Es funzt kein Antivirenprogramm mehr!!!

PeterLustig · 16.03.2009, 18:28

Hallo Leute,

ich hab seit Heute ein erhebliches Problem.
Ich hab mir wohl einen ziemlich lästigen Virus eingefangen.
Und zwar wurde Norton Internet Security 2009 nach einem Neustart einfach deaktiviert.Nach dem ich es löscht und neu installierte wird immer immer angezeigt das "Auto Protect" Deatktiviert ist,ich kann machen was ich will,es lässt sich nicht mehr einschalten.Ein Update für die Virendatenbank geht auch nicht mehr.Hab das auch schon mit Avira Probiert,und siehe da,gleiches Problem.Antimalware lässt sich nicht starten.....

Norton zeigt mir unter "Netzwerk Anzeigen" ein zweites Netzwerk an mit folgender IP 192.168.2.101

Eine Whois abfrage meint dass die nach Amsterdam reicht.
Hab auch nicht auf meine HDs zugreifen können,Autorun Eater schaffte zumindest hier abhilfe.

Code:

ATTFilter

GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-16 18:19:19
Windows 5.1.2600 Service Pack 3

Hier der GMER log der eine Rootkit funktion entdeckte:

---- System - GMER 1.0.15 ----

SSDT            859ECA08                                                                                                                   ZwConnectPort
SSDT            85288BA8                                                                                                                   ZwCreateThread
SSDT            \??\C:\WINXP\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                   ZwDeleteKey [0xAB55E2A0]
SSDT            8632BD88                                                                                                                   ZwLoadDriver
SSDT            F7B2B818                                                                                                                   ZwOpenProcess
SSDT            F7B2B81D                                                                                                                   ZwOpenThread
SSDT            861449C8                                                                                                                   ZwResumeThread
SSDT            \??\C:\WINXP\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                   ZwSetValueKey [0xAB55EA50]
SSDT            F7B2B827                                                                                                                   ZwTerminateProcess
SSDT            F7B2B822                                                                                                                   ZwWriteVirtualMemory

Code            8614E818                                                                                                                   ZwEnumerateKey
Code            860E2980                                                                                                                   ZwFlushInstructionCache
Code            860DA4B0                                                                                                                   ZwQueryValueKey
Code            860BEC56                                                                                                                   IofCallDriver
Code            860CC76E                                                                                                                   IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!IofCallDriver                                                                                                 804EF1A6 5 Bytes  JMP 860BEC5B 
.text           ntkrnlpa.exe!IofCompleteRequest                                                                                            804EF236 5 Bytes  JMP 860CC773 
.text           ntkrnlpa.exe!ZwCallbackReturn + 2FA0                                                                                       8050483C 4 Bytes  JMP C0F4AB55 
PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                                                                       805B683E 5 Bytes  JMP 860E2984 
PAGE            ntkrnlpa.exe!ZwQueryValueKey                                                                                               806219F6 5 Bytes  JMP 860DA4B4 
PAGE            ntkrnlpa.exe!ZwEnumerateKey                                                                                                80623FFE 5 Bytes  JMP 8614E81C 

