Bitte log checken

sauerkreatur · 01.09.2008, 17:54

Hallo,

das Forum ist ja sehr erfolgreich bei der Hilfe von Verzweifelten. Deshalb wollte ich fragen ob jmd meine logs mal checken könnte und mich entweder beruhigen oder helfen kann.

Ich habe mir nen ganzen Haufen Trojaner (u.a. win32.agent.pz) eingefangen und schon einiges versucht um die wieder loszuwerden. Neben verschiedenen malwarescannern habe ich auch schon combofix und SDfix laufen lassen. Aber auch danach wurde immer noch was gefunden.

Ich habe deshalb den von euch empfohlenen Malwarebytes laufen lassen (der auch was entdeckt und zerstört hat) und dann eben HijackThis.

Es wär super wenn jmd die beiden logs (s.u.) anschauen könnte und mir sagt ob ich jetzt tatsächlich wieder sauber bin oder was ich noch machen muss um es zu werden.

vielen Dank schon mal und

lg sauerkreatur

-------------------------------------------------

mbam-log-09-01-2008 (18-20-20)

Durchsuchte Objekte: 82008
Laufzeit: 1 hour(s), 4 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Malware Scanner (Rogue.MalwareScanner) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\RECYCLER\S-1-5-21-2520071961-621678929-2991225532-1005\Dc14.com\Malware Scanner\Core.dll (Rogue.MalwareScanner) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-2520071961-621678929-2991225532-1005\Dc14.com\Malware Scanner\MalScr.exe (Rogue.MalwareScanner) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP218\A0024381.exe (Rogue.MalwareScanner) -> Quarantined and deleted successfully.

------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:12, on 01.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\tp4serv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\IBM\Updater\jre\bin\javaw.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {AC41D38F-B56D-40AD-94E0-B493D130C959} - (no file)
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [UC_Start] C:\Programme\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [LanzarL2007] "C:\DOKUME~1\D\LOKALE~1\Temp\{E57BFD25-9416-4AF7-BE65-94B2575EBE95}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x0007"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Programme\XPC Tools\Driver Updater Pro\DriverUpdaterPro.exe -t
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O20 - Winlogon Notify: !SASWinLogon - C:\WINDOWS\
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 7545 bytes

undoreal · 01.09.2008, 18:10

Halli hallo sauerkreatur

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update der Viren-Signaturen deines Anti-Viren Programmes.
.
Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
Windows Update -> Der Frischmacher.
.
Installation des aktuellen ServicePacks:
- XP_ ServicePack3
- Vista_ ServicePack1
.
Vernünftige Ordneransicht -> Einstellungen.
.
Abschalten unnötiger Dienste:
- XP_ dingens.org
- Vista_ TechNET
.
Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
.
Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
- Sicherheit: -> höchste Stufe
- Datenschutz: -> alle Cookies blockieren
Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
.
Räume mit cCleaner auf; Punkte 1&2.
.
Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

Häufig gestellte Fragen: XP | Vista

Deaktiviere den Wächter von Anti-Malware! Zum Scannen sind diese Progs gut aber die Wächter taugen garnichts!

Fixe bitte mit HijackThis folgenden Eintrag:

Zitat:

O4 - HKLM\..\Run: [LanzarL2007] "C:\DOKUME~1\D\LOKALE~1\Temp\{E57BFD25-9416-4AF7-BE65-94B2575EBE95}\{D1DA2BA7-25 92-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x0007"

Mache danach einen Scan mit SuperAntiSpyware.

Konfiguriere AntiVir aggressiv und update die Signaturen. Führe auch damit einen Vollscan durch.

sauerkreatur · 02.09.2008, 18:49

hey undoreal

erstmal vielen Dank für die schnelle Antwort und deine Unterstützung!

ich habe es gestern leider nicht mehr geschafft alle Punkte deiner Liste abzuarbeiten (hardwaretreiberupdate) und auch das problem dass bei secunia das programm kein internetzugang gefunden hat (obwohl ich online war)

die anderen punkte habe ich aber alle durchgeführt und deshalb auch schon mal mit den beiden virenprogrammen gecheckt obs was geholfen hat:
bei superanti wurde nichts gefunden
aber antivir hat zwei trojaner (TR/trash.gen) gefunden.

