Auf ein neues

Habe das Problem das ich eine Viruswarnung von Antivir bekomme in der die Datei dhsc.dll als BDS/Agent.ZYI Backdoor erkannt wird. Sobald ich die Datei Lösche komm ich nicht mehr ins Internet, genauso wenn die Datei in Quarantäne verschoben wird.

Hier das Logfile, vielleicht kann mir wer bei der Auswertung helfen.

(Hoffe jetzt passts mit der Regeleinhaltung)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:56:38, on 11.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal


O10 - Unknown file in Winsock LSP: c:\windows\system32\dhsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dhsc.dll


EDIT: Problem mit LSPFix gelöst, habe die Datei aus dem Winsock entfernt und es läuft wieder sauber.

Hallo und

Gerade weil das Teil als Backdoor eingestuft wurde, sollte man hier noch genauer analysieren. Hast Du die Datei noch? Wenn ja => Auswerten lassen bei Virustotal.com und Ergebnisse hier posten.

Desweiteren wäre ein KOMPLETTES HJT-Logfile von Vorteil

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Danke für die ausführliche Antwort,

werde das heute abend mal machen und dann hier posten.

Also bis heute abend

So na dann mal los, hatte übrigens gerade wieder die Warnung von Antivir

Als erstes die Auswertung von Virus Total:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.11.13.0	2008.11.12	Win-Trojan/Agent.86016.HV
AntiVir	7.9.0.31	2008.11.12	BDS/Agent.ZYI
Authentium	5.1.0.4	2008.11.12	-
Avast	4.8.1248.0	2008.11.12	-
AVG	8.0.0.199	2008.11.12	-
BitDefender	7.2	2008.11.12	Backdoor.Agent.ZYI
CAT-QuickHeal	9.50	2008.11.12	-
ClamAV	0.94.1	2008.11.12	-
DrWeb	4.44.0.09170	2008.11.12	-
eSafe	7.0.17.0	2008.11.12	-
eTrust-Vet	31.6.6204	2008.11.11	-
Ewido	4.0	2008.11.12	-
F-Prot	4.4.4.56	2008.11.11	-
F-Secure	8.0.14332.0	2008.11.12	-
Fortinet	3.117.0.0	2008.11.12	-
GData	19	2008.11.12	Backdoor.Agent.ZYI
Ikarus	T3.1.1.45.0	2008.11.12	Trojan-Dropper.Agent
K7AntiVirus	7.10.523	2008.11.12	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2008.11.12	-
McAfee	5431	2008.11.12	-
Microsoft	1.4104	2008.11.12	-
NOD32	3607	2008.11.12	-
Norman	5.80.02	2008.11.12	-
Panda	9.0.0.4	2008.11.12	Bck/Agent.KFJ
PCTools	4.4.2.0	2008.11.12	-
Prevx1	V2	2008.11.12	Malware Downloader
Rising	21.03.22.00	2008.11.12	-
SecureWeb-Gateway	6.7.6	2008.11.12	-
Sophos	4.35.0	2008.11.12	-
Sunbelt	3.1.1785.2	2008.11.11	-
Symantec	10	2008.11.12	Trojan.Ascesso
TheHacker	6.3.1.1.149	2008.11.12	-
TrendMicro	8.700.0.1004	2008.11.12	-
VBA32	3.12.8.9	2008.11.11	-
ViRobot	2008.11.12.1463	2008.11.12	-
VirusBuster	4.5.11.0	2008.11.12	-

weitere Informationen
File size: 86016 bytes
MD5...: d67cdff1743f5aef74d8a6705233ee45
SHA1..: 80e6c0464f890c5abee7b7853949ed8831d7ef4e
SHA256: 6fe118823534ec7da87e5dc70f968052fde7b259eb18d683cacac7ff462c5119
SHA512: 873d9254f90d5fb97a6e084fb5b85b98923b25dbf15f49f0990a7a9de6f4e9c6
d354a4d6792da77cff7788c635e18218f4611110e48d70b72bcb0671c13f0fd1
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1fb08ebb
timedatestamp.....: 0x48d6464b (Sun Sep 21 13:04:11 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd624 0xe000 6.57 00b1b0fee110268a17b894aa28fe4a93
.rdata 0xf000 0x2827 0x3000 4.40 c468528835062b6ef9217711bf37a8e5
.data 0x12000 0x1620 0x1000 2.21 7d6f9225ab4f00b54b9085c730f3acc0
.reloc 0x14000 0x14ea 0x2000 3.31 abe7199f02a530f27cb370bf936f6a1a

