Hallo, ich hab seit eben ein Problem
ich wollte meinen usb Stick in meinen Laptop einstecken, den ich vorher in der Schule an 2 Pcs angeschlossen hatte anstecken, doch dann kamm die Meldung von Antivir, dass der Trojaner TR/Agent.Abt:34 in der F:/Autorun.inf ist. Hab die Datei sofort in die Quarantäne geschoben und den Stick rausgenommen. Dann hab ich nochmal mit Antivir und Mbam gescannt und es wurde nichts gefunden. Könntet ihr echu mal die Logs angucken, ob mein Pc noch infiziert ist?



Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Montag, 29. Juni 2009 17:32

Es wird nach 1433828 Virenstämmen gesucht.

Lizenznehmer : ...
Seriennummer : ...
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : ...
Computername : LAPTOP

Versionsinformationen:
BUILD.DAT : 9.0.0.442 21381 Bytes 09.06.2009 16:45:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 11.05.2009 08:14:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:12
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:46
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:42:00
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:38
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 10:11:54
ANTIVIR2.VDF : 7.1.4.133 2048 Bytes 24.06.2009 10:11:58
ANTIVIR3.VDF : 7.1.4.152 142848 Bytes 29.06.2009 15:11:44
Engineversion : 8.2.0.199
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 10:52:06
AESCRIPT.DLL : 8.1.2.10 418171 Bytes 26.06.2009 13:10:30
AESCN.DLL : 8.1.2.3 127347 Bytes 14.05.2009 10:02:02
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:42
AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 15:07:22
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 05:39:06
AEHEUR.DLL : 8.1.0.137 1823095 Bytes 26.06.2009 17:44:34
AEHELP.DLL : 8.1.3.6 205174 Bytes 12.06.2009 14:24:38
AEGEN.DLL : 8.1.1.46 348533 Bytes 19.06.2009 17:13:40
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.12 180599 Bytes 27.05.2009 15:07:22
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:58
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:56
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:30
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:06
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:38
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:06
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:30
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:22
RCIMAGE.DLL : 9.0.0.28 2623745 Bytes 19.05.2009 13:23:34
RCTEXT.DLL : 9.0.37.0 90881 Bytes 17.04.2009 08:41:40

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\...~1\LOKALE~1\Temp\233b565e.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 29. Juni 2009 17:32

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.


Ende des Suchlaufs: Montag, 29. Juni 2009 18:01
Benötigte Zeit: 28:41 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

7497 Verzeichnisse wurden überprüft
278337 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
278335 Dateien ohne Befall
7343 Archive wurden durchsucht
2 Warnungen
2 Hinweise



Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2350
Windows 5.1.2600 Service Pack 3

29.06.2009 18:34:35
mbam-log-2009-06-29 (18-34-35).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 201225
Laufzeit: 31 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:14:34, on 29.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161189862171
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 6728 bytes


Adobe Acrobat 4.0
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Photoshop 5.0 Limited Edition
Adobe Reader 9.1.2 - Deutsch
Adobe Shockwave Player 11.5
Apple Mobile Device Support
Apple Software Update
ASUS WLAN Card Utilities/Driver
Asus_A6_ScreenSaver
ASUSDVD
ATK0100 ACPI UTILITY
Audiograbber 1.83 SE
AutoCAD 2002 - Deutsch
Avira AntiVir Premium
Battlefield Heroes
Bonjour
Canon EOS Kiss REBEL 300D WIA-Treiber
CCleaner (remove only)
CorelDRAW 10
CorelDRAW 10
Defraggler (remove only)
Die*Sims™*3
EA Download Manager
ElsterFormular 2005/2006
ElsterFormular 2006/2007
ElsterFormular 2007/2008
Eumex 200
Free YouTube to Mp3 Converter version 3.1
Garmin POI Loader
Google Earth
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB942288-v3)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
HotSpot Manager
HP PrecisionScan Pro 3.0
Install(GE)
iTunes
Java(TM) 6 Update 13
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft ActiveSync 3.8
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft User-Mode Driver Framework Feature Pack 1.5
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual J# .NET Redistributable Package 1.1
Microsoft WSE 3.0 Runtime
Moorhuhn Total 4
Motorola SM56 Data Fax Modem
Mozilla Firefox (3.0.11)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Nero Digital
Nero OEM
Nokia Connectivity Cable Driver
Nokia PC Suite
Nokia PC Suite
NVIDIA Drivers
Pacific Poker
PC Connectivity Solution
PokerStars
Power4 Gear
PrintParade Studio
PunkBuster Services
QuickTime
Realtek High Definition Audio Driver
REALTEK PCIE NIC Driver
ScanSoft PaperPort Viewer 7.0
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB970238)
Spelling Dictionaries Support For Adobe Reader 9
Synaptics Pointing Device Driver
T-Eumex KommunikationsCenter
Tobit.Software clipinc.fx
T-Online 6.0
T-Online WLAN-Access Finder
Uninstall 1.0.0.1
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update für Windows Internet Explorer 8 (KB971180)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Volo View Express
WarRock
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
Windows-Treiberpaket - Nokia (WUDFRd) WPD (06/01/2007 6.84.33.0)
Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1)
Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1)
Windows-Treiberpaket - Nokia Modem (05/24/2007 6.84.0.1)
WinFlash
WinRAR
XML Paper Specification Shared Components Language Pack 1.0

