Oh, das war nicht so gewollt

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote den "kaputten" Rechner von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1
6. Kopiere die sauberen Dateien ins entsprechende Verzeichnis

( /media/(name der e-partition)/winlogon.exe nach ../WINDOWS/system32 )
( /media/(name der e-partition)/ndis.sys nach ../WINDOWS/system32/drivers )

8. Starte den Rechner neu und boote Windows

Puhh!

PC fuhr wieder hoch! Gott sei Dank!

Es wurde nur eine winlogon.bad gespeichert... die lade ich jetzt mit dem uploader hoch.... beim download der ndis.sys hatte es wohl probleme gegeben. Die hatte nämlich 0 kb.

Die Virenmeldung kam beim Start wieder....aber ich bin ja schon froh, dass er überhaupt wieder hochfährt.
Hier das Avenger-log: wobei da nur fehlermeldungen drinstehen ...

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at E:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "e:\windows\system32\winlogon.exe|e:\winlogon.bad" completed successfully.

Error: could not open file "e:\windows\system32\drivers\ndis.sys" for move operation
File move operation "e:\windows\system32\drivers\ndis.sys|e:\ndis.bad" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error: file "e:\windows\system32\winlogon.exe" is whitelisted
File move operation "e:\winlogon.exe|e:\windows\system32\winlogon.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error: could not open file "e:\ndis.sys" for move operation
File move operation "e:\ndis.sys|e:\windows\system32\drivers\ndis.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.

so winlogon.bad ist hochgeladen...

Du hast aber im Livesystem beide Dateien von direkt e: in den richtigen Pfad kopiert?
Aber wie ich die winlogon.bad auswerte, ich glaub da war ich irgendwie auf dem Holzweg, die Datei ist sauber.

Mach bitte zur Kontrolle ein Log mit GMER und danach Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran die beiden letzten Tools zu updaten vor dem Scan!!

Guten Morgen!

ja, hab die sauberen Dateien direkt von e:\ kopiert...

Sobald ich Feierabend habe, mache ich die Scans.

Danke!

Puhh.... hat ne Weile gedauert. Vor allem "gmer"....

Hab das durchlaufen lassen, dann malwarebytes (inkl. Entfernung) und dann superantispyware (auch hier entfernt)...

Auf jeden Fall taucht jetzt schon mal keine Warnung von Antivir mehr auf!!!

Hier die logs:

GMER:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-21 21:30:49
Windows 5.1.2600 Service Pack 3
Running: lkox0qhb.exe; Driver: E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ugtdypow.sys


---- System - GMER 1.0.15 ----

SSDT BA72937E ZwCreateKey
SSDT BA729374 ZwCreateThread
SSDT BA729383 ZwDeleteKey
SSDT BA72938D ZwDeleteValueKey
SSDT BA729392 ZwLoadKey
SSDT BA729360 ZwOpenProcess
SSDT BA729365 ZwOpenThread
SSDT BA72939C ZwReplaceKey
SSDT BA729397 ZwRestoreKey
SSDT BA729388 ZwSetValueKey
SSDT BA72936F ZwTerminateProcess

INT 0x06 \??\E:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) A592916D
INT 0x0E \??\E:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) A5928FC2

---- Kernel code sections - GMER 1.0.15 ----

.text E:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB5433000, 0x22F0B7, 0xE8000020]
.text E:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xA56DF400, 0x87EE2, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA5783620] E:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA5783620]
.protectÿÿÿÿhardlockunknown last code section [0xA5783400, 0x5126, 0xE0000020] E:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xA5783400, 0x5126, 0xE0000020]

---- User code sections - GMER 1.0.15 ----

.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF301 E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 44671E3F E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671DC0 E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671E04 E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 44671D4C E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 44671D86 E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 44671E7A E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text E:\Programme\Internet Explorer\iexplore.exe[2576] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016EE E:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Files - GMER 1.0.15 ----

File E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@twitter[2].txt 519 bytes
File E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@madpennystocks[1].txt 370 bytes

---- EOF - GMER 1.0.15 ----


MALWAREBYTES:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3999

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.2180

21.04.2010 23:33:52
mbam-log-2010-04-21 (23-33-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 246239
Laufzeit: 42 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
E:\WINDOWS\system32\msxsltsso.dll (Trojan.GootKit) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\gootkitsso (Trojan.GootKit) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\WINDOWS\system32\msxsltsso.dll (Trojan.GootKit) -> Delete on reboot.
E:\Qoobox\Quarantine\E\WINDOWS\system32\msxsltsso.dll.vir (Trojan.GootKit) -> Quarantined and deleted successfully.
E:\winlogon.bad (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.


