hallo,

ich hab seit heute ein neues virenprogramm, das bei der ersten prüfung gleich mehrere viren gefunden hat. ich wusste jetzt allerdings nicht, was ich mit den gefundenen viren machen soll (ob ich sie einfach löschen lassen kann vom programm oder nicht), hab sie daher in quarantäne geschickt. hier ist das ergebnis der virenprüfung:

Code: Alles auswählenAufklappen

ATTFilter

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 18. Dezember 2007  19:05

Es wird nach 980683 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Benutzername:     SYSTEM
Computername:     ----

Versionsinformationen:
BUILD.DAT    : 270           15603 Bytes  19.09.2007 13:29:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23.08.2007 13:16:24
AVSCAN.DLL   : 7.0.6.0       57384 Bytes  14.08.2007 15:48:28
LUKE.DLL     : 7.0.5.3      147496 Bytes  14.08.2007 15:32:43
LUKERES.DLL  : 7.0.6.0       10792 Bytes  14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14.12.2007 18:03:45
ANTIVIR2.VDF : 7.0.1.96       2048 Bytes  14.12.2007 18:03:45
ANTIVIR3.VDF : 7.0.1.117    109568 Bytes  18.12.2007 18:03:45
AVEWIN32.DLL : 7.6.0.45    3084800 Bytes  18.12.2007 18:03:45
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26.02.2007 10:36:23
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18.07.2007 07:16:50
AVREP.DLL    : 7.0.0.1      155688 Bytes  16.04.2007 13:16:24
AVPACK32.DLL : 7.3.0.15     360488 Bytes  03.08.2007 08:46:00
AVREG.DLL    : 7.0.1.6       30760 Bytes  18.07.2007 07:17:02
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18.07.2007 07:10:14
NETNT.DLL    : 7.0.0.0        7720 Bytes  08.03.2007 11:09:03
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07.08.2007 12:37:51
RCTEXT.DLL   : 7.0.62.0      90152 Bytes  21.08.2007 12:50:28
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: I:, 
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 18. Dezember 2007  19:05

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Persbackup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NvMixerTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Disk_Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '35' Prozesse mit '35' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [HINWEIS]   Es wurde kein Virus gefunden!
Bootsektor 'I:\'
      [HINWEIS]   Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '31' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Chiligreen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\7836d960-33c8d983
  [0] Archivtyp: ZIP
  --> BnnnnBaa.class
      [FUND]      Ist das Trojanische Pferd TR/Java.Downloader.Gen
  --> VaannnaaBaa.class
      [FUND]      Ist das Trojanische Pferd TR/ClassLoader
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479b0cdf.qua' verschoben!
C:\Spiele\Super Mario World\supermarioworld.exe
      [FUND]      Enthält Erkennungsmuster des Droppers DR/Delf.O.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d81481.qua' verschoben!
C:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP462\A0175991.exe
      [FUND]      Enthält Erkennungsmuster des Droppers DR/Delf.O.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479915e2.qua' verschoben!
Beginne mit der Suche in 'I:\' <LaCie>
I:\LwC\Dokumente und Einstellungen\Chiligreen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\7836d960-33c8d983.gz
  [0] Archivtyp: GZ
    --> 7836d960-33c8d983
      [1] Archivtyp: ZIP
      --> BnnnnBaa.class
          [FUND]      Ist das Trojanische Pferd TR/Java.Downloader.Gen
      --> VaannnaaBaa.class
          [FUND]      Ist das Trojanische Pferd TR/ClassLoader
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479b1a13.qua' verschoben!
I:\LwC\Dokumente und Einstellungen\Chiligreen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\7836d960-33c8d983
  [0] Archivtyp: ZIP
  --> BnnnnBaa.class
      [FUND]      Ist das Trojanische Pferd TR/Java.Downloader.Gen
  --> VaannnaaBaa.class
      [FUND]      Ist das Trojanische Pferd TR/ClassLoader
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479b1a18.qua' verschoben!
I:\LwC\Spiele\Super Mario World\supermarioworld.exe.gz
  [0] Archivtyp: GZ
  --> supermarioworld.exe
      [FUND]      Enthält Erkennungsmuster des Droppers DR/Delf.O.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d82bd0.qua' verschoben!
I:\LwC\Spiele\Super Mario World\supermarioworld.exe
      [FUND]      Enthält Erkennungsmuster des Droppers DR/Delf.O.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d82bd3.qua' verschoben!