naja ich werde mich jetzt mal weiter an die updates machen und vielleicht kannst du ja schon mehr dazu sagen (hab dir deshalb schon mal nen weiteren HJT-log angefügt). sonst melde ich mich halt nochmal wenn alles fertig

lg sauerkreatur

----------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:35:29, on 02.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\tp4serv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {AC41D38F-B56D-40AD-94E0-B493D130C959} - (no file)
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [UC_Start] C:\Programme\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Programme\XPC Tools\Driver Updater Pro\DriverUpdaterPro.exe -t
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 7633 bytes

sauerkreatur · 02.09.2008, 21:42

also jetzt habe ich alles so gemacht wie du gemeint hast - ausser dem problem das für secunia und antivir beim update kein zugang zum netz gefunden wurde.

leider gab es bei antivir auch wieder sieben funde (s.u. report)

nach dem report kommt noch der aktuelle HJT-log

hoffe das alles hilft dir mir zu helfen - bin dir wirklich sehr dankbar!

lg sauerkreatur

----------------------------------------------------------

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 2. September 2008 21:25

Es wird nach 1369550 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: DANIEL

Versionsinformationen:
BUILD.DAT : 8.1.0.326 16933 Bytes 11.07.2008 12:52:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.5.20 142336 Bytes 30.06.2008 05:20:53
ANTIVIR3.VDF : 7.0.5.23 17408 Bytes 30.06.2008 09:24:47
Engineversion : 8.1.1.6
AEVDF.DLL : 8.1.0.5 102772 Bytes 09.07.2008 08:38:31
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 08.07.2008 06:33:29
AESCN.DLL : 8.1.0.22 119157 Bytes 09.07.2008 08:38:31
AERDL.DLL : 8.1.0.20 418165 Bytes 09.07.2008 08:38:31
AEPACK.DLL : 8.1.1.6 364918 Bytes 09.07.2008 08:38:31
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 09.07.2008 08:38:31
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 08.07.2008 06:33:29
AEHELP.DLL : 8.1.0.15 115063 Bytes 09.07.2008 08:38:31
AEGEN.DLL : 8.1.0.29 307573 Bytes 09.07.2008 08:38:31
AEEMU.DLL : 8.1.0.6 430451 Bytes 09.07.2008 08:38:31
AECORE.DLL : 8.1.1.3 172404 Bytes 09.07.2008 08:38:31
AEBB.DLL : 8.1.0.1 53617 Bytes 24.04.2008 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 7.0.0.1 155688 Bytes 30.06.2008 14:29:36
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 2. September 2008 21:25

Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz des ARK läuft bereits.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'freecell.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FireWall.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmprc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmmessages.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EZEJMNAP.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPONSCR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHKMGR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpShocks.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tp4serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpKmpSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHDEXLG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QCONSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rrpcsb.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '47' Prozesse mit '47' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '65' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <IBM_PRELOAD>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP218\A0024376.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
--> 327882R2FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 327882R2FWJFW\psexec.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
--> 327882R2FWJFW\pv.cfexe
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ed9e0e.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP235\A0027333.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ed9f9e.qua' verschoben!

Ende des Suchlaufs: Dienstag, 2. September 2008 22:31
Benötigte Zeit: 1:06:33 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

5346 Verzeichnisse wurden überprüft
385763 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
385754 Dateien ohne Befall
7841 Archive wurden durchsucht
2 Warnungen
2 Hinweise
----------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:37:56, on 02.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\tp4serv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\freecell.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {AC41D38F-B56D-40AD-94E0-B493D130C959} - (no file)
O4 - HKLM\..\Run: [TrackPointSrv] C:\Programme\Lenovo\TrackPoint\tp4serv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [UC_Start] C:\Programme\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Programme\XPC Tools\Driver Updater Pro\DriverUpdaterPro.exe -t
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 7799 bytes

undoreal · 02.09.2008, 21:48

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

sauerkreatur · 02.09.2008, 22:16

ok

ComboFix 08-09-01.03 - D 2008-09-02 23:05:41.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1049 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\D\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\actskn43.ocx

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-02 bis 2008-09-02 ))))))))))))))))))))))))))))))
.

