folgendes problem beschäftigt mich...
wenn ich mein Avira starten will kommt folgende fehlermeldung

"C:\Programm Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe ist keine zulässige Win32-Anwendung."

Problem immernoch nach deinstallation und neuinstallation...dann hab ichs mit kaspersky versucht...gleiche meldung...ebenso bei spybot search&destroy...
dann erstmal gegoogelt...schließlich nen online virenscan gemacht...
bericht liegt vor...wer ihn lesen will sagt bitte bescheid...

danach windows im abgesicherten modus gestartet und von dort aus avira laufen lassen gestern und heute auch hier hab ich insgesammt 3 berichte...wer sie lesen will sagt bescheid

wollte nur nicht das der erste beitrag zu lang wird nur das problem grob schildern und dann die einzelheiten besprechen...

hab dann windows wieder normal hochgefahren immernoch das gleiche problem...

ich weiß nicht ob ich überhaupt hier richtig bin oder ob ich woanders hätte posten müßen...bin auf dem ganzen gebiet keine fachfrau..hab keine große ahnung von pc´s und ihren krankheiten,frauen und technik halt

mein rechner : Vista home basic
Hersteller: HP

AMD Athlon(tm) 64 Processor 3500+
2.20 GHz
RAM: 894 MB
32Bit-Betreibsystem

wenn ihr nochetwas wissen möchtet fragt bitte...und sollte ich mal nicht verstehen was IHR meint dann seid mir nicht böse wenn ich nachfrag...bin halt nur ne frau

Hi,

das häuft sich die letzte Zeit und leider gibt es da einen gewissen Verdacht.

Blacklight scannen lassen

• Lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
• Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
• Klicke "I accept the agreement", "next", "Scan".
• wenn der Scan zuende ist, wähle "Close".
• Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis, anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten. Den Inhalt dieser Datei bitte posten.

Und wenn der nichts finden sollte, dann noch die hinterher:

Gmer scannen lassen

• Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Es gibt auch einen Knopf um es direkt abzuspeichern. Mit "Ok" wird GMER beendet.
• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

• Lade dir Catchme runter auf deinen Desktop.
• Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
• Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

Außerdem kannst Du das, was Du bereits an Ergebnissen hast, ebenfalls posten. Dazu noch ein HijackThis Log.

Gruß, Karl

erstmal danke für deine antwort...

hier der bericht vom onlinevirenscan...

BitDefender Online Scanner - Echtzeit-Virenmeldung



Erstellt am: Sun, Jan 20, 2008 - 22:19:48


--------------------------------------------------------------------------------





Prüf-Info



Geprüfte Dateien
318949

Infizierte Dateien
34








Erkannte Viren



Win32.Bagle.SUA@mm
1

Win32.Beagle.FQ
26

Trojan.Bagle.DR
1

Win32.Bagle.STX@mm
4

Win32.Bagle.SUK
2


--------------------------------------------------------

dann der erste von avira im abgesicherten modus...



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 20. Januar 2008 23:31

Es wird nach 835736 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: ***
Plattform: Windows Vista
Windowsversion: (plain) [6.0.6000]
Benutzername: ***
Computername: ***

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 14:26:55
ANTIVIR2.VDF : 7.0.0.1 2048 Bytes 13.09.2007 14:27:04
ANTIVIR3.VDF : 7.0.0.2 2048 Bytes 13.09.2007 14:27:13
AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 17.09.2007 17:43:56
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 20. Januar 2008 23:31

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '16' Prozesse mit '16' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '19' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Program Files\T-DSL SpeedManager\Pcandis5.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\262W6FBN\b64_1[1].jpg
[FUND] Enthält Erkennungsmuster des HEUR-DBLEXT/Crypted-Virus
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c7cf19.qua' verschoben!
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EWGH2CVF\b64_2[1].jpg
[FUND] Enthält Erkennungsmuster des HEUR-DBLEXT/Crypted-Virus
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c7cf22.qua' verschoben!
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EWGH2CVF\b64_3[1].jpg
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde gelöscht.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QZCZQCTH\b64_2[1].jpg
[FUND] Enthält Erkennungsmuster des HEUR-DBLEXT/Crypted-Virus
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c7cf40.qua' verschoben!
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WQWLVZ9I\b64_3[1].jpg
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde gelöscht.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WQWLVZ9I\b64_3[2].jpg
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde gelöscht.
C:\Windows\System32\mdelk.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde gelöscht.
C:\Windows\System32\wintems.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde gelöscht.
C:\Windows\System32\drivers\srosa.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde gelöscht.
C:\Windows\System32\drivers\down\479235.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde gelöscht.
C:\Windows\System32\drivers\down\82586.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde gelöscht.
C:\Windows\System32\drivers\down\95644.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <Recovery>


