Benutze die such Funktion und suche nach "FOUND"

Halte dein Rechner up-to-date ein hilfsmittel dazu koennte Updatechecker sein


Gruss
Argus

Zitat:

Zitat von Argus

Benutze die such Funktion und suche nach "FOUND"

Halte dein Rechner up-to-date ein hilfsmittel dazu koennte Updatechecker sein


Gruss
Argus

Denke ich mal nicht dass die Suche da was bringt.

Ein Virus der ausserhalb von C:\Windows oder den Programmen liegt ist sehr selten.
Ich würde mal bei der Ansicht der Ordneroptionen "Alle Dateien anzeigen" ein Häckchen machen und bei "Geschützte Systemdateien ausblenden" das Häckchen entfernen und dann mal suchen =)

Zitat:

Zitat von DeeWayne

Ein Virus der ausserhalb von C:\Windows oder den Programmen liegt ist sehr selten.

Das stimmt so nicht, im Tempordner oder den Userprofilen sammelt sich auch sehr häufig was an.

Wie lösche ich einen Eintrag eigentlich vernünftig?!

Hi! Danke für Eure Antworten!

Zitat:

Ich würde mal bei der Ansicht der Ordneroptionen "Alle Dateien anzeigen" ein Häckchen machen und bei "Geschützte Systemdateien ausblenden" das Häckchen entfernen und dann mal suchen =)

Wie/Wo kann ich die genannten Ordneroptionen anzeigen lassen? Bei der Suchfunktion finde ich das so nicht. Im Explorer? Auch noch nicht entdeckt.

Kann mir das mal bitte einer nach dem Muster XXX > XXX > XXX schicken?

Dank und Gruß!

Hi- kann "FOUND 217" nicht finden, habe das auch nicht mit den Ordneroptionen hingekriegt (also die Optionen mittlerweile schon, aber es hat nichts gebracht.)

Generell sind jetzt die Probleme (unerwünschtes, automatisches Webseiten öffnen) gelöst. Nur fährt der PC nach längerer Arbeitszeit nicht runter; irgendeine Idee warum? Soll ich Euch noch irgendwelche Logfiles zu schicken? Wenn ja, welche?

Würde auch dieses Problem gerne mit Euch lösen.
Für Hilfe wird gedankt und schon jetzt gegrüßt!

Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Zitat:

Zitat von frage007

hier habe ich gerade noch den report von antivir erhalten:

Code: Alles auswählenAufklappen

ATTFilter

avira antivir personal
erstellungsdatum der reportdatei: Montag, 29. Dezember 2008  11:40

es wird nach 1131606 virenstämmen gesucht.

Lizenznehmer:     Avira antivir personaledition classic
seriennummer:     0000149996-adjie-0001
plattform:        Windows xp
windowsversion:   (service pack 2)  [5.1.2600]
boot modus:       Normal gebootet
benutzername:     System
computername:     H***h

versionsinformationen:
Build.dat     : 8.2.0.337      16934 bytes  18.11.2008 13:01:00
avscan.exe    : 8.1.4.10      315649 bytes  18.11.2008 08:21:24
avscan.dll    : 8.1.4.0        48897 bytes    9.5.2008 11:27:08
luke.dll      : 8.1.4.5       164097 bytes   12.6.2008 12:44:18
lukeres.dll   : 8.1.4.0        12545 bytes    9.5.2008 11:40:44
antivir0.vdf  : 7.1.0.0     15603712 bytes  27.10.2008 11:30:38
antivir1.vdf  : 7.1.1.33     1705984 bytes  24.12.2008 08:58:10
antivir2.vdf  : 7.1.1.34        2048 bytes  24.12.2008 08:58:10
antivir3.vdf  : 7.1.1.44      176128 bytes  29.12.2008 10:25:58
engineversion : 8.2.0.45  
aevdf.dll     : 8.1.0.6       102772 bytes  14.10.2008 10:05:58
aescript.dll  : 8.1.1.19      336252 bytes  16.12.2008 14:18:04
aescn.dll     : 8.1.1.5       123251 bytes   7.11.2008 15:06:42
aerdl.dll     : 8.1.1.3       438645 bytes   4.11.2008 13:58:40
aepack.dll    : 8.1.3.4       393591 bytes  11.11.2008 09:41:40
aeoffice.dll  : 8.1.0.33      196987 bytes  16.12.2008 14:18:04
aeheur.dll    : 8.1.0.75     1524087 bytes  16.12.2008 14:18:04
aehelp.dll    : 8.1.2.0       119159 bytes  16.12.2008 14:18:02
aegen.dll     : 8.1.1.8       323956 bytes  16.12.2008 14:18:02
aeemu.dll     : 8.1.0.9       393588 bytes  14.10.2008 10:05:58
aecore.dll    : 8.1.5.2       172405 bytes  16.12.2008 14:18:00
aebb.dll      : 8.1.0.3        53618 bytes  14.10.2008 10:05:58
avwinll.dll   : 1.0.0.12       15105 bytes    9.7.2008 08:40:04
avpref.dll    : 8.0.2.0        38657 bytes   16.5.2008 09:28:00
avrep.dll     : 8.0.0.2        98344 bytes   31.7.2008 12:02:16
avreg.dll     : 8.0.0.1        33537 bytes    9.5.2008 11:26:38
avarkt.dll    : 1.0.0.23      307457 bytes   12.2.2008 08:29:20
avevtlog.dll  : 8.0.0.16      119041 bytes   12.6.2008 12:27:48
sqlite3.dll   : 3.3.17.1      339968 bytes   22.1.2008 17:28:04
smtplib.dll   : 1.2.0.23       28929 bytes   12.6.2008 12:49:38
netnt.dll     : 8.0.0.1         7937 bytes   25.1.2008 12:05:08
rcimage.dll   : 8.0.0.51     2371841 bytes   12.6.2008 13:45:02
rctext.dll    : 8.0.52.0       86273 bytes   27.6.2008 13:32:06