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Autorun Eater\oldmcdonald.exe[1432] USER32.dll!GetCursor                                                      7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Autorun Eater\oldmcdonald.exe[1432] USER32.dll!DrawIconEx                                                     7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Autorun Eater\oldmcdonald.exe[1432] USER32.dll!GetIconInfo                                                    7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Autorun Eater\billy.exe[1440] USER32.dll!GetCursor                                                            7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Autorun Eater\billy.exe[1440] USER32.dll!DrawIconEx                                                           7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Autorun Eater\billy.exe[1440] USER32.dll!GetIconInfo                                                          7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Dokumente und Einstellungen\****\Desktop\gmer.exe[1468] USER32.dll!GetCursor                                   7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Dokumente und Einstellungen\*****\Desktop\gmer.exe[1468] USER32.dll!DrawIconEx                                  7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Dokumente und Einstellungen\******\Desktop\gmer.exe[1468] USER32.dll!GetIconInfo                                 7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\WINXP\Explorer.EXE[1492] USER32.dll!GetCursor                                                                           7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\WINXP\Explorer.EXE[1492] USER32.dll!DrawIconEx                                                                          7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\WINXP\Explorer.EXE[1492] USER32.dll!GetIconInfo                                                                         7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe[2656] USER32.dll!GetCursor    7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe[2656] USER32.dll!DrawIconEx   7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe[2656] USER32.dll!GetIconInfo  7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\nmapapp.exe[3196] USER32.dll!GetCursor     7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\nmapapp.exe[3196] USER32.dll!DrawIconEx    7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\nmapapp.exe[3196] USER32.dll!GetIconInfo   7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Opera 10 Preview\opera.exe[3284] USER32.dll!GetCursor                                                         7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Opera 10 Preview\opera.exe[3284] USER32.dll!DrawIconEx                                                        7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text           C:\Programme\Opera 10 Preview\opera.exe[3284] USER32.dll!GetIconInfo                                                       7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress]                                          [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                                 [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]                                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]                                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress]                                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]                                 [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]                                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]                                 [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]                                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                  SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                  SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

---- Modules - GMER 1.0.15 ----

Module          \systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys (*** hidden *** )                                  AE778000-AE78E000 (90112 bytes)                                                             

---- Services - GMER 1.0.15 ----

Service         C:\WINXP\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys (*** hidden *** )                                     [SYSTEM] gaopdxserv.sys                                                                      <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys                                                                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start                                                                1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type                                                                 1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath                                                            \systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group                                                                file system
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules                                                              
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv                                                   \\?\globalroot\systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl                                                      \\?\globalroot\systemroot\system32\gaopdxpvrfvmjrrbtkusckvlsxptatrlehjbcc.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys                                                                          
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@start                                                                    1
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@type                                                                     1
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@imagepath                                                                \systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@group                                                                    file system
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules                                                                  
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxserv                                                       \\?\globalroot\systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys
Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxl                                                          \\?\globalroot\systemroot\system32\gaopdxpvrfvmjrrbtkusckvlsxptatrlehjbcc.dll

---- Files - GMER 1.0.15 ----

File            C:\WINXP\system32\gaopdxcounter                                                                                            4 bytes
File            C:\WINXP\system32\gaopdxpvrfvmjrrbtkusckvlsxptatrlehjbcc.dll                                                               19456 bytes executable
File            C:\WINXP\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys                                                       44032 bytes executable                                                                       <-- ROOTKIT !!!
File            C:\WINXP\system32\drivers\gaopdxserv.sys                                                                                   40960 bytes executable
File            C:\WINXP\Temp\gaopdx347859                                                                                                 6656 bytes executable

---- EOF - GMER 1.0.15 ----

PeterLustig · 16.03.2009, 18:29

Und hier noch der HijackThis Log.

Ich hoffe ihr könnt helfen

Code:

ATTFilter

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\System32\TUProgSt.exe
C:\Programme\Cyberlink\Shared Files\brs.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe
C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe
C:\Programme\Autorun Eater\oldmcdonald.exe
C:\Programme\Autorun Eater\billy.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Opera 10 Preview\opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R3 - URLSearchHook: IsoBuster Toolbar - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - C:\Programme\IsoBuster\tbIsoB.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IsoBuster Toolbar - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - C:\Programme\IsoBuster\tbIsoB.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\IPSBHO.DLL
O3 - Toolbar: IsoBuster Toolbar - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - C:\Programme\IsoBuster\tbIsoB.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll
O4 - HKLM\..\Run: [RemoteControl9] C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] C:\Programme\CyberLink\PowerDVD9\Language\Language.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Autorun Eater] C:\Programme\Autorun Eater\oldmcdonald.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236774808953
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe

PeterLustig · 16.03.2009, 18:32

Hab jetzt die IP gecheckt die HijackThis mir im log anzeigte.

