Hallo

Ich hoffe das ich mit meinem Problem im richtigen Bereich bin.

Wenn ich mein AntiVir öffnen will bekomme ich seit gestern folgende Meldung :
C:/Programme/Avira/AntiVir Personal Edition Classic/ avcenter. exe ist keine zulässige Win32 Anwendung.

Was bedeutet das ?
Kann mir jemand helfen ?

MfG

Pizarro

Poste ein HijackThis-Log, Link ist in meiner Signatur. Editiere vorher persönliche Daten nach der Anweisung von GUA. (1. Link im meiner Signatur.)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:49:53, on 20.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fcbayern.t-home.de/de/index.php?fcb_sid=ee6f5a39ae4b901464d46c591180aaa5
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1167507465609
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/l2/bin/cortvrml.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9182 bytes

Hat jemand was gefunden ???

Bei mir gehts wieder.
Ich hab die Datenträgerbereinigung von Windows laufen lassen ,AntiVir deinstalliert und auch die Datei gelöscht.
Dann hab ich mir das Programm nochmal bei Avira geladen und installiert-läuft wieder
Habe die Systemprüfung gemacht. 38 Warnungen die ich in Quarantäne verschoben habe.Was soll ich jetzt machen ? Den Bericht hier rein stellen damit ihr seht was ich alles auf dem Rechner habe ?

Pizarro

Zitat:

Hat jemand was gefunden ???

Ja, nicht aktuelle Programme, bitte aktualisieren: (nicht aktuell sind sie potentielle Sicherheitslücken für Malware!)

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
         

Für Java gibt es das Update 4, und für den Reader die Version 8.1!

Dieses Programm bitte aus dem Autostart nehmen (Eingabeaufforderung: msconfig -6) da es auch aktuell Sicherheitslücken hat:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\QuickTime\qttask.exe" -atboottime
         

Vier kritische Lücken in Apples QuickTime - heise Security

Und ja, poste mal den Bericht!

Wie mache ich das mit Quick Start und dem Autostart ?

Hier der Bericht :

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 20. Januar 2008 21:04



Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: GELITHORSTEN

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 19:50:06
ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 15.01.2008 19:50:06
ANTIVIR3.VDF : 7.0.2.22 257536 Bytes 20.01.2008 19:50:06
AVEWIN32.DLL : 7.6.0.48 3080704 Bytes 20.01.2008 19:50:06
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 20.01.2008 19:50:06
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 20. Januar 2008 21:04

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CapabilityManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtWLan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpotdd01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyLogin.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DevDetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Application Launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '42' Prozesse mit '42' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '33' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\QooBox\Quarantine\catchme2008-01-20_202759.28.zip
[0] Archivtyp: ZIP
--> srosa.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
--> wintems.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4807ac00.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\wintems.exe.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4801ac13.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP209\A0037434.s
ys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac0b.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP210\A0037463.s
ys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac0e.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP210\A0037464.e
xe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac13.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP211\A0037571.s
ys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac18.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP211\A0037572.e
xe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac1a.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP211\A0037573.e
xe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac1c.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP212\A0037580.s
ys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac1f.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP212\A0037581.e
xe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac22.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP212\A0037582.e
xe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac24.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP212\A0037588.s
ys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac27.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP212\A0037589.e
xe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac29.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP212\A0037590.e
xe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac2b.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP212\A0037601.s
ys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac2d.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP212\A0037602.e
xe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac2f.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP212\A0037603.e
xe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac62.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP213\A0037711.s
ys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac67.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP214\A0037821.s
ys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac6b.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP214\A0037822.e
xe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac6e.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP214\A0037823.e
xe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac70.qua' verschoben!
C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP215\A0037841.e
xe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c3ac74.qua' verschoben!
C:\WINDOWS\system32\mdelk.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47f8ada1.qua' verschoben!
C:\WINDOWS\system32\drivers\down\25421.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c7adb4.qua' verschoben!
C:\WINDOWS\system32\drivers\down\27234.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c5adb8.qua' verschoben!
C:\WINDOWS\system32\drivers\down\27609.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c9adbb.qua' verschoben!
C:\WINDOWS\system32\drivers\down\27640.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c9adbd.qua' verschoben!
C:\WINDOWS\system32\drivers\down\27843.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47cbadc1.qua' verschoben!
C:\WINDOWS\system32\drivers\down\32984.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ccadbf.qua' verschoben!
C:\WINDOWS\system32\drivers\down\42671.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c9adc2.qua' verschoben!
C:\WINDOWS\system32\drivers\down\47500.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c8adce.qua' verschoben!
C:\WINDOWS\system32\drivers\down\47796.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47caadd1.qua' verschoben!
C:\WINDOWS\system32\drivers\down\53734.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47caadd6.qua' verschoben!
C:\WINDOWS\system32\drivers\down\55234.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c5add9.qua' verschoben!
C:\WINDOWS\system32\drivers\down\58156.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c4addc.qua' verschoben!
C:\WINDOWS\system32\drivers\down\619859.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bagle.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ccadd5.qua' verschoben!
C:\WINDOWS\system32\drivers\down\656015.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c9adda.qua' verschoben!

