RUNDLL Fehlermeldung.......................Malware-Verdacht ?!Hallo, hoffe hier auf Hilfe.............
hatte vor 3 Tagen (Backdoor-Fund:TR/Sasfis); ich habe mich entschlossen das System zu reinigen und nicht neu aufzusetzen, da eigentlich alles normal funktioniert und nichts verdächtig erscheint; laut meinen Scan´s mit MaB und Antivir ist das System sauber. Ccleaner hat auch die Registry bereinigt und ich habe die Volume-Inform. gelöscht, damit auch wirklich nichts zurückbleibt.
Das einzigste Problem ist nun diese Fehlermeldung beim Start von Windows, aber komischerweise nur im Benutzerkonte mit eingeschränkten Rechten; logge ich mich als Admin ein, läuft das System sauber und normal hoch.
Die Fehlermeldung deutet auf den Malware-Fund von vor 3 Tagen hin, der aber vollständig entfernt wurde und auch nach intensiver Suche und Recherche meinerseits (die letzten 3 Tage ) keine Spuren mehr zu finden sind.
Fehlermeldung:
RUNDLL
Fehler beim Laden von C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Adobe\Update\flacor.dat

Das angegebene Modul wurde nicht gefunden.

....so erscheint die Meldung beim Systemstart in einem Popupfenster. (...flacor.dat war der Fund und ist mittlerweile gelöscht)
Außerdem sind mir einige mit Adobe verbundene dateien aufgefallen wie z.B. Updater_Exe (mit dem weissen Icon), da ich erst den Reader aktualisiert habe, bzw neu installiert, ist der updater sowieso in einem anderen Ordner vorhanden, nur hier mit roten Icon. Fand ich seltsam, weil klickte ich in an, war ein update paket vorhanden (natürlich nicht runtergeladen) suche ich aus dem geöffneten Reader nach updates, ist das Programm auf dem neusten Stand...........sehr seltsam; habe die dateien bei virus total prüfen lassen; ohne Befund.
Ich habe den kompletten Ordner leergeräumt und diese 4 oder 5 dateien in den avira Quarantäneordner verschoben.

Meine Frage ist nun; ist da immer noch etwas aktiv, und/oder muss ich mit diesem Popup nun leben, da ich keine Ahnung habe wie ich es weg bekomme, bzw. wo oder wie ich den Fehler bekämpfen könnte. Und..........vieleicht hat jemand eine Idee zu dieser adobe updater_exe Geschichte.
Bin für eure Hilfe dankbar.............habe 1 Scanbericht von AviraPremium (Fund), Malwarebytes(Fund); anschl. Bereinigung und nun aktuelle von beiden Scannern jew. ohne Funde.......aktuell läuft noch a-squared.
vieleicht nutzen die ja was....................
Sascha

Hallo nochmal; ich musste mal eine Mütze Schlaf nehmen, sitze seit 3 Tagen nach der Arbeit bis nachts am PC................Also hier die Berichte.
(1. Suchlauf, Fund Antivir)

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Mittwoch, 12. Mai 2010 23:48

Es wird nach 2113415 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer :
Seriennummer :
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Alle
Computername : XP1600

Versionsinformationen:
BUILD.DAT : 10.0.0.603 Bytes 19.04.2010 15:44:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 19.04.2010 13:44:28
AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 13:44:28
LUKE.DLL : 10.0.2.3 104296 Bytes 29.03.2010 19:53:09
LUKERES.DLL : 10.0.0.0 13672 Bytes 29.03.2010 19:53:09
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:52:00
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:52:04
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 19:52:13
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:52:16
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 19:52:20
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 13:56:49
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 13:56:49
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 13:56:49
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 13:56:49
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 13:56:49
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 13:56:49
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 13:56:49
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 13:56:50
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 13:56:50
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 18:30:14
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 16:29:22
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 12:52:35
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 13:13:09
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 16:27:52
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 12:58:58
VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 13:43:06
VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 18:46:19
VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 18:39:24
VBASE023.VDF : 7.10.7.76 2048 Bytes 10.05.2010 18:39:24
VBASE024.VDF : 7.10.7.77 2048 Bytes 10.05.2010 18:39:24
VBASE025.VDF : 7.10.7.78 2048 Bytes 10.05.2010 18:39:24
VBASE026.VDF : 7.10.7.79 2048 Bytes 10.05.2010 18:39:24
VBASE027.VDF : 7.10.7.80 2048 Bytes 10.05.2010 18:39:24
VBASE028.VDF : 7.10.7.81 2048 Bytes 10.05.2010 18:39:24
VBASE029.VDF : 7.10.7.82 2048 Bytes 10.05.2010 18:39:24
VBASE030.VDF : 7.10.7.83 2048 Bytes 10.05.2010 18:39:24
VBASE031.VDF : 7.10.7.95 109056 Bytes 12.05.2010 15:45:50
Engineversion : 8.2.1.236
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 17:37:03
AESCRIPT.DLL : 8.1.3.28 1298810 Bytes 05.05.2010 13:20:17
AESCN.DLL : 8.1.5.0 127347 Bytes 29.03.2010 19:52:35
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 17:37:04
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 13:56:58
AEPACK.DLL : 8.2.1.1 426358 Bytes 29.03.2010 19:52:34
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 29.03.2010 19:52:33
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 05.05.2010 13:20:16
AEHELP.DLL : 8.1.11.3 242039 Bytes 01.04.2010 16:28:29
AEGEN.DLL : 8.1.3.7 373106 Bytes 16.04.2010 13:56:53
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 17:37:02
AECORE.DLL : 8.1.15.1 192886 Bytes 05.05.2010 13:20:13
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 17:37:01
AVWINLL.DLL : 10.0.0.0 19304 Bytes 29.03.2010 19:50:57
AVPREF.DLL : 10.0.0.0 44904 Bytes 29.03.2010 19:52:46
AVREP.DLL : 10.0.0.8 62209 Bytes 29.03.2010 19:53:36
AVREG.DLL : 10.0.3.0 53096 Bytes 19.04.2010 13:44:28
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 19.04.2010 13:44:28
AVARKT.DLL : 10.0.0.14 227176 Bytes 19.04.2010 13:44:28
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 29.03.2010 19:52:41
SQLITE3.DLL : 3.6.19.0 355688 Bytes 29.03.2010 19:53:14
AVSMTP.DLL : 10.0.0.17 63848 Bytes 29.03.2010 19:52:48
NETNT.DLL : 10.0.0.0 11624 Bytes 29.03.2010 19:53:09
RCIMAGE.DLL : 10.0.0.32 2631528 Bytes 19.04.2010 13:44:27
RCTEXT.DLL : 10.0.53.0 98152 Bytes 19.04.2010 13:44:27