konfiguration für den aktuellen suchlauf:
Job name.........................: Vollständige systemprüfung
konfigurationsdatei..............: C:\programme\avira\antivir personaledition classic\sysscan.avp
protokollierung..................: Niedrig
primäre aktion...................: Interaktiv
sekundäre aktion.................: Ignorieren
durchsuche masterbootsektoren....: Ein
durchsuche bootsektoren..........: Ein
bootsektoren.....................: C:, 
durchsuche aktive programme......: Ein
durchsuche registrierung.........: Ein
suche nach rootkits..............: Aus
datei suchmodus..................: Intelligente dateiauswahl
durchsuche archive...............: Ein
rekursionstiefe einschränken.....: 20
archiv smart extensions..........: Ein
makrovirenheuristik..............: Ein
dateiheuristik...................: Mittel

beginn des suchlaufs: Montag, 29. Dezember 2008  11:40

der suchlauf über gestartete prozesse wird begonnen:
Durchsuche prozess 'avscan.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'avcenter.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'rundll32.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'jucheck.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'firefox.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'firefox.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'alg.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'rundll32.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'rundll32.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'avgnt.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'rundll32.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'qttask.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'jusched.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'soundman.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'hpwuschd2.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'svchost.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'nvsvc32.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'igdctrl.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'avguard.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'sched.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'spoolsv.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'explorer.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'svchost.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'svchost.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'svchost.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'svchost.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'svchost.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'lsass.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'services.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'winlogon.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'csrss.exe' - '1' modul(e) wurden durchsucht
durchsuche prozess 'smss.exe' - '1' modul(e) wurden durchsucht
es wurden '32' prozesse mit '32' modulen durchsucht

der suchlauf über die masterbootsektoren wird begonnen:
Masterbootsektor hd0
    [info]      es wurde kein virus gefunden!

Der suchlauf über die bootsektoren wird begonnen:
Bootsektor 'c:\'
    [info]      es wurde kein virus gefunden!

Der suchlauf auf verweise zu ausführbaren dateien (registry) wird begonnen.
Die registry wurde durchsucht ( '56' dateien ).


Der suchlauf über die ausgewählten dateien wird begonnen:

Beginne mit der suche in 'c:\'
c:\pagefile.sys
    [warnung]   die datei konnte nicht geöffnet werden!
C:\windows\system32\xqtoqybl.dll
    [fund]      ist das trojanische pferd tr/conhook.d.14
    [hinweis]   die datei wurde gelöscht.
C:\windows\system32\ryommu.dll
    [fund]      ist das trojanische pferd tr/conhook.d.14
    [hinweis]   die datei wurde gelöscht.
C:\windows\system32\iigtnppg.dll
    [fund]      ist das trojanische pferd tr/conhook.d.14
    [hinweis]   die datei wurde gelöscht.
C:\windows\system32\kmypld.dll
    [fund]      ist das trojanische pferd tr/conhook.d.14
    [warnung]   die datei konnte nicht gelöscht werden!
    [hinweis]   es wird versucht die aktion mit hilfe der ark lib durchzuführen.
    [hinweis]   die datei wurde gelöscht.
C:\system volume information\_restore{f7580ba1-767f-49da-881e-cab5003b5d12}\rp320\a0585018.dll
    [fund]      ist das trojanische pferd tr/conhook.d.14
    [hinweis]   die datei wurde gelöscht.
C:\system volume information\_restore{f7580ba1-767f-49da-881e-cab5003b5d12}\rp320\a0585019.dll
    [fund]      ist das trojanische pferd tr/conhook.d.14
    [hinweis]   die datei wurde gelöscht.
C:\system volume information\_restore{f7580ba1-767f-49da-881e-cab5003b5d12}\rp320\a0585020.dll
    [fund]      ist das trojanische pferd tr/conhook.d.14
    [hinweis]   die datei wurde gelöscht.


Ende des suchlaufs: Montag, 29. Dezember 2008  12:12
benötigte zeit: 32:07 minute(n)

der suchlauf wurde vollständig durchgeführt.