2008-09-02 20:30 . 2008-09-02 20:30 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-09-02 20:08 . 2008-09-02 20:08 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2008-09-02 20:08 . 2008-09-02 20:08 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_tp4track_01007.Wdf
2008-09-02 20:07 . 2008-09-02 20:19 <DIR> d-------- C:\WINDOWS\LastGood
2008-09-02 20:07 . 2008-09-02 20:07 <DIR> d-------- C:\Programme\Lenovo
2008-09-01 21:23 . 2008-09-01 21:23 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-09-01 21:23 . 2008-09-01 21:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-01 20:51 . 2004-08-04 05:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-09-01 20:24 . 2008-09-01 20:24 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-09-01 20:20 . 2008-09-01 20:25 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-09-01 20:14 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\002759_.tmp
2008-09-01 19:28 . 2008-09-01 19:28 <DIR> d-------- C:\Programme\Secunia
2008-09-01 16:38 . 2008-09-01 16:45 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-01 16:38 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-01 16:38 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-01 16:01 . 2008-09-01 16:01 <DIR> d-------- C:\Programme\Trend Micro
2008-09-01 15:10 . 2005-08-27 02:38 1,435,272 --a------ C:\WINDOWS\system32\Flash.ocx
2008-09-01 15:10 . 2002-03-04 12:27 1,140,472 --a------ C:\WINDOWS\system32\IGUltraGrid20.ocx
2008-09-01 15:10 . 2003-11-19 13:59 512,688 --a------ C:\WINDOWS\system32\XceedCry.dll
2008-09-01 15:10 . 2004-05-11 09:56 423,784 --a------ C:\WINDOWS\system32\XceedBkp.dll
2008-09-01 15:10 . 2001-07-28 12:50 265,753 --a------ C:\WINDOWS\system32\AS-Exp2.ocx
2008-09-01 15:10 . 2004-01-09 10:54 188,416 --a------ C:\WINDOWS\system32\actsplash.ocx
2008-09-01 15:10 . 2004-03-08 23:00 131,856 --a------ C:\WINDOWS\system32\MSADODC.ocx
2008-09-01 15:10 . 2001-03-28 22:02 89,088 --a------ C:\WINDOWS\system32\ProgressBar4.ocx
2008-09-01 15:10 . 2001-04-20 01:28 28,672 --a------ C:\WINDOWS\system32\systray.ocx
2008-09-01 15:10 . 1999-01-26 19:36 11,012 --a------ C:\WINDOWS\system32\threadapi.tlb
2008-09-01 12:28 . 2008-09-01 12:28 <DIR> d-------- C:\Programme\Avira
2008-09-01 12:28 . 2008-09-01 12:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-01 00:54 . 2008-09-01 00:55 <DIR> d-------- C:\WINDOWS\ERUNT
2008-09-01 00:47 . 2008-09-01 01:10 <DIR> d-------- C:\SDFix
2008-08-30 13:57 . 2008-08-30 13:57 <DIR> d-------- C:\Programme\Ashampoo
2008-08-24 23:47 . 2008-09-01 16:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-24 23:21 . 2008-09-01 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\D\Anwendungsdaten\SUPERAntiSpyware.com
2008-08-24 23:21 . 2008-08-24 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\D\Anwendungsdaten\Malwarebytes
2008-08-24 23:21 . 2008-08-24 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-08-24 23:21 . 2008-08-24 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-20 01:56 . 2008-04-11 21:04 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-20 01:56 . 2008-05-01 16:34 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-31 22:21 --------- d-----w C:\Programme\VideoLAN
2008-08-22 15:36 --------- d-----w C:\Programme\Java
2008-07-13 09:46 --------- d-----w C:\Dokumente und Einstellungen\D\Anwendungsdaten\skypePM
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:26 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2008-07-06 11:18 --------- d-----w C:\Programme\DivX
2008-07-06 11:17 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-07-06 10:43 --------- d-----w C:\Programme\DVDVideoSoft