Ende des Suchlaufs: Montag, 21. Januar 2008 00:00
Benötigte Zeit: 28:22 min

Der Suchlauf wurde vollständig durchgeführt.

12613 Verzeichnisse wurden überprüft
280497 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
3 Dateien wurden als verdächtig eingestuft
9 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
280488 Dateien ohne Befall
2833 Archive wurden durchsucht
2 Warnungen
10 Hinweise
--------------------------------------------
muß leider meine antwort teilen zuviele zeichen...mom bitte

jetzt der zweite von avira...



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 21. Januar 2008 18:15

Es wird nach 835736 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: ***
Plattform: Windows Vista
Windowsversion: (plain) [6.0.6000]
Benutzername: ***
Computername: ***

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 14:26:55
ANTIVIR2.VDF : 7.0.0.1 2048 Bytes 13.09.2007 14:27:04
ANTIVIR3.VDF : 7.0.0.2 2048 Bytes 13.09.2007 14:27:13
AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 17.09.2007 17:43:56
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 21. Januar 2008 18:15

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '16' Prozesse mit '16' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '18' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Program Files\T-DSL SpeedManager\Pcandis5.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EWGH2CVF\b64_3[1].jpg
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde gelöscht.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QZCZQCTH\b64_1[1].jpg
[FUND] Enthält Erkennungsmuster des HEUR-DBLEXT/Crypted-Virus
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47c8d692.qua' verschoben!
C:\Windows\System32\mdelk.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde gelöscht.
C:\Windows\System32\wintems.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde gelöscht.
C:\Windows\System32\drivers\srosa.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde gelöscht.
C:\Windows\System32\drivers\down\185906.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[INFO] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <Recovery>


Ende des Suchlaufs: Montag, 21. Januar 2008 18:43
Benötigte Zeit: 27:32 min

Der Suchlauf wurde vollständig durchgeführt.

12557 Verzeichnisse wurden überprüft
278722 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
5 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
278717 Dateien ohne Befall
2820 Archive wurden durchsucht
2 Warnungen
10 Hinweise
-------------------------------------------------------
und gleich der dritte hinterher...



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 21. Januar 2008 18:47

Es wird nach 835736 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: ***
Plattform: Windows Vista
Windowsversion: (plain) [6.0.6000]
Benutzername: ***
Computername: ***

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 14:26:55
ANTIVIR2.VDF : 7.0.0.1 2048 Bytes 13.09.2007 14:27:04
ANTIVIR3.VDF : 7.0.0.2 2048 Bytes 13.09.2007 14:27:13
AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 17.09.2007 17:43:56
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 21. Januar 2008 18:47

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '16' Prozesse mit '16' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '18' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Program Files\T-DSL SpeedManager\Pcandis5.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Recovery>


Ende des Suchlaufs: Montag, 21. Januar 2008 19:13
Benötigte Zeit: 25:29 min

Der Suchlauf wurde vollständig durchgeführt.

12557 Verzeichnisse wurden überprüft
278725 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
278725 Dateien ohne Befall
2820 Archive wurden durchsucht
2 Warnungen
10 Hinweise
----------------------------------------------
dann Blacklight...