   5030 verzeichnisse wurden überprüft
 182886 dateien wurden geprüft
      7 viren bzw. Unerwünschte programme wurden gefunden
      0 dateien wurden als verdächtig eingestuft
      7 dateien wurden gelöscht
      0 viren bzw. Unerwünschte programme wurden repariert
      0 dateien wurden in die quarantäne verschoben
      0 dateien wurden umbenannt
      1 dateien konnten nicht durchsucht werden
 182878 dateien ohne befall
   1170 archive wurden durchsucht
      2 warnungen
      7 hinweise
         

Zitat:

Zitat von frage007

hier noch dies:

Code: Alles auswählenAufklappen

ATTFilter

logfile of trend micro HijackThis v2.0.2
scan saved at 12:36:35, on 29.12.2008
platform: Windows xp sp2 (winnt 5.01.2600)
msie: Internet explorer v6.00 sp2 (6.00.2900.2180)
boot mode: Normal

running processes:
C:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\explorer.exe
c:\windows\system32\spoolsv.exe
c:\programme\avira\antivir personaledition classic\sched.exe
c:\programme\avira\antivir personaledition classic\avguard.exe
c:\programme\fritz!dsl\igdctrl.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\svchost.exe
c:\programme\hp\hp software update\hpwuschd2.exe
c:\windows\soundman.exe
c:\programme\java\jre1.6.0_07\bin\jusched.exe
c:\programme\quicktime\qttask.exe
c:\windows\system32\rundll32.exe
c:\programme\avira\antivir personaledition classic\avgnt.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programme\mozilla firefox\firefox.exe
c:\programme\mozilla firefox\firefox.exe
c:\programme\java\jre1.6.0_07\bin\jucheck.exe
c:\windows\system32\rundll32.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\notepad.exe
c:\dokumente und einstellungen\***\desktop\virenbekämpfungsordner\hijackthis.exe

r1 - hkcu\software\microsoft\internet explorer\main,search bar = h**p://google.icq.com/search/search_frame.php
r0 - hkcu\software\microsoft\internet explorer\main,start page = about:blank
r1 - hklm\software\microsoft\internet explorer\main,default_page_url = h**p://alice.aol.de
r0 - hklm\software\microsoft\internet explorer\main,start page = h**p://alice.aol.de
r1 - hkcu\software\microsoft\internet connection wizard,shellnext = h**p://fritz.box/cgi-bin/webcm?getpage=../html/de/help/popup.html&var:lang=de&var:pagename=hilfe_status
o4 - hklm\..\run: [hp software update] c:\programme\hp\hp software update\hpwuschd2.exe
o4 - hklm\..\run: [soundman] soundman.exe
o4 - hklm\..\run: [sunjavaupdatesched] "c:\programme\java\jre1.6.0_07\bin\jusched.exe"
o4 - hklm\..\run: [quicktime task] "c:\programme\quicktime\qttask.exe" -atboottime
o4 - hklm\..\run: [nvcpldaemon] rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
o4 - hklm\..\run: [nwiz] nwiz.exe /install
o4 - hklm\..\run: [nvmediacenter] rundll32.exe c:\windows\system32\nvmctray.dll,nvtaskbarinit
o4 - hklm\..\run: [avgnt] "c:\programme\avira\antivir personaledition classic\avgnt.exe" /min
o4 - hklm\..\run: [3a381b52] rundll32.exe "c:\windows\system32\yqubqbgr.dll",b
o4 - hkus\s-1-5-19\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'lokaler dienst')
o4 - hkus\s-1-5-20\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'netzwerkdienst')
o4 - hkus\s-1-5-18\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'system')
o4 - hkus\.default\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'default user')
o4 - global startup: Microsoft office.lnk = c:\programme\microsoft office\office\osa9.exe
o4 - global startup: Adobe gamma loader.exe.lnk = c:\programme\gemeinsame dateien\adobe\calibration\adobe gamma loader.exe
o4 - global startup: Adobe reader - schnellstart.lnk = c:\programme\adobe\acrobat 7.0\reader\reader_sl.exe
o9 - extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - c:\programme\java\jre1.6.0_07\bin\ssv.dll
o9 - extra 'tools' menuitem: Sun java konsole - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - c:\programme\java\jre1.6.0_07\bin\ssv.dll
o9 - extra button: Messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\programme\messenger\msmsgs.exe
o9 - extra 'tools' menuitem: Windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\programme\messenger\msmsgs.exe
o15 - trusted zone: *.amaena.com
o15 - trusted zone: *.antimalwareguard.com
o15 - trusted zone: *.antispyexpert.com
o15 - trusted zone: *.avsystemcare.com
o15 - trusted zone: *.gomyhit.com
o15 - trusted zone: *.imageservr.com
o15 - trusted zone: *.imagesrvr.com
o15 - trusted zone: *.onerateld.com
o15 - trusted zone: *.safetydownload.com
o15 - trusted zone: *.spyguardpro.com
o15 - trusted zone: *.storageguardsoft.com
o15 - trusted zone: *.trustedantivirus.com
o15 - trusted zone: *.virusremover2008.com
o15 - trusted zone: *.virusschlacht.com
o15 - trusted zone: *.amaena.com (hklm)
o15 - trusted zone: *.antimalwareguard.com (hklm)
o15 - trusted zone: *.antispyexpert.com (hklm)
o15 - trusted zone: *.avsystemcare.com (hklm)
o15 - trusted zone: *.gomyhit.com (hklm)
o15 - trusted zone: *.imageservr.com (hklm)
o15 - trusted zone: *.imagesrvr.com (hklm)
o15 - trusted zone: *.onerateld.com (hklm)
o15 - trusted zone: *.safetydownload.com (hklm)
o15 - trusted zone: *.spyguardpro.com (hklm)
o15 - trusted zone: *.storageguardsoft.com (hklm)
o15 - trusted zone: *.trustedantivirus.com (hklm)
o15 - trusted zone: *.virusremover2008.com (hklm)
o15 - trusted zone: *.virusschlacht.com (hklm)
o16 - dpf: {dc6febc5-0a2d-458a-a01b-5db15eec4305} (ilosoftimageuploadctl class) - h**p://webc.***-***r.de/controls/ilosoftimageupload.dll
o17 - hklm\system\ccs\services\tcpip\..\{fb2fa9c9-cded-4c07-a801-67f94acd66dc}: Nameserver = 213.191.74.11 213.191.92.82
o18 - protocol: Skype4com - {ffc8b962-9b40-4dff-9458-1830c7dd7f5d} - c:\progra~1\gemein~1\skype\skype4~1.dll
o20 - appinit_dlls: Tatoyr.dll
o22 - sharedtaskscheduler: {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - cholecyst - (no file)
o23 - service: Avira antivir personal - free antivirus planer (antivirscheduler) - avira gmbh - c:\programme\avira\antivir personaledition classic\sched.exe
o23 - service: Avira antivir personal - free antivirus guard (antivirservice) - avira gmbh - c:\programme\avira\antivir personaledition classic\avguard.exe
o23 - service: Avm igd ctrl service - avm berlin - c:\programme\fritz!dsl\igdctrl.exe
o23 - service: Avm fritz!web routing service (de_serv) - avm berlin - c:\programme\gemeinsame dateien\avm\de_serv.exe
o23 - service: Installdriver table manager (idrivert) - macrovision corporation - c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe
o23 - service: Nvidia display driver service (nvsvc) - nvidia corporation - c:\windows\system32\nvsvc32.exe