... und SUPERANTISPYWARE:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/22/2010 at 00:07 AM

Application Version : 4.35.1002

Core Rules Database Version : 4835
Trace Rules Database Version: 2647

Scan type : Complete Scan
Total Scan Time : 00:24:38

Memory items scanned : 409
Memory threats detected : 0
Registry items scanned : 7754
Registry threats detected : 0
File items scanned : 16630
File threats detected : 10

Adware.Tracking Cookie
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@list[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@yadro[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@in.getclicky[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@rambler[2].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@in.getclicky[1].txt
E:\Dokumente und Einstellungen\Administrator\Cookies\administrator@yadro[1].txt
E:\Dokumente und Einstellungen\LocalService\Cookies\system@atdmt[1].txt
E:\Dokumente und Einstellungen\LocalService\Cookies\system@msnaccountservices.112.2o7[1].txt
E:\WINDOWS\system32\config\systemprofile\Cookies\system@in.getclicky[1].txt
E:\WINDOWS\system32\config\systemprofile\Cookies\system@doubleclick[1].txt


Bin gespannt, was Du dazu sagst...

Zitat:

Infizierte Dateien:
E:\WINDOWS\system32\msxsltsso.dll (Trojan.GootKit) -> Delete on reboot.

Die bereitet mir noch ein wenig Kopfzerbrechen...
Prüf mal bitte, ob Malwarebytes die beim nächsten Neustart wieder findet

Hallo!

kann ich erst wieder heute Abend prüfen.

Aber das war eine der Dateien, vor denen Antivir bei jedem Start gewarnt hatte, und bei der das Warnfenster auch immer wieder kam...

Seit gestern nacht kam die Warnung nicht mehr.
Hab heuute Morgen einen "Probestart" gemacht... und da blieb die Meldung auch weg.

Vielleicht hat es ja funktioniert... Bitte!

Ich lass nachher Malwarebytes durchlaufen und poste den scan.

Danke schonmal für die Mühe!

Hallo!

Habe Maalewarebytes durchlaufen lassen und es hat nichts gefunden!

Allerdings war mein Antivir noch an und hat zwischendurch eine Warnung ausgespuckt (wieder eine Datei namens "frame[1]"...

hmm...

Hier das log:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3999

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.2180

22.04.2010 20:24:28
mbam-log-2010-04-22 (20-24-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 247187
Laufzeit: 45 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Was sagst Du dazu?

Zitat:

Datenbank Version: 3999

Du hast Malwarebytes vorher nicht aktualisiert. Bitte nachholen und den Vollscan wiederholen, sicherheitshalber...

Upps... stimmt. (c:

Hab's aktualisiert und scan läuft.

In 45 Minuten wissen wir mehr...

So... hier das log... kein Fund...

Ist Antivir nur zu "vorsichtig" eingestellt, dass es trotzdem eine Fehlermeldung rausgehauen hat?

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4023

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.2180

22.04.2010 21:48:10
mbam-log-2010-04-22 (21-48-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 247774
Laufzeit: 43 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

Ist Antivir nur zu "vorsichtig" eingestellt, dass es trotzdem eine Fehlermeldung rausgehauen hat?

Welche Fehlermeldung? Bitte Log posten.

Hallo!

Hier das log von antivir... (hab vor Ende auf "Reapieren" geklickt)...