2008-06-26 08:12 620,544 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-06-26 08:12 1,499,136 ------w C:\WINDOWS\system32\dllcache\shdocvw.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:42 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-23 15:10 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-23 15:10 671,744 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2008-06-23 15:10 3,088,384 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:46 247,296 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:46 147,968 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 11:51 361,600 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 11:40 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 11:08 225,856 ------w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2008-03-19 10:53 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"ibmmessages"="C:\Programme\IBM\Messages By IBM\ibmmessages.exe" [2004-08-06 442368]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrackPointSrv"="C:\Programme\Lenovo\TrackPoint\tp4serv.exe" [2008-03-04 92960]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-12-13 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-12-13 126976]
"TPKMAPHELPER"="C:\Programme\ThinkPad\Utilities\TpKmapAp.exe" [2004-02-04 897024]
"TPHOTKEY"="C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2005-03-03 94208]
"EZEJMNAP"="C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2004-11-24 212992]
"UC_Start"="C:\Programme\IBM\Updater\\ucstartup.exe" [2004-07-14 36864]
"ibmmessages"="C:\Programme\IBM\Messages By IBM\\ibmmessages.exe" [2004-08-06 442368]
"IBMPRC"="C:\IBMTOOLS\UTILS\ibmprc.exe" [2004-12-16 90112]
"PWRMGRTR"="C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2005-01-21 135168]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 286720]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Ashampoo FireWall"="C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 3251800]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"TpShocks"="TpShocks.exe" [2005-01-24 C:\WINDOWS\system32\TpShocks.exe]
"TP4EX"="tp4ex.exe" [2004-11-12 C:\WINDOWS\system32\TP4EX.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Digital Line Detect.lnk - C:\Program Files\Digital Line Detect\DLG.exe [2007-07-12 24576]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\QConGina]
2005-03-18 03:07 262144 C:\WINDOWS\system32\QConGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2004-08-12 20:11 24576 C:\WINDOWS\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IBM\\Updater\\jre\\bin\\java.exe"=
"C:\\Programme\\IBM\\Updater\\jre\\bin\\javaw.exe"=
"C:\\Programme\\IBM\\Updater\\ucsmb.exe"=
"C:\\Programme\\Autodesk\\backburner\\monitor.exe"=
"C:\\Programme\\Autodesk\\backburner\\manager.exe"=
"C:\\Programme\\Autodesk\\backburner\\server.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 Shockprf;Shockprf;C:\WINDOWS\system32\drivers\Shockprf.sys [2005-01-14 59776]
R0 TPDiskPM;TPDiskPM;C:\WINDOWS\system32\drivers\TPDiskPM.sys [2004-12-02 14208]
R1 ANC;ANC;C:\WINDOWS\system32\drivers\ANC.SYS [2005-03-18 11520]
R1 IBMTPCHK;IBMTPCHK;C:\WINDOWS\system32\drivers\IBMBLDID.SYS [2005-03-18 2432]
R1 ShockMgr;ShockMgr;C:\WINDOWS\system32\drivers\ShockMgr.sys [2004-05-14 4608]
R1 TPPWRIF;TPPWRIF;C:\WINDOWS\system32\drivers\Tppwrif.sys [2005-01-21 4442]
R2 ibmfilter;ibmfilter;C:\WINDOWS\system32\drivers\ibmfilter.sys [2004-12-16 63616]
R3 Tp4Track;PS/2 TrackPoint Driver;C:\WINDOWS\system32\DRIVERS\tp4track.sys [2004-10-28 13904]
R3 TPInput;TPInput;C:\WINDOWS\system32\DRIVERS\TPInput.sys [2004-12-02 6016]
S3 PSI;PSI;C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-06-16 7808]
S3 QCNDISIF;QCNDISIF;C:\WINDOWS\system32\drivers\qcndisif.SYS [2005-03-18 12288]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2c38c841-f365-11dc-bc79-00166fc5530b}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ladybird.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2f53ec69-24a3-11dd-bcd0-00166fc5530b}]
\shell\AutoRun\command - D:\tip2go\tescoip.exe
\shell\tip2go\command - D:\tip2go\tescoip.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3387efae-6e96-11dc-bb8e-00166fc5530b}]
\Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\Shell\configure\command - D:\SETUP.EXE
\Shell\install\command - D:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{809fd6c4-f9b7-11dc-bc80-00166fc5530b}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ladybird.exe

