > [2004.08.04 00:58:18 | 000,025,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\ERDNT\cache\userinit.exe [2004.08.04 00:58:18 | 000,025,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2004.08.04 00:58:18 | 000,025,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\userinit.exe < MD5 for: AGP440.SYS > [2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:AGP440.sys < MD5 for: ATAPI.SYS > [2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:atapi.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2006.06.07 16:07:43 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2006.06.07 16:07:43 | 000,610,304 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2006.06.07 16:07:43 | 000,397,312 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > < End of report > |
hast du malwarebytes genutzt? wenn ja, klicke mal malwarebytes, logdateien und poste das scan log. dann aktualisierung, updaten, dann scanner, komplettscan, funde löschen log posten avira avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
Hier das Malwarebytes Scan von gestern, scanne gerade neu und poste es wohl später, dauert aber ewig: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4052 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 18.06.2010 17:02:04 mbam-log-2010-06-18 (17-02-04).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 123854 Laufzeit: 10 Minute(n), 24 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 6 Infizierte Dateien: 15 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333} (Adware.PredictAd) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e} (Adware.PredictAd) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{0fb6a909-6086-458f-bd92-1f8ee10042a0} (Adware.PredictAd) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0fb6a909-6086-458f-bd92-1f8ee10042a0} (Adware.PredictAd) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0fb6a909-6086-458f-bd92-1f8ee10042a0} (Adware.PredictAd) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\AutocompletePro.DLL (Adware.PredictAd) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions\support@predictad.com (Adware.PredictAd) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\AutocompletePro (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\support@predictad.com (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\support@predictad.com\chrome (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\support@predictad.com\chrome\content (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\support@predictad.com\defaults (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\support@predictad.com\defaults\preferences (Adware.PredictAd) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Programme\AutocompletePro\AcRemoteUpdate.exe (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\AutocompletePro.dll (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\InstTracker.exe (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\TaskScheduler.dll (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\unins000.dat (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\unins000.exe (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\support@predictad.com\chrome.manifest (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\support@predictad.com\install.rdf (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\support@predictad.com\chrome\content\browserOverlay.xul (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\support@predictad.com\chrome\content\options.js (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\support@predictad.com\chrome\content\options.xul (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\support@predictad.com\chrome\content\utils.js (Adware.PredictAd) -> Quarantined and deleted successfully. C:\Programme\AutocompletePro\support@predictad.com\defaults\preferences\predictad.js (Adware.PredictAd) -> Quarantined and deleted successfully. C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\ntuser_mssec.exe (Trojan.VirTool) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Boris\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully. |
ok, jetzt update das programm und scanne noch mal. |
Ja, es läuft schon seit 1h 5 min. |
Während malwarebytes lief meldete AVIRA (noch die Version 9 ) glaube ich 4 Funde, einige im Quarantäneordner, aber einer auch hier :eek: C:\system volume information http://www.abload.de/img/trojanu2rw.png Google meldet da schon ein Plätzchen für Trojaner, aber die Fachleute seid ihr. Hier das neue malwarebytes log: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4216 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 20.06.2010 00:33:14 mbam-log-2010-06-20 (00-33-14).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|) Durchsuchte Objekte: 244559 Laufzeit: 2 Stunde(n), 21 Minute(n), 33 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Soll ich jetzt mit dem Schritt AVIARA 10 fortfahren? Was mich wundert, ich dachte AVIARA sucht sowieso immer im Hintergrund. Aber wie vor paar Monaten meldet AVIRA erst wenn malwarebytes über die files läuft. |
avira durchsucht nicht alle dateien, da malwarebytes auf die dateien zugreift, tut avira das selbe. öffne mal avira, ereignisse und poste die fundmeldungen. dann kannst du auf avira 10 upgraden |
Sehr gerne, hier sind die Funde zw. 29.5. und 19.6. 19.6. In der Datei 'C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP36\A0019385.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\_OTL\MovedFiles\06182010_201053\C_WINDOWS\system32\config\systemprofile\Anwendungsdaten\Usize\iltua.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Agent.147456.I' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\_OTL\MovedFiles\06182010_201053\C_Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Agent.AR.345' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP36\A0019389.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP36\A0019387.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP36\A0019387.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP36\A0019386.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP36\A0019385.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP36\A0019384.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP36\A0019383.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben 19.6. In der Datei 'C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP36\A0019383.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern 16.6. In der Datei 'C:\Dokumente und Einstellungen\Boris\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10.10 März 2010\cache\g_005B\opr0CJIL.tmp' wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden. Ausgeführte Aktion: Zugriff verweigern 29.5. In der Datei 'C:\Dokumente und Einstellungen\Boris\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10.10 März 2010\cache\g_0036\opr09MQD.tmp' wurde ein Virus oder unerwünschtes Programm 'ADWARE/FlvDirect.A.2209' [adware] gefunden. Ausgeführte Aktion: Zugriff verweigern |
ok, dann weiter mit avira 10 |