01/21/08 22:17:18 [Info]: BlackLight Engine 1.0.67 initialized
01/21/08 22:17:18 [Info]: OS: 6.0 build 6000 ()
01/21/08 22:17:18 [Note]: 7019 4
01/21/08 22:17:18 [Note]: 7005 0
01/21/08 22:17:30 [Note]: 7006 0
01/21/08 22:17:30 [Note]: 7027 0
01/21/08 22:17:38 [Note]: 7026 0
01/21/08 22:17:45 [Note]: 7026 0
01/21/08 22:17:45 [Note]: 7024 3
01/21/08 22:17:45 [Info]: Hidden process: C:\Windows\System32\drivers\hldrrr.exe
01/21/08 22:17:51 [Note]: FSRAW library version 1.7.1024
01/21/08 22:18:15 [Info]: Hidden file: c:\Program Files\Common Files\Nero\Shared\NL3\AdvrCntr3.dll
01/21/08 22:18:15 [Note]: 10002 3
01/21/08 22:18:15 [Info]: Hidden file: c:\Program Files\Common Files\Nero\Shared\NL3\btc-bar.gif
01/21/08 22:18:15 [Note]: 10002 3
01/21/08 22:18:15 [Info]: Hidden file: c:\Program Files\Common Files\Nero\Shared\NL3\logo.gif
01/21/08 22:18:15 [Note]: 10002 3
01/21/08 22:18:15 [Info]: Hidden file: c:\Program Files\Common Files\Nero\Shared\NL3\NeroAPIGlueLayerUnicode.dll
01/21/08 22:18:15 [Note]: 10002 3
01/21/08 22:18:15 [Info]: Hidden file: c:\Program Files\Common Files\Nero\Shared\NL3\NEROINST.DB
01/21/08 22:18:15 [Note]: 10002 3
01/21/08 22:18:15 [Info]: Hidden file: c:\Program Files\Common Files\Nero\Shared\NL3\NeroPatentActivation.exe
01/21/08 22:18:15 [Note]: 10002 3
01/21/08 22:18:15 [Info]: Hidden file: c:\Program Files\Common Files\Nero\Shared\NL3\NeroUpgrade.exe
01/21/08 22:18:15 [Note]: 10002 3
01/21/08 22:18:15 [Info]: Hidden file: c:\Program Files\Common Files\Nero\Shared\NL3\patentactivationfax.htm
01/21/08 22:18:15 [Note]: 10002 3
01/21/08 22:18:15 [Info]: Hidden file: c:\Program Files\Common Files\Nero\Shared\NL3\rollback.db
01/21/08 22:18:15 [Note]: 10002 3
01/21/08 22:18:15 [Info]: Hidden file: c:\Program Files\Common Files\Nero\Shared\NL3\ShellManager3.dll
01/21/08 22:18:15 [Note]: 10002 3
01/21/08 22:18:15 [Info]: Hidden file: c:\Program Files\Common Files\Nero\Shared\NSCLoader.dll
01/21/08 22:18:15 [Note]: 10002 3
01/21/08 22:18:15 [Note]: 10002 2
01/21/08 22:18:15 [Note]: 10002 2
01/21/08 22:18:48 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Common.fxh
01/21/08 22:18:48 [Note]: 10002 3
01/21/08 22:18:48 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\DissolveAnother.png
01/21/08 22:18:48 [Note]: 10002 3
01/21/08 22:18:48 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\DissolveNoise.png
01/21/08 22:18:48 [Note]: 10002 3
01/21/08 22:18:48 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
01/21/08 22:18:48 [Note]: 10002 3
01/21/08 22:18:48 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\news.png
01/21/08 22:18:48 [Note]: 10002 3