*Newly Created Service* - NTMSSVC
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-UC_SMB - (no file)
HKLM-Run-pdfSaver3 - (no file)

.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\D\Anwendungsdaten\Mozilla\Firefox\Profiles\jyqbvvbx.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-02 23:07:52
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\ASFWHide]
"ImagePath"="\??\C:\DOKUME~1\D\LOKALE~1\Temp\ASFWHide"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tphklock.dll
.
Zeit der Fertigstellung: 2008-09-02 23:11:56
ComboFix-quarantined-files.txt 2008-09-02 21:10:53
ComboFix2.txt 2008-08-31 22:07:42

Pre-Run: 5,985,120,256 Bytes frei
Post-Run: 5,970,403,328 Bytes frei

188 --- E O F --- 2008-09-02 12:09:37

sauerkreatur · 02.09.2008, 23:50

hm scheint nicht wirklich geholfen zu haben ...
whats next?

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 2. September 2008 23:18

Es wird nach 1369550 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername:

Versionsinformationen:
BUILD.DAT : 8.1.0.326 16933 Bytes 11.07.2008 12:52:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.5.20 142336 Bytes 30.06.2008 05:20:53
ANTIVIR3.VDF : 7.0.5.23 17408 Bytes 30.06.2008 09:24:47
Engineversion : 8.1.1.6
AEVDF.DLL : 8.1.0.5 102772 Bytes 09.07.2008 08:38:31
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 08.07.2008 06:33:29
AESCN.DLL : 8.1.0.22 119157 Bytes 09.07.2008 08:38:31
AERDL.DLL : 8.1.0.20 418165 Bytes 09.07.2008 08:38:31
AEPACK.DLL : 8.1.1.6 364918 Bytes 09.07.2008 08:38:31
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 09.07.2008 08:38:31
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 08.07.2008 06:33:29
AEHELP.DLL : 8.1.0.15 115063 Bytes 09.07.2008 08:38:31
AEGEN.DLL : 8.1.0.29 307573 Bytes 09.07.2008 08:38:31
AEEMU.DLL : 8.1.0.6 430451 Bytes 09.07.2008 08:38:31
AECORE.DLL : 8.1.1.3 172404 Bytes 09.07.2008 08:38:31
AEBB.DLL : 8.1.0.1 53617 Bytes 24.04.2008 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 7.0.0.1 155688 Bytes 30.06.2008 14:29:36
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 2. September 2008 23:18

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\pchealth\helpctr\datacoll\collecteddata_405.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4929af28.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_417.xml
[INFO] Die Datei ist nicht sichtbar.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
[WARNUNG] Fehler in der ARK Lib
c:\windows\pchealth\helpctr\datacoll\collecteddata_43.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4929af38.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_447.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4dd53161.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_457.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4dd76929.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_465.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4c2942f1.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_477.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4c2abab9.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_487.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4c2c9201.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_507.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 40d548f1.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_51.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 40d6a0b9.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_537.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43289801.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_547.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 432af1c9.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_55.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 432c2991.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_553.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 432e0159.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_567.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43207921.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_577.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 432252e9.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_583.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43278ab1.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_597.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4339e279.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_601.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 433bdbc1.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_607.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 433d3389.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_613.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 433f6b51.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_615.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43314319.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_627.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4332bce1.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_632.xml
[INFO] Die Datei ist nicht sichtbar.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
[WARNUNG] Fehler in der ARK Lib
c:\windows\pchealth\helpctr\datacoll\collecteddata_637.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4929af46.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_643.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43082447.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_65.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 430a1dff.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_657.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 430c7537.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_666.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4301ad6f.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_67.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 430386a7.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_672.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4305fedf.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_680.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4307d617.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_684.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43190e4f.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_686.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 431b6787.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_694.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 431d5f3f.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_696.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 431eb777.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_710.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 431090af.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_714.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4315488f.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_716.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4316a0c7.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_724.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4368987f.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_726.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 436af1b7.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_746.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 436c29ef.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_756.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 436e0127.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_760.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4360795f.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_762.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43625297.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_764.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43678acf.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_776.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4929af47.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_786.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 437bdbb0.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_806.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 437d33f8.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_816.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 437f6b20.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_836.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43714368.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_855.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4372bc90.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_857.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 437494d8.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_859.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4376cc00.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_861.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43482448.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_863.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 434a1df0.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_865.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 434c7538.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_866.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4341ad60.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_867.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 434386a8.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_869.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4345fed0.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_871.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4347d618.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_873.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43590e40.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_875.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 435b6788.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_876.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 435d5f30.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_877.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 435eb778.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_879.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 435090a0.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_881.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4352c8e8.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_883.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43542010.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_97.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43561758.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\history_db.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4930af41.qua erstellt ( QUARANTÄNE )
Es wurden '51745' Objekte überprüft, '70' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FireWall.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmprc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmmessages.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EZEJMNAP.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPONSCR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHKMGR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpShocks.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tp4serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpKmpSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHDEXLG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QCONSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rrpcsb.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '45' Prozesse mit '45' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '65' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <IBM_PRELOAD>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\D\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
--> 327882R2FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 327882R2FWJFW\psexec.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
--> 327882R2FWJFW\pv.cfexe
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492aaf8f.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP236\A0027373.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48edbdcd.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP236\A0027381.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48edbdd1.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP236\A0027389.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
--> 327882R2FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 327882R2FWJFW\psexec.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
--> 327882R2FWJFW\pv.cfexe
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48edbdda.qua' verschoben!
C:\WINDOWS\Nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492fbe2c.qua' verschoben!