( 4 imports )
> KERNEL32.dll: InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, CloseHandle, WriteFile, CreateFileA, DeleteFileA, CreateDirectoryA, Sleep, GetTickCount, GetEnvironmentVariableA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, MultiByteToWideChar, WideCharToMultiByte, GlobalAlloc, GlobalFree, FreeLibrary, GetProcAddress, LoadLibraryA, lstrlenW, lstrlenA, HeapAlloc, GetProcessHeap, HeapDestroy, HeapFree, TerminateThread, GetCurrentThread, SetUnhandledExceptionFilter, GetModuleFileNameA, LoadLibraryW, ExpandEnvironmentStringsW, HeapCreate, GetSystemTimeAsFileTime, GetCurrentProcessId, QueryPerformanceCounter, RtlUnwind, RaiseException, GetCurrentThreadId, GetCommandLineA, VirtualFree, VirtualAlloc, HeapReAlloc, IsBadWritePtr, TlsAlloc, SetLastError, GetLastError, TlsFree, TlsSetValue, TlsGetValue, GetModuleHandleA, ExitProcess, TerminateProcess, GetCurrentProcess, HeapSize, LCMapStringA, LCMapStringW, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, UnhandledExceptionFilter, VirtualQuery, IsBadReadPtr, IsBadCodePtr, GetOEMCP, GetCPInfo, VirtualProtect, GetSystemInfo, GetStringTypeA, GetStringTypeW
> USER32.dll: wsprintfA
> WS2_32.dll: WSCInstallProvider, WSCEnumProtocols, -, -, WSCGetProviderPath
> RPCRT4.dll: UuidCreate

( 4 exports )
DllMain, DllRegisterServer, DllUnregisterServer, WSPStartup
         

Als nächstes die HijackThis Auswertung:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:28:17, on 12.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
XXX:\WINDOWS\System32\smss.exe
XXX:\WINDOWS\system32\winlogon.exe
XXX:\WINDOWS\system32\services.exe
XXX:\WINDOWS\system32\lsass.exe
XXX:\WINDOWS\system32\svchost.exe
XXX:\WINDOWS\System32\svchost.exe
XXX:\XXX\Sygate\SPF\smc.exe
XXX:\WINDOWS\Explorer.EXE
XXX:\XXX\Lavasoft\Ad-Aware\aawservice.exe
XXX:\WINDOWS\system32\spoolsv.exe
XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\avguard.exe
XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\sched.exe
XXX:\XXX\XXX\Microsoft Shared\VS7DEBUG\mdm.exe
XXX:\WINDOWS\system32\nvsvc32.exe
XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\avgnt.exe
XXX:\XXX\Java\jre1.6.0_06\bin\jusched.exe
XXX:\WINDOWS\system32\ctfmon.exe
XXX:\XXX\Mozilla Firefox\firefox.exe
XXX:\XXX\Microsoft Office\Office12\OUTLOOK.EXE
XXX:\XXX\XXX\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - XXX:\XXX\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - XXX:\XXX\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - XXX:\XXX\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - XXX:\XXX\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - XXX:\XXX\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Gainward] XXX:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] XXX:\XXX\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "XXX:\XXX\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE XXX:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] XXX:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] XXX:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] XXX:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] XXX:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] XXX:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://XXX:\XXX\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - XXX:\XXX\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - XXX:\XXX\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - XXX:\XXX\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - XXX:\XXX\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - XXX:\XXX\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - XXX:\XXX\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - XXX:\XXX\PartyGaming\PartyPoker\RunApp.exe (file missing)
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{365BACA3-34F7-4733-8DD5-CF46F5EDDFBA}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{365BACA3-34F7-4733-8DD5-CF46F5EDDFBA}: NameServer = 192.168.2.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - XXX:\XXX\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - XXX:\XXX\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - XXX:\XXX\XXX\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - XXX:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - XXX:\XXX\Sygate\SPF\smc.exe

--
End of file - 6128 bytes
         

Hoffe das hilft erstmal weiter.

Gruß Ole

Hm da snd mehrere Scanner, die das Teil als Backdoor einstufen, bin mal gespannt auf die nächsten Logs.