--
end of file - 6378 bytes
         

Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Zitat:

Zitat von frage007

hier habe ich gerade noch den report von antivir erhalten:
Xxxxxxxxxxxxxxxxxxxxxxx

Code: Alles auswählenAufklappen

ATTFilter

avira antivir personal
erstellungsdatum der reportdatei: Montag, 29. Dezember 2008  11:40

end of file - 6378 bytes
         

Zitat:

Zitat von frage007

hier das combo-logfile.
Ist sonst noch was zu tun? Danke für deine hilfe!!

[code]
combofix 08-12-28.04 - *** 2008-12-30 0:12:23.1 - fat32x86
microsoft windows xp professional 5.1.2600.2.1252.1.1031.18.767.483 [gmt 1:00]
ausgeführt von:: C:\dokumente und einstellungen\***\desktop\combofix.exe
* neuer wiederherstellungspunkt wurde erstellt

achtung - auf diesem pc ist keine wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( weitere löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\dokumente und einstellungen\***\anwendungsdaten\gadcom
c:\dokumente und einstellungen\***\desktop\notepad.exe
c:\windows\system32\arlgnhye.ini
c:\windows\system32\ctseqcph.ini
c:\windows\system32\ff647904d3.dll
c:\windows\system32\giuucmxj.ini
c:\windows\system32\hpcqestc.dll
c:\windows\system32\ionxayxx.ini
c:\windows\system32\ionxayxx.ini2
c:\windows\system32\ipfuhekx.dll
c:\windows\system32\ipoqjecw.ini
c:\windows\system32\lscscjlh.ini
c:\windows\system32\mdm.exe
c:\windows\system32\nvhmcfgs.ini
c:\windows\system32\rgbqbuqy.ini
c:\windows\system32\tatoyr.dll
c:\windows\system32\tunhbpkj.dll
c:\windows\system32\wvrfigvo.ini
c:\windows\system32\xkehufpi.ini
c:\windows\system32\xxyaxnoi.dll
c:\windows\system32\yqubqbgr.dll
c:\windows\tasks\hkybyxcj.job

.
((((((((((((((((((((((( dateien erstellt von 2008-11-28 bis 2008-12-29 ))))))))))))))))))))))))))))))
.

2008-12-29 21:31 . 2008-12-29 21:31 <dir> d-------- c:\programme\malwarebytes' anti-malware
2008-12-29 21:31 . 2008-12-29 21:31 <dir> d-------- c:\dokumente und einstellungen\***\anwendungsdaten\malwarebytes
2008-12-29 21:31 . 2008-12-29 21:31 <dir> d-------- c:\dokumente und einstellungen\all users\anwendungsdaten\malwarebytes
2008-12-29 21:31 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-29 21:31 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-29 21:27 . 2008-12-29 21:27 <dir> d-------- c:\dokumente und einstellungen\***\virenbekämpfung
2008-12-16 15:16 . 2008-12-16 15:16 <dir> d-------- c:\programme\avira
2008-12-16 15:16 . 2008-12-16 15:16 <dir> d-------- c:\dokumente und einstellungen\all users\anwendungsdaten\avira
2008-12-16 14:43 . 2008-12-16 14:43 <dir> d--hs---- c:\found.217
2008-12-15 22:47 . 2008-12-15 22:47 <dir> d-------- c:\programme\panda security
2008-12-15 22:20 . 2004-10-16 13:38 299,008 --a------ c:\dokumente und einstellungen\***\anwendungsdaten\desinstalador_avcineedsp.exe
2008-12-14 20:33 . 2008-12-14 20:33 <dir> d-------- c:\dokumente und einstellungen\***\anwendungsdaten\twain
2008-12-14 15:20 . 2008-12-14 15:20 <dir> d-------- c:\programme\webtools
2008-12-14 08:55 . 2008-12-14 08:55 <dir> d--hs---- c:\found.216
2008-12-13 18:57 . 2008-12-13 18:57 0 --a------ c:\windows\msicpl.ini
2008-12-13 10:27 . 2008-12-13 10:27 <dir> d--hs---- c:\found.215
2008-12-11 13:43 . 2008-12-11 13:43 <dir> d--hs---- c:\found.214
2008-12-09 15:04 . 2008-12-09 15:04 <dir> d--hs---- c:\found.213
2008-12-08 07:37 . 2008-12-08 07:37 <dir> d--hs---- c:\found.212
2008-12-05 07:56 . 2008-12-05 07:56 <dir> d--hs---- c:\found.211
2008-12-04 23:21 . 2008-12-04 23:21 <dir> d--hs---- c:\found.210
2008-12-03 19:08 . 2008-12-03 19:08 <dir> d--hs---- c:\found.209