rest s.u.

wasos · 03.09.2008, 09:17

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]

sauerkreatur · 03.09.2008, 10:19

also abgesehen davon dass antivir immernoch zumindest einen trojaner findet (APPL/NirCmd.E.2.B) gehts - allerdings hatte ich während dem ganzen befall eigentlich keine grossen probleme mit dem rechner (wenn man mal davon absieht dass secunia und antivir sich nicht updaten konnten)

superantivir hatte ich zweimal laufen aber da wurde nichts gefunden (nur bei antivir)

naja ich stell dir jetzt nochmal den neusten antivir bericht rein - die ganzen collectdata soll ich wahrscheinlich wieder rausnehmen auch wenn mich antivir davor warnt?

lg sauerkreatur

----------------------------

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 3. September 2008 09:56

Es wird nach 1369550 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername:

Versionsinformationen:
BUILD.DAT : 8.1.0.326 16933 Bytes 11.07.2008 12:52:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.5.20 142336 Bytes 30.06.2008 05:20:53
ANTIVIR3.VDF : 7.0.5.23 17408 Bytes 30.06.2008 09:24:47
Engineversion : 8.1.1.6
AEVDF.DLL : 8.1.0.5 102772 Bytes 09.07.2008 08:38:31
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 08.07.2008 06:33:29
AESCN.DLL : 8.1.0.22 119157 Bytes 09.07.2008 08:38:31
AERDL.DLL : 8.1.0.20 418165 Bytes 09.07.2008 08:38:31
AEPACK.DLL : 8.1.1.6 364918 Bytes 09.07.2008 08:38:31
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 09.07.2008 08:38:31
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 08.07.2008 06:33:29
AEHELP.DLL : 8.1.0.15 115063 Bytes 09.07.2008 08:38:31
AEGEN.DLL : 8.1.0.29 307573 Bytes 09.07.2008 08:38:31
AEEMU.DLL : 8.1.0.6 430451 Bytes 09.07.2008 08:38:31
AECORE.DLL : 8.1.1.3 172404 Bytes 09.07.2008 08:38:31
AEBB.DLL : 8.1.0.1 53617 Bytes 24.04.2008 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 7.0.0.1 155688 Bytes 30.06.2008 14:29:36
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 3. September 2008 09:56