Ende des Suchlaufs: Dienstag, 18. Dezember 2007  21:33
Benötigte Zeit:  2:27:23 min

Der Suchlauf wurde vollständig durchgeführt.

  13198 Verzeichnisse wurden überprüft
 2059970 Dateien wurden geprüft
      7 Viren bzw. unerwünschte Programme wurden gefunden
      3 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      7 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 2059963 Dateien ohne Befall
  81087 Archive wurden durchsucht
      2 Warnungen
     63 Hinweise
         

hier füge ich noch das hijack- logfile an. könntet ihr euch das bitte mal ansehen und mir vielleicht weiterhelfen??? das wär echt super...

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 21:42:52, on 18.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\system32\ctfmon.exe
I:\Personal Backup 4\Persbackup.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\downloads programme\Hijack\hijackthis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Persbackup.lnk = I:\Personal Backup 4\Persbackup.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://safe.tele2.com/inc/accounthelper.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C52965E-04C8-4316-85FD-DEFCBA09CAE7}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe
         

vielen dank!!!!
lg

Hallo.

Da sind ein paar Treffer im Java-Cache Ordner. Wie gefährlich die Dinger sind, kann ich jetzt nicht einschätzen, hängt davon ab, welche Webseiten, die Java erfordern aufrufst bzw. welche Javaapplets du ausführst und welche Javaversion du einsetzt. In den alten Versionen wurden nämlich einige Sicherheitslücken gefunden. Das Risiko minderst du nicht nur das das zeitnahe Einspielen von Updates für Java, sondern auch durch den Verzicht auf Adminrechte. Wenn du Firefox verwendest wäre die Verwendung von Noscript sehr zu empfehlen.

Code: Alles auswählenAufklappen

ATTFilter

I:\LwC\Spiele\Super Mario World\supermarioworld.exe.gz
         

Wo hast du diese supermarioworld her?
Wenn ich das richtig gesehen habe, wurde die auch in Quarantäne geschickt...aber was wirklich schlimmes wurde da anscheinend nicht vom AntiVir gefunden.

Dein HJT-Log sieht soweit auch okay aus, du hast aber die alte Version benutzt. Erstell am besten nochmal ein neues Logfile mit der aktuellen Version, nimm am besten dazu diese umbenannte hijackthis.exe, dann sehen wir weiter.

hallo,

vielen dank für deine antwort!!!!!

ich wollte das aktuelle logfile erstellen - nachdem ich mir aber das programm von deinem link heruntergeladen habe, kam beim starten folgende meldung:
"'name des programmes' ist keine zulässige win32-anwendung"... was mach ich denn jetzt??

wie kann ich denn das java updaten?? hab leider nicht so viel ahnung, wie das gehen könnte...

supermarioworld ist ein spiel, ich hab das schon ewig (seit jahren), war eine freeware von einem freund - und ich gebe zu, dass ich das ab und an spiele ;-), deswegen ist es jetzt auch auf diesem pc wieder installiert (bei dem ausschnitt, den du kopiert hast, ist es allerdings auf laufwerk i - "i" ist die 2. festplatte, die ich seit kurzem habe, damit ich eine datensicherung durchführen kann - dann müsste das zeug, was auch immer es ist, ja eigentlich auch auf c sein...?)

wenn ich jetzt das nächste mal einen virenscan mache, kann ich dann die gefundenen objekte löschen lassen oder könnte da eventuell was passieren?

vielen dank!!!!!
lg

Zitat:

"'name des programmes' ist keine zulässige win32-anwendung"... was mach ich denn jetzt??

Hm, du bist der erste der bei meinem hjt-Link dieses Problem hat. Speicher es mal über ein Rechtsklick => "Ziel speichern unter" auf dem Desktop und stell sicher, dass diese Datei (abc123.com) auch eine Größe von 392 KB (401.720 Bytes) hat. Dann sollte das eigentlich problemlos klappen.

Zitat:

wie kann ich denn das java updaten?? hab leider nicht so viel ahnung, wie das gehen könnte...

Das ist nicht weiter schwierig. Lad dir von hier die aktuelle Version 6 Update 3 herunter. Deinstalliere dann unter Systemsteuerung => Software sämtliche alte Versionen von Java und installiere dann die neue. Dann hast du nur noch die aktuelle drauf.

Wenn du schon beim Updaten bist: Lad dir auch gleich den aktuellsten Flashplayer runter, ältere Versionen vom FP haben ebenfalls Sicherheitslücken.