01/21/08 22:18:48 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\paint.png
01/21/08 22:18:48 [Note]: 10002 3
01/21/08 22:18:48 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Parity.fx
01/21/08 22:18:48 [Note]: 10002 3
01/21/08 22:18:48 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
01/21/08 22:18:48 [Note]: 10002 3
01/21/08 22:18:48 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
01/21/08 22:18:48 [Note]: 10002 3
01/21/08 22:18:48 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample3.jpg
01/21/08 22:18:48 [Note]: 10002 3
01/21/08 22:18:48 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample4.jpg
01/21/08 22:18:48 [Note]: 10002 3
01/21/08 22:18:48 [Note]: 10002 2
01/21/08 22:18:48 [Note]: 10002 2
01/21/08 22:19:53 [Info]: Hidden file: C:\Windows\System32\drivers\hldrrr.exe
01/21/08 22:19:53 [Note]: 10002 2
01/21/08 22:19:53 [Info]: Hidden file: c:\Windows\System32\drivers\srosa.sys
01/21/08 22:19:53 [Note]: 10002 2
01/21/08 22:20:26 [Info]: Hidden file: c:\Windows\System32\IME\shared\IMCCPHR.exe
01/21/08 22:20:26 [Note]: 10002 3
01/21/08 22:20:26 [Info]: Hidden file: c:\Windows\System32\IME\shared\IMEAPIS.DLL
01/21/08 22:20:26 [Note]: 10002 3
01/21/08 22:20:26 [Info]: Hidden file: c:\Windows\System32\IME\shared\imecfm.dll
01/21/08 22:20:26 [Note]: 10002 3
01/21/08 22:20:26 [Info]: Hidden file: c:\Windows\System32\IME\shared\IMEPADSM.DLL
01/21/08 22:20:26 [Note]: 10002 3
01/21/08 22:20:26 [Info]: Hidden file: c:\Windows\System32\IME\shared\IMEPADSV.EXE
01/21/08 22:20:26 [Note]: 10002 3
01/21/08 22:20:26 [Info]: Hidden file: c:\Windows\System32\IME\shared\IMETIP.DLL
01/21/08 22:20:26 [Note]: 10002 3
01/21/08 22:20:26 [Info]: Hidden file: c:\Windows\System32\IME\shared\imever.dll
01/21/08 22:20:26 [Note]: 10002 3
01/21/08 22:20:26 [Info]: Hidden file: c:\Windows\System32\IME\shared\IMJKAPI.DLL
01/21/08 22:20:26 [Note]: 10002 3
01/21/08 22:20:26 [Info]: Hidden file: c:\Windows\System32\IME\shared\MSCAND20.DLL
01/21/08 22:20:26 [Note]: 10002 3
01/21/08 22:20:26 [Info]: Hidden file: c:\Windows\System32\IME\shared\res\padrs404.dll
01/21/08 22:20:26 [Note]: 10002 3
01/21/08 22:20:26 [Info]: Hidden file: c:\Windows\System32\IME\shared\res\padrs411.dll
01/21/08 22:20:26 [Note]: 10002 3
01/21/08 22:20:26 [Info]: Hidden file: c:\Windows\System32\IME\shared\res\padrs412.dll
01/21/08 22:20:26 [Note]: 10002 3
01/21/08 22:20:26 [Info]: Hidden file: c:\Windows\System32\IME\shared\res\padrs804.dll
01/21/08 22:20:26 [Note]: 10002 3
01/21/08 22:20:26 [Note]: 10002 2
01/21/08 22:20:26 [Note]: 10002 2
01/21/08 22:34:37 [Note]: 7007 0

