Hi,

es gibt da noch einiges was zu ändern wäre und noch eine kleine Frage:

Was ist das hier:

Code: Alles auswählenAufklappen

ATTFilter

c:\programme\Lineage II\system\npkycryp.sys
         

Kennst Du das Programm, was tut es?

Dann sind einige Reg.-Einträge (Sicherheitscenter) verbogen, die geändert werden müssten (das macht eigentlich MAM)...
...
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
...

Du solltest unbedingt alle Passwörter ändern (Infostealer/Backdoor), ev. sicherheitshalber wenn Du eBanking machst das Konto sperren lassen (denk dabei auch an eBay etc.)...

chris
Ps.: Bin jetzt mal wech für ca. 1,5 h...

Zitat:

Zitat von Chris4You

es gibt da noch einiges was zu ändern wäre und noch eine kleine Frage:

Was ist das hier:

Code: Alles auswählenAufklappen

ATTFilter

c:\programme\Lineage II\system\npkycryp.sys
         

Kennst Du das Programm, was tut es?

Ja, ich kenne das Programm, Lineage ist ein Internetrollenspiel. (siehe http://de.wikipedia.org/wiki/Lineage_II)
Das Programm verbindet sich via Client mit einem Hauptserver, auf dem dann gespielt wird. Was die Datei "npkycryp.sys" tut weiß ich nicht, denke aber dass es evt. für den Verbindungsaufbau eine Rolle spielen könnte.

Zitat:

Zitat von Chris4You

Dann sind einige Reg.-Einträge (Sicherheitscenter) verbogen, die geändert werden müssten (das macht eigentlich MAM)...

Muss nochmal nachfragen: was ist MAM? (MAM== Malwarebytes Anti-Malware ?)

Zitat:

Zitat von Chris4You

Du solltest unbedingt alle Passwörter ändern (Infostealer/Backdoor), ev. sicherheitshalber wenn Du eBanking machst das Konto sperren lassen (denk dabei auch an eBay etc.)...

eBanking nutze ich nicht, die anderen Passwörter gehe ich dann gleich mal ändern!

Zitat:

Zitat von Chris4You

Ps.: Bin jetzt mal wech für ca. 1,5 h...

Klar, bin dann ja auch erstmal Essen!

Hi,

MAM? (MAM== Malwarebytes Anti-Malware ?)->Ja!

So, mache dann noch mal einen Scan mit Prevx, dann sollten wir durch sein...

chris

Hi,

mir kommt das Teil nicht geheuer vor, kannst du es löschen:
C:\Programme\Lineage II

Da muss noch irgendwo ein Loader versteckt sein, wenn das Teil wieder da ist...

Mach bitte mal folgendes:
Update MAM, gehe offline, lass dann ComboFix laufen und danach immer noch Offline MAM.

Poste beide Logs und lasse den Rechner noch von Kapi durchsuchen:
Kaskpersky OnlineScanner (IE benutzen)
http://www.kaspersky.com/de/virusscanner

Dann muß noch die Systemwiederherstellung gepättet werden:
Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Ich beziehe mich dabei auf das von Dir im Thread http://www.trojaner-board.de/76929-t...-gefahr-2.html gepostete MAM-Log..

chris

Hi,

falls das nichts hilft, werden wir CF scripten...

chris

So hab Lineage gelöscht, danach MAM geupdatet, dann zuerst CF gestartet und dann MAM (alles mit gekaptem Kabel)
CF ist zunächst durchgelaufen ohne Probleme, hat dann aber kein Log-file erstellt...hab sehr lange gewartet...dann habe ich das Programm geschlossen und erneut ausgeführt, dann hats funktioniert. Ich hab dann mit MAM weitergemacht.

Combofix:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 09-09-02.02 - *** 03.09.2009 20:43.3.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2037.1330 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Datensicherung\Reinigungstools\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((   Dateien erstellt von 2009-08-03 bis 2009-09-03  ))))))))))))))))))))))))))))))
.