Sorry, konnte erst jetzt Suchen lassen :rolleyes: Hat was gefunden. Manche Dateien nicht durchsucht, siehe log, soll ich das selbst nochmal machen? Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 25. Juni 2010 19:44 Es wird nach 2270810 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : Computername : Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 17:27:46 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 17:27:48 VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 17:27:48 VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 17:27:48 VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 17:27:48 VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 17:27:48 VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 17:27:48 VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 17:27:48 VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 17:27:49 VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 17:27:49 VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 17:27:49 VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 18:29:16 VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 20:52:07 VBASE018.VDF : 7.10.8.164 2048 Bytes 23.06.2010 20:52:09 VBASE019.VDF : 7.10.8.165 2048 Bytes 23.06.2010 20:52:09 VBASE020.VDF : 7.10.8.166 2048 Bytes 23.06.2010 20:52:09 VBASE021.VDF : 7.10.8.167 2048 Bytes 23.06.2010 20:52:09 VBASE022.VDF : 7.10.8.168 2048 Bytes 23.06.2010 20:52:09 VBASE023.VDF : 7.10.8.169 2048 Bytes 23.06.2010 20:52:09 VBASE024.VDF : 7.10.8.170 2048 Bytes 23.06.2010 20:52:09 VBASE025.VDF : 7.10.8.171 2048 Bytes 23.06.2010 20:52:10 VBASE026.VDF : 7.10.8.172 2048 Bytes 23.06.2010 20:52:11 VBASE027.VDF : 7.10.8.173 2048 Bytes 23.06.2010 20:52:11 VBASE028.VDF : 7.10.8.174 2048 Bytes 23.06.2010 20:52:11 VBASE029.VDF : 7.10.8.175 2048 Bytes 23.06.2010 20:52:11 VBASE030.VDF : 7.10.8.176 2048 Bytes 23.06.2010 20:52:11 VBASE031.VDF : 7.10.8.190 129024 Bytes 25.06.2010 17:41:21 Engineversion : 8.2.4.2 AEVDF.DLL : 8.1.2.0 106868 Bytes 20.06.2010 17:27:56 AESCRIPT.DLL : 8.1.3.33 1356155 Bytes 23.06.2010 20:52:16 AESCN.DLL : 8.1.6.1 127347 Bytes 20.06.2010 17:27:55 AESBX.DLL : 8.1.3.1 254324 Bytes 20.06.2010 17:27:56 AERDL.DLL : 8.1.4.6 541043 Bytes 20.06.2010 17:27:55 AEPACK.DLL : 8.2.2.5 430453 Bytes 23.06.2010 20:52:15 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 20.06.2010 17:27:54 AEHEUR.DLL : 8.1.1.38 2724214 Bytes 23.06.2010 20:52:15 AEHELP.DLL : 8.1.11.6 242038 Bytes 23.06.2010 20:52:13 AEGEN.DLL : 8.1.3.12 377204 Bytes 23.06.2010 20:52:13 AEEMU.DLL : 8.1.2.0 393588 Bytes 20.06.2010 17:27:51 AECORE.DLL : 8.1.15.3 192886 Bytes 20.06.2010 17:27:51 AEBB.DLL : 8.1.1.0 53618 Bytes 20.06.2010 17:27:51 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Laufwerke Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, A:, F:, D:, E:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +PCK, Beginn des Suchlaufs: Freitag, 25. Juni 2010 19:44 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'opera surfen.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FireWall.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'em_exec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'picpick.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MsPMSPSv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CTsvcCDA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WinStylerThemeSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'A:\' [INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1790' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Programme\7-Zip\Uninstall.exe [WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht! C:\Programme\Avidemux 2.5\uninstall.exe [WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht! C:\Programme\FormatFactory\uninst.exe [WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht! C:\Qoobox\Quarantine\C\WINDOWS\system32\adsnts.exe.vir [FUND] Ist das Trojanische Pferd TR/Meredrop.A.11323 C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP20\A0014661.exe [WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht! C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP36\A0019387.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP36\A0019389.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP37\A0019568.exe [FUND] Ist das Trojanische Pferd TR/Meredrop.A.11323 C:\_OTL\MovedFiles\06182010_201053\C_Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe [FUND] Ist das Trojanische Pferd TR/Agent.AR.345 C:\_OTL\MovedFiles\06182010_201053\C_WINDOWS\system32\config\systemprofile\Anwendungsdaten\Usize\iltua.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.147456.I Beginne mit der Suche in 'A:\' Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'F:\' Beginne mit der Suche in 'D:\' Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Desinfektion: C:\_OTL\MovedFiles\06182010_201053\C_WINDOWS\system32\config\systemprofile\Anwendungsdaten\Usize\iltua.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.147456.I [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e3aaca9.qua' verschoben! C:\_OTL\MovedFiles\06182010_201053\C_Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\sisytj32.exe [FUND] Ist das Trojanische Pferd TR/Agent.AR.345 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56ac830b.qua' verschoben! C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP37\A0019568.exe [FUND] Ist das Trojanische Pferd TR/Meredrop.A.11323 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '043ed9da.qua' verschoben! C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP36\A0019389.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '62099618.qua' verschoben! C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP36\A0019387.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '278dbb26.qua' verschoben! C:\Qoobox\Quarantine\C\WINDOWS\system32\adsnts.exe.vir [FUND] Ist das Trojanische Pferd TR/Meredrop.A.11323 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '585b8973.qua' verschoben! Ende des Suchlaufs: Freitag, 25. Juni 2010 21:47 Benötigte Zeit: 2:02:24 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 12567 Verzeichnisse wurden überprüft 431153 Dateien wurden geprüft 6 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 6 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 431147 Dateien ohne Befall 5350 Archive wurden durchsucht 4 Warnungen 6 Hinweise |
nein, ist ok, spiele jetzt den internetexplorer 8 + servicepack 3 auf. berichte dann, wie der pc läuft |
muss das sein mit dem explorer 8, aus anderen gründen als zum surfen? Ich nutze gerne opera. |
Hallo. Muß das sein mit dem Explorer 8? Ich nutze Opera und Firefox. |
ja. einige windows programme greifen auf bestandteile des ie's zu und er muss aktuell sein! |