Zitat:

wenn ich jetzt das nächste mal einen virenscan mache, kann ich dann die gefundenen objekte löschen lassen oder könnte da eventuell was passieren?

So einfach löschen sollte man nicht, es kann immer mal passieren, dass der Virenscanner einen Fehlalarm erzeugt und dann aus Versehen eine wichtige legitime Datei gelöscht wird, die in Wirklichkeit garnicht verseucht ist. Daher lieber genauer hinschauen und im Zweifelsfall bei Virustotal auswerten und/oder hier im Board nachfragen.

hallo,

vielen dank für deine antwort!!!
ich hab alle updates durchgeführt und diesmal hat auch das logfile geklappt - ich poste es hier:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:48:08, on 21.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
I:\Personal Backup 4\Persbackup.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Chiligreen\Desktop\abc123.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Persbackup.lnk = I:\Personal Backup 4\Persbackup.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://safe.tele2.com/inc/accounthelper.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C52965E-04C8-4316-85FD-DEFCBA09CAE7}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8981 bytes
         

was mach ich denn jetzt wegen diesen virenmeldungen von meinem programm??

dankeschön,
lg

Das HJT-Log sieht sauber aus. Aber:

Zitat:

C:\Programme\Internet Explorer\iexplore.exe

Den Internet Explorer solltest du besser nicht verwenden. Richte dir einen sichereren Alternativbrowser wie z.B. Firefox oder Opera ein.

Jetzt kommt die Feinanalyse, da im HJT-Log offensichtlich nichts zu finden ist. Führ dazu mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

* Blacklight
* eScan
* Silentrunners
* combofix

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

hallo,

vielen dank für deine antwort, ich poste mal, was ich bisher habe, der letzte scan hat nämlich fast 5 stunden gedauert...

also, hier mal silent runners:

Code: Alles auswählenAufklappen

ATTFilter

 "Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"Disk Monitor" = "C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe" ["Neodio Corp."]
"NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot" ["RealNetworks, Inc."]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]
"Symantec PIF AlertEng" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"" ["Symantec Corporation"]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Windows Live Sign-in Helper"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {HKLM...CLSID} = "DesktopContext Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {HKLM...CLSID} = "Desktop Explorer"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {HKLM...CLSID} = "nView Desktop Context Menu"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {HKLM...CLSID} = "NVIDIA CPL Extension"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"
                   \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
  -> {HKLM...CLSID} = "Meine freigegebenen Ordner"
                   \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser"
  -> {HKLM...CLSID} = "Nokia Phone Browser"
                   \InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}" = "All To WMA Converter"
  -> {HKLM...CLSID} = "WMAExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
  -> {HKLM...CLSID} = "Microsoft Office Outlook"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
  -> {HKLM...CLSID} = "ZLAVShExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
  -> {HKLM...CLSID} = "WPDShServiceObj Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WMAShellExt\(Default) = "{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}"
  -> {HKLM...CLSID} = "WMAExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
  -> {HKLM...CLSID} = "ZLAVShExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WMAShellExt\(Default) = "{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}"
  -> {HKLM...CLSID} = "WMAExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
  -> {HKLM...CLSID} = "ZLAVShExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoActiveDesktop" = (REG_BINARY) hex:00 00 00 00
{Disable Active Desktop}

"NoSaveSettings" = (REG_DWORD) dword:0x00000000
{Don't save settings at exit}

"ClearRecentDocsOnExit" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Chiligreen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Chiligreen" & "All Users" startup folders:
------------------------------------------------------------

C:\Dokumente und Einstellungen\Chiligreen\Startmenü\Programme\Autostart
"Persbackup" -> shortcut to: "I:\Personal Backup 4\Persbackup.exe /auto" ["J. Rathlev, IEAP, Uni-Kiel"]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{F2CF5485-4E02-4F68-819C-B92DE9277049}"
  -> {HKLM...CLSID} = "&Links"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [MS]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
  -> {HKLM...CLSID} = "Easy-WebPrint"
                   \InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "&Recherchieren"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL" [MS]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{03C1C47F-0538-4645-8372-D3109B9FC636}\(Default) = "Easy-WebPrint"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B205A35E-1FC4-4CE3-818B-899DBBB3388C}\