2009-09-03 09:00 . 2009-09-03 09:00	27656	----a-w-	c:\windows\system32\drivers\pxsec.sys
2009-09-03 09:00 . 2009-09-03 09:00	22024	----a-w-	c:\windows\system32\drivers\pxscan.sys
2009-09-03 09:00 . 2009-09-03 09:00	--------	d-----w-	c:\programme\Prevx
2009-09-03 08:59 . 2009-09-03 09:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-09-02 18:15 . 2009-09-02 18:16	--------	d-----w-	C:\rsit
2009-09-02 09:17 . 2009-09-02 09:17	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-09-02 09:17 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-02 09:17 . 2009-09-02 09:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-02 09:17 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-02 09:17 . 2009-09-02 09:17	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-09-02 08:28 . 2009-09-02 08:28	--------	d-----w-	c:\programme\Lavalys
2009-08-14 09:00 . 2009-07-10 13:26	1315328	-c----w-	c:\windows\system32\dllcache\msoe.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-03 17:52 . 2007-09-16 18:27	--------	d-----w-	c:\programme\Mozilla Thunderbird
2009-09-03 14:12 . 2008-06-15 16:26	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware
2009-09-03 14:12 . 2008-07-27 15:00	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\WTablet
2009-09-03 14:12 . 2008-06-15 16:29	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\VMware
2009-09-01 16:59 . 2008-08-29 16:56	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\WTablet
2009-08-31 18:57 . 2007-09-15 20:17	39688	-c--a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-28 12:50 . 2008-12-18 07:43	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Move Networks
2009-08-26 15:28 . 2009-02-19 15:52	179792	----a-w-	c:\windows\system32\guard32.dll
2009-08-26 15:28 . 2009-02-19 15:52	87104	----a-w-	c:\windows\system32\drivers\inspect.sys
2009-08-26 15:28 . 2009-02-19 15:52	25160	----a-w-	c:\windows\system32\drivers\cmdhlp.sys
2009-08-26 15:28 . 2009-02-19 15:52	132168	----a-w-	c:\windows\system32\drivers\cmdguard.sys
2009-08-07 11:23 . 2007-09-16 18:31	--------	d-----w-	c:\programme\Java
2009-08-05 08:59 . 2006-02-28 12:00	206336	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-28 10:00 . 2007-10-06 05:39	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-07-25 03:23 . 2008-12-11 07:08	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-07-22 10:45 . 2009-07-22 10:43	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Audacity
2009-07-22 10:45 . 2007-11-11 10:18	--------	d-----w-	c:\programme\Audacity
2009-07-22 10:43 . 2009-07-22 10:43	--------	d-----w-	c:\programme\Audacity 1.3 Beta (Unicode)
2009-07-17 19:01 . 2006-02-28 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2006-02-28 12:00	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-12 13:41 . 2009-02-22 12:41	--------	d-----w-	c:\programme\FileZilla Server
2009-07-12 13:01 . 2009-02-22 16:11	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\MySQL
2009-07-03 16:55 . 2006-02-28 12:00	915456	------w-	c:\windows\system32\wininet.dll
2009-06-16 14:36 . 2006-02-28 12:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2006-02-28 12:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2006-02-28 12:00	78848	----a-w-	c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2006-02-28 12:00	82944	----a-w-	c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2006-02-28 12:00	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2007-09-15 19:36	2066432	----a-w-	c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2006-02-28 12:00	132096	----a-w-	c:\windows\system32\wkssvc.dll
2008-08-30 17:30 . 2008-08-30 17:30	0	-csha-w-	c:\windows\SA2A34C2C.tmp
.

