moin, moin!

ich bin beim google'n bei euch gelandet und hoffe echt, daß ihr mir weiter helfen könnt...

also rewind: ich habe vor ein paar tagen eine e-mail an meine 2. e-mail-addi bekommen, die mit dem anhang "joke.scr" versehen war. normalerweise löschen und gut aber diesmal las ich als absender meine haupt-mail-addi. naja, ich bin zwar manchmal etwas vergesslich aber an so eine mail könnt ich mich wohl erinnern...
als ich am nächsten tag dann erstmal die updates für meine firewalls (sygate, zonealarm) und für antivir machen wollte (bevor ich mir die mail mal genauer angucken wollte), konnte ich das zonealarm update nicht laden und bemerkte ein zweites antivir symbol in der zonealarm leiste. also erstmal das antivir update probiert, was aber auch nicht klappen wollte. also hab ich den lieben luke schonmal mit der alten virendefinition suchen lassen. nix. als ich dann die updates über meinen browser (mozilla 1.7.2) laden wollte, stürzte dieser immer wieder ab.
dann hab ich den online viren test von symantec durchgejagt. wieder nix. als nächstes hab ich alles mit dem system mechanic durchsucht und aufgeräumt. der fand dann zwei mal die datei "exename.exe" im autostart. natürlich hab ich die erstmal deaktiviert aber ich konnte sie sonst nirgends finden...
also den internet explorer gestartet und siehe da: ich konnte meine updates runterladen. also alles neu installiert und nochmal luke gerufen. diesmal fand er 4 trojaner, allerdings im antivir/infected ordner...
so,nun weiß ich nicht weiter. ich kenn mich leider auch nicht sogut mit der materie aus und dachte bisher immer, mit 2 firewalls, guten einstellungen, nem antivirus programm und regelmäßigen updates fängt man sich so nen scheiß erst gar nicht ein
ich poste also einen auszug aus luke's logfile, vielleicht kann mir ja jemand die fraglichen dateien erklären oder mir sonst nen tip geben. ich hab nur die passwortgeschützten dateien weggelassen.
auf jeden fall schonmal thanxx fürs lesen!

Plattform: Windows NT Workstation
Windows-Version: 5.0 Build 2195 (Service Pack 4)
Benutzername:
Computername:
Prozessor: Pentium
Arbeitsspeicher: 326128 KB frei

Versionsinformationen:
AVWIN.DLL : v6.28.00.00 524328 05.10.2004 17:06:28
AVEWIN32.DLL : v6.28.0.3 565760 05.10.2004 17:06:24
AVGNT.EXE : v6.28.00.01 127016 05.10.2004 17:06:24
AVGUARD.EXE : v6.27.00.02 237608 05.10.2004 17:06:24
GUARDMSG.DLL : v6.28.00.02 98344 05.10.2004 17:06:28
AVGCMSG.DLL : v6.28.00.01 266280 05.10.2004 17:06:24
AVGNTDD.SYS : v6.27.00.01 34208 05.10.2004 17:06:24
AVPACK32.DLL : v6.22.00.24 299048 05.10.2004 17:06:26
AVGETVER.DLL : v6.22.00.00 24576 05.10.2004 17:06:24
AVWIN.DLL : v6.28.00.00 524328 05.10.2004 17:06:28
AVSHLEXT.DLL : v6.22.00.00 57344 05.10.2004 17:06:28
AVSched32.EXE : v6.28.00.00 110672 05.10.2004 17:06:28
AVSched32.DLL : v6.28.00.01 122880 05.10.2004 17:06:28
AVREG.DLL : v6.27.00.01 41000 05.10.2004 17:06:26
AVRep.DLL : v6.28.00.03 667688 05.10.2004 17:06:28
INETUPD.EXE : v6.28.00.00 196608 05.10.2004 17:06:28
INETUPD.DLL : v6.28.00.00 159744 05.10.2004 17:06:28
CTL3D32.DLL : v2.31.000 27136 10.12.1999 13:00:00
MFC42.DLL : v6.00.9586.0 1015859 19.06.2003 21:05:04
MSVCRT.DLL : v6.10.9844.0 286773 19.06.2003 21:05:04
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Auszulassende ArchivTypen
1002 1001 1000

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\MASTER~1\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: hoch

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: Festplatte
E: Festplatte
F: CDRom

Start des Suchlaufs: Dienstag, 5. Oktober 2004 22:24

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK
Bootsektor von Laufwerk E: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Master Chief
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Profiles\krass\zfndo7rk.slt
parent.lock
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Master Chief\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Programme\AVPersonal\INFECTED
RVUPDMGR.EXE.VIR
[FUND!] Ist das Trojanische Pferd TR/Dldr.Keenval.1
WURDE GELÖSCHT!
SETUP.EXE.001
[FUND!] Ist das Trojanische Pferd TR/Dldr.Keenval.B.3
WURDE GELÖSCHT!
SETUP.EXE.VIR
[FUND!] Ist das Trojanische Pferd TR/Dldr.Keenval.B.3
WURDE GELÖSCHT!
SIMGR.EXE.VIR
[FUND!] Ist das Trojanische Pferd TR/Dldr.Keenval.2
WURDE GELÖSCHT!
UPDMGR.EXE.VIR
[FUND!] Ist das Trojanische Pferd TR/Dldr.Keenval.3
WURDE GELÖSCHT!

"..."


C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINNT
SCARDSRV.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINNT\system32
exename.exe
WARNUNG! Ungültige Startadresse!
C:\WINNT\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
default.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM.ALT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINNT\Temp
ZLT00d83.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


"..."


Fehler beim Wechsel in das Verzeichnis System Volume Information
E:\viruz
Joke.scr
[FUND!] Enthält Signatur des Wurmes Worm/Bagle.AR
WURDE GELÖSCHT!

Ende des Suchlaufs: Dienstag, 5. Oktober 2004 23:20
Benötigte Zeit: 56:21 min


2728 Verzeichnisse wurden durchsucht
71224 Dateien wurden geprüft
35 Warnungen wurden ausgegeben
6 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Viren bzw. unerwünschte Programme wurden gefunden

Bitte ein Log mit diesem Programm erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Inhalt hier ins Forum posten.

E-Scan wie beschrieben updaten und durchlaufen lassen, dann die Informationen über evtl. gefundene Schädlinge ebenfalls posten.

http://www.trojaner-board.com/showthread.php?t=8131