rfhseju.exe

danielsan79 · 31.10.2008, 22:19

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1343
Windows 6.0.6001 Service Pack 1

31.10.2008 22:08:05
mbam-log-2008-10-31 (22-08-05).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 139806
Laufzeit: 1 hour(s), 12 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:12:50, on 31.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Users\Dan01\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe
C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\PLFSetI.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht**tp://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**ttp://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht**tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**ttp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**ttp://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
O4 - HKLM\..\Run: [eAudio] "C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [ZPdtWzdVitaKey MC3000] "C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe" show
O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - ht**tp://*ww.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A250EB2-C942-40C9-8010-CEC49AE5F15E}: NameServer =
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: iGroupTec Service (IGBASVC) - Unknown owner - C:\Program Files\Acer\Acer Bio Protection\BASVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe

--
End of file - 8774 bytes

undoreal · 01.11.2008, 09:48

Warum hast du das MBA log nochmal gepostet?

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\Windows\PLFSetI.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

CureIT Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

PS: Hast du den Avenger eigentlich schon laufen lassen? Poste bitte das log..

danielsan79 · 01.11.2008, 10:49

Ja, du sagtest doch ich solle am Ende nochmal einen durchlauf mit HijackThis machen und das Ergebnis posten und auch mit diesem malware Scanner.

Der Avenger hatte doch mein Internet lahmgelegt, es wurde anscheinend irgendeine Datei oder Eintrag gelöscht den ich für meine Internetverbindung brauche. Ich habe dann wieder ein restore der Einträge und Dateien gemacht. Die Datei PLFSetI.exe ist die Webcamsteuerung von Acer Laptops, ich hatte die schonmal früher überprüft

undoreal · 01.11.2008, 11:20

=) Ich weiss, dass es die WebCam Steuerung sein kann. Poste das Ergebniss bitte trotzdem.

Der Avenger hat dein Internet nicht lahm gelegt...

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Files to delete:
C:\Users\D*\AppData\Local\Google\Update\Google Update.exe
C:\Users\Da*1\AppData\Local\rfhseju.exe

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

danielsan79 · 01.11.2008, 13:53

So, endlich fertig gescannt. Es wurden keine Viren gefunden mit dem Dr. Web Programm, er hat allerdings das Naviprog als Virus erkannt.

Process.exe;C:\Program Files\Navilog1;Tool.Prockill;Löschen nicht möglich.;

Das Ergebnis von der anderen Datei hat auch nichts ergeben

Datei PLFSetI.exe empfangen 2008.11.01 12:10:36 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.1.0 2008.10.31 -
AntiVir 7.9.0.10 2008.10.31 -
Authentium 5.1.0.4 2008.11.01 -
Avast 4.8.1248.0 2008.11.01 -
AVG 8.0.0.161 2008.10.31 -
BitDefender 7.2 2008.11.01 -
CAT-QuickHeal 9.50 2008.11.01 -
ClamAV 0.94.1 2008.11.01 -
DrWeb 4.44.0.09170 2008.11.01 -
eSafe 7.0.17.0 2008.10.30 -
eTrust-Vet 31.6.6184 2008.10.31 -
Ewido 4.0 2008.11.01 -
F-Prot 4.4.4.56 2008.10.31 -
F-Secure 8.0.14332.0 2008.11.01 -
Fortinet 3.117.0.0 2008.10.31 -
GData 19 2008.11.01 -
Ikarus T3.1.1.44.0 2008.11.01 -
K7AntiVirus 7.10.513 2008.10.31 -
Kaspersky 7.0.0.125 2008.11.01 -
McAfee 5420 2008.11.01 -
Microsoft 1.4005 2008.11.01 -
NOD32 3575 2008.10.31 -
Norman 5.80.02 2008.10.31 -
Panda 9.0.0.4 2008.10.31 -
PCTools 4.4.2.0 2008.10.31 -
Prevx1 V2 2008.11.01 -
Rising 21.01.52.00 2008.11.01 -
SecureWeb-Gateway 6.7.6 2008.11.01 -
Sophos 4.35.0 2008.11.01 -
Sunbelt 3.1.1767.2 2008.10.31 -
Symantec 10 2008.11.01 -
TheHacker 6.3.1.1.135 2008.10.31 -
TrendMicro 8.700.0.1004 2008.10.31 -
VBA32 3.12.8.9 2008.11.01 -
ViRobot 2008.10.31.1446 2008.10.31 -
VirusBuster 4.5.11.0 2008.10.31 -
weitere Informationen
File size: 200704 bytes