(((((((((((((((((((((((((((((   SnapShot@2009-09-03_10.00.12   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-03 14:12 . 2009-09-03 14:12	16384              c:\windows\Temp\Perflib_Perfdata_e7c.dat
+ 2009-07-22 15:16 . 2009-09-03 14:11	16384              c:\windows\system32\config\systemprofile\IETldCache\index.dat
- 2009-07-22 15:16 . 2009-09-03 08:37	16384              c:\windows\system32\config\systemprofile\IETldCache\index.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2007-07-24 1298432]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"Nero PhotoShow Media Manager"="c:\progra~1\Nero\PHOTOS~1\data\Xtras\mssysmgr.exe" [2008-02-12 353544]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-20 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-20 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-20 138008]
"Adobe Version Cue CS2"="c:\programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 856064]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-09 40960]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2004-07-20 851968]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208]
"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"Symantec PIF AlertEng"="c:\programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-03-25 570664]
"AVMFBoxMonitor"="c:\programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" [2008-06-03 1508656]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2007-05-14 35328]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"COMODO Internet Security"="c:\programme\COMODO\COMODO Internet Security\cfp.exe" [2009-08-26 1796368]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-10 16126464]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2008-02-29 76304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-2-21 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42	72208	----a-w-	c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Adobe\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"c:\\Programme\\Teamspeak2_RC2\\TeamSpeak.exe"=
"c:\\Programme\\FRITZ!Box Monitor\\FRITZBoxMonitor.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Miranda IM Portable\\miranda32.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\programme\Gameforge4D\AirRivals_DE\Launcher.atm"= c:\programme\Gameforge4D\AirRivals_DE\Launcher.atm:Enabled:GameExe2
"c:\programme\Gameforge4D\AirRivals_DE\Res-Voip\SCVoIP.exe"= c:\programme\Gameforge4D\AirRivals_DE\Res-Voip\SCVoIP.exe:Enabled:GameVoIP
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3306:TCP"= 3306:TCP:MySQL Server

R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [03.09.2009 11:00 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [03.09.2009 11:00 27656]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [19.02.2009 17:52 132168]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [19.02.2009 17:52 25160]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;c:\programme\Symantec\LiveUpdate\AluSchedulerSvc.exe [16.09.2007 12:43 554352]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [03.09.2009 11:00 4368952]
R2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [27.07.2008 17:00 3406120]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [15.09.2007 21:51 108032]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [27.07.2008 17:00 15656]
S3 kvpndev;Kerio VPN adapter;c:\windows\system32\drivers\kvpndrv.sys [28.08.2007 09:48 65024]
S3 kwflower;Kerio WinRoute Firewall Driver - Lower Layer;c:\windows\system32\DRIVERS\kwflower.sys --> c:\windows\system32\DRIVERS\kwflower.sys [?]
S3 npkycryp;npkycryp;\??\c:\programme\Lineage II\system\npkycryp.sys --> c:\programme\Lineage II\system\npkycryp.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D97A8762-C04A-D035-3133-BC39230D0A40}]
c:\windows\system32:spoolsrv.exe
.
Inhalt des "geplante Tasks" Ordners

2009-06-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: &Citavi Picker... - file://c:\programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0jcj8n0k.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.trojaner-board.de/
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0jcj8n0k.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0jcj8n0k.default\extensions\flashplugin@idm\platform\WINNT\plugins\npidmdcp.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0jcj8n0k.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\browser\nppdf32.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-09-03 20:46
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1216)
c:\windows\system32\guard32.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll

- - - - - - - > 'lsass.exe'(1272)
c:\windows\system32\guard32.dll

- - - - - - - > 'explorer.exe'(2128)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-09-03 20:47
ComboFix-quarantined-files.txt  2009-09-03 18:47
ComboFix2.txt  2009-09-03 10:01

Vor Suchlauf: 17 Verzeichnis(se), 283.007.729.664 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 282.991.341.568 Bytes frei

207	--- E O F ---	2009-09-02 19:14
         

MAM:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2736
Windows 5.1.2600 Service Pack 3

03.09.2009 22:29:28
mbam-log-2009-09-03 (22-29-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 495759
Laufzeit: 1 hour(s), 23 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Zitat:

Zitat von Chris4You

Hi,
Ich beziehe mich dabei auf das von Dir im Thread http://www.trojaner-board.de/76929-t...-gefahr-2.html gepostete MAM-Log..

Dieses MAM-Log ist allerdings nicht von mir....

Hi,

hmm der Stream ist weg, der Starteintrag in der Reg ist noch da:
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D97A8762-C04A-D035-3133-BC39230D0A40}]
c:\windows\system32:spoolsrv.exe

Der sollte noch weg..