Code: Alles auswählenAufklappen

ATTFilter

Wie mache ich das mit Quick Start und dem Autostart ?
         

Start --> Ausführen --> msconfig -6 eingeben --> OK bestätigen

Es öffnet sich das Fenster, in welchem alle Autostarts gelistet sind, den mit QuickTime rausnehmen, wird aber erst nach einem Neustart wirksam.

Bzgl. der Meldungen....

Code: Alles auswählenAufklappen

ATTFilter

C:\System Volume Information\_restore{4E1EF9B8-0CB8-4581-B354-FB9179C7F3BC}\RP211\A0037572.e
xe
         

Restore sind Dateien in der Systemwiederherstellung, Du könntest sie deaktivieren und bist dann den Schädling eventuell los, aber leider ist das nicht sicher.

Der andere Pfad ist im Systemordner von Windows, sollte das zutreffen, hast Du in der Tat ein Problem.

Du könntest die betreffende Datei auch an Avira schicken mit der Bitte, ob die Dir mitteilen, ob es sich wirklich um Malware handelt.

Wie finde ich raus um was es sich handelt ?
Sorry, aber welche Datei soll ich denen schicken ?

Zitat:

Wie finde ich raus um was es sich handelt ?

Das ist nicht so einfach, da es sich bei den Dateien in der Systemwiederherstellung um Teile des Schädlings handelt. Wenn so etwas gefunden wird, also in C:\System Volume Information\_restore...... ist das i. d. R. ein Zeichen dafür, daß der Schädling aktiv war bzw. noch ist. Das bedeutet, daß die Ursprungs-Schaddatei oder andere Malwaredateien noch ganz woanders im System verstreut sein können. Es ist auch möglich, daß diese gar nicht gefunden wurden.

Du könntest noch folgendes probieren:

Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

Versuche das mal mit dem Deaktivieren der Sys-Wiederherstellung im abgesicherten Modus, und poste danach noch mal ein neues Logfile.

Wenn das dann aber auch nichts mehr hilft, würde ich mich mal mit dem Gedanken vertraut machen, die Win-XP-CD bereit zu legen......

Bzgl. der Dateien, die Du an AntiVir senden sollst zwecks Überprüfung auf FP (False Positive)...., ich meinte diese Dateien hier:

TR/Bagle.Gen.B sowie TR/Trash.Gen!

Hallo,
hab ein ähnliches Problem. Bei mir sind noch einige weitere Dateien von der Fehlermeldung: ".....ist keine zulässige Win32 Anwendung" betroffen. u. a. ZoneLabs, Partionmagic....

Systemwiederherstellung funktioniert auch nicht.
Außerdem habe ich nachm hochfahren des PCs nur 5min eine Internetverbindung.
Gibts schon eine Lösung für das Problem?

Grüße
Tobi



PS: Hijackthis hab ich auch durchlaufen lassen:

Logfile of HijackThis v1.99.1
Scan saved at 15:32:50, on 22.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\qip\qip.exe
C:\Dokumente und Einstellungen\Tobi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?sourceid=navclient&hl=de&ie=UTF-8
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.cs.fh-nuernberg.de:3128
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.de/common/asusTek_sys_ctrl.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.de/s/v/22.26/uploader2.cab
O16 - DPF: {B1DE1BE4-AC89-407F-921F-C45C15C8FADB} (xingWebControl.Launcher) - https://www.xing.com/sync/xingWebControl.CAB
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ja, setz neu auf und das Problem ist beseitigt. Das wird zu 95% auch eine Bagle Variante sein.

Das koenntest du mit einem Combofix Report kontrollieren und das wuerde dir auch die noetige Zeit verschaffen, entsprechend Daten zu sichern.

hab meine wichtigen Dateien schon gesichert.
Werde jetzt dann noch meine Emails aus Outlook auf meine externe Platte packen.

Danke für die schnelle Antwort!

Grüße
Tobi