ich bekomme nach wie vor die meldung zur programmwiederherstellung bei jedem start
es können nicht alle schutzkomponenten aktiviert werden

was mach ich denn jetzt?

Ist dass bei allen AVPs so oder nur bei Kaspersky?

Versuchen wir es erneut.
Downloade Dir das Kaspersky Removal Tool
gehe nun offline

Deinstalliere nochmals Kaspersky komplett von Deinem Rechner.
Starte den Rechner neu auf und verwende den Remover.
Starte nun den Rechner nochmals und installiere Kas erneut.
Berichte obs klappt.

Du hast doch eine Kaufversion von Kaspersky oder ?

ja ich vermute schon, so hats ja auch angefangen
hab ich aber noch nicht ausprobiert

ich werde dann jetz mal kav neu draufmachen

so.. ich hab kaspersky wieder deinstalliert, aber das remover tool hat nichts mehr gefunden..

ich hab jetz mal getestet ob avira funktioniert, aber nein.. stattdessen stürzte der pc ab

da stand dann was von schwerwiegendem systemfehler und im problem bericht sowas

C:\DOKUME~1\USER\LOKALE~1\Temp\WERf4e3.dir00\Mini080609-01.dmp
C:\DOKUME~1\USER\LOKALE~1\Temp\WERf4e3.dir00\sysdata.xml
BCCode : 1000008e BCP1 : C0000005 BCP2 : 8054B10D BCP3 : 8CDB598C
BCP4 : 00000000 OSVer : 5_1_2600 SP : 3_0 Product : 256_

kann man damit was anfangen?

und ja.. ich hab die kaufversion von kav

und das hier kam bei nem antivir scannoch raus..
hat das was zu bedeuten?


Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\USER\Eigene Dateien\Setups\kav7.0.1.325de.exe
[0] Archivtyp: NSIS
--> /setup.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\drivers\SafeBoot.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

gut dann suchen wir mal ob nicht doch was da ist

schritt 1

Lade dir F-Secure Blacklight herunter

• Installiere es in C:\Programme\Blacklight
• Trenne dich von Netz(W-Lan nicht vergessen)
• Deaktiviere alle laufenden Virenscanner etc
• Schließe alle offenen Programme und starte es durch klick auf die fsbl.exe
• Klicke auf i accept the agreement-->Next-->Scan
• nach dem Scan klicke auf Close
• Die Logfile fsbl.xxx.log wird unter dem Blacklight Verzeichnis gespeichert
• Bitte posten

AntiVir Programme einschalten nicht vergessen bevor du ins Netz gehst


schritt 2

Rootkitsuche mit Avira AntiRootkit

Lade Avira AntiRootkit herunter, indem Du auf den Download-Button klickst. Speichere die Datei auf Deinem Desktop.

• Du solltest jetzt antivir_rootkit.zip auf Deinem Desktop finden.
• Entpacke das Archiv auf Deinen Desktop (antivir_rootkit.zip kannst Du jetzt manuell löschen).
• Doppelklick auf die avirarkd.exe => OK.
• Klicke auf Start scan.
• Wenn der Suchlauf beendet ist, klicke auf View report und kopiere das Log hier in den Thread.

schritt 3

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

okee.. das wird ja sicher etwas länger dauern!

ich wünsche dir also schonmal ein gutes wochenende!

Danke Dir. Wird sicher lustig.

sollte ein anderer Helfer antworten, bitte führe seine Anweisungen aus

Code: Alles auswählenAufklappen

ATTFilter

 08/06/09 21:21:17 [Info]: BlackLight Engine 1.0.67 initialized
08/06/09 21:21:17 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/06/09 21:21:17 [Note]: 7019 4
08/06/09 21:21:17 [Note]: 7005 0
08/06/09 21:21:25 [Note]: 7006 0
08/06/09 21:21:25 [Note]: 7011 2772
08/06/09 21:21:26 [Note]: 7026 0
08/06/09 21:21:26 [Note]: 7026 0
08/06/09 21:21:31 [Note]: FSRAW library version 1.7.1024
08/06/09 23:33:03 [Note]: 7007 0
         