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\pchealth\helpctr\datacoll\collecteddata_405.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 492a44d6.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_417.xml
[INFO] Die Datei ist nicht sichtbar.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
[WARNUNG] Fehler in der ARK Lib
c:\windows\pchealth\helpctr\datacoll\collecteddata_43.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 492a44e1.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_447.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4dd6284a.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_457.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4dd4d082.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_465.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4c2af8fa.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_477.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4c28a732.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_487.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4c2f4f6a.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_507.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 40d6810a.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_51.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 40d4a942.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_537.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 432b51ba.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_547.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 432979f2.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_55.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 432f202a.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_553.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 432dc862.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_567.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4323f0da.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_577.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43219f12.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_583.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4324474a.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_597.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 433a6f82.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_601.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 433817fa.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_607.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 433e3e32.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_613.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 433ce66a.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_615.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43328ea2.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_627.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4330b51a.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_632.xml
[INFO] Die Datei ist nicht sichtbar.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
[WARNUNG] Fehler in der ARK Lib
c:\windows\pchealth\helpctr\datacoll\collecteddata_637.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 492a44ec.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_643.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 430b2dcd.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_65.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4309d435.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_657.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 430ffc7d.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_666.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 430da4a5.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_67.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43004ced.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_672.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43066b55.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_680.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4304139d.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_684.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 431a3bc5.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_686.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4318e20d.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_694.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 431e8a75.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_696.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 431cb2bd.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_710.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43135ae5.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_714.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43168105.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_716.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4314a94d.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_724.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 436b51b5.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_726.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 436979fd.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_746.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 436f2025.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_756.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 436dc86d.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_760.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4363f0d5.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_762.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43619f1d.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_764.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43644745.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_776.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 437a6f8d.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_786.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 437817f5.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_806.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 437e3e3d.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_816.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 437ce665.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_836.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 492a44ed.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_855.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4370b516.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_857.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43775d5e.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_859.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43750586.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_861.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 434b2dce.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_863.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4349d436.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_865.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 434ffc7e.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_866.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 434da4a6.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_867.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43404cee.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_869.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43466b56.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_871.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4344139e.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_873.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 435a3bc6.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_875.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4358e20e.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_876.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 435e8a76.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_877.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 435cb2be.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_879.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43535ae6.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_881.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4351012e.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_883.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 43572996.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\collecteddata_97.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4355d1de.qua erstellt ( QUARANTÄNE )
c:\windows\pchealth\helpctr\datacoll\history_db.xml
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 493144e7.qua erstellt ( QUARANTÄNE )
Es wurden '51819' Objekte überprüft, '70' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FireWall.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmprc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpKmpSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmmessages.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHDEXLG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPONSCR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EZEJMNAP.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHKMGR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QCONSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpShocks.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rrpcsb.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tp4serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '45' Prozesse mit '45' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '65' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <IBM_PRELOAD>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP236\A0027390.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ee51dd.qua' verschoben!

Ende des Suchlaufs: Mittwoch, 3. September 2008 11:14
Benötigte Zeit: 1:17:52 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

5364 Verzeichnisse wurden überprüft
386289 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
69 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
386286 Dateien ohne Befall
7875 Archive wurden durchsucht
4 Warnungen
69 Hinweise
51819 Objekte wurden beim Rootkitscan durchsucht
70 Versteckte Objekte wurden gefunden

undoreal · 03.09.2008, 10:37

Deaktiviere die Systemwiederherstellung auf allen Laufwerken und starte den Rechner neu. Aktivere sie wieder und mache noch einen Scan mit AntiVir. Dann sollte die Meldung nicht mehr auftauchen. Und ja, die collectdata ...123xml Dateien kannst du wiederherstellen..

sauerkreatur · 03.09.2008, 15:55

tatsächlich!

heisst dass ich bin wieder völlig sauber?

lg sauerkreatur

-------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:52:00, on 03.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lenovo\TrackPoint\tp4serv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {AC41D38F-B56D-40AD-94E0-B493D130C959} - (no file)
O4 - HKLM\..\Run: [TrackPointSrv] C:\Programme\Lenovo\TrackPoint\tp4serv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [UC_Start] C:\Programme\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 7025 bytes

undoreal · 03.09.2008, 16:06

Jop. Das bist du. schlate dein Hirn beim surfen ein dann bleibt das auch so.

http://brain.yubb.de/

Und fixe noch den BHO.......(no file) Eintrag mit HJT.

03.09.2008, 16:06	#12
undoreal /// AVZ-Toolkit Guru	Bitte log checken Jop. Das bist du. schlate dein Hirn beim surfen ein dann bleibt das auch so. http://brain.yubb.de/ Und fixe noch den BHO.......(no file) Eintrag mit HJT. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

Bitte log checken

Log-Analyse und Auswertung: Bitte log checken