Live Messenger Trojaner/Wurm

Firemox · 01.07.2007, 01:19

Heey Leute,

hab mir leider nen Wurm über den Live Messenger eingfangen.

Hab ne Nachricht bekommen, "Hier mein heißes Fotoshooting" Und ein zip file zum verschicken.
Im ZIP-Archiv befand sich eine .scr datei.

Und nun verschickt sich nach ner weile der Wurm in MSN immer weiter.
Hab auch das gefühl, dass mein Sys eingebremst wird.
Dies geschieht durch die lsass.exe die ab und zu über 50% der CPU beansprucht!
Außerdem find ich im Task-Manager eine retadpu420.exe zweimal!! vor, die sich zwar beenden lässt, aber nach ner weile wieder erscheint!

Hier mal der Hijack Log:

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

**Sunny** · 01.07.2007, 08:22

Hallo und im Trojaner Board!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:

Datenträgerbereinigung

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.

Gruß
Sunny

Firemox · 01.07.2007, 23:52

ComboFix 07-06-18.2 - C:\Dokumente und Einstellungen\Firemox\Desktop\ComboFix.exe
"Firemox" - 2007-07-02 0:47:15 - Service Pack 2 NTFS

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\retadpu420.exe
C:\WINDOWS\wr.txt

((((((((((((((((((((((((( Files Created from 2007-06-01 to 2007-07-01 )))))))))))))))))))))))))))))))

2007-07-02 00:37 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-07-01 02:26 10,830 --a------ C:\DOKUME~1\Firemox\sewqls.exe
2007-07-01 02:16 10,830 --a------ C:\DOKUME~1\Firemox\iqunbd.exe
2007-07-01 02:13 10,830 --a------ C:\DOKUME~1\Firemox\ficijw.exe
2007-07-01 02:12 10,830 --a------ C:\DOKUME~1\Firemox\yrfwgb.exe
2007-07-01 02:03 10,830 --a------ C:\DOKUME~1\Firemox\csoscc.exe
2007-07-01 02:02 10,830 --a------ C:\DOKUME~1\Firemox\lwbqdn.exe
2007-07-01 01:56 10,830 --a------ C:\DOKUME~1\Firemox\tgaxps.exe
2007-07-01 01:52 10,830 --a------ C:\DOKUME~1\Firemox\fafzpx.exe
2007-07-01 01:44 10,830 --a------ C:\DOKUME~1\Firemox\lgpxmb.exe
2007-07-01 01:39 10,830 --a------ C:\DOKUME~1\Firemox\ncpvto.exe
2007-07-01 01:38 24,040 --a------ C:\WINDOWS\system32\sysprinters.dll
2007-06-27 23:25 <DIR> d-------- C:\Downloads
2007-06-26 20:23 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2007-06-26 20:21 <DIR> d-------- C:\Programme\MSBuild
2007-06-26 20:21 <DIR> d-------- C:\Programme\Microsoft Works
2007-06-26 20:19 <DIR> d-------- C:\Programme\Microsoft.NET
2007-06-26 20:16 <DIR> d-------- C:\Programme\Microsoft Visual Studio 8
2007-06-26 20:15 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-06-26 20:13 <DIR> dr-h----- C:\MSOCache
2007-06-26 20:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help
2007-06-26 17:31 <DIR> d-------- C:\temp\FR80PE
2007-06-26 17:31 <DIR> d-------- C:\temp
2007-06-22 13:22 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-06-22 13:22 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-06-22 13:22 43,528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-06-22 13:22 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-06-22 13:22 <DIR> d-------- C:\Programme\Winamp
2007-06-14 13:03 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2007-06-12 13:17 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-06-12 13:17 208,248 --a------ C:\WINDOWS\system32\muweb.dll
2007-06-11 23:59 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller
2007-06-11 23:59 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\WindowsLiveInstaller
2007-06-11 16:33 <DIR> d-------- C:\DOKUME~1\Firemox\ANWEND~1\Windows Desktop Search
2007-06-11 16:32 <DIR> d-------- C:\Programme\Windows Desktop Search
2007-06-04 01:29 <DIR> d-------- C:\Programme\Windows Live

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-01 18:28:35 384 ----a-w C:\WINDOWS\system32\DVCStateBkp-{00000005-00000000-00000008-00001102-00000004-20021102}.dat
2007-07-01 18:28:35 384 ----a-w C:\WINDOWS\system32\DVCState-{00000005-00000000-00000008-00001102-00000004-20021102}.dat
2007-06-30 16:22:02 -------- d-----w C:\DOKUME~1\Firemox\ANWEND~1\Xfire
2007-06-28 17:05:43 -------- d-----w C:\DOKUME~1\Firemox\ANWEND~1\OpenOffice.org2
2007-06-25 17:04:12 -------- d-----w C:\DOKUME~1\Firemox\ANWEND~1\Hamachi
2007-06-25 16:19:31 25,544 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-06-21 19:55:48 -------- d-----w C:\Programme\Opera
2007-06-21 19:52:24 -------- d-----w C:\DOKUME~1\Firemox\ANWEND~1\uTorrent
2007-06-19 12:08:40 -------- d-----w C:\Programme\MSN Messenger
2007-06-11 14:32:47 84,802 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-06-11 14:32:47 440,282 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-06-04 22:35:58 -------- d-----w C:\DOKUME~1\Firemox\ANWEND~1\Skype
2007-05-30 13:09:18 -------- d-----w C:\Programme\Bonjour
2007-05-30 12:59:03 -------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared
2007-05-29 00:10:34 -------- d-----w C:\DOKUME~1\Firemox\ANWEND~1\vlc
2007-05-28 22:39:50 -------- d-----w C:\Programme\VideoLAN
2007-05-17 13:24:00 -------- d-----w C:\DOKUME~1\Firemox\ANWEND~1\Ahead
2007-05-17 11:09:54 51,568 ----a-w C:\WINDOWS\system32\sirenacm.dll
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-14 13:01:21 -------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2007-05-07 13:54:18 -------- d-----w C:\DOKUME~1\Firemox\ANWEND~1\Vso
2007-05-05 15:52:43 -------- d-----w C:\Programme\SFT Loader
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-09 15:36:56 77,312 ----a-w C:\WINDOWS\system32\TWAIN_32.DLL
2007-04-09 15:36:56 69,632 ----a-w C:\WINDOWS\system32\TWUNK_32.EXE
2007-04-09 15:36:56 48,560 ----a-w C:\WINDOWS\system32\TWUNK_16.EXE

