Hallo zusammen,

und noch ein Hilferuf im Kampf gegen die Trojaner!
ich habe neulich beim Systemcheck mit AntiVir den Trojaner TR/Dropper.Gen auf meinem Rechner entdeckt (2fach). Der Bericht von AntiVir lautet:

Code: Alles auswählenAufklappen

ATTFilter

C:hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:System Volume Information_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}RP60A0011592.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ced1cd.qua' verschoben!
C:System Volume Information_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}RP60A0011719.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ced1d7.qua' verschoben!
         

Nach dem Verschieben der verdächtigen Dateien in Quarantäne habe ich erneut den Systemscan durchgeführt - keine Funde mehr. Allerdings weiss ich nicht, ob ich dem trauen kann. Wenn ich im Internet bin, poppt immer wieder die Windows-Sicherheitswarnung auf, mein System wäre "möglicherweise von Spyware überschwemmt und daher langsam".

Daraufhin habe ich mir HijackThis runtergeladen und ausgeführt. Hier ist die Logdatei:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:45:21, on 12.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Realtek\InstallShield\AzMixerSel.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\APPS\Powercinema\PCMService.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\apps\ABoard\ABoard.exe
C:\Programme\Lexmark 2300 Series\lxcgmon.exe
C:\apps\ABoard\AOSD.exe
C:\Programme\Lexmark 2300 Series\ezprint.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Samsung\Digimax Viewer 2.1\STImgBrowser.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\Programme\ArcorOnline\AOButler.exe
c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\ecmag.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\install\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h*p://format.packardbell.com/cgi-bin/redirect/?country=DE&range=AD&phase=6&key=SEARCH
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://www.gmx.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*p://www.gmx.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://www.gmx.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://www.gmx.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://www.gmx.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\APPS\BAE\BAE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATICCC] "c:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [DetectorApp] C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [EULA] C:\APPS\PB_TB\EULALauncher.exe
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programme\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ecmag] "c:\dokumente und einstellungen\user\lokale einstellungen\anwendungsdaten\ecmag.exe" ecmag
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digimax Viewer 2.1.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://format.packardbell.com/cgi-bin/redirect/?country=DE&range=AD&phase=8&key=IESTART
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

--
End of file - 9181 bytes

Ich hoffe daraus lässt sich was entziffern und bin für jede Hilfe dankbar.

Vielen Dank und Gruß
Mamfred

Hallo und

Zitat:

Wenn ich im Internet bin, poppt immer wieder die Windows-Sicherheitswarnung auf, mein System wäre "möglicherweise von Spyware überschwemmt und daher langsam

und das ist nicht mal gelogen

Du hast zwei alte Adobe Reader Versionen sowie ein veraltetes Java auf deinem System, die sollten am Schluss deinstalliert bzw. durch aktuelle Versionen ersetzt werden.
Dein System verträgt glaube ich auch ein Update....


Scanne dein System mit Malwarebytes aber bitte noch nix löschen.

Scanne dein System ebenfalls mit Navilog

Zitat:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Poste bitte beide Log hierher dann sehen wir weiter.

MFG

Hallo!

Danke für die schnelle Antwort. Hier kommt erstmal Malware-Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1050
Windows 5.1.2600 Service Pack 2

23:14:37 13.08.2008
mbam-log-8-13-2008 (23-14-22).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 139422
Laufzeit: 38 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> No action taken.
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> No action taken.
         

Noch eine Frage: Was heißt "Dein System verträgt glaube ich auch ein Update.... "? Sind damit automatische Windows-Updates gemeint? Die sind bei mir eigentlich eingeschaltet, und werden auch regelmäßig ausgeführt (dachte ich zumindest......)

Danke und Gruß
Mamfred

Hallo

Zitat:

Noch eine Frage: Was heißt "Dein System verträgt glaube ich auch ein Update.... "?

bei dir siehts so aus

Zitat:

Platform: Windows XP SP2
MSIE: Internet Explorer v6.00 SP2

und aussehen sollte es so

Zitat:

Platform: Windows XP SP3
MSIE: Internet Explorer v7.00

Zitat:

Hier kommt erstmal Malware-Log:

OK, dann jetzt noch Navilog

MFG

Da bin ch wieder, hallo!