Kennst Du Dich mit Reg.-Edit aus? Dann Kannst Du den Schlüssel löschen, sonst bastelte ich ein Script dafür.

Chris
Ps.: Das wäre seltsam, wenn ich mich erinnere, steht als Autor dort Dein nick...?

Hi,

wenn du von auskennen sprichst dann muss ich das klar verneinen, tut mir leid!
Dieser Thread ist der erste den ich hier überhaupt gestartet habe, der andere ist von Nicki79....also so wird mir das zumindest angezeigt, wenn ich auf deinen Link klicke. Die Anweisungen befolge ich aber trotzdem!

~Navaki

Oh mist, entschuldige....ich seh grad ich hab da wohl mal ausversehen falsch gepostet, sowas!!!

Das Script für den Onlinescan wird nicht ausgeführt....weißt du wo man da im IE die entsprechenden Einstellungen vornehmen muss?

Hi,

schau in dem anderen Thread mal Post #17 an, der ist von Dir )..

Das nachfolgende in den Editor kopieren (Start->Ausführen notepad) und als weg.reg auf dem Desktop speichern (nicht als "TXT"-File):

Code: Alles auswählenAufklappen

ATTFilter

REGEDIT4
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D97A8762-C04A-D035-3133-BC39230D0A40}]
         

Dann Doppelklick auf das File und die Sicherheitsnachfragen abnicken (zusammenführen -> ja)...
Dann sollte der Eintrag verschwunden sein...

So, der Notebookakku ist gleich leer, muss schluss machen...

chris
Ps.: ActiveX im IE zulassen... Hab hier FF..

Zitat:

Zitat von Chris4You

Dann Doppelklick auf das File und die Sicherheitsnachfragen abnicken (zusammenführen -> ja)...
Dann sollte der Eintrag verschwunden sein...

ist erledigt
Hoff das Ding ist jetzt weg...

Zitat:

Zitat von Chris4You

Ps.: ActiveX im IE zulassen... Hab hier FF..

Mhm....ich eben leider auch....ich werd morgen nochmal danach suchen...

Zitat:

Zitat von Chris4You

So, der Notebookakku ist gleich leer, muss schluss machen...

Okay, schlaf gut, ich hau mich jetzt auch aufs Ohr...

/edit: Es geht!

Zitat:

Zitat von Navaki

/edit: Es geht!

So hier endlich der log - Teil 1:

Code: Alles auswählenAufklappen

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Sonntag, 6. September 2009 08:06:36
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken:  5/09/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 2749832
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Ordner:
	C:\
	D:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 401062
	Viren gefunden: 7
	Infizierte Objekte gefunden: 35
	Verdächtige Objekte gefunden: 100
	Untersuchungszeit: 05:42:29