Lieber Helfer. Erst mal Entschuldigung, dass ich mich jetzt erst wieder melde. Das Installieren des SP3 hat mich abgeschreckt, da ich Bammel hatte, nach dem Update des SP3 würde mein PC wieder nicht gehen weil etwas wie so oft nach updates schief geht. Nachdem ich nun aber wieder Malwarebefall hatte, und malwarebytes und Antivir Dinge fanden, und TROTZDEM mein PC immer noch verseucht zu sein scheint, hab ich nun SP3 und IE8 installiert. Funktioniert zum Glück alles. Ich habe nun ein paar Fragen und nummeriere diese am Besten zur Übersichtlichkeit: 1. Hatte im XP die autom. updates stets deaktiviert. Nun, nach SP3 & Sicherheitsupdate/Patch für Media Player (WindowsXP-WindowsMedia-KB973540-x86-DEU.exe) für SP3, sagt mir autom. Updates, es will 82 Updates durchführen. Soll ich die alle annehmen zum updaten? Diese sind: [*]Update für Windows*XP (KB968389)[*]Sicherheitsupdate für Windows XP (KB923561)[*]Sicherheitsupdate für Windows XP (KB954154)[*]Update für Microsoft XML Core Services 4.0 Service Pack 2 (KB973688)[*]Sicherheitsupdate für Microsoft XML Core Services 4.0 Service Pack 2 (KB954430)[*]Sicherheitsupdate für Windows XP (KB956802)[*]Microsoft .NET Framework*3.5 SP1- und .NET Framework 2.0 SP2-Sicherheitsupdate für Windows 2000, Windows Server*2003 und Windows*XP x86 (KB979909)[*]Sicherheitsupdate für Windows XP (KB955069)[*]Sicherheitsupdate für Windows XP (KB958644)[*]Sicherheitsupdate für Jscript*5.8 für Windows*XP (KB971961)[*]Microsoft .NET Framework*3.5 SP1-Update für Windows Server*2003 und Windows*XP x86 (KB982168)[*]Sicherheitsupdate für Windows XP (KB975562)[*]Sicherheitsupdate für Windows XP (KB973815)[*]Sicherheitsupdate für Windows XP (KB960803)[*]Sicherheitsupdate für Windows XP (KB978706)[*]Sicherheitsupdate für Windows XP (KB979482)[*]Sicherheitsupdate für Windows XP (KB979309)[*]Sicherheitsupdate für Windows XP (KB970238)[*]Sicherheitsupdate für Windows XP (KB978542)[*]Sicherheitsupdate für Windows XP (KB951748)[*]Sicherheitsupdate für Windows XP (KB977914)[*]Sicherheitsupdate für Windows XP Service Pack 3 (KB952069)[*]Sicherheitsupdate für Windows XP (KB981332)[*]Sicherheitsupdate für Windows XP (KB954459)[*]Update des Microsoft-Browserauswahlbildschirms für EEA-Benutzer von Windows XP (KB976002)[*]Sicherheitsupdate für Windows XP (KB974392)[*]Update für Windows Media Player 11 unter Windows XP (KB939683)[*]Kumulatives Sicherheitsupdate für ActiveX Killbits für Windows XP (KB950760)[*]Update für Windows XP (KB967715)[*]Sicherheitsupdate für Windows XP (KB973904)[*]Sicherheitsupdate für Windows Media-Format-Laufzeitkomponente*9, 9.5 und 11 für Windows XP SP3 (KB978695)[*]Update für Windows XP (KB952287)[*]Sicherheitsupdate für Windows XP (KB979559)[*]Sicherheitsupdate für Windows XP (KB978601)[*]Update für Windows XP (KB981793)[*]Sicherheitsupdate für Windows XP (KB950762)[*]Update für Windows XP (KB973687)[*]Sicherheitsupdate für Windows XP (KB977816)[*]Sicherheitsupdate für Windows XP mit Windows Media Format Runtime 9.5 und 11 (KB941569)[*]Sicherheitsupdate für Windows XP (KB973507)[*]Sicherheitsupdate für Windows XP (KB975560)[*]Sicherheitsupdate für Windows XP (KB974571)[*]Sicherheitsupdate für Windows XP (KB952004)[*]Sicherheitsupdate für Windows*XP (KB975025)[*]Sicherheitsupdate für Windows XP (KB973869)[*]Update für .NET Framework 3.5 Service Pack 1 für .NET Framework Assistant 1.0 x86 (KB963707)[*]Sicherheitsupdate für Windows*XP (KB975561)[*]Microsoft .NET Framework*2.0 Service Pack*2-Update für Windows Server*2003 und Windows*XP x86 (KB976576)[*]Sicherheitsupdate für Windows XP (KB961501)[*]Sicherheitsupdate für Windows XP (KB956844)[*]Sicherheitsupdate für Windows XP (KB956572)[*]Sicherheitsupdate für Windows XP (KB974112)[*]Update für die Microsoft .NET Framework 3.5 Service Pack 1- und .NET Framework 3.5-Produktfamilie für die .NET-Versionen 2.0 bis 3.5 (KB951847) x86[*]Sicherheitsupdate für Windows XP (KB956744)[*]Sicherheitsupdate für Windows XP (KB972270)[*]Sicherheitsupdate für Windows XP (KB960225)[*]Sicherheitsupdate für Windows Media-Format-Laufzeitkomponente*9, 9.5 und 11 für Windows*XP*SP*3 (KB954155)[*]Update für Windows XP (KB961118)[*]Sicherheitsupdate für Windows XP (KB978338)[*]Sicherheitsupdate für Windows XP (KB971657)[*]Sicherheitsupdate für Windows XP (KB975713)[*]Sicherheitsupdate für Windows XP (KB978037)[*]Sicherheitsupdate für Windows XP (KB950974)[*]Sicherheitsupdate für Windows XP (KB2229593)[*]Sicherheitsupdate für Windows XP (KB969059)[*]Update für Windows XP (KB951978)[*]Sicherheitsupdate für Windows XP (KB974318)[*]Update für Windows XP (KB955759)[*]Microsoft .NET Framework*1.1 SP1-Sicherheitsupdate für Windows 2000 und Windows XP (KB979906)[*]Sicherheitsupdate für Windows XP (KB980232)[*]Kumulatives Sicherheitsupdate für ActiveX Killbits für Windows XP (KB980195)[*]Sicherheitsupdate für Windows XP (KB958869)[*]Update für Windows XP (KB976662)[*]Sicherheitsupdate für Windows XP (KB979683)[*]Sicherheitsupdate für Windows XP (KB971468)[*]Microsoft .NET Framework*2.0 Service Pack*2, Sicherheitsupdate für Windows*2000, Windows Server*2003 und Windows*XP (KB974417)[*]Sicherheitsupdate für Windows XP (KB960859)[*]Sicherheitsupdate für Windows XP (KB956803)[*]Sicherheitsupdate für Windows XP (KB946648)[*]Sicherheitsupdate für Windows XP (KB959426)[*]Sicherheitsupdate für Windows XP (KB952954)[*]Sicherheitsupdate für Windows XP (KB951376)[*]Sicherheitsupdate für Windows XP (KB980218) 2. Wieso ich denke daß mein PC trotz Ausführens und Bereinigens durch malwarebytes & Antivir immer noch verseucht ist: Hier sieht man, was das Programm TCPview alles an Verbindungen anzeigt, die wildesten Dinge wie ich finde. Meist von services.exe ausgeführt. Ein googlen identifizierte z.Bsp. eine dieser urls als spammailer. Was mich am Meisten wundert: Selbst wenn ich die Ashampoo Firewall auf totalen Verbinsungsstop stelle, verbinden sich diese Dinge irgendwie. Wenn ich "services.exe manuell beende, fährt der PC autom. runter. Ist mein PC ein sogenannter Zombie? http://www.abload.de/img/v60d9x.png http://www.abload.de/img/v55dht.png http://www.abload.de/img/v4tcgj.png 3. Sollte mal nach Deiner Hilfe mal wieder alles bereinigt sein, was sollte ich tun, um solche Verseuchungen zu vermeiden? 3.1. Ich habe mir überlegt auf Linux umzusteigen. Hilft das? Ist Ich spiele nicht, surfe aber viel und Bisschen Office. Ist Linux wirklich nicht so anfällig für malware? 3.2. Oder kann ich auf meinem System etwa 2 Partitionen anlegen für 2 XP betriebssysteme? So dass wenn das eine verseucht ist, ich auf das andere switche, und das verseuchte einfach platt mache und neu aufsiele. Aber funktioniert das überhaupt? Was muß ich hier beachten, in Bezug auf die Anwendungsdaten vom Browser, etc.? Kann ich z.Bsp. alle "Nicht Windows" Daten a la Browser und ander PROGRAMME auf einer extra Partition/externen festplatte speichern, sodass diese nicht verseucht werden? das wäre echt praktisch. So würde ich nur ststs eines der beiden eventuell verseuchtes XP neu machen müssen. 3.3. Beim surfen fragt meine Firewall oft zum Öffnen von diversen PORTS. Kommen die Schädlinge so auf meinen Rechner? Sollte ich mich auf einige bestimmte freigegebene Ports beschränken? 3.4. Ich bin stets als Administrator angemeldet...ich weiß das ist blöd...kann das allein den malwarebefall erklären? Wäre es denn ohne Adminrechte angemeldet so viel besser? 