Jetzt werd ich das andere noch machen, ich hatte ja geschrieben dass ich die Datei C:\Users\Da*1\AppData\Local\rfhseju.exe schon manuell gelöscht hatte und die Einträge in der Registry ausgetragen habe gestern, deswegen wird das Avenger Programm wahrscheinlich einen Fehler anzeigen.

Noch mal zu den Benutzerkonten, die Hijack Logs Files unterscheiden sich ja wenn ich mich mit einem anderen Benutzerkonto anmelde hab ich gemerkt. Soll ich die Scans jetzt mit dem Benutzerkonto durchführen welches ich eigentlich immer benutze oder mit den Admin Benutzerkonto, dass ich ja nie benutze? Oder kommen da die gleichen Ergebnisse raus weil bei dem Admin Benutzerkonto sind manche Programme nicht installiert die es aber in dem anderen gibt

Edit:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\Users\Daniel\AppData\Local\Google\Update\Google Update.exe" not found!
Deletion of file "C:\Users\Daniel\AppData\Local\Google\Update\Google Update.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Users\Dan01\AppData\Local\rfhseju.exe" not found!
Deletion of file "C:\Users\Dan01\AppData\Local\rfhseju.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Edit: Unter einem anderem Benutzer gibt es die Datei C:\Users\Daniel\AppData\Local\Google\Update\GoogleUpdate.exe unter Hijackthis
Also muß ich jeden Test und scan dann 2x mal machen für jeden Benutzer?? Welche HijackThis Log soll ich immer posten, die von benutzer1-Admin oder Benutzer2-standard?? Thx!

danielsan79 · 03.11.2008, 23:03

Hab jetzt glaub ich ein Problem, wärend des Scans mit Kaspersky kam die Meldung "Local fordert die nutzung von webcan und mikrofon" und "wenn sie auf zulassen klicken werden sie gefilmt"

Ich würde am liebsten alles gleich formatieren aber das ist ein Laptop und ich hab keine Windows DVD

Hatte ich also doch recht dass jemand in meni System gelangt ist.
Soll ich nochmal diesen combofix scan machen oder lohnt das nicht mehr?

Habe heute eine merkwürdige Email bekommen die laut Datum schon gestern hätte kommen müssen mit dem Namen einer Bekannten. Soll ich den Combofix scan als benutzer1 oder benutzer2 durchführen? Ich erbitte um hilfe!

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 3. November 2008 22:27:18
Betriebssystem: Microsoft Windows Vista Home Edition, Service Pack 1 (Build 6001)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 3/11/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1369018
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 103657
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:11:10