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Automatisches LiveUpdate - Scheduler, Automatisches LiveUpdate - Scheduler, ""C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"]
Cyberlink RichVideo Service(CRVS), RichVideo, ""C:\Programme\CyberLink\Shared Files\RichVideo.exe"" [empty string]
LiveUpdate Notice Service, LiveUpdate Notice Service, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll"" ["Symantec Corporation"]
Messenger USN Journal Reader-Service für freigegebene Ordner, usnjsvc, ""C:\Programme\MSN Messenger\usnsvc.exe"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
ServiceLayer, ServiceLayer, ""C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe"" ["Nokia."]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor iP4200\Driver = "CNMLM78.DLL" ["CANON INC."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2007-12-23 01:05:21)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 142 seconds.
---------- (total run time: 198 seconds)
         

Blacklight hat nichts gefunden

und hier escan:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK 
    
eScan Version: 9.6.3 
Sprache: German 
Virus-Datenbank Datum: 12/19/2007  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "spyshield Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "spyshield Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "funwebproducts Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "topsearch Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. 
 System found infected with ezula Spyware/Adware (amazon.com.url)! Action taken: Keine Aktion vorgenommen. 
 System found infected with ezula Spyware/Adware (internet.url)! Action taken: Keine Aktion vorgenommen. 
 System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/nosavesettings)! Action taken: Keine Aktion vorgenommen. 
 System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/noactivedesktop)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
 Datei C:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP433\A0149183.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP461\A0175523.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP462\A0176409.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei I:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP462\A0175992.exe//Stream//data0001//UPX infiziert von "Trojan-Clicker.Win32.Delf.dx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei I:\LwC\norton\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei I:\LwC\Programme\Norton SystemWorks\Norton AntiVirus\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
 File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\704E3EC7.exe//CryptFF//PE_Patch.PFD//PE-Crypt.PFD//UPX markiert als "not-a-virus:AdWare.Win32.Bestofer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Programme\MSN Messenger\riched20.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP467\A0177613.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Vollversionen\FileSplitter\ashampoo_filesplitterjoiner210_w.exe//WISE0119.BIN//stream//data0006 markiert als "not-a-virus:AdWare.Win32.SearchIt.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File I:\LwC\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\704E3EC7.exe.gz//704E3EC7.exe//CryptFF//PE_Patch.PFD//PE-Crypt.PFD//UPX markiert als "not-a-virus:AdWare.Win32.Bestofer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File I:\LwC\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\704E3EC7.exe//CryptFF//PE_Patch.PFD//PE-Crypt.PFD//UPX markiert als "not-a-virus:AdWare.Win32.Bestofer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File I:\LwC\Programme\MSN Messenger\msimg32.dll.gz//msimg32.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File I:\LwC\Programme\MSN Messenger\riched20.dll.gz//riched20.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File I:\LwC\Programme\MSN Messenger\msimg32.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File I:\LwC\Programme\MSN Messenger\riched20.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File I:\LwC\Vollversionen\FileSplitter\ashampoo_filesplitterjoiner210_w.exe.gz//ashampoo_filesplitterjoiner210_w.exe//WISE0119.BIN//stream//data0006 markiert als "not-a-virus:AdWare.Win32.SearchIt.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File I:\LwC\Vollversionen\FileSplitter\ashampoo_filesplitterjoiner210_w.exe//WISE0119.BIN//stream//data0006 markiert als "not-a-virus:AdWare.Win32.SearchIt.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
 Offending file found: C:\Dokumente und Einstellungen\Chiligreen\Favoriten\amazon.com.url 
 Offending file found: C:\Dokumente und Einstellungen\Chiligreen\Favoriten\tele2\tele2internet\internet.url 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
 Offending Folder found: C:\WINDOWS\cache329 
 Offending Folder found: C:\Dokumente und Einstellungen\Chiligreen\Startmenü\programs\altnet 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\need2findbar uninstall !!! 
 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\tbon !!! 
 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\need2findbar uninstall !!! 
 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\tbon !!! 
 Offending Key found: HKLM\Software\magnet !!! 
 Offending Key found: HKLM\Software\need2find !!! 
 Offending Key found: HKCU\Software\funwebproducts !!! 
 Offending Key found: HKCU\Software\need2find !!! 
 Offending Key found: HKCR\magnet !!! 
 Offending Key found: HKCR\msiede1egate.application.2 !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\downloads programme\abc123.com nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\downloads programme\hijack this_neu.com nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\RegSeeker145.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 I:\LwC\Programme\RegSeeker145.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 284809 
 Gefundene Viren: 35 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 687 
 Dauer des Scans bisher: 04:14:14 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 19:05:50,32 
Batchende: 19:05:58,34
         

dieses programm hat 35 viren und über 600 fehler gefunden....

hallo,

ich wolle jetzt noch ComboFix durchführen, aber wenn ich die downgeloadete datei starten will, kommt wieder die meldung "...ist keine zulässige win32-anwendung".
ich hab auch schon versucht, die datei auf dem desktop zu speichern und dann zu starten, aber da kommt leider die gleiche fehlermeldung...

was soll ich denn jetzt machen??

vielen dank
lg

Der combofix-Link ist mal wieder tot. Lass es daher erstmal weg...