Ist wohl der alte Ukrainische Freund

Whois Record

inetnum: 85.255.112.0 - 85.255.127.255
netname: UkrTeleGroup
descr: UkrTeleGroup Ltd.
admin-c: UA481-RIPE
tech-c: UA481-RIPE
country: UA
org: ORG-UL25-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: UKRTELE-MNT
mnt-routes: UKRTELE-MNT
mnt-domains: UKRTELE-MNT
source: RIPE # Filtered

organisation: ORG-UL25-RIPE
org-name: UkrTeleGroup Ltd.
org-type: LIR
address: UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine
phone: +380487311011
fax-no: +380487502499
mnt-ref: UKRTELE-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

person: Andrew Sotov
address: Mechnikova 58/5 65029 Odessa
abuse-mailbox:
phone: +380631508855
nic-hdl: UA481-RIPE
source: RIPE # Filtered

Angel21 · 16.03.2009, 19:42

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109

Zur Auflösung, du hast einen Trojan.DNSchanger drauf Bitte kein Onlinebanking, eBay und Amazon mehr betreiben, von einem sicheren PC aus die Kenn- und Passwörter ändern. Bei Auffälligkeiten die Bank informieren und das Konto sperren lassen.

Lass mal bitte Malwarebytes drüberlaufen und poste das Ergebnis hier, wenn das nicht gehen sollte dann bitte SUPERAntiSpyware versuchen.

PeterLustig · 16.03.2009, 21:18

Erst einmal danke für deine Antwort

Das die DNS einstellungen verstellt waren und mein PC als "Zombie" verwendet wurde wusste ich hehe.

Ich hab jetzt mal Windows neu aufgesetzt.

HijackThis hat keine Fehler bei der Logauswertung gemeldet.

Ich hoffe dass es dass jetzt war.

Ist bekannt dass der Virus viell. auch nach einer Neuinstallation aktiv bleibt?

Grüße

Angel21 · 16.03.2009, 21:37

Es ist sogar bekannt, dass der Virus einige Einstellungen im Router ändert. Fälle mit neuem Einstellen des Routers ist auch bekannt - bei dem Problem mit DNSchanger.

DNSchanger und Silentbanker sind die neusten Waffen für Betrüger um irgendwie an Daten ranzukommen. Die sind sehr beliebt geworden gg

Poste mal ein neues HijackThis Logfile bitte

PeterLustig · 16.03.2009, 23:30

So,der komplette Kaspersky Online Scan hat da wohl was auf meiner externen HD gefunden.Scanne ich diese allerdings mit Norton wird mir nichts angezeigt.

Hier der Log.

Code:

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Dienstag, 17. März 2009 23:22:56
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken: 16/03/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 1917679
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\
	I:\
	J:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 25674
	Viren gefunden: 1
	Infizierte Objekte gefunden: 4
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 00:24:56