3.5. Ich habe stets den task "Googleupdate" am Laufen, obwohl ich das im Autostart-Menü abgestellt habe. Wie kann das sein? 4. Hier sind die logs von malwarebytes und Antivir von VOR dem update auf SP3: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4334 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 21.07.2010 13:56:22 mbam-log-2010-07-21 (13-56-22).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 135837 Laufzeit: 10 Minute(n), 39 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 7 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\spool\prtprocs\w32x86\cotelunaoteunaa.dll (Search.Hijackerer) -> No action taken. Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(default) (Backdoor.Bot) -> Bad: (C:\WINDOWS\system32\oteunaotetea.dll) Good: (webcheck.dll) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\spool\prtprocs\w32x86\cotelunaoteunaa.dll (Search.Hijackerer) -> No action taken. C:\Dokumente und Einstellungen\Boris\Anwendungsdaten\1018178370 (Search.Hijackerer) -> No action taken. C:\Dokumente und Einstellungen\Boris\Anwendungsdaten\1316920432 (Search.Hijackerer) -> No action taken. C:\WINDOWS\system32\oteunaotetea.dll (Search.Hijackerer) -> No action taken. C:\Dokumente und Einstellungen\Boris\Anwendungsdaten\avdrn.dat (Malware.Trace) -> No action taken. C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\dhxiuw.dat (Malware.Trace) -> No action taken. C:\Dokumente und Einstellungen\Boris\Startmenü\Programme\Autostart\srvklw32.exe (Trojan.Agent) -> No action taken. =========================================================== Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4334 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 21.07.2010 14:28:09 mbam-log-2010-07-21 (14-28-09).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 135698 Laufzeit: 8 Minute(n), 46 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ======================================================== Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4334 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 21.07.2010 17:47:33 mbam-log-2010-07-21 (17-47-33).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 259742 Laufzeit: 2 Stunde(n), 33 Minute(n), 52 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 76 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP44\A0020735.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP44\A0020771.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP44\A0020791.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP44\A0020816.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP44\A0020909.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP44\A0020845.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP44\A0020881.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP44\A0020895.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP44\A0020920.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP45\A0020999.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP45\A0021184.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP45\A0021105.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP45\A0021131.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP45\A0021145.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP45\A0021171.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP46\A0021208.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP46\A0021268.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP46\A0021298.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP46\A0021319.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP48\A0021422.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP48\A0021458.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP48\A0021491.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP48\A0021507.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP48\A0021600.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP48\A0021551.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP48\A0021566.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP48\A0022618.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP49\A0022661.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP49\A0022702.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP49\A0022725.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP49\A0022761.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP49\A0022762.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP49\A0022763.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP49\A0022799.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP49\A0022827.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP49\A0022856.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP49\A0022871.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP49\A0022928.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0022970.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0022983.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0023032.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0023046.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0023090.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0023105.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0023131.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0023204.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0023162.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0023163.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0023231.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0023244.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0023292.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0023326.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0023354.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP50\A0023390.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP51\A0023409.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP51\A0023483.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP51\A0023517.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP51\A0023585.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP51\A0023612.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP51\A0023626.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP51\A0023661.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP51\A0023717.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP52\A0023761.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP52\A0023790.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023832.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023848.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023878.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023899.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023889.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023979.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023934.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023950.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023958.