auch auf meinem zweiten Computer wurden die diversen Scanner fündig. Ich habe heute nochmal RootkitRevealer laufen lassen und der wird nach wie vor fündig. Kann mir bitte jemand beim Analysieren der Logfiles helfen?

Hier zuerst mal das Resultat von RootkitRevealer:

Code: Alles auswählenAufklappen

ATTFilter

HKU\S-1-5-21-3534013452-3051685292-1672415821-1005\RemoteAccess\InternetProfile	07.06.2006 18:51	5 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SECURITY\Policy\Secrets\SAC*	20.08.2005 15:17	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	20.08.2005 15:17	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*	24.02.2007 19:39	0 bytes	Key name contains embedded nulls (*)
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll	17.02.2008 18:15	252.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll	17.02.2008 18:15	111.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll	17.02.2008 18:15	8.00 KB	Visible in Windows API, but not in MFT or directory index.
         

hier das hjt-log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:09, on 26.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\umonit.exe
C:\Programme\COMODO\SafeSurf\cssurf.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\PROGRA~1\eScan\ESERV.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nuance\NaturallySpeaking10\Program\natspeak.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\PROGRA~1\eScan\VISTA\avpmapp.exe
C:\PROGRA~1\eScan\TRAYESER.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\eScan\consctl.exe
C:\PROGRA~1\eScan\Vista\eScanMon.exe
C:\WINDOWS\system32\dllhost.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w3*.comodo.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w3*1.euro.dell.com/content/default.aspx?c=ch&l=de&s=gen
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.509.6972\swg.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [UMonit] "C:\WINDOWS\system32\umonit.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Programme\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [DNS7reminder] "C:\Programme\Nuance\NaturallySpeaking10\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance\NaturallySpeaking10\Ereg.ini
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Server] C:\PROGRA~1\eScan\ESERV.EXE /App
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Programme\Nuance\NaturallySpeaking10\Program\natspeak.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Verknüpfung mit Tcpview.lnk = C:\WINDOWS\system32\Tcpview.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - h**p://w3*.nanoscan.com/cabs/nanoinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll,C:\WINDOWS\system32\cssdll32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\VISTA\avpmapp.exe
O23 - Service: eScan Management-Console (eScan-eServ) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYESER.EXE
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: GLVSLJMHFCOH - Sysinternals - w3*.sysinternals.com - C:\DOKUME~1\xxxx\LOKALE~1\Temp\GLVSLJMHFCOH.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. (w3*.webroot.com) - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 9620 bytes
         

dann hätten wir da noch das Resultat von Malwarebytes' Anti-Malware:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1202
Windows 5.1.2600 Service Pack 3

24.09.2008 20:29:18
mbam-log-2008-09-24 (20-29-18).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 121419
Laufzeit: 42 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot.
C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> Delete on reboot.
         

und DrWeb - CureIt:

Code: Alles auswählenAufklappen

ATTFilter

RegUBP2b-xxxx.reg;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots2;Trojan.StartPage.1505;Gelöscht.;
rebootnt.exe;C:\Dokumente und Einstellungen\Diana\Lokale Einstellungen\Temp\~vis0000;Tool.Reboot;Nicht desinfizierbar.Gelöscht.;
instscan.exe;C:\Programme\eScan;Wahrscheinlich BACKDOOR.Trojan;;
mailinst.exe;C:\Programme\eScan;Wahrscheinlich BACKDOOR.Trojan;;
mailscan.ini;C:\Programme\eScan;Wahrscheinlich SCRIPT.Virus;;
setup.exe\data029;C:\Programme\eScan\SETUP\setup.exe;Wahrscheinlich BACKDOOR.Trojan;;
setup.exe\data064;C:\Programme\eScan\SETUP\setup.exe;Wahrscheinlich BACKDOOR.Trojan;;
setup.exe;C:\Programme\eScan\SETUP;Archiv enthält infizierte Objekte;Verschoben.;
A0034923.reg;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP85;Trojan.StartPage.1505;Gelöscht.;
A0034924.exe\data029;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP85\A0034924.exe;Wahrscheinlich BACKDOOR.Trojan;;
A0034924.exe\data064;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP85\A0034924.exe;Wahrscheinlich BACKDOOR.Trojan;;
A0034924.exe;C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP85;Archiv enthält infizierte Objekte;Verschoben.;
         

escan folgt im nächsten Teil:

Code: Alles auswählenAufklappen

ATTFilter

22 Sep 2008 21:02:46 - Datei E:\AUTORUN.INF infiziert durch den Virus "Fujack"!  Maßnahme ergriffen: Deleted.
22 Sep 2008 23:04:20 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:20 - Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:27 - Objekt "bonzibuddy Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:51 - Eintrag "HKCR\DirectAnimation.PathControl" verweist auf das ungültige Objekt "{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:51 - Eintrag "HKCR\DirectAnimation.Sequence" verweist auf das ungültige Objekt "{4F241DB1-EE9F-11D0-9824-006097C99E51}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:51 - Eintrag "HKCR\DirectAnimation.SequencerControl" verweist auf das ungültige Objekt "{B0A6BAE2-AAF0-11D0-A152-00A0C908DB96}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:51 - Eintrag "HKCR\DirectAnimation.SpriteControl" verweist auf das ungültige Objekt "{FD179533-D86E-11D0-89D6-00A0C90833E6}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:51 - Eintrag "HKCR\DirectAnimation.StructuredGraphicsControl" verweist auf das ungültige Objekt "{369303C2-D7AC-11D0-89D5-00A0C90833E6}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:53 - Eintrag "HKCR\SPhoneParser.FoundSkypeNumber" verweist auf das ungültige Objekt "{E40A96CC-4A5B-47F4-9957-87CDED1DFF45}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:53 - Eintrag "HKCR\SymWriter.pdb" verweist auf das ungültige Objekt "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:57 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\drivers\vsdatant.sys". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:57 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\gp.ocx". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:04:58 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:01 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\DOKUME~1\xxxx\LOKALE~1\Temp\WRSS\i386\". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:01 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\DOKUME~1\xxxx\LOKALE~1\Temp\WRSS\". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:01 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "AVG7Uninstall". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:01 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "AVGantiRootkit". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:01 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB873339". Maßnahme ergriffen: Einträge entfernt.
!!!! hier habe ich eine ganze Liste mit KBxxxxxx Objektverweisen entfernt !!!!
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "M886903". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "McAfee Uninstall Utility". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Microsoft .NET Framework 2.0". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Microsoft .NET Framework 3.0". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "QuickTime". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Skype_is1". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "ToolBand.SkypeIEToolbarToolbar". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{09966C32-C34D-4FF4-8C7E-94A9630DDEF8}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{125F0ACC-D3FC-402B-8D96-27F6E46D00D5}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{14D00B5A-64AE-4D82-8751-EC1F486D9292}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{19DBC608-AD2B-4F4C-AEE2-C19DAC252408}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{2F1F95D4-C1D4-4B76-9E04-9DAF45413C9B}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{3F17F488-C976-4DE5-86F1-66CDB7D89DAA}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{45D68F08-56A0-4412-BB0F-8492BE978AC7}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{558CD0A7-0548-4220-88FE-01CC1477DF61}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{5AC9F44E-06C7-41E3-A464-37177AB9105D}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{7C3E3706-8FBD-4169-9726-0A47FBF9D32A}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{901C63FD-6673-47A6-9B5F-B13E3EBFA470}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{A43BF6A5-D5F0-4AAA-BF41-65995063EC44}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{AC76BA86-0000-0000-0000-6028747ADE01}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{AC76BA86-7AD7-1031-7B44-A00000000001}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{B4B5AD48-8D34-41D3-BD8A-8A10BD9BDED3}_is1". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{BA9EC6B2-B074-4D6D-8C75-E33D13867EC1}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{C3CE4CED-46B0-407E-A703-7A83AAE02A36}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{CAED31B1-F1EF-4CD3-AE92-58FA3963DA3D}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{D264B937-F97B-4C4F-AA6A-7C31FC09AC4B}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{DBE84DB2-1794-4244-9859-9B720CA89B4D}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{E4AA17E3-D058-48B3-8D3B-E96FC2C95376}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{F10DA4F3-D5E3-46F8-B403-EFBD44936922}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{F25DB693-5AF2-4739-B20A-EB8E05E0F72D}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{F68E3631-68ED-4970-8D77-B81FE83AA6A1}". Maßnahme ergriffen: Einträge entfernt.
22 Sep 2008 23:05:02 - Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{FBA6882A-8289-4DAF-A8D1-AD591FD9DF3A}". Maßnahme ergriffen: Einträge entfernt.
23 Sep 2008 00:25:52 - Datei E:\Aspire1200_backup\xxxx\desktop.ini infiziert durch den Virus "VB.CO.Leftover"!  Maßnahme ergriffen: Datei gelöscht.
23 Sep 2008 00:26:05 - Datei E:\Aspire1200_backup\xxxx\desktop.ini infiziert durch den Virus "VB.CO.Leftover"!  Maßnahme ergriffen: Datei gelöscht.
23 Sep 2008 00:26:09 - Datei E:\Aspire1200_backup\xxxx2\desktop.ini infiziert durch den Virus "VB.CO.Leftover"!  Maßnahme ergriffen: Datei gelöscht.
         

