Hallo ihr Wissenden,
Avira hat Alarm geschlagen und zweimal das Trojanische Pferd TR/Dropper.Gen gefunden, es wurde in Quarantäne gestellt.
Habe außerdem Kaspersky und Panda drüberlaufen lassen, die haben nichts gefunden. Der Rechner funktioniert noch und hat sehr viele wichtige Sachen drauf.
Ist das ganze noch hinzubekommen? Was muss ich machen, eine Neuaufsätzen wäre ein Drama -der Rechner ist übervoll?
Gebe zuerst die Log Datei von Avira und dann vonHijackThis an. Da ich mich nur wenig auskenne freu ich mich über Hilfe besonders.
Vielen Dank im Voraus
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 8. Dezember 2008 20:39

Es wird nach 1077146 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ARBEITSKISTE
Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 20:25:38
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:08
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:18
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:44
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 21:31:02
ANTIVIR1.VDF : 7.1.0.197 1170432 Bytes 07.12.2008 06:05:20
ANTIVIR2.VDF : 7.1.0.198 2048 Bytes 07.12.2008 06:05:22
ANTIVIR3.VDF : 7.1.0.202 10240 Bytes 08.12.2008 12:30:34
Engineversion : 8.2.0.43
AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 20:33:52
AESCRIPT.DLL : 8.1.1.18 336251 Bytes 08.12.2008 12:30:34
AESCN.DLL : 8.1.1.5 123251 Bytes 08.11.2008 10:44:20
AERDL.DLL : 8.1.1.3 438645 Bytes 07.11.2008 15:59:22
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 18:39:50
AEOFFICE.DLL : 8.1.0.32 196987 Bytes 05.12.2008 22:13:46
AEHEUR.DLL : 8.1.0.74 1519990 Bytes 04.12.2008 20:52:24
AEHELP.DLL : 8.1.2.0 119159 Bytes 19.11.2008 10:46:52
AEGEN.DLL : 8.1.1.6 323955 Bytes 28.11.2008 17:22:32
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 20:33:46
AECORE.DLL : 8.1.5.2 172405 Bytes 28.11.2008 17:22:32
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 20:33:46
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:04
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:28:00
AVREP.DLL : 8.0.0.2 98344 Bytes 16.10.2008 20:33:44
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:38
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:20
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:48
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:04
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:38
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:08
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:02
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:06

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:, G:, H:, K:, L:, M:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 8. Dezember 2008 20:39

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FIREFOX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JQS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BGSVCGEN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHEDUL2.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JUSCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'K:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'L:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'M:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '47' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <XPBoot>
C:\PAGEFILE.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\wpf.msi
[0] Archivtyp: OLE
--> Object
[1] Archivtyp: CAB (Microsoft)
--> PresentationCFFRasterizerNative_X86.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\hp\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SCSSCT2F\QuickTime[1].msi
[0] Archivtyp: OLE
--> Object
[1] Archivtyp: CAB (Microsoft)
--> QuickTimeVR_trampoline.qtx
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Programme\GeoKLIMA 2.1b\geores.dll
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ac87e3.qua' verschoben!
C:\System Volume Information\_restore{29BDCDCF-BDEE-4E54-A7E5-342AE81CFD64}\RP706\A0091377.dll
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496d8811.qua' verschoben!
C:\Recycled\Dc73.exe
[0] Archivtyp: NSIS
--> [UnknownDir]/help.htm
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Recycled\Dc81.exe
[0] Archivtyp: NSIS
--> [UnknownDir]/unicows.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Recycled\Dc82.exe
[0] Archivtyp: NSIS
--> [UnknownDir]/ml_playlists.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Recycled\Dc92.exe
[0] Archivtyp: CAB SFX (self extracting)
--> eula.txt
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\' <Daten>
D:\Eigene Dateien\Sonstiges\Techniken\Rechtschreibung\DybusterBetaD.msi
[0] Archivtyp: OLE
--> Object
[1] Archivtyp: CAB (Microsoft)
--> _01702062CAD6496FADD09F3B99834C91
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'E:\' <Fotografik>
Beginne mit der Suche in 'F:\' <Graffl>
Beginne mit der Suche in 'G:\' <ERGÄNZUNG>
G:\Programme\nasawordeind\World_Wind_1.4.0_Full.exe
[0] Archivtyp: NSIS
--> [UnknownDir]/WorldWind.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'H:\' <Linuxpaaart>
Beginne mit der Suche in 'K:\' <Nootboot>
Beginne mit der Suche in 'L:\' <MP3>
Beginne mit der Suche in 'M:\'
Ende des Suchlaufs: Montag, 8. Dezember 2008 22:12
Benötigte Zeit: 1:33:13 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
10776 Verzeichnisse wurden überprüft
754692 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
754688 Dateien ohne Befall
6365 Archive wurden durchsucht
10 Warnungen
2 Hinweise

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:24:09, on 09.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://**w.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://**w.fen-net.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://**w.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://**w.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:/**ww.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://**w.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://ww**.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131788468656
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163261375633
O20 - AppInit_DLLs:
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5751 bytes

Ist das Logfile so schrecklich oder so gut oder alle, die sich auskennen schon im Bett?

Hallo und

Zitat:

Ist das Logfile so schrecklich oder so gut

Eher so gut. Es sind keine Auffälligkeiten zu finden.

Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O20 - AppInit_DLLs:
         

=> Fix checked

Säubere dein System: http://www.trojaner-board.de/51464-a...-ccleaner.html
Scanne vorsichtshalber mit MAM: http://www.trojaner-board.de/51187-a...i-malware.html

Sollte der etwas finden, dann poste das Log.

ciao, andreas

Vielen Dank,
keine Viren von Anti malware gefunden und alles gereinigt.
Hoffe das wars