Code: Alles auswählenAufklappen

ATTFilter

 Avira AntiRootkit Tool (1.1.0.1)

========================================================================================================
 - Scan started Donnerstag, 6. August 2009 - 23:38:18
========================================================================================================

--------------------------------------------------------------------------------------------------------
   Configuration:
--------------------------------------------------------------------------------------------------------
 - [X] Scan files
 - [X] Scan registry
 - [X] Scan processes
 - [ ] Fast scan
 - Working disk total size : 232.88 GB
 - Working disk free size : 193.07 GB (82 %)
--------------------------------------------------------------------------------------------------------

Results:
Embedded nulls : HKEY_USERS\S-1-5-21-1645522239-1659004503-725345543-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY
Embedded nulls : HKEY_USERS\S-1-5-21-1645522239-1659004503-725345543-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY

--------------------------------------------------------------------------------------------------------
Files: 0/107003
Registry items: 2/822247
Processes: 0/59
Scan time: 00:28:10
--------------------------------------------------------------------------------------------------------
Active processes:
  - hjfkhsxl.exe     (PID 5380) (Avira AntiRootkit Tool)
  - wmiprvse.exe     (PID 4264)
  - scrnsave.scr     (PID 4452)
  - System           (PID 4)
  - smss.exe         (PID 620)
  - csrss.exe        (PID 676)
  - winlogon.exe     (PID 712)
  - services.exe     (PID 756)
  - lsass.exe        (PID 776)
  - svchost.exe      (PID 960)
  - ati2evxx.exe     (PID 988)
  - svchost.exe      (PID 1008)
  - HpFkCrypt.exe    (PID 1088)
  - svchost.exe      (PID 1116)
  - svchost.exe      (PID 1160)
  - btwdins.exe      (PID 1188)
  - svchost.exe      (PID 1220)
  - svchost.exe      (PID 1276)
  - svchost.exe      (PID 1352)
  - spoolsv.exe      (PID 1468)
  - scardsvr.exe     (PID 1532)
  - acevents.exe     (PID 1568)
  - sched.exe        (PID 1576)
  - ati2evxx.exe     (PID 1632)
  - svchost.exe      (PID 1716)
  - accoca.exe       (PID 1876)
  - agrsmsvc.exe     (PID 1896)
  - PTChangeFilterService.exe (PID 2028)
  - jqs.exe          (PID 252)
  - LSSrvc.exe       (PID 292)
  - RichVideo.exe    (PID 332)
  - svchost.exe      (PID 452)
  - hpqWmiEx.exe     (PID 2104)
  - wmiprvse.exe     (PID 2152)
  - alg.exe          (PID 2164)
  - asghost.exe      (PID 2728)
  - explorer.exe     (PID 2772)
  - wscntfy.exe      (PID 3012)
  - accrdsub.exe     (PID 3360)
  - pthosttr.exe     (PID 3368)
  - QLBCTRL.exe      (PID 3392)
  - hpwuSchd2.exe    (PID 3420)
  - acevents.exe     (PID 3508)
  - PDVDServ.exe     (PID 3524)
  - jusched.exe      (PID 3552)
  - Monitor.exe      (PID 3580)
  - smax4pnp.exe     (PID 3592)
  - avgnt.exe        (PID 3696)
  - wmiapsrv.exe     (PID 3712)
  - ctfmon.exe       (PID 3776)
  - BTTray.exe       (PID 3920)
  - ONENOTEM.EXE     (PID 3972)
  - Com4QLBEx.exe    (PID 4076)
  - MOM.exe          (PID 2936)
  - CCC.exe          (PID 3024)
  - BTStackServer.exe (PID 2100)
  - iexplore.exe     (PID 568)
  - iexplore.exe     (PID 3884)
  - avirarkd.exe     (PID 5020)
========================================================================================================
 - Scan finished  Freitag, 7. August 2009 - 00:06:28
========================================================================================================
         

Die Logfile von RootRepeal fehlt mir noch
Poste dazu eine frische HJT Logfile.

ja da hatte ich ein problem...
sobald ich den scan gestratet habe hat sich mein pc aufgehängt..