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Boot\BCD Das Objekt ist gesperrt übersprungen
C:\Boot\BCD.LOG Das Objekt ist gesperrt übersprungen
C:\EGIS_Drive\eDS_PSD_drive.vmdf Das Objekt ist gesperrt übersprungen
C:\Program Files\Acer\Empowering Technology\eDataSecurity\log\ADMIN_CLASS_LIB-20081103.log Das Objekt ist gesperrt übersprungen
C:\Program Files\Acer\Empowering Technology\eDataSecurity\log\LOADER-20081103.log Das Objekt ist gesperrt übersprungen
C:\Program Files\InstallShield Installation Information\{57265292-228A-41FA-9AEC-4620CBCC2739}\setup.ilg Das Objekt ist gesperrt übersprungen
C:\Program Files\InstallShield Installation Information\{AA4BF92B-2AAF-11DA-9D78-000129760D75}\setup.ilg Das Objekt ist gesperrt übersprungen
C:\Program Files\InstallShield Installation Information\{D36DD326-7280-11D8-97C8-000129760CBE}\setup.ilg Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\emc\Log\emc.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\Log\avgcore.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\Log\avglng.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\Log\avgrs.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\Log\avgsched.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\Log\avgui.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\Log\avgwd.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\avg8\Log\commonpriv.log Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\443a7e3ed3d7e11013a2a4ef64cf98eb_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\4533a38ef63ddff70ce0b3073599a0de_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\5cfb1489d6fda085eebfbd5a13210c9b_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\613eee37f5b07022264f2f9c900c4caf_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\ba9ec42714a242af20c8302eed648832_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\bff3e547360e96c073bbb9be30d6898f_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\e051df7bd3d3694c0963e3ff99a0233f_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\fc1e3851f429ea606d6ff1e01a5229f1_6f28e100-5d3f-4184-a7a6-efcf70f059e7 Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\eHome\logs\eHomeLog01.sqm Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\eHome\logs\eHomeLog02.sqm Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\User Account Pictures\Daniel.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Internet Explorer\MSIMGSIZ.DAT Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\History\Low\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\History\Low\History.IE5\MSHist012008110320081104\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\UsrClass.dat{10a667ad-59cc-11dd-a6f0-001e6881845a}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\UsrClass.dat{10a667ad-59cc-11dd-a6f0-001e6881845a}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows\UsrClass.dat{10a667ad-59cc-11dd-a6f0-001e6881845a}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows Defender\FileTracker\{174931C8-F234-48D0-82D3-BB9E86A92800} Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\Microsoft\Windows Sidebar\Settings.ini Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\PowerCinema\CLML\CLDB_SUB_ALBUMART.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\PowerCinema\CLML\CLDB_SUB_INFO.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\PowerCinema\CLML\CLDB_SUB_LARGE.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\PowerCinema\CLML\CLDB_SUB_MEDIUM.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\PowerCinema\CLML\CLDB_SUB_MINI.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\PowerCinema\CLML\CLDB_SUB_SMALL.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Local\PowerCinema\CLML\CLDB_SUB_VSCENE.db Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Roaming\Microsoft\Windows\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Roaming\Microsoft\Windows\Cookies\Low\dan01@doubleclick[2].txt Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Roaming\Microsoft\Windows\Cookies\Low\dan01@ivwbox[1].txt Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Roaming\Microsoft\Windows\Cookies\Low\dan01@statse.webtrendslive[1].txt Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\AppData\Roaming\Microsoft\Windows\Cookies\Low\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\ntuser.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\ntuser.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Dan01\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Local\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Local\Microsoft\Windows\UsrClass.dat{10a66884-59cc-11dd-a6f0-001e6881845a}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Local\Microsoft\Windows\UsrClass.dat{10a66884-59cc-11dd-a6f0-001e6881845a}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Local\Microsoft\Windows\UsrClass.dat{10a66884-59cc-11dd-a6f0-001e6881845a}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Cookies\Low\daniel@ad.yieldmanager[2].txt Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Cookies\Low\daniel@bs.serving-sys[2].txt Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Cookies\Low\daniel@casalemedia[1].txt Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Cookies\Low\daniel@serving-sys[2].txt Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Cookies\Low\daniel@tradedoubler[2].txt Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\ntuser.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\ntuser.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Daniel\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\Windows\Debug\WIA\wiatrace.log Das Objekt ist gesperrt übersprungen
C:\Windows\Logs\CBS\CBS.log Das Objekt ist gesperrt übersprungen
C:\Windows\Logs\DPX\setupact.log Das Objekt ist gesperrt übersprungen
C:\Windows\Logs\DPX\setuperr.log Das Objekt ist gesperrt übersprungen
C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe.config Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\diagerr.xml Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\diagwrn.xml Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\setupact.log Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\setuperr.log Das Objekt ist gesperrt übersprungen
C:\Windows\security\database\secedit.sdb Das Objekt ist gesperrt übersprungen
C:\Windows\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\catroot2\edb.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb Das Objekt ist gesperrt übersprungen
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogConfigTemp.xml Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogFiles\Firewall\pfirewall.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogFiles\Firewall\pfirewall.log.old Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogFiles\Scm\SCM.EVM Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogFiles\WUDF\WUDFTrace.etl Das Objekt ist gesperrt übersprungen
C:\Windows\System32\restore\MachineGuid.txt Das Objekt ist gesperrt übersprungen