.
(((((((((((((((((((((((((((((((((((( find3m bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-29 20:11 1,606 ----a-w c:\windows\system32\perfstringbackup.tmp
2008-11-04 18:12 --------- d-----w c:\programme\windows media connect 2
2006-11-22 22:27 58 ----a-w c:\programme\neu wavesound.wav
2006-03-15 19:05 11,253 ---h--w c:\programme\folder.htt
.

(((((((((((((((((((((((((((( autostartpunkte der registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*hinweis* leere einträge & legitime standardeinträge werden nicht angezeigt.
Regedit4

[hkey_local_machine\software\microsoft\windows\currentversion\run]
"hp software update"="c:\programme\hp\hp software update\hpwuschd2.exe" [2005-05-11 49152]
"sunjavaupdatesched"="c:\programme\java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"quicktime task"="c:\programme\quicktime\qttask.exe" [2006-09-01 282624]
"nvcpldaemon"="c:\windows\system32\nvcpl.dll" [2007-06-28 8466432]
"nvmediacenter"="c:\windows\system32\nvmctray.dll" [2007-06-28 81920]
"avgnt"="c:\programme\avira\antivir personaledition classic\avgnt.exe" [2008-06-12 266497]
"soundman"="soundman.exe" [2005-06-20 c:\windows\soundman.exe]
"nwiz"="nwiz.exe" [2007-06-28 c:\windows\system32\nwiz.exe]

[hkey_users\.default\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

c:\dokumente und einstellungen\all users\startmen�\programme\autostart\
microsoft office.lnk - c:\programme\microsoft office\office\osa9.exe [1999-04-30 65588]
adobe gamma loader.exe.lnk - c:\programme\gemeinsame dateien\adobe\calibration\adobe gamma loader.exe [2006-05-30 110592]
adobe reader - schnellstart.lnk - c:\programme\adobe\acrobat 7.0\reader\reader_sl.exe [2005-09-23 29696]

[hkey_local_machine\software\microsoft\security center]
"antivirusdisablenotify"=dword:00000001
"updatesdisablenotify"=dword:00000001
"antivirusoverride"=dword:00000001

[hklm\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"=
"c:\\programme\\mozilla firefox\\firefox.exe"=
"c:\\program files\\real\\realplayer\\realplay.exe"=
"c:\\program files\\ws_ftp\\ws_ftp95.exe"=
"c:\\programme\\skype\\phone\\skype.exe"=

r3 ovt530;webcam deluxe;c:\windows\system32\drivers\ov530vid.sys [2007-01-07 161792]
s3 avmunet;avm fritz!box;c:\windows\system32\drivers\avmunet.sys [2007-01-19 15104]
s3 fxdrv;fxdrv;\??\d:\fxdrv.sys []
s3 genmcmnusb;usb scroll mouse driver;c:\windows\system32\drivers\gflmouhid.sys []
s3 netfwdsl;avm fritz!web dsl ppp;c:\windows\system32\drivers\netfwdsl.sys [2007-01-23 367104]
s3 pdnmp50;pdnmp50 ndis protocol driver;\??\c:\windows\system32\drivers\pdnmp50.sys []
s3 pdnsp50;pdnsp50 ndis protocol driver;\??\c:\windows\system32\drivers\pdnsp50.sys []

hkey_local_machine\software\microsoft\windows nt\currentversion\svchost - netsvcs
uxtuneup
.
Inhalt des "geplante tasks" ordners

2008-12-19 c:\windows\tasks\1-klick-wartung.job
- c:\programme\tuneup utilities 2007\systemoptimizer.exe [2007-08-02 12:40]
.
- - - - entfernte verwaiste registrierungseinträge - - - -

bho-{43b9381f-5e29-4c20-aec4-09a2f8b7a4f9} - c:\windows\system32\xxyaxnoi.dll
bho-{8fa6b2ee-d71a-4a3a-9570-da389dd12524} - c:\windows\system32\tatoyr.dll
notify-vtunllkb - vtunllkb.dll


.
------- zusätzlicher suchlauf -------
.
Ustart page = about:blank
mstart page = hxxp://alice.aol.de
uinternet connection wizard,shellnext = hxxp://fritz.box/cgi-bin/webcm?getpage=../html/de/help/popup.html&var:lang=de&varagename=hilfe_status

o16 -: Directanimation java classes - c:\windows\downloaded program files\directanimation java classes.osd