Zitat:

C:\Programme\Adobe\Acrobat 7.0

Adobe hat ein Update verdient. Deinstalliere diese Version und steig auf die aktuelle Version 8.1.1 um oder nimm als Alternative den schlanken Foxit Reader.

Das Silentrunners sieht soweit i.O. aus, eScan hat wieder viele Fehlalarme erzeugt. Werte aber mal diese Dateien bei Virustotal aus und poste die Ergebnisse:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\MSN Messenger\riched20.dll
I:\LwC\Programme\MSN Messenger\msimg32.dll
         

Der Ashampoo-Filesplitter wird von eScan als Adware klassifiziert. Evtl. deinstallierst du das Teil und suchst nach Alternativen...

danke erstmal für die antwort, hier die 1. datei:

Code: Alles auswählenAufklappen

ATTFilter

Datei riched20.dll empfangen 2007.12.23 22:04:30 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 


Ergebnis: 17/32 (53.13%)
Laden der Serverinformationen... 
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 47 und 68 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen. 
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt. 
 Filter Drucken der Ergebnisse  
Datei existiert nicht oder dessen Lebensdauer wurde überschritten 
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 
 Email:  
  

Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2007.12.22.10 2007.12.21 - 
AntiVir 7.6.0.46 2007.12.23 ADSPY/Mywebsearch.A.47 
Authentium 4.93.8 2007.12.23 - 
Avast 4.7.1098.0 2007.12.23 - 
AVG 7.5.0.516 2007.12.23 - 
BitDefender 7.2 2007.12.23 Adware.MyWebSearch.AV 
CAT-QuickHeal 9.00 2007.12.22 AdvWare.ToolBar.MyWebSearch (Not a Virus) 
ClamAV 0.91.2 2007.12.23 Adware.Searchbar-19 
DrWeb 4.44.0.09170 2007.12.23 Adware.Msearch 
eSafe 7.0.15.0 2007.12.23 - 
eTrust-Vet 31.3.5395 2007.12.21 - 
Ewido 4.0 2007.12.23 - 
FileAdvisor 1 2007.12.23 High threat detected 
Fortinet 3.14.0.0 2007.12.23 Adware/MyWebSearch 
F-Prot 4.4.2.54 2007.12.23 W32/Adware.AGJ 
F-Secure 6.70.13030.0 2007.12.23 - 
Ikarus T3.1.1.15 2007.12.23 not-a-virus:AdTool.Win32.MyWebSearch 
Kaspersky 7.0.0.125 2007.12.23 not-a-virus:AdTool.Win32.MyWebSearch 
McAfee 5191 2007.12.21 potentially unwanted program MWS 
Microsoft 1.3109 2007.12.23 - 
NOD32v2 2744 2007.12.23 Win32/FunWeb 
Norman 5.80.02 2007.12.21 - 
Panda 9.0.0.4 2007.12.23 - 
Prevx1 V2 2007.12.23 - 
Rising 20.23.62.00 2007.12.23 - 
Sophos 4.24.0 2007.12.23 MyWebSearch 
Sunbelt 2.2.907.0 2007.12.21 FunWebProducts 
Symantec 10 2007.12.23 - 
TheHacker 6.2.9.168 2007.12.22 Adware/MyWebSearch 
VBA32 3.12.2.5 2007.12.22 AdWare.ToolBar.MyWebSearch 
VirusBuster 4.3.26:9 2007.12.23 - 
Webwasher-Gateway 6.6.2 2007.12.23 Ad-Spyware.Mywebsearch.A.47 
weitere Informationen 
File size: 24576 bytes 
MD5: e9b3073dbf662cae01d79a4bda061018 
SHA1: 23ae964b34ecd915c4146ee46c0224b1d87c680c 
PEiD: - 
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=e9b3073dbf662cae01d79a4bda061018 
Sunbelt info: Fun Web Products bundles adware software in its products.
         