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo\Firewall Pro\cfplogdb.sdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\2009-09-05_Log.ALUSchedulerSvc.LiveUpdate	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware\vmnetdhcp.leases	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\.rainlendar2\rainlendar2.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Miranda\Navaki.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Rhi" <rhi_anne2@hotmail.com>][Date 27 Mar 2007 20:23:15][Subj Roberte]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Wuhan" <wuhan@zebrachina.net>][Date 06 Apr 2007 11:56:04][Subj Katherine]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Eif" <eif2@walla.co.il>][Date 12 Apr 2007 16:26:12][Subj Isabell]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Gigasamurai" <gigasamurai@yahoo.de>][Date 19 Apr 2007 10:58:06][Subj Avice]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Debbink" <debbink@adelphia.net>][Date 19 Apr 2007 19:09:51][Subj Margerye]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Debbinn" <debbinn@fone.net>][Date 04 May 2007 19:22:26][Subj Margrett]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Met" <met_staff@met-art.com>][Date 11 May 2007 21:24:55][Subj Mary]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Herbert Klein" <Info@bka.de >][Date 11 May 2007 22:12:54][Subj Onlinedurchsuchung [21750433]]/NR-[21750433].scr	Infizierte Objekte: Trojan-Downloader.Win32.Nurech.bp	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Katana" <katana101@web.de>][Date 13 May 2007 16:14:52][Subj Roberte]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Debbinpa" <debbinpa@webtv.net>][Date 14 May 2007 11:01:19][Subj Stephen]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "M.giebel" <m.giebel@indibe.de>][Date 21 May 2007 16:12:05][Subj Henrie]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Debbinyland" <debbinyland@aaawin.com>][Date 21 May 2007 17:12:07][Subj Nicholas]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Gigasamurai" <gigasamurai@yahoo.de>][Date 22 May 2007 12:30:13][Subj Androwe]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Debbio" <debbio@rogers.com>][Date 24 May 2007 19:10:04][Subj Edmonde]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Lee" <lee@tusseymountain.com>][Date 29 May 2007 19:28:57][Subj Susanna]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Lee" <lee@tusseymountain.com>][Date 01 Jan 2002 02:03:54][Subj Andrew]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk/[From "Gigasamurai" <gigasamurai@yahoo.de>][Date 01 Jan 2002 01:08:19][Subj Edmund]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Junk	MailBerkeleymbox: infiziert - 1, verdächtig - 16	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Rhi" <rhi_anne2@hotmail.com>][Date 27 Mar 2007 20:23:15][Subj Roberte]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Wuhan" <wuhan@zebrachina.net>][Date 06 Apr 2007 11:56:04][Subj Katherine]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Eif" <eif2@walla.co.il>][Date 12 Apr 2007 16:26:12][Subj Isabell]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Gigasamurai" <gigasamurai@yahoo.de>][Date 19 Apr 2007 10:58:06][Subj Avice]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Debbink" <debbink@adelphia.net>][Date 19 Apr 2007 19:09:51][Subj Margerye]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Debbinn" <debbinn@fone.net>][Date 04 May 2007 19:22:26][Subj Margrett]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Met" <met_staff@met-art.com>][Date 11 May 2007 21:24:55][Subj Mary]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Herbert Klein" <Info@bka.de >][Date 11 May 2007 22:12:54][Subj Onlinedurchsuchung [21750433]]/NR-[21750433].scr	Infizierte Objekte: Trojan-Downloader.Win32.Nurech.bp	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Katana" <katana101@web.de>][Date 13 May 2007 16:14:52][Subj Roberte]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Debbinpa" <debbinpa@webtv.net>][Date 14 May 2007 11:01:19][Subj Stephen]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "M.giebel" <m.giebel@indibe.de>][Date 21 May 2007 16:12:05][Subj Henrie]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Debbinyland" <debbinyland@aaawin.com>][Date 21 May 2007 17:12:07][Subj Nicholas]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Gigasamurai" <gigasamurai@yahoo.de>][Date 22 May 2007 12:30:13][Subj Androwe]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Debbio" <debbio@rogers.com>][Date 24 May 2007 19:10:04][Subj Edmonde]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Lee" <lee@tusseymountain.com>][Date 29 May 2007 19:28:57][Subj Susanna]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Lee" <lee@tusseymountain.com>][Date 01 Jan 2002 02:03:54][Subj Andrew]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash/[From "Gigasamurai" <gigasamurai@yahoo.de>][Date 01 Jan 2002 01:08:19][Subj Edmund]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\Local Folders\Trash	MailBerkeleymbox: infiziert - 1, verdächtig - 16	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Rhi" <rhi_anne2@hotmail.com>][Date 27 Mar 2007 20:23:15][Subj Roberte]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Wuhan" <wuhan@zebrachina.net>][Date 