- file://c:\windows\java\classes\dajava.cab

o16 -: Microsoft xml parser for java - c:\windows\downloaded program files\microsoft xml parser for java.osd

- file://c:\windows\java\classes\xmldso.cab

c:\windows\downloaded program files\ilosoftimageupload.dll - o16 -: {dc6febc5-0a2d-458a-a01b-5db15eec4305}
hxxp://w**c.******.de/controls/***.dll
ff - profilepath - c:\dokumente und einstellungen\***\anwendungsdaten\mozilla\firefox\profiles\i0krtkom.default\
ff - prefs.js: Browser.startup.homepage -
ff - plugin: C:\program files\real\realplayer\netscape6\nppl3260.dll
ff - plugin: C:\program files\real\realplayer\netscape6\nprjplug.dll
ff - plugin: C:\program files\real\realplayer\netscape6\nprpjplug.dll
ff - plugin: C:\programme\opera\program\plugins\npdivx32.dll
ff - plugin: C:\programme\opera\program\plugins\npindeo.dll

attention: Firefox polices is in force
ff - user.js: Yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 w2k/xp/vista - rootkit/stealth malware detector by gmer, http://www.gmer.net
rootkit scan 2008-12-30 00:17:08
windows 5.1.2600 service pack 2 fat ntapi

scanne versteckte prozesse...

Scanne versteckte autostarteinträge...

Scanne versteckte dateien...

Scan erfolgreich abgeschlossen
versteckte dateien: 0

**************************************************************************
.
------------------------ weitere laufende prozesse ------------------------
.
C:\programme\avira\antivir personaledition classic\sched.exe
c:\programme\avira\antivir personaledition classic\avguard.exe
c:\programme\fritz!dsl\igdctrl.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der fertigstellung: 2008-12-30 0:18:47 - pc wurde neu gestartet
combofix-quarantined-files.txt 2008-12-29 23:18:46

vor suchlauf: 230 verzeichnis(se), 14.741.569.536 bytes frei
nach suchlauf: 230 verzeichnis(se), 14,893,187,072 bytes frei

158

Code: Alles auswählenAufklappen

ATTFilter

combofix 08-12-28.04 - *** 2008-12-30  0:12:23.1 - fat32x86
microsoft windows xp professional  5.1.2600.2.1252.1.1031.18.767.483 [gmt 1:00]
ausgeführt von:: C:\dokumente und einstellungen\***\desktop\combofix.exe
 * neuer wiederherstellungspunkt wurde erstellt

achtung - auf diesem pc ist keine wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   weitere löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\dokumente und einstellungen\***\anwendungsdaten\gadcom
c:\dokumente und einstellungen\***\desktop\notepad.exe
c:\windows\system32\arlgnhye.ini
c:\windows\system32\ctseqcph.ini
c:\windows\system32\ff647904d3.dll
c:\windows\system32\giuucmxj.ini
c:\windows\system32\hpcqestc.dll
c:\windows\system32\ionxayxx.ini
c:\windows\system32\ionxayxx.ini2
c:\windows\system32\ipfuhekx.dll
c:\windows\system32\ipoqjecw.ini
c:\windows\system32\lscscjlh.ini
c:\windows\system32\mdm.exe
c:\windows\system32\nvhmcfgs.ini
c:\windows\system32\rgbqbuqy.ini
c:\windows\system32\tatoyr.dll
c:\windows\system32\tunhbpkj.dll
c:\windows\system32\wvrfigvo.ini
c:\windows\system32\xkehufpi.ini
c:\windows\system32\xxyaxnoi.dll
c:\windows\system32\yqubqbgr.dll
c:\windows\tasks\hkybyxcj.job

.
(((((((((((((((((((((((   dateien erstellt von 2008-11-28 bis 2008-12-29  ))))))))))))))))))))))))))))))
.

2008-12-29 21:31 . 2008-12-29 21:31	<dir>	d--------	c:\programme\malwarebytes' anti-malware
2008-12-29 21:31 . 2008-12-29 21:31	<dir>	d--------	c:\dokumente und einstellungen\***\anwendungsdaten\malwarebytes
2008-12-29 21:31 . 2008-12-29 21:31	<dir>	d--------	c:\dokumente und einstellungen\all users\anwendungsdaten\malwarebytes
2008-12-29 21:31 . 2008-12-03 19:52	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-29 21:31 . 2008-12-03 19:52	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-12-29 21:27 . 2008-12-29 21:27	<dir>	d--------	c:\dokumente und einstellungen\***\virenbekämpfung
2008-12-16 15:16 . 2008-12-16 15:16	<dir>	d--------	c:\programme\avira
2008-12-16 15:16 . 2008-12-16 15:16	<dir>	d--------	c:\dokumente und einstellungen\all users\anwendungsdaten\avira
2008-12-16 14:43 . 2008-12-16 14:43	<dir>	d--hs----	c:\found.217
2008-12-15 22:47 . 2008-12-15 22:47	<dir>	d--------	c:\programme\panda security
2008-12-15 22:20 . 2004-10-16 13:38	299,008	--a------	c:\dokumente und einstellungen\***\anwendungsdaten\desinstalador_avcineedsp.exe
2008-12-14 20:33 . 2008-12-14 20:33	<dir>	d--------	c:\dokumente und einstellungen\***\anwendungsdaten\twain
2008-12-14 15:20 . 2008-12-14 15:20	<dir>	d--------	c:\programme\webtools
2008-12-14 08:55 . 2008-12-14 08:55	<dir>	d--hs----	c:\found.216
2008-12-13 18:57 . 2008-12-13 18:57	0	--a------	c:\windows\msicpl.ini
2008-12-13 10:27 . 2008-12-13 10:27	<dir>	d--hs----	c:\found.215
2008-12-11 13:43 . 2008-12-11 13:43	<dir>	d--hs----	c:\found.214
2008-12-09 15:04 . 2008-12-09 15:04	<dir>	d--hs----	c:\found.213
2008-12-08 07:37 . 2008-12-08 07:37	<dir>	d--hs----	c:\found.212
2008-12-05 07:56 . 2008-12-05 07:56	<dir>	d--hs----	c:\found.211
2008-12-04 23:21 . 2008-12-04 23:21	<dir>	d--hs----	c:\found.210
2008-12-03 19:08 . 2008-12-03 19:08	<dir>	d--hs----	c:\found.209