C:\Windows\System32\spool\SpoolerETW.etl Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\diagerr.xml Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\diagwrn.xml Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\setupact.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\setuperr.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\0332A97878022BD4B34ECC098E57783A.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\0FF162C67AD719BB7258CA5874D0E6EC.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\1328355F476A6C04BC174C8FEFED6030.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\191095FB4864B1AE365957B3B2D28C4F.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\1A4E55E3BE96FF394FB5020C4D537AB1.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\1F260613E85F3D0BACEC07DCEF35396B.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\22A0F05220E6420CA3AA86E34805F752.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\241F1954DCD7B0310958D9540754CEC3.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\394EF2A769C648E61B41BFAD23BACF0E.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\3CF854648793305D1D2A7AC41F80E9D6.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\3DFD050CBBC8EA38EA5F1066285F0F4E.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\3FC136B9AA8D71056333AF0137119E93.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\4461018BFFC22A809EBE8FA05567B686.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\45D86E53E6ADF70035B0034F9D8C42FE.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\47DDFF7276CF8C08F181DD23AF67B868.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\4B2660072B052959CB2A0C8B6A1E9B6A.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\4FFAA3E7CB3131376614E98F756EE7AD.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\542DC56D520FDDEDA279A0D2F398203D.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\58F6DC94AE063187572E906AE0B9DC24.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\5F8AAE81E6AA25DDECD426311EDC3CEA.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\6389D91E49CCAF02640B61214A97211F.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\66231762529A003735024004DCDE643C.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\6DD1779321E1C86B32D09A35DA5E4ED2.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\734834D588DA61453DEA4E0AF499ADCE.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\7424188A11F3D829BB76C98170DB45E5.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\7A7E1B1832596F5C49CD70E9755EED39.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\7C45C8B7490D3AD44A961494C7FBFAFD.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\7DFE880F785D5AB82870BFC0C3F814A2.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\8608CDBF407B09DF27C3406379384843.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\86824C24FDE0A58E4EB1A7918FBEF0C5.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\89B278BD994A4232365F0E916C19916C.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\9B2AE30BDA2ED3E7E1378B8770C99C54.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\9FB731EA48C7701EB7978CEB7E0314AD.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\A02DB69DBBC4F298AD0CE59F677EBF22.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\B7890DE53F3A6B3C277523E82A081C04.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\B88E8B639804BA063AC1D11AC4C196C1.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\BF2ADAFC80AB82D412CD9F0B99A0AD2C.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\C3613D92FBA5F820823577D6FC2CE8A9.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\C5B3C3C921790F19FCDE9367A797A2EF.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\CF881EBD6F50B8BAA9BD57DC3DAC5CB2.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\CFD53C8456D58010BA580B1D5CFF68D3.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\D4CB64722F050ABEB5F8B6B143A19A6C.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\D6149C45B68480CA184F2D9C7CB312A5.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\DED51090917AEE019629CE420A50F3C2.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\E478A5DB75C9721E744C05D78DBACFD3.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\EC4E4D2526C1F24E4D610677CF1EA0E7.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\EEDD6F5F4BEDFEA1C780FFC78DCDE051.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\F001D607C389EDBCFB1D1F3C9AE0FFC5.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\F1E5535EC8A153BF2EB4F202C2704228.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\FA01281653BC6D33CB10F9E5C36E4047.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Logs\WMITracing.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Application.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\DFS Replication.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\HardwareEvents.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Internet Explorer.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Key Management Service.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Media Center.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Bits-Client%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-CodeIntegrity%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-DPS%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Networking%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-DiskDiagnosticDataCollector%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-GroupPolicy%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Help%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-International%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-LanguagePackSetup%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-MUI%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-ParentalControls%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReadyBoost%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReliabilityAnalysisComponent%4Metrics.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReliabilityAnalysisComponent%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Exhaustion-Detector%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Exhaustion-Resolver%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Leak-Diagnostic%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-RestartManager%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-UAC%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-UAC-FileVirtualization%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsUpdateClient%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\ODiag.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\OSession.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Security.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Setup.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\System.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\Tasks\SCHEDLGU.TXT Das Objekt ist gesperrt übersprungen
C:\Windows\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\Windows\winsxs\x86_microsoft-windows-n..n_service_datastore_31bf3856ad364e35_6.0.6001.18000_none_d12e90ac35ffb753\dnary.xsd Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