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023970.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023996.dll (Search.Hijackerer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023997.dll (Search.Hijackerer) -> Quarantined and deleted successfully. ================================================================= Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 21. Juli 2010 10:25 Es wird nach 2369320 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 17:27:46 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 17:27:48 VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 17:27:48 VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 17:27:48 VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 17:27:48 VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 17:27:48 VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 17:27:48 VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 17:27:48 VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 17:27:49 VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 17:27:49 VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 17:27:49 VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 18:29:16 VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 20:52:07 VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 17:41:19 VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 18:59:53 VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 17:41:19 VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 17:41:21 VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 17:41:20 VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 17:41:18 VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 17:41:30 VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 21:08:09 VBASE026.VDF : 7.10.9.112 155136 Bytes 19.07.2010 17:41:22 VBASE027.VDF : 7.10.9.113 2048 Bytes 19.07.2010 17:41:22 VBASE028.VDF : 7.10.9.114 2048 Bytes 19.07.2010 17:41:23 VBASE029.VDF : 7.10.9.115 2048 Bytes 19.07.2010 17:41:23 VBASE030.VDF : 7.10.9.116 2048 Bytes 19.07.2010 17:41:23 VBASE031.VDF : 7.10.9.126 117248 Bytes 20.07.2010 17:41:24 Engineversion : 8.2.4.22 AEVDF.DLL : 8.1.2.0 106868 Bytes 20.06.2010 17:27:56 AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 20.07.2010 17:41:46 AESCN.DLL : 8.1.6.1 127347 Bytes 20.06.2010 17:27:55 AESBX.DLL : 8.1.3.1 254324 Bytes 20.06.2010 17:27:56 AERDL.DLL : 8.1.8.2 614772 Bytes 20.07.2010 17:41:42 AEPACK.DLL : 8.2.3.2 471414 Bytes 20.07.2010 17:41:39 AEOFFICE.DLL : 8.1.1.7 201081 Bytes 20.07.2010 17:41:38 AEHEUR.DLL : 8.1.2.6 2793846 Bytes 20.07.2010 17:41:37 AEHELP.DLL : 8.1.13.2 242039 Bytes 20.07.2010 17:41:29 AEGEN.DLL : 8.1.3.15 385396 Bytes 20.07.2010 17:41:27 AEEMU.DLL : 8.1.2.0 393588 Bytes 20.06.2010 17:27:51 AECORE.DLL : 8.1.16.2 192887 Bytes 20.07.2010 17:41:27 AEBB.DLL : 8.1.1.0 53618 Bytes 20.06.2010 17:27:51 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +PCK, Beginn des Suchlaufs: Mittwoch, 21. Juli 2010 10:25 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\PROVIDUSSTD\MSSQLServer\uptime_time_utc [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\type [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\start [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\errorcontrol [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\group [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\group HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\o2nfdkrl [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\px2vohc1 [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\y7h4kg3ho [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet004\Services\kvohosz\type [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet004\Services\kvohosz\start [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet004\Services\kvohosz\errorcontrol [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet004\Services\kvohosz\o2nfdkrl [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet004\Services\kvohosz\px2vohc1 [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet004\Services\kvohosz\y7h4kg3ho [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet004\Services\NtmsSvc\Config\Standalone\drivelist [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'FireWall.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'em_exec.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'picpick.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '87' Modul(e) wurden durchsucht Durchsuche Prozess 'MsPMSPSv.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'HPZipm12.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdate.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'FsUsbExService.Exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'CTsvcCDA.exe' - '11' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '150' Modul(e) wurden durchsucht Durchsuche Prozess 'WinStylerThemeSvc.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '15' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1814' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Dokumente und Einstellungen\Boris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\45\6e4f9eed-3c0a9281 [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.S --> dev/s/AdgredY.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.S --> dev/s/DyesyasZ.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.R --> dev/s/LoaderX.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1 C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023946.sys [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023957.bat [FUND] Enthält Erkennungsmuster des Batch-Virus BAT/Delfiles.116 C:\WINDOWS\system32\drivers\kvohosz.sys [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen C:\WINDOWS\system32\drivers\mtdvle.sys [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen Beginne mit der Desinfektion: C:\WINDOWS\system32\drivers\mtdvle.sys [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e707021.qua' verschoben! C:\WINDOWS\system32\drivers\kvohosz.sys [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56f85430.qua' verschoben! C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023957.bat [FUND] Enthält Erkennungsmuster des Batch-Virus BAT/Delfiles.116 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '04640578.qua' verschoben! C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023946.sys [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '62534aba.qua' verschoben! C:\Dokumente und Einstellungen\Boris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\45\6e4f9eed-3c0a9281 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '27db67f1.qua' verschoben! Ende des Suchlaufs: Mittwoch, 21. Juli 2010 13:05 Benötigte Zeit: 2:11:40 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 13226 Verzeichnisse wurden überprüft 442111 Dateien wurden geprüft 7 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 5 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 442104 Dateien ohne Befall 5359 Archive wurden durchsucht 0 Warnungen 4 Hinweise 485154 Objekte wurden beim