ok ist deaktiviert.

Das gilt für alles, das du an den Computer angeschlossen hast.

Es fehlt noch das HJT-Log. Zeigt der Rechner noch Auffälligkeiten?

ciao, andreas

bis jetzt keine auffälligkeit.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:35:48, on 17.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3569 bytes
         

wie bekomme ich die meldung der "computer ist evtl gefährdet" weg?

Log ist sauber. Solltest du auf deinen externen Datenträgern ein Ordner resycled entdecken, so ist er befallen. Den automatischen Start kannst du durch Festhalten der [Umschalt]-Taste beim Anstecken verhindern.

Eine erneuter Befall lässt sich auf folgendem Weg vermeiden:

Desinfizierung/Absicherung externer Medien:

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP.
3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Statt des Acrobat Reader empfehle ich Foxit: Foxit Software

ciao, andreas

Edit:

Zitat:

wie bekomme ich die meldung der "computer ist evtl gefährdet" weg?

Doppelklick aufs Sicherheitscentersymbol unten rechts. Was quengelt er denn an?

ok nach dem neustart ist die meldung nicht mehr da. welche programme benötige ich jetzt allg. um meinen pc für die zukunft sicher zu halten? ist es jetzt sinnvoll antivir durchlaufen zu lassen?

Zitat:

welche programme benötige ich jetzt allg. um meinen pc für die zukunft sicher zu halten?

Hier wird üblicherweise die Empfehlung Avira/Malwarebytes ausgesprochen.
Ich persönlich rate dazu: Homepage von Malte J. Wetz

Zitat:

ist es jetzt sinnvoll antivir durchlaufen zu lassen?

Ja, jetzt sollten die Updates wieder funktionieren. Lass ihn doch mal mit diesen Einstellungen laufen: http://www.trojaner-board.de/54192-a...tellungen.html

Falls er etwas findet, dann poste das Log.

Alle Programme, die wir benutzt haben, können deinstalliert/gelöscht werden.

ciao, andreas

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 17. Januar 2009  22:19

Es wird nach 1223257 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     ANDY

Versionsinformationen:
BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.11.2008 08:21:23
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF  : 7.1.1.113    2817536 Bytes  14.01.2009 11:51:19
ANTIVIR2.VDF  : 7.1.1.114       2048 Bytes  14.01.2009 11:51:19
ANTIVIR3.VDF  : 7.1.1.135     286208 Bytes  17.01.2009 19:58:16
Engineversion : 8.2.0.57  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  14.10.2008 10:05:56
AESCRIPT.DLL  : 8.1.1.26      340347 Bytes  17.01.2009 19:58:21
AESCN.DLL     : 8.1.1.5       123251 Bytes  07.11.2008 15:06:41
AERDL.DLL     : 8.1.1.3       438645 Bytes  04.11.2008 13:58:38
AEPACK.DLL    : 8.1.3.5       393588 Bytes  16.01.2009 11:51:27
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  16.01.2009 11:51:26
AEHEUR.DLL    : 8.1.0.84     1540471 Bytes  17.01.2009 19:58:20
AEHELP.DLL    : 8.1.2.0       119159 Bytes  16.01.2009 11:51:22
AEGEN.DLL     : 8.1.1.10      323957 Bytes  17.01.2009 19:58:17
AEEMU.DLL     : 8.1.0.9       393588 Bytes  14.10.2008 10:05:56
AECORE.DLL    : 8.1.5.2       172405 Bytes  16.01.2009 11:51:21
AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 10:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 12:02:15
AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, H:, K:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 17. Januar 2009  22:19