So, jetzt kommt Navilog:

Code: Alles auswählenAufklappen

ATTFilter

Search Navipromo version 3.6.3 began on 14.08.2008 at 20:29:12,06

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "User" 

Updated on 09.08.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\User\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\Besitzer\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\User\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\User\startm~1\progra~1" *** 


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\User\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" * 



*** Search files *** 


C:\WINDOWS\system32\nvs2.inf found !

*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\User\lokale~1\anwend~1" : 

ecmag.dat found !
ecmag.exe found !
ecmag_nav.dat found !
ecmag_navps.dat found !

* In "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 14.08.2008 at 20:34:34,09 ***
         

Warte gespannt auf das Urteil....

Danke und Gruß
Mamfred

Hallo

Zitat:

Warte gespannt auf das Urteil....

es hätte schlimmer kommen können

Deaktiviere bitte die Systemwiederherstellung, dann lass Navilog erneut laufen

Zitat:

• Rufe das Programm bitte erneut auf und wähle die Option 2
• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
  Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

Anschließend lass auch Malwarebytes nochmal laufen. lass alles gefundene löschen.

Führe ein Update deines Antivir durch und scanne dein komplettes System.

Starte dein System dann neu und die Systemwiederherstellung kann wieder aktiviert werden, wenn gewünscht.

Berichte bitte mal


MFG

Hi,

ok, dann berichte ich mal. Navilog hat bereinigt, hier ist das Log:

Code: Alles auswählenAufklappen

ATTFilter

Navipromo Removal version 3.6.3 started on 14.08.2008 at 22:14:41,32

Fix running from C:\Programme\navilog1
Actual User Account : "User" 

Updated on 09.08.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Automatic removal 
with Catchme and GNS results


Cleanning stage done on Reboot

 
*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)
 

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\User\lokale~1\anwend~1" * 


* Deletion in "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" * 


*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\User\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\Besitzer\anwend~1" *** 


*** Deleting folders in "C:\Dokumente und Einstellungen\User\lokale~1\anwend~1" *** 


*** Deleting folders in "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" *** 


*** Deleting folders in "C:\Dokumente und Einstellungen\User\startm~1\progra~1" *** 



*** Deleting files ***

C:\WINDOWS\system32\nvs2.inf deleted !

*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\User\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\User\lokale~1\anwend~1" * 


ecmag.exe found ! 
Copy ecmag.exe done !
ecmag.exe deleted !

ecmag.dat found ! 
Copy ecmag.dat done !
ecmag.dat deleted !

ecmag_nav.dat found ! 
Copy ecmag_nav.dat done !
ecmag_nav.dat deleted !

ecmag_navps.dat found ! 
Copy ecmag_navps.dat done !
ecmag_navps.dat deleted !


* In "C:\DOKUME~1\Besitzer\lokale~1\anwend~1" * 


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate deleted !
Electronic-Group Certificate deleted !
Montorgueil Certificate not found !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !

*** Cleaning stage complete on 14.08.2008 at 22:17:30,65 ***
         

Anschließend hat Malwarebytes nichts gefunden:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1050
Windows 5.1.2600 Service Pack 2

22:56:48 14.08.2008
mbam-log-8-14-2008 (22-56-48).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 140787
Laufzeit: 34 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Jetzt lasse ich AntiVir-Scan laufen, dauert wahrscheinlich ein halbes Stündchen, dann berichte ich weiter.