Rootkitscan durchsucht 16 Versteckte Objekte wurden gefunden ======================================================== Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 21. Juli 2010 17:05 Es wird nach 2369320 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 17:27:46 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 17:27:48 VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 17:27:48 VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 17:27:48 VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 17:27:48 VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 17:27:48 VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 17:27:48 VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 17:27:48 VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 17:27:49 VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 17:27:49 VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 17:27:49 VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 18:29:16 VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 20:52:07 VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 17:41:19 VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 18:59:53 VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 17:41:19 VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 17:41:21 VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 17:41:20 VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 17:41:18 VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 17:41:30 VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 21:08:09 VBASE026.VDF : 7.10.9.112 155136 Bytes 19.07.2010 17:41:22 VBASE027.VDF : 7.10.9.113 2048 Bytes 19.07.2010 17:41:22 VBASE028.VDF : 7.10.9.114 2048 Bytes 19.07.2010 17:41:23 VBASE029.VDF : 7.10.9.115 2048 Bytes 19.07.2010 17:41:23 VBASE030.VDF : 7.10.9.116 2048 Bytes 19.07.2010 17:41:23 VBASE031.VDF : 7.10.9.126 117248 Bytes 20.07.2010 17:41:24 Engineversion : 8.2.4.22 AEVDF.DLL : 8.1.2.0 106868 Bytes 20.06.2010 17:27:56 AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 20.07.2010 17:41:46 AESCN.DLL : 8.1.6.1 127347 Bytes 20.06.2010 17:27:55 AESBX.DLL : 8.1.3.1 254324 Bytes 20.06.2010 17:27:56 AERDL.DLL : 8.1.8.2 614772 Bytes 20.07.2010 17:41:42 AEPACK.DLL : 8.2.3.2 471414 Bytes 20.07.2010 17:41:39 AEOFFICE.DLL : 8.1.1.7 201081 Bytes 20.07.2010 17:41:38 AEHEUR.DLL : 8.1.2.6 2793846 Bytes 20.07.2010 17:41:37 AEHELP.DLL : 8.1.13.2 242039 Bytes 20.07.2010 17:41:29 AEGEN.DLL : 8.1.3.15 385396 Bytes 20.07.2010 17:41:27 AEEMU.DLL : 8.1.2.0 393588 Bytes 20.06.2010 17:27:51 AECORE.DLL : 8.1.16.2 192887 Bytes 20.07.2010 17:41:27 AEBB.DLL : 8.1.1.0 53618 Bytes 20.06.2010 17:27:51 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4c5ad39a\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +PCK, Beginn des Suchlaufs: Mittwoch, 21. Juli 2010 17:05 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FireWall.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'em_exec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'picpick.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MsPMSPSv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FsUsbExService.Exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CTsvcCDA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WinStylerThemeSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023977.sys' C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023977.sys [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e33ac4c.qua' verschoben! Ende des Suchlaufs: Mittwoch, 21. Juli 2010 17:06 Benötigte Zeit: 00:47 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 39 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 38 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. ==================================================== Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 21. Juli 2010 18:12 Es wird nach 2452715 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 17:27:46 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 17:27:48 VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 17:27:48 VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 17:27:48 VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 17:27:48 VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 17:27:48 VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 17:27:48 VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 17:27:48 VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 17:27:49 VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 17:27:49 VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 17:27:49 VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 18:29:16 VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 20:52:07 VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 17:41:19 VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 18:59:53 VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 17:41:19 VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 17:41:21 VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 17:41:20 VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 17:41:18 VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 17:41:30 VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 21:08:09 VBASE026.VDF : 7.10.9.133 630784 Bytes 20.07.2010 16:10:52 VBASE027.VDF : 7.10.9.141 421376 Bytes 21.07.2010 16:10:55 VBASE028.VDF : 7.10.9.148 355328 Bytes 21.07.2010 16:11:01 VBASE029.VDF : 7.10.9.149 2048 Bytes 21.07.2010 16:11:01 VBASE030.VDF : 7.10.9.150 2048 Bytes 21.07.2010 16:11:01 VBASE031.VDF : 7.10.9.151 2048 Bytes 21.07.2010 16:11:01 Engineversion : 8.2.4.26 AEVDF.DLL : 8.1.2.0 106868 Bytes 20.06.2010 17:27:56 AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 20.07.2010 17:41:46 AESCN.DLL : 8.1.6.1 127347 Bytes 20.06.2010 17:27:55 AESBX.DLL : 8.1.3.1 254324 Bytes 20.06.2010 17:27:56 AERDL.DLL : 8.1.8.2 614772 Bytes 20.07.2010 17:41:42 AEPACK.DLL : 8.2.3.2 471414 Bytes 20.07.2010 17:41:39 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21.07.2010 16:11:04 AEHEUR.DLL : 8.1.2.6 2793846 Bytes 20.07.2010 17:41:37 AEHELP.DLL : 8.1.13.2 242039 Bytes 20.07.2010 17:41:29 AEGEN.DLL : 8.1.3.17 385396 Bytes 21.07.2010 16:11:04 AEEMU.DLL : 8.1.2.0 393588 Bytes 20.06.2010 17:27:51 AECORE.DLL : 8.1.16.2 192887 Bytes 20.07.2010 17:41:27 AEBB.DLL : 8.1.1.0 53618 Bytes 20.06.2010 17:27:51 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +PCK, Beginn des Suchlaufs: Mittwoch, 21. Juli 2010 18:12 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\PROVIDUSSTD\MSSQLServer\uptime_time_utc [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\type [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\start [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\errorcontrol [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\group [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\group HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\o2nfdkrl [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\px2vohc1 [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kvohosz\y7h4kg3ho [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet004\Services\kvohosz\type [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet004\Services\kvohosz\start [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet004\Services\kvohosz\errorcontrol [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet004\Services\kvohosz\o2nfdkrl [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet004\Services\kvohosz\px2vohc1 [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet004\Services\kvohosz\y7h4kg3ho [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet004\Services\NtmsSvc\Config\Standalone\drivelist [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'FireWall.