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\00000082\000000fb\000002bf\cltLMS1.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\00000082\000000fb\000002bf\cltLMS2.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\BASH\ShdsSettg.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\BASH\Shl_{13015755-AABE-4E64-BE92-925FE655942D}.ldb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\BASH\Shl_{13015755-AABE-4E64-BE92-925FE655942D}.sds	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\BASH\SPSettg.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\ccGLog\LM.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\ccJobMgr\ccJobMgr.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\ccSetMgr\dbinfo.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\ccSetMgr\user.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\ccSetMgr\volatile.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\ccSubSDK\submissions.idx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\ccSubSDKConfiguration.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\EmailProxy-Options.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\_lck\_AVPAPP_{BB639333-810A-4bf8-85F5-C537857F55FC}0	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\_lck\_ISDATAPR_{E8EFD4CD-DE52-4444-9511-EFF3B158724B}0	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\_lck\_ISDATAPR_{FF9AC67A-E394-46ae-B150-B3365343F166}G	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Connections\connections.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\HTEC\HTecData.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\IdentitySafeDataStore\S-1-5-21-1123561945-1965331169-1801674531-1003\IDDStore.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{2A85E335-7417-424d-AD89-31DED1689794}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{407D1C08-B366-4aca-92FB-E04E97F6681D}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{591D2F72-6BF6-4E6D-AEE1-2C53200DE57E}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{65190544-26C3-43a4-A78A-694964901607}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{6E3396BD-C6A6-4f0f-9254-267F9058FEC4}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{71B3DD3A-BC1F-40cc-A74F-C0C30DFCE7D5}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{7CA2EC62-AD5E-432c-B974-7B33D5AA2142}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{D4F4CC32-7A41-4684-AE57-41E59E9B4503}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\ANTISPAM.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\bash.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\ced.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\ClientIDS.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\firewall.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\navscan.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\navthr.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\nco.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\SMode.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\SymNetDrv.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Lue\LueDyn.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\LuReg\{221C5684-9CB7-4e17-A839-71C374CAA376}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\LuReg\{D06948D5-FB30-4721-9983-45F86F6D2D85}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\NCO\WACert.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\NCO\WADB.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\NCO\WADomain.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\NPCInstOpts.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\NPCSettings.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\NPCSupport.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\NUMSettings.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Product\CAVDNode.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Product\CAVENode.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Product\cltDynam.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Product\ProdExcl.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Product\set-data.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Product\set-priv.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\QBackup\index.qbs	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\SRTSP\SrtspSet.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\SRTSP\SrtETmp\9A90664E.TMP	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\SRTSP\SrtETmp\AABF6454.TMP	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\mail\indexer\indexer.axx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\mail\indexer\indexer.bx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\mail\indexer\message_id	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\mail\lexicon\lexicon.axx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\mail\lexicon\lexicon.bx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\mail\omailbase.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0000\adoc.bx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0000\md.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0000\url.axx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0000\w.axx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0000\wb.vx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0001\adoc.bx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0001\md.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0001\url.axx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0001\w.axx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0001\wb.vx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0002\adoc.bx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0002\md.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0002\url.axx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0002\w.axx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0002\wb.vx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0003\adoc.bx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0003\md.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0003\url.axx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0003\w.axx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0003\wb.vx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0004\adoc.bx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0004\md.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0004\url.axx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0004\w.axx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0004\wb.vx	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009031720090318\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\******\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EPERSIST.DAT	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\EfaData\SYMEFA.DB	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{DFFA7FD7-53B9-4D82-823E-D10BFF1324C9}\RP3\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINXP\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINXP\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINXP\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\drivers\NIS\1001000.021\Cat.DB	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINXP\Temp\JET863D.tmp	Das Objekt ist gesperrt	übersprungen
C:\WINXP\Temp\Perflib_Perfdata_668.dat	Das Objekt ist gesperrt	übersprungen
C:\WINXP\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
J:\RECYCLER\S-4-5-11-100017703-100031168-100022485-4446.com	Infizierte Objekte: Trojan.Win32.TDSS.sgm	übersprungen
J:\RECYCLER\S-5-9-32-100020552-100031408-100014937-4527.com	Infizierte Objekte: Trojan.Win32.TDSS.sgm	übersprungen
J:\RECYCLER\S-6-8-31-100003086-100005425-100013277-6189.com	Infizierte Objekte: Trojan.Win32.TDSS.sgm	übersprungen
J:\RECYCLER\S-9-7-85-100007146-100020279-100004249-9610.com	Infizierte Objekte: Trojan.Win32.TDSS.sgm	übersprungen
J:\System Volume Information\EfaData\SYMEFA.DB	Das Objekt ist gesperrt	übersprungen
J:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
J:\System Volume Information\_restore{DFFA7FD7-53B9-4D82-823E-D10BFF1324C9}\RP3\change.log	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.

Es funzt kein Antivirenprogramm mehr!!!

Plagegeister aller Art und deren Bekämpfung: Es funzt kein Antivirenprogramm mehr!!!