06 Apr 2007 11:56:04][Subj Katherine]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Eif" <eif2@walla.co.il>][Date 12 Apr 2007 16:26:12][Subj Isabell]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Gigasamurai" <gigasamurai@yahoo.de>][Date 19 Apr 2007 10:58:06][Subj Avice]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Debbink" <debbink@adelphia.net>][Date 19 Apr 2007 19:09:51][Subj Margerye]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Debbinn" <debbinn@fone.net>][Date 04 May 2007 19:22:26][Subj Margrett]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Herbert Klein" <Info@bka.de >][Date 11 May 2007 22:12:54][Subj Onlinedurchsuchung [21750433]]/NR-[21750433].scr	Infizierte Objekte: Trojan-Downloader.Win32.Nurech.bp	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Met" <met_staff@met-art.com>][Date 11 May 2007 21:24:55][Subj Mary]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Katana" <katana101@web.de>][Date 13 May 2007 16:14:52][Subj Roberte]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Debbinpa" <debbinpa@webtv.net>][Date 14 May 2007 11:01:19][Subj Stephen]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "M.giebel" <m.giebel@indibe.de>][Date 21 May 2007 16:12:05][Subj Henrie]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Debbinyland" <debbinyland@aaawin.com>][Date 21 May 2007 17:12:07][Subj Nicholas]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Gigasamurai" <gigasamurai@yahoo.de>][Date 22 May 2007 12:30:13][Subj Androwe]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Debbio" <debbio@rogers.com>][Date 24 May 2007 19:10:04][Subj Edmonde]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Lee" <lee@tusseymountain.com>][Date 29 May 2007 19:28:57][Subj Susanna]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Lee" <lee@tusseymountain.com>][Date 01 Jan 2002 02:03:54][Subj Andrew]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "Gigasamurai" <gigasamurai@yahoo.de>][Date 01 Jan 2002 01:08:19][Subj Edmund]/html	Verdächtige Objekte: Email-Worm.Win32.Bagle.mail	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "nic.de.be" <nic.de.be@em3.adrom.cc>][Date 11 Apr 2008 23:06:31][Subj Lieber_Herr_Kinomoto,_wir_erf++llen_Ihre_Tr+ñume]/html	Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox/[From "nic.de.be" <nic.de.be@em3.adrom.cc>][Date 14 Apr 2008 20:12:14][Subj Lieber_Herr_Kinomoto,_wir_erf++llen_Ihre_Tr+ñume]/html	Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Inbox	MailBerkeleymbox: infiziert - 1, verdächtig - 18	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Trash/[From "nic.de.be" <nic.de.be@em3.adrom.cc>][Date 14 Apr 2008 20:12:14][Subj Lieber_Herr_Kinomoto,_wir_erf++llen_Ihre_Tr+ñume]/html	Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Trash/[From "nic.de.be" <nic.de.be@em3.adrom.cc>][Date 11 Apr 2008 23:06:31][Subj Lieber_Herr_Kinomoto,_wir_erf++llen_Ihre_Tr+ñume]/html	Verdächtige Objekte: Trojan-Spy.HTML.Fraud.gen	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\ca8leljm.default\Mail\pop.gmx-3.net\Trash	MailBerkeleymbox: verdächtig - 2	übersprungen
C:\Dokumente und Einstellungen\***\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\IETldCache\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\bl.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\is2.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Vorgeschlagene Sites~.feed-ms	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Web Slice-Katalog~.feed-ms	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{36B9EF76-9A3D-11DE-86DE-00059A3C7800}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{3D735155-9A3D-11DE-86DE-00059A3C7800}.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\AVP13CC.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\AVPB82.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\AVPB83.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\AVPB84.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\AVPB85.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\~DF2D96.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\~DF4168.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\~DFF0F7.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\~DFF13F.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\~DFF1FF.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\~DFF218.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\~DFF395.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\~DFF3AE.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\ntuser.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Install\vnc-4_1_2-x86_win32.exe/file1	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC.4	übersprungen
C:\Install\vnc-4_1_2-x86_win32.exe/file2	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC.4	übersprungen
C:\Install\vnc-4_1_2-x86_win32.exe/file3	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC.4	übersprungen
C:\Install\vnc-4_1_2-x86_win32.exe/file5	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC.4	übersprungen
C:\Install\vnc-4_1_2-x86_win32.exe	Inno: infiziert - 4	übersprungen
C:\Programme\Adobe\Adobe Version Cue CS2\config\configuration\org.eclipse.core.runtime\.manager\.tmp47805.instance	Das Objekt ist gesperrt	übersprungen