undoreal · 04.11.2008, 06:32

Welcher Benutzer ist denn infiziert? Combofix solltest du als Admin ausführen. Wenn beide Benutzer Admin Rechte haben dann mache den Scan auf beiden Profilen und poste beide logs.

danielsan79 · 04.11.2008, 13:44

Also ich habe jetzt doch das System neu gemacht aber das Problem ist, dass ich keine Windows vista cd habe weil bei dem laptop nichts dabei war. Das Recovery Image liegt auf einer versteckten Partition auf dem Rechner. Meine Frage ist kann diese Partition, die ja hoffentlich schreibgeschützt ist, auch befallen worden sein? Und reicht ein recovery der alten Partition überhaupt aus, weil die Platte ja nicht formatiert wird sondern nur überschrieben? Habe mal alle Passwörter getauscht und ein besseres Antiviren Programm installiert.

Ich will in Zukunft jetzt besser auf das System aufpassen und auch nur das nötigste installieren. Bin mir nicht sicher ob ich mir eine Firewall kaufen soll oder die windows Firewall ausreicht, ich bin ja hinter einem Router und diese online Portscan tests zeigten alle gute Werte an. Vielleicht war der Trojaner schon länger auf dem Rechner, den kaum war ich als Admin Benutzer angemeldet und hab das System mal für 2 Stunden mit Kaspersky online scannen lassen da öffnet mir irgendjemand die Webcam und Mikrovonsteuerung und verlangte zugriff, hab dann auf verweigern geklickt, sehr merkwürdig. Gibt es eigentlich kleinere Tools die automatisch das System auf Sicherheit optimieren und einige Einstellungen vornhemen wie z.b Datei und Druckerfreigabe abschalten oder sowas?

undoreal · 04.11.2008, 16:29

Also: Hast du mit der Recovery CD neuaufgestzt? Dann ist dein Rechner jetzt auf dem Auslieferungszustand und somit sauber.

Zur Systemsicherheit: Die Windows Firewall ist gut! Lies dir das hier mal durch: Windows Vista Firewall punktgenau konfiguriert - Winhelpline Forum

Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..

Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: Avira AntiVir free, Kaspersky oder avast free.
Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
.
Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
.
Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
.
Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
.
Das aktuelle ServicePack sollte installiert sein:
- XP_ ServicePack3
- Vista_ ServicePack1
.
Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
.
Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
.
Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
  Vista_Firewall punktgenau konfigurieren
.
Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
- Sicherheit: -> höchste Stufe
- Datenschutz: -> alle Cookies blockieren
Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
.
Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
.

Häufig gestellte Fragen: XP | Vista

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..

danielsan79 · 04.11.2008, 17:12

Leider nicht, eine Recovery CD war bei dem Acer billig Ding nicht dabei. Es gibt ein "Recovery Image" auf einer versteckten kleinen Partition von dem aus dann das Image genommen wird. Dazu drückt man im Bios Bildschirm Alt+F10 und ein kleines Dos Programm öffnet sich dass dann alles automatisch erledigt. Ich habe nur bedenken dass genau diese kleine versteckte Partition eventuell auch befallen sein könnte, ich hoffe aber das Acer die wenigstens schreibgeschützt hat oder so ähnlich.

dachte mir eigentlich dass die Windows Firewall schon ganz gut ist, dann werd ich keine neue kaufen. Das sind ein paar Hilfreiche Tips gerade um die Firewall und Interneteinstelungen zu konfigurieren.

undoreal · 04.11.2008, 18:07

Zitat:

ich hoffe aber das Acer die wenigstens schreibgeschützt hat oder so ähnlich.

Davon ist auszugehen... Sollte also eigentlich kein Problem sein..

04.11.2008, 06:32	#37
undoreal /// AVZ-Toolkit Guru	rfhseju.exe Welcher Benutzer ist denn infiziert? Combofix solltest du als Admin ausführen. Wenn beide Benutzer Admin Rechte haben dann mache den Scan auf beiden Profilen und poste beide logs. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

rfhseju.exe

Log-Analyse und Auswertung: rfhseju.exe

rfhseju.exe

rfhseju.exe

rfhseju.exe

rfhseju.exe

rfhseju.exe

rfhseju.exe

rfhseju.exe

rfhseju.exe

rfhseju.exe

rfhseju.exe

rfhseju.exe

Ähnliche Themen: rfhseju.exe