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 00:48]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 14:22]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="atiptaxx.exe" [2006-02-22 03:05 C:\WINDOWS\system32\atiptaxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 12:20 C:\WINDOWS\SOUNDMAN.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 14:03]
"LClock"="C:\Programme\LClock\LClock.exe" [2004-09-20 02:27]
"CTSysVol"="C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 11:43]
"CTDVDDET"="C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-18 02:00]
"SBDrvDet"="C:\Programme\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 19:06]
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2005-11-02 17:56]
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2005-11-02 17:42]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 15:44 C:\WINDOWS\KHALMNPR.Exe]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2005-01-18 17:47]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2005-01-18 17:37]
"DAEMON Tools"="M:\Programme\DAEMON Tools\daemon.exe" [2006-09-14 22:09]
"RemoteCenter"="" []
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteCenter"="C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe" [2003-10-08 17:35]
"Steam"="" []
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [2006-11-22 16:54]
"LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2005-01-18 17:07]
"RemoteControl"="" []
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-05-17 13:11]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"="C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-10-19 14:53]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"="C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [2006-10-27 00:48]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"{F72CCA51-3994-41E0-98B4-714A8FC5B34B}"="sysprinters.dll" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\WdfLoadGroup]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]
CTHELPER.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FinePrint Dispatcher v5]
"C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
"C:\Programme\HP\hpcoretech\hpcmpmgr.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
"C:\Programme\HP\HP Software Update\HPWuSchd.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
C:\Programme\Logitech\Video\ManifestEngine.exe boot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"M:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sunkist2k]
C:\Programme\Multimedia Card Reader\shwicon2k.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
C:\WINDOWS\UpdReg.EXE

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-02 00:48:56
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-02 0:49:42
C:\ComboFix-quarantined-files.txt ... 2007-07-02 00:49

--- E O F ---

Hiruma · 01.07.2007, 23:59

ja ich hab genau das gleiche problem diese BDS/Bifrose.NU heiss das ding und ich hab schon alles versucht geht aber nicht, hab im internet gesucht und da wurde mir gesagt dass ich
systemwiederherstellung deaktivieren-> neustart->av-scanner alles durchchecken->systemwiederherstellung wieder aktivieren, muss und das tat ich auch, danach hat sich das ganze erst ma für paar stunden beruhigt aber grad eben hats plötzlich wieder angefangen und diesma noch heftiger...ich lösch diese virus datei immer wieder aber die taucht nach ner weile immer und immer wieder neu auf unter nem neuen name...

Firemox · 02.07.2007, 00:36

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.9
Sprache: German
C:\DOKUME~1\Firemox\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (2.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (3.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (2.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with wareout Adware (3.dat)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Firemox\csoscc.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Agent.bls" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Firemox\fafzpx.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Agent.bls" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Firemox\ficijw.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Agent.bls" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Firemox\iqunbd.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Agent.bls" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Firemox\lgpxmb.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Agent.bls" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Firemox\lwbqdn.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Agent.bls" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Firemox\ncpvto.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Agent.bls" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Firemox\sewqls.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Agent.bls" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Firemox\tgaxps.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Agent.bls" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Firemox\yrfwgb.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Agent.bls" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Firemox\Desktop\CryptLoad0.8second.Captcha.Update\CryptLoad0.8second\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Firemox\Desktop\Crypt_Load_0.8.2.rar/Crypt Load 0.8.2\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Firemox\Desktop\Fritz!Box_reconnect\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
File C:\WINDOWS\system32\closeapp.exe markiert als "not-a-virus:RiskTool.Win32.CloseApp.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\vimc.exe//WISE0005.BIN markiert als "not-a-virus:RiskTool.Win32.CloseApp.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Firemox\Desktop\CryptLoad0.8second.Captcha.Update\CryptLoad0.8second\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Firemox\Desktop\Crypt_Load_0.8.2.rar/Crypt Load 0.8.2\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Firemox\Desktop\Fritz!Box_reconnect\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Firemox\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\Dokumente und Einstellungen\Firemox\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\2.dat
Offending file found: C:\Dokumente und Einstellungen\Firemox\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat
Offending file found: C:\Dokumente und Einstellungen\Firemox\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Offending file found: C:\Dokumente und Einstellungen\Firemox\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\2.dat
Offending file found: C:\Dokumente und Einstellungen\Firemox\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Firemox\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\MSOCache\All Users\{90120000-00A1-0407-0000-0000000FF1CE}-C\OnoteLR.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 117516
Gefundene Viren: 31
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 81
Dauer des Scans bisher: 00:34:28
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 1:34:34,84
Batchende: 1:34:46,12

Hab den Scan nach ner halben stunde abgebrochen, weil ich jezz schlafen geh^^

Live Messenger Trojaner/Wurm

Plagegeister aller Art und deren Bekämpfung: Live Messenger Trojaner/Wurm