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'em_exec.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'picpick.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '120' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'MsPMSPSv.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'HPZipm12.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdate.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '83' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'FsUsbExService.Exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'CTsvcCDA.exe' - '11' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '152' Modul(e) wurden durchsucht Durchsuche Prozess 'WinStylerThemeSvc.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '15' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1812' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023998.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\WINDOWS\system32\drivers\kvohosz.sys [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen Beginne mit der Desinfektion: C:\WINDOWS\system32\drivers\kvohosz.sys [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [WARNUNG] Die Datei konnte nicht gelöscht werden! [WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Ein an das System angeschlossenes Gerät funktioniert nicht. C:\System Volume Information\_restore{34BB435A-FC55-45E2-90A3-252DD27D7EEF}\RP53\A0023998.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '563ace7a.qua' verschoben! Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben. Ende des Suchlaufs: Mittwoch, 21. Juli 2010 21:08 Benötigte Zeit: 2:12:29 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 13231 Verzeichnisse wurden überprüft 441757 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 441755 Dateien ohne Befall 5339 Archive wurden durchsucht 1 Warnungen 1 Hinweise 484863 Objekte wurden beim Rootkitscan durchsucht 16 Versteckte Objekte wurden gefunden Avira AntiVir Personal HERZLICHEN DANK FÜR'S LESEN UND HELFEN!!! |
windows updates sind natürlich wichtig. jedes dieser updates bedeutet mindestens eine potentielle lücke, durch die ein schadprogram eingeschläust werden kann. ich würde einfach komplett neu aufsetzen und dann von forn anfangen, und zwar mit immer geupdatetem systgem, nicht unbedingt als admin surfen, linux ist auch ne idee ubuntu wäre da was für dich denke ich. google könnte noch unter den diensten laufen welchen sinn hat es, ein ifniziertes windows auf irgend ner partition liegen zu haben... nimmt doch nur platz weg, linux und windows sollten aber paralel laufen können auf 2 partitionen und das ist nicht so malware anfällig, bzw sagen wirs mal so, kein malware autor interessiert sich für linux, das wird auch noch ein grund dafür sein. |
Zitat:
Wird da gerade über meinen PC frählich gemaiilt? Ich mu mir erst ne externe FP besorgen um Daten zu sichern. Dann mach ich alles neu. Bis dahin will ich aber den Scheiss vom System haben, wenigstens dass was sich ständig ununterbrochen verbindet, siehe screenshots. Und nochmal zu der firewall: hier sieht man dass die Firewall eigentlich alles blockt...aber trotzdem gibt es Vrebindungen, siehe hier: http://www4.pic-upload.de/22.07.10/wof5vlv89mz8.png |
hab ne augenkrankheit, kann daher nichts auf screenshots erkennen, aber ich glaub tcp view erstellt doch auch logfiles die man als txt speichern kann und die kannst du hier anhängen. |
Zitat:
sqlservr.exe:1768 UDP *:* svchost.exe:1196 UDP *:* lsass.exe:736 UDP *:* svchost.exe:1196 UDP *:* svchost.exe:1196 UDP *:* svchost.exe:1196 UDP *:* mDNSResponder.exe:1480 UDP *:* svchost.exe:1196 UDP *:* svchost.exe:1080 UDP *:* svchost.exe:1196 UDP *:* svchost.exe:1080 UDP *:* mDNSResponder.exe:1480 UDP *:* mDNSResponder.exe:1480 UDP *:* svchost.exe:1196 UDP *:* svchost.exe:1196 UDP *:* svchost.exe:1196 UDP *:* opera surfen.exe:3652 UDP *:* lsass.exe:736 UDP *:* SYSTEM:4 UDP *:* opera surfen.exe:3652 UDP *:* svchost.exe:1196 UDP *:* [System Process]:0 TCP ww-in-f27.1e100.net:smtp TIME_WAIT [System Process]:0 TCP bw-in-f27.1e100.net:smtp TIME_WAIT services.exe:724 TCP smtp1.infineon.com:smtp CLOSING services.exe:724 TCP 89-96-254-99.ip2.fastwebnet.it:smtp CLOSING services.exe:724 TCP paris.evalice.net:smtp CLOSING jqs.exe:1640 TCP localhost:2997 CLOSE_WAIT services.exe:724 TCP smtp3.farmersinsurance.com:smtp FIN_WAIT2 services.exe:724 TCP gate1.ird.govt.nz:smtp FIN_WAIT1 services.exe:724 TCP post10.itau.com.br:smtp FIN_WAIT1 opera surfen.exe:3652 TCP rover-eu.intl.ebay.com:http ESTABLISHED opera surfen.exe:3652 TCP fx-in-f109.1e100.net:993 ESTABLISHED opera surfen.exe:3652 TCP fx-in-f109.1e100.net:993 ESTABLISHED opera surfen.exe:3652 TCP fx-in-f109.1e100.net:993 ESTABLISHED opera surfen.exe:3652 TCP fx-in-f109.1e100.net:993 ESTABLISHED opera surfen.exe:3652 TCP fx-in-f109.1e100.net:993 ESTABLISHED opera surfen.exe:3652 TCP fx-in-f109.1e100.net:993 ESTABLISHED opera surfen.exe:3652 TCP h-62.141.63.149.keyweb.de:http ESTABLISHED opera surfen.exe:3652 TCP bw-in-f104.1e100.net:http ESTABLISHED opera surfen.exe:3652 TCP www-13-02-ash2.facebook.com:http ESTABLISHED opera surfen.exe:3652 TCP a92-123-72-129.deploy.akamaitechnologies.com:http ESTABLISHED services.exe:724 TCP smtp.imvp.ru:smtp ESTABLISHED services.exe:724 TCP itd09.intakt.net:smtp ESTABLISHED services.exe:724 TCP www50.your-server.de:smtp ESTABLISHED services.exe:724 TCP mail2.przedstawiciel.ingbank.pl:smtp ESTABLISHED services.exe:724 TCP smtp03.cidc.telus.com:smtp ESTABLISHED services.exe:724 TCP 74.125.47.27:smtp ESTABLISHED services.exe:724 TCP mail.ipasme.gov.ve:smtp ESTABLISHED services.exe:724 TCP post10.itau.com.br:smtp SYN_SENT services.exe:724 TCP mails.itok.com:smtp SYN_SENT mDNSResponder.exe:1480 TCP j-xxxxxxxxxx:0 LISTENING |
die meisten scheinen ok, was ist zb das kennst du das hxtp://farmersinsurance.com/ |
Zitat:
Das macht alles dieses services.exe aus system32. Hier mal 2 Minuten Verbindungen zusammengetragen: services.exe:724 TCP 200.155.89.112:smtp LAST_ACK services.exe:724 TCP 200-155-89-112.bradesco.com.br:smtp LAST_ACK services.exe:724 TCP 204.11.209.99:smtp FIN_WAIT1 services.exe:724 TCP 207.217.125.16:smtp LAST_ACK services.exe:724 TCP 207.217.125.17:smtp LAST_ACK services.exe:724 TCP 64.142.123.42:smtp ESTABLISHED services.exe:724 TCP 67.38.97.220:smtp SYN_SENT services.exe:724 TCP adsl-76-227-201-154.dsl.chcgil.sbcglobal.net:smtp SYN_SENT services.exe:724 TCP avemail.interlink2k.com:smtp SYN_SENT services.exe:724 TCP bdfmail1.bdfnet.com:smtp ESTABLISHED services.exe:724 TCP bkeys.com:smtp FIN_WAIT1 services.exe:724 TCP bkmxvir.messagescreen.com:smtp SYN_SENT services.exe:724 TCP bretmichaels.propagation.net:smtp FIN_WAIT1 services.exe:724 TCP clusterb.mailcontroller.co.uk:smtp ESTABLISHED services.exe:724 TCP deltamail.hhservers.net:smtp SYN_SENT services.exe:724 TCP e24smtp02.br.ibm.com:smtp FIN_WAIT1 services.exe:724 TCP iw-in-f27.1e100.net:smtp SYN_SENT services.exe:724 TCP mail.broadlogic.com:smtp ESTABLISHED services.exe:724 TCP mail.global.frontbridge.com:smtp ESTABLISHED services.exe:724 TCP mail.greynium.com:smtp ESTABLISHED services.exe:724 TCP mail3.americantilesupply.com:smtp ESTABLISHED services.exe:724 TCP mailac.bartonhealth.org:smtp CLOSING services.exe:724 TCP mailin.kpnxchange.com:smtp ESTABLISHED services.exe:724 TCP margot.us.mensa.org:smtp ESTABLISHED services.exe:724 TCP mc.mx.aol.com:smtp ESTABLISHED services.exe:724 TCP mx2932.godns.net:smtp SYN_SENT services.exe:724 TCP mxl145v2.mxlogic.net:smtp SYN_SENT services.exe:724 TCP ns01.broadband.hu:smtp ESTABLISHED services.exe:724 TCP ns1.orbcp3.co.uk:smtp LAST_ACK services.exe:724 TCP s5.virus-check-server.net:smtp ESTABLISHED services.exe:724 TCP server51.appriver.com:smtp CLOSING services.exe:724 TCP server93.appriver.com:smtp CLOSING services.exe:724 TCP smtp.br-inc.com:smtp SYN_SENT services.exe:724 TCP smtp.rossi1924.it:smtp ESTABLISHED services.exe:724 TCP smtp.sysco.com:smtp CLOSING services.exe:724 TCP text.esams.wikimedia.org:http CLOSE_WAIT services.exe:724 TCP www.sittersplace.com:smtp FIN_WAIT1 Was geht da vor sich? |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix mal sehen obs was neues zeigt |
Zitat:
Combofix lief, letzte Stufe die ich sah war 50 oder so. Dann startete System neu als ich nicht hinsah, aber nirgendwo ein log file nach dem hochfahren :( Altes Problem mit der firewall von Ashampoo war wieder da, hab sie wie damals deinstalliert um wieder online gehn zu können. drwtsn32.exe lief ständig und blockierte wohl alles andere, hab es manuell beendet. Noch was: jedes mal wenn ich combofix bisher gestratet habe, meldet es OBWOHL der ANTIVIR GUARD DEAKTIVIERT IST, dass ANTIVIR GUARD noch läuft, und es nun auf verantwortung des users wenn man weiter klickt trotzdem anläuft. Also beim letzten mal vor paar wochen hat das gut funktioniert. Dann kamen nach dem Neustart noch diese Fehlermeldungen, ich hoffe Du kannst es sehn. http://www.abload.de/img/f129t9.png http://www.abload.de/img/f2exl1.png http://www.abload.de/img/f3pa3l.png Was mach ich denn nun, kein log da :( |
nutze mal drweb cureit: http://www.trojaner-board.de/59299-a...eb-cureit.html bitte den scan der zu beginn startet abbrechen, dann konfigurieren, und dnn den scan starten, das log kannst du, falls zu lang, hier hochladen: File-Upload.net |
Zitat:
|
ja genauso :-) |
Zitat:
Mir fiel auf, daß Fragen zu services.exe und massenhafte smtp Verbindungen hier auf dem Board schon öfter gestellt wurden, und diese dann immer versandet sind/nicht gelöst wurden :( Es steht außer Frage daß es sich um einen mailbot handelt. Da nun Combofix und Dr.web cureit, sowie malwarebytes versagten, und auch Du schon die für mich unverständliche Aussage zu den von mir nicht gewollten brachtest "die meisten scheinen ok", sollte man die Sache doch mal anders angehen, mit den richtigen Tools und der richtigen Betrachtungsweise des Problems, nämlich Rootkit & mailbot als Problem....denn momentan sind stest ca. 100 smtp Verbindungen am laufen... Was meinst Du? Hier das log 043ed9da.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\043ed9da.qua;BackDoor.IRC.Nite.60;; 043ed9da.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4e3aaca9.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4e3aaca9.qua;Trojan.Packed.20343;; 4e3aaca9.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4e7636be.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4e7636be.qua;Trojan.Packed.20343;; 4e7636be.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 4e763fee.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4e763fee.qua;Trojan.Botnetlog.126;; 4e763fee.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 56ac830b.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\56ac830b.qua;Trojan.Botnetlog.126;; 56ac830b.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; 585b8973.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\585b8973.qua;BackDoor.IRC.Nite.60;; 585b8973.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.; HDCleaner.EXE;C:\Programme\HDCleaner;Wahrscheinlich DLOADER.PWS.Trojan;Nicht desinfizierbar.Verschoben.; pv.exe;C:\Programme\PacificPoker;Program.PrcView.3725;Nicht desinfizierbar.Verschoben.; BSLITEINSTALL525.exe\data016;C:\Starts\BSLITEINSTALL525.exe;Adware.SearchAid.40;; BSLITEINSTALL525.exe;C:\Starts;Container enthält infizierte Objekte;Verschoben.; |
ok, bitte trenne die internetverbindung, immer wenn du hier nicht im forum aktiev sein musst. sonst sperrt dir dein provider den zugang. besorge dir natürlich die externe festplatte. nutze radix: Radix Antirootkit - Download - CHIP Online schalte alles an laufenden programmen ab, trenne die internetverbindung, auf der registerkarte 1-klick-wartung, aktiviere alles. starte den scan. der log wird warscheinlich recht groß, lad ihn hier hoch: File-Upload.net und poste den download link. |
Ich ließ die Internetverbindung während des scans an, da der Spamversand bzw. services.exe nur dann läuft. Das hier fiel mir schon mal auf: kvohosz Es wurden 2 versteckte Registry Einträge gelöscht, 1 ließ sich nicht löschen. http://www.abload.de/img/fradixzuk5.png Aber services.exe sendet munter weiter :mad: Vielleicht services.exe direkt löschen? Oder den Dienst nur ausschalten Kann ich nicht im Router Menü erst mal irgendwelche (alle?) Ports sperren, sodaß ich nur noch einfach mit dem Browser surfen kann solange, etwa mit Port 80? Hier das log: http://www.file-upload.net/download-...pload.txt.html |
ANLEITUNG FÜR VORLÄUFIGES ABSTELLEN DER SMTP VERBINDUNGEN Dazu habe ich mir die Sygate Firewall installiert. -Nach Installation dem Neustart zustimmen -Firewall fragt nach dem Hochfahren unter anderem nach Erlaubnis für servixes.exe, ABLEHNEN Nun sendet service.exe zwar noch alle Minute SYN_SENT an http, aber es sind keine zig SMTP Verbindungen mehr pausenlos offen. Ich weiß nicht ob da wirklich was rausgeht, da es erst grün ist, dann wieder ohne Farbhintergrund, dann ca. 10 sek. später rot. SYN_SENT bedeutet wohl Verbindungsversuch. Kann jemand was dazu sagen? http://www.abload.de/img/sfwblzhft.png |
start programme zubehör, editor, kopiere rein: Stepdel:: Killall:: Rootkit:: C:\WINDOWS\system32\drivers\kvohosz.sys Driver:: kvohosz datei speichern unter, name cfscript.txt speicherort, dort wo combofix.exe gespeichert ist, ziehe cfscript auf combofix, programm startet, log posten. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board