bei der 2. datei hatte ich leider ein paar probleme: ich hatte diese datei 2mal (exakt gleicher name) - laufwerk i ist meine datensicherung, bei der leider irgendetwas schief gegangen ist - dadurch hab ich jetzt viele dateien 2mal...

die erste "version" der msimg32.dll konnte ich leider nicht analysieren, da sie mein virenprogramm sofort in quarantäne verschoben hat.

hier das ergebnis der 2. "version" dieser datei:

Code: Alles auswählenAufklappen

ATTFilter

Datei msimg32.dll.gz empfangen 2007.12.23 22:20:14 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 


Ergebnis: 11/32 (34.38%)
Laden der Serverinformationen... 
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 44 und 63 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen. 
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt. 
 Filter Drucken der Ergebnisse  
Datei existiert nicht oder dessen Lebensdauer wurde überschritten 
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 
 Email:  
  

Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2007.12.22.10 2007.12.21 - 
AntiVir 7.6.0.46 2007.12.23 - 
Authentium 4.93.8 2007.12.23 - 
Avast 4.7.1098.0 2007.12.23 - 
AVG 7.5.0.516 2007.12.23 - 
BitDefender 7.2 2007.12.23 Adware.MyWebSearch.M 
CAT-QuickHeal 9.00 2007.12.22 AdTool.MyWebSearch.au (Not a Virus) 
ClamAV 0.91.2 2007.12.23 - 
DrWeb 4.44.0.09170 2007.12.23 Adware.Funweb 
eSafe 7.0.15.0 2007.12.23 - 
eTrust-Vet 31.3.5395 2007.12.21 - 
Ewido 4.0 2007.12.23 - 
FileAdvisor 1 2007.12.23 - 
Fortinet 3.14.0.0 2007.12.23 W32/MyWebSearch 
F-Prot 4.4.2.54 2007.12.23 W32/HackTool.CEE 
F-Secure 6.70.13030.0 2007.12.23 - 
Ikarus T3.1.1.15 2007.12.23 not-a-virus:AdTool.Win32.MyWebSearch.au 
Kaspersky 7.0.0.125 2007.12.23 not-a-virus:AdTool.Win32.MyWebSearch.au 
McAfee 5191 2007.12.21 potentially unwanted program MWS 
Microsoft 1.3109 2007.12.23 - 
NOD32v2 2744 2007.12.23 - 
Norman 5.80.02 2007.12.21 W32/WebSearch.KS 
Panda 9.0.0.4 2007.12.23 - 
Prevx1 V2 2007.12.23 - 
Rising 20.23.62.00 2007.12.23 - 
Sophos 4.24.0 2007.12.23 MyWebSearch 
Sunbelt 2.2.907.0 2007.12.21 - 
Symantec 10 2007.12.23 - 
TheHacker 6.2.9.168 2007.12.22 - 
VBA32 3.12.2.5 2007.12.22 - 
VirusBuster 4.3.26:9 2007.12.23 - 
Webwasher-Gateway 6.6.2 2007.12.23 Riskware.AdTool.MyWebSearch.AU 
weitere Informationen 
File size: 3650 bytes 
MD5: 62b7d311202fc0003c14b9fe0635c7cd 
SHA1: fd43d805a21caf8e2a8fda6e597466cc8957b02b 
PEiD: -
         

adobe hab ich bereits aktualisiert und Ashampoo-Filesplitter werf ich runter, ich brauch das gar nicht...

dankeschön,
lg

Dann hat sich diese MyWebSearch-Adware irgendwie in den MSN-Ordner eingenistet. Die erwähnten Dateien kannst du löschen.

Was ist denn mit Blacklight und dem Filelisting?

Zitat:

Zitat von cosinus

Dann hat sich diese MyWebSearch-Adware irgendwie in den MSN-Ordner eingenistet. Die erwähnten Dateien kannst du löschen.

meinst du mit löschen die dateien, die ich bei virustotal hab auswerten lassen (will auf keinen fall was falsches löschen...)??


sorry, filelisting hab ich total übersehen - hier der link:

File-Upload.net - Ihr kostenloser File Hoster!


bei blacklight hab ich in irgendeinem vorangegangenen post geschrieben, dass nichts gefunden wurde. brauchst du ein logfile von diesem programm (ich hab diesbezüglich nichts im programm gesehen)?

vielen dank für deine hilfe, das ist echt nett!!
lg

Sieht auch soweit okay aus, hab dort keine verdächtigen Dateien mehr gesehen.
Verhält sich dein System denn mittlerweile wieder normal?