Hi,

im wesentlichen gilt für dieses System das gleiche, was ich auch schon zu deinem anderen angemerkt habe. Im Log von Rootkitrevealer gibt es ein paar interessante Einträge (HKLM\SOFTWARE\Classes\CLSID\*): Ist oder war auf dem System Pinnacle Studio installiert?

Ansonsten ist auf dem System die Ask Toobar installiert, die wird als Spyware eingestuft. Leider gibt es immer mehr Hersteller von Securitysoftware, die für Geld die mit ihren Programmen mitinstallieren lassen. Schau mal in Systemsteuerung -> Software ob es dort möglich ist sie runterzuschmeißen.

Bei Rootkitrevealer ist es normal, dass er eine Menge Sachen meldet ohne dass die ein Problem sind.

Die 4 Funde von MBAM sind eine Überraschung, die der Escan ins System ablädt. Das ist noch schlimmer als die Fehlalarme. Ist zwar nur eine Simulation von Malware, aber das ist eine Rote-Karten-Sünde. Die gleiche Taktik wie sie auch Spysherrif, Winantivirus und all diese anderen Betrugsprogramme einsetzen. Wenn Escan sich auf dieses Niveau begibt

Gruß, Karl

nochmal herzlichen Dank, Karl.

ok, Ask Toolbar liess sich deinstallieren.

wenn ich Dich recht verstehe, ist eScan tatsächlich unbrauchbar, werde dieses Stück Software umgehend ersetzen.

Ich wollte schon antworten, dass ich nichts von Pinnacle habe/hatte, aber eine Suche in der Registry förderte ein paar alte Produktschlüssel zutage, die aber im wesentlichen ins Leere weisen. Diese und die entsprechenden leeren Directories kann ich wohl bedenkenlos löschen, nehme ich an.

ansonsten ist die Maschine überladen, aber sauber, wenn ich Dich recht verstehe.

Gruss, Paul

Die Basis sind die Erkennungen von Kaspersky, die ist schon recht gut. Was aber dann an Erweiterungen außen herum gebaut wurde, ist schlecht. Dazu die Installation solcher Malwaresimulationen. Ich würd schon sagen: Ab in die Tonne damit.