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]

Nabend zusammen,

anbei der Quickscanlog von Malwarebytes, Fullscan folgt.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1383
Windows 5.1.2600 Service Pack 2

13.11.2008 20:40:27
mbam-log-2008-11-13 (20-40-27).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 77832
Laufzeit: 8 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Nabend,

anbei weitere Logfiles,

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 13. November 2008  22:18

Es wird nach 1034249 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     XXXXX
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     XXX
Computername:     XXX

Versionsinformationen:
BUILD.DAT     : 8.2.0.336      16933 Bytes  30.10.2008 11:40:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  17.07.2008 19:07:27
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  17.07.2008 19:07:27
LUKE.DLL      : 8.1.4.5       164097 Bytes  17.07.2008 19:07:27
LUKERES.DLL   : 8.1.4.0        12545 Bytes  17.07.2008 19:07:27
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 06:50:41
ANTIVIR1.VDF  : 7.1.0.56      411136 Bytes  09.11.2008 19:02:36
ANTIVIR2.VDF  : 7.1.0.57        2048 Bytes  09.11.2008 19:02:36
ANTIVIR3.VDF  : 7.1.0.83      190976 Bytes  13.11.2008 19:02:51
Engineversion : 8.2.0.31  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  15.10.2008 13:45:23
AESCRIPT.DLL  : 8.1.1.15      332156 Bytes  11.11.2008 19:03:35
AESCN.DLL     : 8.1.1.5       123251 Bytes  07.11.2008 19:02:40
AERDL.DLL     : 8.1.1.3       438645 Bytes  06.11.2008 09:32:37
AEPACK.DLL    : 8.1.3.4       393591 Bytes  11.11.2008 19:03:34
AEOFFICE.DLL  : 8.1.0.30      196986 Bytes  07.11.2008 19:02:40
AEHEUR.DLL    : 8.1.0.71     1487222 Bytes  07.11.2008 19:02:39
AEHELP.DLL    : 8.1.1.3       119157 Bytes  07.11.2008 19:02:35
AEGEN.DLL     : 8.1.1.0       319859 Bytes  07.11.2008 19:02:35
AEEMU.DLL     : 8.1.0.9       393588 Bytes  15.10.2008 13:45:19
AECORE.DLL    : 8.1.4.1       172405 Bytes  07.11.2008 19:02:34
AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 13:45:18
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  17.07.2008 19:07:27
AVPREF.DLL    : 8.0.2.0        38657 Bytes  17.07.2008 19:07:27
AVREP.DLL     : 8.0.0.2        98344 Bytes  01.08.2008 18:19:50
AVREG.DLL     : 8.0.0.1        33537 Bytes  17.07.2008 19:07:27
AVARKT.DLL    : 1.0.0.23      307457 Bytes  14.04.2008 20:08:41
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  17.07.2008 19:07:27
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  14.04.2008 20:08:42
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  17.07.2008 19:07:27
NETNT.DLL     : 8.0.0.1         7937 Bytes  14.04.2008 20:08:42
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  17.07.2008 19:07:25
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  17.07.2008 19:07:25

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: XXX\XXX\avpersonal\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: XXX:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 13. November 2008  22:18

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ad-Aware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Smc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '26' Prozesse mit '26' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'XXX'
    [INFO]      Es wurde kein Virus gefunden!


Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '47' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'XXX' <Boot>
XXX\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
XXX\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'XXX' <Programme>
Beginne mit der Suche in 'XXX' <Daten>
XXX\Eigene\nvidia_amdx16_685_32.exe
    [0] Archivtyp: CAB SFX (self extracting)
    --> \AudioDrv\nvack.dll
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
XXX\Eigene\nvidia_mcp73_1608_xp32.exe
    [0] Archivtyp: CAB SFX (self extracting)
    --> \Display\CAD.tv_
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
XXX\Eigene\nvidia_nf3_511whql.exe
    [0] Archivtyp: CAB SFX (self extracting)
    --> \AudioDrv\nvack.dll
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
XXX\Eigene\Downloads\Programmierung\dwmx2004_701update_de.exe
    [0] Archivtyp: CAB SFX (self extracting)
    --> \Disk1\data1.hdr
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.



Ende des Suchlaufs: Freitag, 14. November 2008  09:11
Benötigte Zeit: 10:52:50 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  14235 Verzeichnisse wurden überprüft
 761889 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      6 Dateien konnten nicht durchsucht werden
 761882 Dateien ohne Befall
   5150 Archive wurden durchsucht
     15 Warnungen
      0 Hinweise
         

als nächstes das log von Malewarebytes Full scan

Code: Alles auswählenAufklappen

ATTFilter

Scan mode: 				Full
Scan time: 				10:10:20
Number of objects scanned: 		329598
Number of infections found: 		3
   Critical: 				0
   Privacy Objects: 			3
Infections deleted: 			3
Total infections quarantined: 		0
Total infections ignored by scanner:  	0
         

So das wars dann erstmal,

Wie gehts nun weiter ?

Gruß Ole

Zitat:

Zitat von ole1981

Wie gehts nun weiter ?

Wie wärs wenn Du die Liste abackerst!