Bis denne,
Mamfred

So dann, der AntiVir hat auch nichts gefunden. Der Bericht lautet:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 14. August 2008  23:10

Es wird nach 1552297 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     SN122031020311

Versionsinformationen:
BUILD.DAT     : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  20.07.2008 08:04:57
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  20.07.2008 08:04:57
LUKE.DLL      : 8.1.4.5       164097 Bytes  20.07.2008 08:04:58
LUKERES.DLL   : 8.1.4.0        12545 Bytes  20.07.2008 08:04:58
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 14:27:15
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 09:35:07
ANTIVIR2.VDF  : 7.0.6.10     2587136 Bytes  14.08.2008 18:23:23
ANTIVIR3.VDF  : 7.0.6.16       16896 Bytes  14.08.2008 18:23:24
Engineversion : 8.1.1.19  
AEVDF.DLL     : 8.1.0.5       102772 Bytes  25.04.2008 19:48:37
AESCRIPT.DLL  : 8.1.0.63      311673 Bytes  10.08.2008 09:57:37
AESCN.DLL     : 8.1.0.23      119156 Bytes  16.07.2008 16:32:11
AERDL.DLL     : 8.1.0.20      418165 Bytes  25.04.2008 19:48:36
AEPACK.DLL    : 8.1.2.1       364917 Bytes  16.07.2008 16:32:10
AEOFFICE.DLL  : 8.1.0.21      192891 Bytes  20.07.2008 08:04:58
AEHEUR.DLL    : 8.1.0.47     1368437 Bytes  10.08.2008 09:57:36
AEHELP.DLL    : 8.1.0.15      115063 Bytes  01.06.2008 19:14:36
AEGEN.DLL     : 8.1.0.35      315764 Bytes  10.08.2008 09:57:33
AEEMU.DLL     : 8.1.0.7       430452 Bytes  05.08.2008 17:03:08
AECORE.DLL    : 8.1.1.8       172406 Bytes  05.08.2008 17:03:07
AEBB.DLL      : 8.1.0.1        53617 Bytes  20.07.2008 08:04:58
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  20.07.2008 08:04:57
AVPREF.DLL    : 8.0.2.0        38657 Bytes  20.07.2008 08:04:57
AVREP.DLL     : 8.0.0.2        98344 Bytes  05.08.2008 17:03:06
AVREG.DLL     : 8.0.0.1        33537 Bytes  20.07.2008 08:04:57
AVARKT.DLL    : 1.0.0.23      307457 Bytes  25.04.2008 19:48:35
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  20.07.2008 08:04:57
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  25.04.2008 19:48:36
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  20.07.2008 08:04:58
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.04.2008 19:48:36
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  20.07.2008 08:04:55
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  20.07.2008 08:04:55

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 14. August 2008  23:10

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOButler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxcgcoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'USBDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLacsd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'STImgBrowser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMPSYS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOSD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ezprint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxcgmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktopIndex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ABOARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PicasaMediaDetector.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DetectorApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AzMixerSel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '52' Prozesse mit '52' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '76' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HDD>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Donnerstag, 14. August 2008  23:44
Benötigte Zeit: 33:25 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   8739 Verzeichnisse wurden überprüft
 395187 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 395185 Dateien ohne Befall
   6835 Archive wurden durchsucht
      6 Warnungen
      0 Hinweise
         

Dann werde ich das System neustarten bzw. runterfahren. Bis morgen!

Ach ja, ich habe immer noch die zwei Dateien in AntiVir-Quarantäne. Soll ich sie löschen?

Danke und Gruß
Mamfred

Moin

das sieht doch sehr gut aus, Navilog kann jetzt deinstalliert werden und Malwarebytes kann als zusätzliches Scanprogramm bei gefallen drauf bleiben.

Gibt es noch Probleme oder Meldungen?

MFG

Hallo,

also bis jetzt habe ich keine Probleme feststellen können. Meldungen (wie z.B.vorhin "der Rechner ist von Spyware überflutet...") gab es auch nicht. Bin ich jetzt geheilt? (Ich wollte nur nachfragen befor ich das Online-Banking wieder benutze)

Vielen lieben Dank und Gruß
Mamfred

Hallo

Zitat:

Bin ich jetzt geheilt?

Ich denke, wir können dich als geheilt entlassen.

MFG

Hallo Nochdigger,

ich wollte nur noch mal Danke sagen, hast mir super gut geholfen, das fand ich echt Klasse! (Und gelernt hab ich auch noch dazu...)

Danke und Gruß
Mamfred