so und zum schluß noch den HijackThis log...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:37:17, on 21.01.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\T-DSL SpeedManager\SpeedMgr.exe
C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Windows\System32\spool\drivers\w32x86\3\E_FATICAE.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Windows\system32\conime.exe
C:\hp\kbd\kbd.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=71&bd=Pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=71&bd=Pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [DPService] "C:\Program Files\HP\DVDPlay\DPService.exe"
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Program Files\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\Windows\TEMP\E_S9EF.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - http://cdn.scan.onecare.live.com/resource/download/scanner/en-us/wlscctrl2.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Program Files\T-DSL SpeedManager\TSMSvc.exe

--
End of file - 10386 bytes

hat hier schonmal jemand nen blick drauf geworfen....*ganzliebnachfrag*

wollte jetzt noch bescheid geben das ich eben beim hochfahren meines pc´s folgende fehlermeldung erhalten habe....

wintems.exe-Fehler in Anweisung

Die Anweisung in 0x0042a2ae verweist auf Speicher 0x77cb3821.Der Vorgang written konnte nicht gespeichert werden.

Klicken Sie auf OK um das Programm zu beenden.



ich bin dann auf schließen gegangen...hat das etwas mit meinem problem zu tun oder ist das jetzt wieder etwas anderes...

Ja, das hat mit deinem Problem zu tun. wintems.exe ist ein Bestandteil von Bagle. AntiVir hat diese Datei gelöscht, wie aus deinem Report hervorgeht. Da es aber nicht die gesamte Infektion bereinigen kann, erhältst du jetzt diese Fehlermeldung, denn dein infiziertes Windows erwartet die gelöschte Datei an dem Ort, an dem sie nicht mehr ist.

Ein Bagle-Befall, wie KarlKarl ihn vermutet hat, führt leider dazu, dass dein System kompromittiert ist und du es neu aufsetzen musst.

danke für die antwort...

ich dachte ich komme drum herum...aber so wie es aussieht dann wohl doch nicht...

problem : wie mach ich das...hab mir den pc letztes jahr gekauft vista war bereits installiert...aber nur aufn pc nicht als software dabei...hab mir dann ne dvd erstellt als sicherungskopie...mach ich das damit ???

hab hier auch noch diverse recovery cd´s...mach ich das damit ???

wie bekomm ich den pc überhaupt erst platt ????

HILFE !!!

In der Tat Bagle.

Erstmal in die Unterlagen deines Computers schauen, eigentlich erwarte ich, dass solche Sachen darin beschrieben werden. Nächste Möglichkeit ist Anfrage beim Hersteller.

Allgemein vermute ich mal, dass entweder vorgesehen ist, von der DVD zu booten und die Neuinstallation dort in Gang zu setzen oder dass der Widerherstellungsprozess über eine spezielle Taste(nkombination) des Computers (mit eingelegter DVD) gestartet wird. Zweiteres allerdings eher für eine auf der Festplatte versteckt gespeicherte Recovery.

ich danke euch das ihr euch zeit für mein problem genommen habt...
bin nicht drum herum gekommen mein system neu aufzusetzen...hab dies jetzt auch schon getan...ein anruf bei meinem hersteller und es war erledigt...supi freu mich...bin froh das ich diese site gefunden hab...sollte ich (was ich nicht hoffe) wiedereinmal ein problem dieser art haben weiß ich wo ich mich hinwenden kann

DANKE

Hallo allerseits,
habe mir wohl auch einen Bagle eingefangen (AV geht nicht mehr und blacklight hat u.a. system32/wintems.exe und jede Menge system32/drivers/down/xxxx.exe gefunden.

Habe nun folgende Frage: Ein removal gibt es anscheinend nicht. Wie ist es aber mit der Datensicherung. Kann ich problemlos Dateien auf ein neues System übertragen? Sind automatisch alle *.exe Dateien infiziert? Ich habe ein relativ neues Backup von allen wichtigen Daten, aber es gibt 'ne Menge Programme die ich gerne vom alten System kopieren würde...

Danke für Infos,

Gruß,

NCoDer

NCoDer

Zitat:

Kann ich problemlos Dateien auf ein neues System übertragen?

Ja, wenn Du mit einer Live-CD arbeitest.

Zitat:

Sind automatisch alle *.exe Dateien infiziert?

Ob es einen Automatismus gibt der alle .exe-Dateien betrifft, kann ich Dir nicht beantworten, aber bei einem Schädlingsbefall wie ihn der TO geschildert hast, sind ausführbare Dateien grundsätzlich nicht zu sichern, auch keine Programm- oder Installationsdateien.

Bei ersteren diese aus seriöser Download-Quelle nachinstallieren, vorher bei VirusTotal überprüfen lassen (Link in meiner Signatur), Programm- + Installationsdateien nur von Original-Datenträgern nachinstallieren! Vom sauberen System, versteht sich.

Zitat:

Ich habe ein relativ neues Backup von allen wichtigen Daten, aber es gibt 'ne Menge Programme die ich gerne vom alten System kopieren würde...

Mit einer Live-CD, hier:

Downloads - ubuntuusers Wiki

Ebenfalls von einem sauberen Rechner laden, (DSL wär gut, da knapp 700 MB). Im Brennprogamm Option wählen: "Image auf Disk brennen", die CD ist danach startklar. Mit ihr bootest Du und sicherst Deine Dir wichtigen Dateien.