.
((((((((((((((((((((((((((((((((((((   find3m bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-29 20:11	1,606	----a-w	c:\windows\system32\perfstringbackup.tmp
2008-11-04 18:12	---------	d-----w	c:\programme\windows media connect 2
2006-11-22 22:27	58	----a-w	c:\programme\neu wavesound.wav
2006-03-15 19:05	11,253	---h--w	c:\programme\folder.htt
.

((((((((((((((((((((((((((((   autostartpunkte der registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*hinweis* leere einträge & legitime standardeinträge werden nicht angezeigt.
Regedit4

[hkey_local_machine\software\microsoft\windows\currentversion\run]
"hp software update"="c:\programme\hp\hp software update\hpwuschd2.exe" [2005-05-11 49152]
"sunjavaupdatesched"="c:\programme\java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"quicktime task"="c:\programme\quicktime\qttask.exe" [2006-09-01 282624]
"nvcpldaemon"="c:\windows\system32\nvcpl.dll" [2007-06-28 8466432]
"nvmediacenter"="c:\windows\system32\nvmctray.dll" [2007-06-28 81920]
"avgnt"="c:\programme\avira\antivir personaledition classic\avgnt.exe" [2008-06-12 266497]
"soundman"="soundman.exe" [2005-06-20 c:\windows\soundman.exe]
"nwiz"="nwiz.exe" [2007-06-28 c:\windows\system32\nwiz.exe]

[hkey_users\.default\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

c:\dokumente und einstellungen\all users\startmen�\programme\autostart\
microsoft office.lnk - c:\programme\microsoft office\office\osa9.exe [1999-04-30 65588]
adobe gamma loader.exe.lnk - c:\programme\gemeinsame dateien\adobe\calibration\adobe gamma loader.exe [2006-05-30 110592]
adobe reader - schnellstart.lnk - c:\programme\adobe\acrobat 7.0\reader\reader_sl.exe [2005-09-23 29696]

[hkey_local_machine\software\microsoft\security center]
"antivirusdisablenotify"=dword:00000001
"updatesdisablenotify"=dword:00000001
"antivirusoverride"=dword:00000001

[hklm\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"=
"c:\\programme\\mozilla firefox\\firefox.exe"=
"c:\\program files\\real\\realplayer\\realplay.exe"=
"c:\\program files\\ws_ftp\\ws_ftp95.exe"=
"c:\\programme\\skype\\phone\\skype.exe"=

r3 ovt530;webcam deluxe;c:\windows\system32\drivers\ov530vid.sys [2007-01-07 161792]
s3 avmunet;avm fritz!box;c:\windows\system32\drivers\avmunet.sys [2007-01-19 15104]
s3 fxdrv;fxdrv;\??\d:\fxdrv.sys []
s3 genmcmnusb;usb scroll mouse driver;c:\windows\system32\drivers\gflmouhid.sys []
s3 netfwdsl;avm fritz!web dsl ppp;c:\windows\system32\drivers\netfwdsl.sys [2007-01-23 367104]
s3 pdnmp50;pdnmp50 ndis protocol driver;\??\c:\windows\system32\drivers\pdnmp50.sys []
s3 pdnsp50;pdnsp50 ndis protocol driver;\??\c:\windows\system32\drivers\pdnsp50.sys []

hkey_local_machine\software\microsoft\windows nt\currentversion\svchost  - netsvcs
uxtuneup
.
Inhalt des "geplante tasks" ordners

2008-12-19 c:\windows\tasks\1-klick-wartung.job
- c:\programme\tuneup utilities 2007\systemoptimizer.exe [2007-08-02 12:40]
.
- - - - entfernte verwaiste registrierungseinträge - - - -

bho-{43b9381f-5e29-4c20-aec4-09a2f8b7a4f9} - c:\windows\system32\xxyaxnoi.dll
bho-{8fa6b2ee-d71a-4a3a-9570-da389dd12524} - c:\windows\system32\tatoyr.dll
notify-vtunllkb - vtunllkb.dll


.
------- zusätzlicher suchlauf -------
.
Ustart page = about:blank
mstart page = hxxp:/***.aol.de
uinternet connection wizard,shellnext = hxxp://fritz.box/cgi-bin/webcm?getpage=../html/de/help/popup.html&var:lang=de&var:pagename=hilfe_status

o16 -: Directanimation java classes - c:\windows\downloaded program files\directanimation java classes.osd