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 24. April 2010 01:10

Es wird nach 2037171 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : JHJ

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 12:19:30
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 12:19:30
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 12:19:30
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:27:12
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:59:05
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 16:16:13
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 15:51:45
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 15:51:45
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 15:51:46
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 15:51:46
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 15:51:46
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 15:51:47
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 15:51:47
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 15:51:47
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 15:51:48
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 17:34:34
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 17:34:34
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 23:08:28
VBASE017.VDF : 7.10.6.179 2048 Bytes 22.04.2010 23:08:28
VBASE018.VDF : 7.10.6.180 2048 Bytes 22.04.2010 23:08:28
VBASE019.VDF : 7.10.6.181 2048 Bytes 22.04.2010 23:08:28
VBASE020.VDF : 7.10.6.182 2048 Bytes 22.04.2010 23:08:28
VBASE021.VDF : 7.10.6.183 2048 Bytes 22.04.2010 23:08:29
VBASE022.VDF : 7.10.6.184 2048 Bytes 22.04.2010 23:08:29
VBASE023.VDF : 7.10.6.185 2048 Bytes 22.04.2010 23:08:29
VBASE024.VDF : 7.10.6.186 2048 Bytes 22.04.2010 23:08:29
VBASE025.VDF : 7.10.6.187 2048 Bytes 22.04.2010 23:08:29
VBASE026.VDF : 7.10.6.188 2048 Bytes 22.04.2010 23:08:29
VBASE027.VDF : 7.10.6.189 2048 Bytes 22.04.2010 23:08:29
VBASE028.VDF : 7.10.6.190 2048 Bytes 22.04.2010 23:08:29
VBASE029.VDF : 7.10.6.191 2048 Bytes 22.04.2010 23:08:29
VBASE030.VDF : 7.10.6.192 2048 Bytes 22.04.2010 23:08:29
VBASE031.VDF : 7.10.6.197 65536 Bytes 23.04.2010 23:08:30
Engineversion : 8.2.1.224
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 23:08:32
AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 23.04.2010 23:08:31
AESCN.DLL : 8.1.5.0 127347 Bytes 26.02.2010 16:16:11
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 23:08:32
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 15:53:15
AEPACK.DLL : 8.2.1.1 426358 Bytes 20.03.2010 11:09:05
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 18.03.2010 06:49:55
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16.04.2010 15:53:08
AEHELP.DLL : 8.1.11.3 242039 Bytes 02.04.2010 11:24:17
AEGEN.DLL : 8.1.3.7 373106 Bytes 16.04.2010 15:52:08
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 23:08:30
AECORE.DLL : 8.1.13.1 188790 Bytes 02.04.2010 11:24:13
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 23:08:30
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 05.11.2009 07:54:52
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 16:15:45
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 12:19:30

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: e:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,

Beginn des Suchlaufs: Samstag, 24. April 2010 01:10

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '77805' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'raysat_3dsMax2009_32server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdskScSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cledx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '47' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Jerry>
Beginne mit der Suche in 'E:\' <Lee>
E:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\03WHDI8S\iframe2[1].script
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LFL4IXCY\iframe2[1].script
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
E:\Qoobox\Quarantine\E\WINDOWS\system32\Drivers\ndis.sys.vir
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Protector.BC
E:\WINDOWS\system32\dllcache\ndis.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Protector.BC

Beginne mit der Desinfektion:
E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\03WHDI8S\iframe2[1].script
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c443581.qua' verschoben!
E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LFL4IXCY\iframe2[1].script
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d2d640a.qua' verschoben!
E:\Qoobox\Quarantine\E\WINDOWS\system32\Drivers\ndis.sys.vir
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Protector.BC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c3b357f.qua' verschoben!
E:\WINDOWS\system32\dllcache\ndis.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Protector.BC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5d0fb0.qua' verschoben!


Ende des Suchlaufs: Samstag, 24. April 2010 02:02
Benötigte Zeit: 45:13 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

12542 Verzeichnisse wurden überprüft
411794 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
411789 Dateien ohne Befall
3618 Archive wurden durchsucht
1 Warnungen
5 Hinweise
77805 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Da waren Funde bei, die Combofix in seinen Quarantäneordner verschoben hat. Deaktivierte Schädlinge wenn Du so willst
Allerdings hat der Schädling auch die ndis.sys im dllcache Ordner ersetzt, hat AntiVir auch entfernt. Kommen noch weitere Funde v.a. dieses iframe-Zeugs?