Ich hoffe ihr könnt mir bald helfen

Will mir denn keiner helfen?

*push* -.-

1.) Deinstalliere:

• Adobe Acrobat 4.0 (4.0? Damals gab es noch Mammuts auf der Erde.)
• Apple Software Update
• Bonjour
• ElsterFormular 2005/2006 (könnte knapp werden )
• ElsterFormular 2006/2007 (könnte knapp werden )
• Java(TM) 6 Update 13
• Uninstall 1.0.0.1

2.) Installiere:

• Java-Downloads für alle Betriebssysteme - Sun Microsystems

3.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

Alle R0, R1, O2, O8, O9, O14 und O16-Einträge
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
         

=> Fix checked => Neustart

4.) GMER - Rootkit Detection

• Lade Trallala von file-upload.net
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Trallala.exe
• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

So, ich hab jetzt alles desinstalliert, neues java installiert, die Einträge gefixt und GMER durchlaufen lassen. Da steht jetzt was mit *hidden* und so

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-07-05 11:23:06
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT F6AB4B76 ZwCreateKey
SSDT F6AB4B6C ZwCreateThread
SSDT F6AB4B7B ZwDeleteKey
SSDT F6AB4B85 ZwDeleteValueKey
SSDT F6AB4B8A ZwLoadKey
SSDT F6AB4B58 ZwOpenProcess
SSDT F6AB4B5D ZwOpenThread
SSDT F6AB4B94 ZwReplaceKey
SSDT F6AB4B8F ZwRestoreKey
SSDT F6AB4B80 ZwSetValueKey
SSDT F6AB4B67 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

? System32\Drivers\hiber_WMILIB.SYS Das System kann den angegebenen Pfad nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text D:\Tobit ClipInc\Server\ClipInc-Server.exe[300] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes JMP 0049F8A0 D:\Tobit ClipInc\Server\ClipInc-Server.exe

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Processes - GMER 1.0.15 ----

Library C:\Programme\Bonjour\mdnsNSP.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1192] 0x16080000
Library C:\Programme\Bonjour\mdnsNSP.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1232] 0x16080000
Library C:\Programme\Bonjour\mdnsNSP.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1440] 0x16080000
Library C:\Programme\Bonjour\mdnsNSP.dll (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe [1760] 0x16080000

---- EOF - GMER 1.0.15 ----


neues hjt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:26:13, on 05.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\Toni Wirz\Eigene Dateien\Downloads\Trallala.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ClipIncSrvTray] "D:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 3766 bytes

*pushhhhhhhhhhhhh*

Der Rechner scheint sauber, falls du noch einen letzten Scan machen möchtest, dann

Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt hier in den Thread.

ciao, andreas

info.txt

http://www.materialordner.de/4rgluRqcwJAdaak0L36oOluRPDKFB4wv.html

log.txt

http://www.materialordner.de/gBA6vCJc2eKU4XZpke8HkTTGH3ciMLaU.html

Wenn du noch zur Schule gehst, was machst du dann mit den Elsterformularen aus dem Jahr 2004?

Wie geht es dem Rechner? Die Logs sind sauber.