 - file://c:\windows\java\classes\dajava.cab

o16 -: Microsoft xml parser for java - c:\windows\downloaded program files\microsoft xml parser for java.osd

 - file://c:\windows\java\classes\xmldso.cab

c:\windows\d***.dll - o16 -: {dc6febc5-0a2d-458a-a01b-5db15eec4305}
hxxp://****.de/controls/ilosoftimageupload.dll
ff - profilepath - c:\dokumente und einstellungen\***\anwendungsdaten\mozilla\firefox\profiles\i0krtkom.default\
ff - prefs.js: Browser.startup.homepage - 
ff - plugin: C:\program files\real\realplayer\netscape6\nppl3260.dll
ff - plugin: C:\program files\real\realplayer\netscape6\nprjplug.dll
ff - plugin: C:\program files\real\realplayer\netscape6\nprpjplug.dll
ff - plugin: C:\programme\opera\program\plugins\npdivx32.dll
ff - plugin: C:\programme\opera\program\plugins\npindeo.dll

attention: Firefox polices is in force 
ff - user.js: Yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 w2k/xp/vista - rootkit/stealth malware detector by gmer, http://www.gmer.net
rootkit scan 2008-12-30 00:17:08
windows 5.1.2600 service pack 2 fat ntapi

scanne versteckte prozesse...

Scanne versteckte autostarteinträge...

Scanne versteckte dateien...

Scan erfolgreich abgeschlossen
versteckte dateien: 0

**************************************************************************
.
------------------------ weitere laufende prozesse ------------------------
.
C:\programme\avira\antivir personaledition classic\sched.exe
c:\programme\avira\antivir personaledition classic\avguard.exe
c:\programme\fritz!dsl\igdctrl.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der fertigstellung: 2008-12-30  0:18:47 - pc wurde neu gestartet
combofix-quarantined-files.txt  2008-12-29 23:18:46

vor suchlauf: 230 verzeichnis(se), 14.741.569.536 bytes frei
nach suchlauf: 230 verzeichnis(se), 14,893,187,072 bytes frei

158
         

Xxxxxxxxxxxxxxxxxxxxxxxxxxx

Zitat:

Zitat von frage007

hier habe ich gerade noch den report von antivir erhalten:
Xxxxxxxxxxxxxxxxxxxxxxxxxxxx

Code: Alles auswählenAufklappen

ATTFilter

avira antivir personal
erstellungsdatum der reportdatei: Montag, 29. Dezember 2008  11:40
xxxxxxxxxxxxxxxxxx

ff - prefs.js: Browser.startup.homepage - 
ff - plugin: C:\program files\real\realplayer\netscape6\nppl3260.dll
ff - plugin: C:\program files\real\realplayer\netscape6\nprjplug.dll
ff - plugin: C:\program files\real\realplayer\netscape6\nprpjplug.dll
ff - plugin: C:\programme\opera\program\plugins\npdivx32.dll
ff - plugin: C:\programme\opera\program\plugins\npindeo.dll

attention: Firefox polices is in force 
ff - user.js: Yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 w2k/xp/vista - rootkit/stealth malware detector by gmer, http://www.gmer.net
rootkit scan 2008-12-30 00:17:08
windows 5.1.2600 service pack 2 fat ntapi

scanne versteckte prozesse...

Scanne versteckte autostarteinträge...

Scanne versteckte dateien...

Scan erfolgreich abgeschlossen
versteckte dateien: 0

**************************************************************************
.
------------------------ weitere laufende prozesse ------------------------
.
C:\programme\avira\antivir personaledition classic\sched.exe
c:\programme\avira\antivir personaledition classic\avguard.exe
c:\programme\fritz!dsl\igdctrl.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der fertigstellung: 2008-12-30  0:18:47 - pc wurde neu gestartet
combofix-quarantined-files.txt  2008-12-29 23:18:46

vor suchlauf: 230 verzeichnis(se), 14.741.569.536 bytes frei
nach suchlauf: 230 verzeichnis(se), 14,893,187,072 bytes frei

158
         

Xxxxxxxxxxxxxxxxxxxxxxx

Zitat:

Zitat von frage007

hier habe ich gerade noch den report von antivir erhalten:

Xxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Code: Alles auswählenAufklappen

ATTFilter

avira antivir personal

zeit der fertigstellung: 2008-12-30  0:18:47 - pc wurde neu gestartet
combofix-quarantined-files.txt  2008-12-29 23:18:46

vor suchlauf: 230 verzeichnis(se), 14.741.569.536 bytes frei
nach suchlauf: 230 verzeichnis(se), 14,893,187,072 bytes frei

158
         

XXXXXXXXXXXXXXXXXXXXXXX

[QUOTE=frage007;401451]Hier habe ich gerade noch den Report von AntiVir erhalten:


[code]
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 29. Dezember 2008 11:40

Xxxxxxxxxxxxxxxxxxxx

XXXXXXXXXXXXXXXXXXXXX

[QUOTE=frage007;401451]Hier habe ich gerade noch den Report von AntiVir erhalten:


[code]
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 29. Dezember 2008 11:40

Es wird nach 1131606 Virenstämmen gesucht.