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\modules
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\start
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\type
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\imagepath
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\group
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\modules
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\start
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\type
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\imagepath
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msqpdxserv.sys\group
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
Es wurden '32929' Objekte überprüft, '10' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '28' Prozesse mit '28' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD6
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'H:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'K:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '49' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\mrk\Desktop\Flash_Disinfector.exe
      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d34f51.qua' verschoben!
Beginne mit der Suche in 'D:\' <Damien`s Stuff>
D:\Hab nix\Bilda\Mara\TVTOTAL.EXE
    [FUND]      Enthält Erkennungsmuster des Scherzprogrammes JOKE/MDP
    [HINWEIS]   Die Datei wurde gelöscht.
D:\Hab nix\MP3`s\solala\System Of A Down - Discography - 2005 - 9 Albums Videos.rar
    [WARNUNG]   Eine Exception wurde abgefangen!
    [WARNUNG]   Im Modul aecore.dll ist eine Exception aufgetreten.
Aufruf der Funktion AVEPROC_TestFile in file: \\?\D:\Hab nix\MP3`s\solala\System Of A Down - Discography - 2005 - 9 Albums Videos.rar
Fehlerbeschreibung:ACCESS_VIOLATION
  EAX = 06429CC8  EBX = 02463A80
  ECX = 06429CA4  EDX = 000001CC
  ESI = 05B4D43D  EDI = 02463a7c 
  EIP = 01351273  EBP = 0641007C
  ESP = 018DED68  Flg = 00010283
  CS = 00000023   SS = 0000001B
D:\System Volume Information\_restore{7C2B4257-9691-4DDC-A3EE-69B04F28663C}\RP28\A0007182.exe
    [FUND]      Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'H:\' <666>
Beginne mit der Suche in 'K:\' <Beast>


Ende des Suchlaufs: Sonntag, 18. Januar 2009  11:38
Benötigte Zeit: 13:18:50 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  10445 Verzeichnisse wurden überprüft
 385770 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      2 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 385766 Dateien ohne Befall
   2828 Archive wurden durchsucht
      6 Warnungen
      3 Hinweise
  32929 Objekte wurden beim Rootkitscan durchsucht
     10 Versteckte Objekte wurden gefunden
         

Zitat:

C:\Dokumente und Einstellungen\mrk\Desktop\Flash_Disinfector.exe

Du solltest doch die Programme deinstallieren. Ist ein Fehlalarm.

Zitat:

D:\Hab nix\Bilda\Mara\TVTOTAL.EXE

Kein Kommentar.

Zitat:

D:\Hab nix\MP3`s\solala\System Of A Down - Discography - 2005 - 9 Albums Videos.rar

Vermutlich defektes Archiv. Im Zweifelsfall löschen.

Zitat:

D:\System Volume Information\_restore{7C2B4257-9691-4DDC-A3EE-69B04F28663C}\RP28\A0007182.exe
[FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn/

Systemwiederherstellung abschalten => Alle Wiederherstellungspunkte löschen => Neustart => Systemwiederherstellung einschalten und neuen Wiederherstellungspunkt setzen.

Wenn der Rechner nicht mehr zickt, dann bist du entlassen.

ciao, andreas

ok wollte gerade deamon tools starten dann kam diese meldung.

Code: Alles auswählenAufklappen

ATTFilter

DTPro.exe - Abbild fehlerhaft
Die anwendung oder DLL C:\Programme\DAEMON Tools Pro\DTProHlp.dll ist keine gültige Windows-Datei. Überprüfen Sie dies mit der Installationsdiskette.
         

Daemon-Tools deinstallieren, Daemon-Tools installieren.

ciao, andreas

nach meinem letzten neustart bekam ich diese meldung was kann ich tun?

Code: Alles auswählenAufklappen

ATTFilter

http://www.file-upload.net/download-1388546/Unbenannt.bmp.html
         

Der Meldung ist nicht zu entnehmen, von welchem Programm sie verursacht wird, aber ich vermute die Daemon Tools sind die Ursache. Kam die Meldung beim/nach Deinstallieren oder Installieren.

ciao, andreas

habs grad deinstalliert dann wieder installiert dann neugestartet und dann bekam ich diese meldung.

Kann ein Installationsproblem sein. Starte noch einmal neu, sollte die Fehlermeldung erneut kommen, dann deinstalliere Daemon Tools und nimm eine Alternative, wie z.B. SlySoft Virtual CloneDrive

ciao, andreas