Okay

Rootkit mit AVZ Antiviral-Toolkit entfernen

AVZ Antiviral Toolkit ist ein russisches Projekt, welches auch in englisch verfügbar ist. Das Programm prüft auf Viren, Adware, Spyware, Dialer, verdächtige Software (Risktools), Hacktools und Rootkits. AVZ ist ein sehr mächtiges Tool, bitte nichts "auf eigene Faust" machen.

Bitte lade AVZ4 herunter und entpacke es auf den Desktop.
Dort sollte sich nun der Ordner avz4 befinden.

• Öffne den Ordner avz4 und starte die avz.exe durch Doppelklick.
• Aktualisiere die Signaturen:
  Im Menü => File => Database Update => Start-Button drücken => OK
• Im Menü => AVPM
• Dort aud "Install extended monitoring driver" drücken
• AVZ wird nun einen Neustart verlangen, also neustarten.
• Setze Häkchen vor die Laufwerke, die gescannt werden sollen.
• Setze ein Häkchen rechts vor "Perform healing:"
• Setze ein Häkchen vor "Copy suspicious files to Quarantine".
  .
  
  .
• Drücke auf den Button "Start", um den Suchlauf zu starten.
• Geduld, der Suchlauf kann eine Weile dauern.
• Wenn der Suchlauf beendet ist (Scanning finished), drücke rechts auf auf das Diskettensymbol, um das Logfile als Text-Datei zu speichern.
• Poste das Logfile hier in den Thread.

Eine ausführliche und bebilderte Anleitung findest Du bei virus-protect.org.

so hier schonmal das frische logfile von hjt

Code: Alles auswählenAufklappen

ATTFilter

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:10, on 10.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Hewlett-Packard\IAM\Bin\AsGHost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ActivIdentity\ActivClient\accoca.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\ActivIdentity\ActivClient\accrdsub.exe
C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ICQ6.5\ICQ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\ActivIdentity\ActivClient\acevents.exe
C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Dokumente und Einstellungen\USER\Desktop\avz4\avz.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [accrdsub] "C:\Programme\ActivIdentity\ActivClient\accrdsub.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230657893921
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1230670474781
O20 - AppInit_DLLs: APSHook.dll
O20 - Winlogon Notify: ackpbsc - C:\WINDOWS\system32\ackpbsc.dll
O20 - Winlogon Notify: acunlock - C:\Programme\ActivIdentity\ActivClient\acunlock.dll
O20 - Winlogon Notify: OneCard - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - C:\Programme\ActivIdentity\ActivClient\accoca.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: Google Update Service (gupdate1c9cedc47c5e5a) (gupdate1c9cedc47c5e5a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP ProtectTools Service - Hewlett-Packard Development Company, L.P - C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - C:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 10953 bytes
         

avz log:

Code: Alles auswählenAufklappen

ATTFilter

 AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 10.08.2009 18:54:43
Database loaded: signatures - 236071, NN profile(s) - 2, microprograms of healing - 56, signature database released 09.08.2009 21:43
Heuristic microprograms loaded: 374
SPV microprograms loaded: 9
Digital signatures of system files loaded: 130549
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
 >>>> Probable masking of executable file's name 3128 btstac~1.exe, real name - BTStackServer.exe
1.1 Searching for user-mode API hooks
 Analysis: kernel32.dll, export table found in section .text
 Analysis: ntdll.dll, export table found in section .text
 Analysis: user32.dll, export table found in section .text
 Analysis: advapi32.dll, export table found in section .text
 Analysis: ws2_32.dll, export table found in section .text
 Analysis: wininet.dll, export table found in section .text
 Analysis: rasapi32.dll, export table found in section .text
 Analysis: urlmon.dll, export table found in section .text
 Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
 Driver loaded successfully
 SDT found (RVA=085700)
 Kernel ntkrnlpa.exe found in memory at address 804D7000
   SDT = 8055C700
   KiST = 80504460 (284)
Function NtCreateKey (29) intercepted (806237B0->9E7ADF0E), hook not defined
Function NtCreateThread (35) intercepted (805D0FE0->9E7ADF04), hook not defined
Function NtDeleteKey (3F) intercepted (80623C40->9E7ADF13), hook not defined
Function NtDeleteValueKey (41) intercepted (80623E10->9E7ADF1D), hook not defined
Function NtLoadKey (62) intercepted (806259AC->9E7ADF22), hook not defined
Function NtOpenProcess (7A) intercepted (805CB408->9E7ADEF0), hook not defined
Function NtOpenThread (80) intercepted (805CB694->9E7ADEF5), hook not defined
Function NtReplaceKey (C1) intercepted (8062585C->9E7ADF2C), hook not defined
Function NtRestoreKey (CC) intercepted (80625168->9E7ADF27), hook not defined
Function NtSetValueKey (F7) intercepted (80621D36->9E7ADF18), hook not defined
Function NtTerminateProcess (101) intercepted (805D29AA->9E7ADEFF), hook not defined
Functions checked: 284, intercepted: 11, restored: 0
1.3 Checking IDT and SYSENTER
 Analysis for CPU 1
 Analysis for CPU 2
 Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Visible process, PID=3128, name = "\Device\HarddiskVolume1\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe"
 >> Name substitution detected, new name = "c:\progra~1\widcomm\blueto~1\btstac~1.exe"
 Searching for masking processes and drivers - complete
 Driver loaded successfully
1.5 Checking of IRP handlers
 Checking - complete
2. Scanning memory
 Number of processes found: 58
 Number of modules loaded: 597
Scanning memory - complete
3. Scanning disks
Direct reading C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp\~DF270E.tmp
Direct reading C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp\~DF29B7.tmp
Direct reading C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp\~DF2BAC.tmp
Direct reading C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp\~DF99F6.tmp
Direct reading C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp\~DFA1BB.tmp
C:\System Volume Information\_restore{D55F57D0-4208-487B-9803-8690B322CDDC}\RP185\A0035530.exe >>> suspicion for P2P-Worm.Win32.Nugg.an ( 007423B4 08CD5FC5 00174B78 001E3237 188416)
File quarantined succesfully (C:\System Volume Information\_restore{D55F57D0-4208-487B-9803-8690B322CDDC}\RP185\A0035530.exe)
Direct reading C:\WINDOWS\system32\drivers\SafeBoot.sys
4. Checking  Winsock Layered Service Provider (SPI/LSP)
 LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\WINDOWS\system32\APSHook.dll --> Suspicion for Keylogger or Trojan DLL
C:\WINDOWS\system32\APSHook.dll>>> Behavioural analysis 
 Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\WINDOWS\system32\APSHook.dll)
C:\WINDOWS\system32\btmmhook.dll --> Suspicion for Keylogger or Trojan DLL
C:\WINDOWS\system32\btmmhook.dll>>> Behavioural analysis 
 Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\WINDOWS\system32\btmmhook.dll)
C:\Programme\WIDCOMM\Bluetooth Software\btkeyind.dll --> Suspicion for Keylogger or Trojan DLL
C:\Programme\WIDCOMM\Bluetooth Software\btkeyind.dll>>> Behavioural analysis 
  1. Reacts to events: keyboard
C:\Programme\WIDCOMM\Bluetooth Software\btkeyind.dll>>> Neural net: file with probability 98.69% like a typical keyboard/mouse events interceptor
File quarantined succesfully (C:\Programme\WIDCOMM\Bluetooth Software\btkeyind.dll)
Note: Do NOT delete suspicious files, send them for analysis  (see FAQ for more details),  because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
 Checking disabled by user
7. Heuristic system check
Latent loading of libraries through AppInit_DLLs suspected: "APSHook.dll"
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierung)
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
 >>  HDD autorun are allowed
 >>  Autorun from network drives are allowed
 >>  Removable media autorun are allowed
Checking - complete
Files scanned: 86223, extracted from archives: 52005, malicious software found 0, suspicions - 1
Scanning finished at 10.08.2009 19:06:35
Time of scanning: 00:11:52
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
         

Also die files was AVZ fand sind okay
Was noch wichtig wäre, hattest Du die Probleme bei GData auch?
Welche Komponenten konnten nicht installiert werden.