Zitat:

======File associations======

.scr - open - C:\WINDOWS\NOTEPAD.EXE "%1"

Bildschirmschoner mit dem Editor zu öffnen ist ja etwas ganz Neues.

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
EagleNT

Files to delete:
C:\WINDOWS\system32\drivers\EagleNT.sys
C:\WINDOWS\Applian FLV Player Uninstall Log.txt

Folders to delete:
C:\rsit
C:\Config.Msi
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Das ist der alte Laptop von meinem Vater und ich weiß nicht ob der das noch braucht^^
Ich musste den Stick vor ner Woche nochmal an den Pc anstecken, jetzt ist der Virus wieder drauf. Ich hab mal geguck, auf dem Pc sind 2 Datien, eine AutoRun.inf und eine RavMon.exe, die auf jeden Wechseldatenträger übertragen werden. Am besten lösche ich die jetzt mit nem Linux live system, oder?

Ach das mit dem Bildschirmschoner kp was der wieder mal angestellt hat^^

Zitat:

Ich musste den Stick vor ner Woche nochmal an den Pc anstecken, jetzt ist der Virus wieder drauf.

Wo ist er wieder drauf?

Zitat:

Am besten lösche ich die jetzt mit nem Linux live system, oder?

Oder mit ComboFix oder Avenger. (Fast) jedes Antivirenprogramm erkennt die Teile mittlerweile.

Um die Rechner vor einer erneuten Infektion zu bewahren, deaktiviere das Autoplay von Windows (geht automatisch, wenn du ComboFix laufen lässt). Dann säubere alle externen Datenträger. Die externen Datenträger kannst du mit dem Flash Disinfector schützen => http://www.trojaner-board.de/441301-post16.html

Zitat:

Ach das mit dem Bildschirmschoner kp was der wieder mal angestellt hat

Kein Problem, schädlich ist das nicht.

ciao, andreas

Auf dem Usb stick ist der virus mit der AutoRun.inf und RavMon.exe drauf. Jeder Wechseldatenträger wird damit infiziert, der an den Pc angeschlossen wird.

So, hier ist auch mal das avenger logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "EagleNT" deleted successfully.

Error: file "C:\WINDOWS\system32\drivers\EagleNT.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\EagleNT.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\Applian FLV Player Uninstall Log.txt" deleted successfully.
Folder "C:\rsit" deleted successfully.
Folder "C:\Config.Msi" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


So, dann hab ich noch 3 Fragen

1. Sind solche HTML./Malware schlimm? Antivir hatte da letztens mal 2 gefunden, dachte mir aber das wäre nicht so schlimm

2. Es gibt doch so ne taste die man drücken muss, damit dieses Autoplay beim anstecken eines USB sticks nicht angeht, welche war das denn nochmal EDIT ich glaub, das brauche ich nicht mehr, nachdem ich deinen Beitrag gelesen habe^^

3. könntest du mir auch noch helfen, den virus vom usb stick zu holen?

Zitat:

Sind solche HTML./Malware schlimm?

Jein. Es gibt zunehmend Schädlinge, die sich über gekaperte Websites verbreiten. Die sind allerdings nur dann gefährlich, wenn man mit dem falschen Browser unterwegs ist und sämtliche Sicherheitshinweise missachtet.

Zitat:

könntest du mir auch noch helfen, den virus vom usb stick zu holen?

Lösche die autorun.inf und führe anschliessend eine Datenträgerbereinigung durch (Start => Ausführen => cleanmgr => OK) oder lasse CCleaner laufen => http://www.trojaner-board.de/51464-a...-ccleaner.html

Wie du dich durch erneuten Befall schützen kannst, solltest du nach Lesen des obigen Links auch wissen.

Lösche noch den Ordner c:\avenger, dann bist du entlassen.

ciao, andreas

Huch!?
Ich wollte grad die AutoRun.inf löschen, doch es war keine da. (Ich hatte Autorun/Autoplay bei tu abgeschaltet)


und was soll ich bei der datenträgerbereinigung löschen?

EDIT:
In deinem Beitrag mkit Flashdisinfector wenn man auf den Link klickt kommt page not found.
Ich würds ja woanders downloaden, doch bei wenn ich flashdisinfector bei google suche wird der 2te Eintrag von WOT schon als rot makiert und viele anderen als gelb