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, G:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,

Beginn des Suchlaufs: Mittwoch, 12. Mai 2010 23:48

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\FarStone\Common\0100
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\mpDRM\LicenseStore\checkvalue
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\mpDRM\LicenseStore\37cd50b2
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '118' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD10Serv.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'vVX1000.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.EXE' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '133' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Helper\bin\liveu.exe
[FUND] Ist das Trojanische Pferd TR/Sasfis.amuc

Die Registry wurde durchsucht ( '309' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Helper\bin\liveu.exe
[FUND] Ist das Trojanische Pferd TR/Sasfis.amuc
Beginne mit der Suche in 'D:\' <DATA>
Beginne mit der Suche in 'G:\' <Eig.Dateien/Sicher>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Helper\bin\liveu.exe
[FUND] Ist das Trojanische Pferd TR/Sasfis.amuc
[HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Helper> wurde erfolgreich entfernt.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f6ae076.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 13. Mai 2010 02:14
Benötigte Zeit: 1:13:49 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

8620 Verzeichnisse wurden überprüft
441310 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
441308 Dateien ohne Befall
3585 Archive wurden durchsucht
0 Warnungen
1 Hinweise
357780 Objekte wurden beim Rootkitscan durchsucht
3 Versteckte Objekte wurden gefunden

(2. Suchlauf, Malwarebytes)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4094

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.05.2010 11:58:11
mbam-log-2010-05-13 (11-58-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 222810
Laufzeit: 1 Stunde(n), 17 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully.

..........der abschließende Suchlauf mit A-squared brachte keine Funde, bzw. Ergebnisse, deshalb auch kein Bericht.

Alle Funde der Quarantäne-Ordner habe ich nochmals zu Virus-Total hochgeladen (Bestätigung) und vorgestern gelöscht.

Läuft alles normal............bis auf die RUNDLL- Fehlermeldung beim Systemstart unter Gäste (nicht bei meinem Admin-Konto ?!)

So, was soll ich jetzt tun, bin am Ende...............
Bekam vor 2 Tagen im Avira-Forum einfach nur den Rat, Neuausetzen!
Mein Problem ist aber, ich besitze die Buisness-Version von Office 2002; finde leider die CD nicht mehr und das würde mir schön stinken, wenn mein Office nun weg wäre.
Die XP- Cd habe ich gefunden; aber Office.....Fehlanzeige/ verlorengegangen; die nutzt man ja auch so selten.
Hoffe nun hier auf fachmännische Hilfe, danke.............Sascha

aktuellster Suchlauf mit Antivir von gestern:

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Freitag, 14. Mai 2010 21:54

Es wird nach 2118977 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer :
Seriennummer :
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Kurz
Computername : XP1600

Versionsinformationen:
BUILD.DAT : 10.0.0.603 36207 Bytes 19.04.2010 15:44:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 19.04.2010 13:44:28
AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 13:44:28
LUKE.DLL : 10.0.2.3 104296 Bytes 29.03.2010 19:53:09
LUKERES.DLL : 10.0.0.0 13672 Bytes 29.03.2010 19:53:09
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:52:00
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:52:04
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 19:52:13
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:52:16
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 19:52:20
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 13:56:49
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 13:56:49
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 13:56:49
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 13:56:49
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 13:56:49
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 13:56:49
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 13:56:49
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 13:56:50
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 13:56:50
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 18:30:14
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 16:29:22
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 12:52:35
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 13:13:09
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 16:27:52
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 12:58:58
VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 13:43:06
VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 18:46:19
VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 18:39:24
VBASE023.VDF : 7.10.7.100 125440 Bytes 13.05.2010 10:29:27
VBASE024.VDF : 7.10.7.101 2048 Bytes 13.05.2010 10:29:27
VBASE025.VDF : 7.10.7.102 2048 Bytes 13.05.2010 10:29:27
VBASE026.VDF : 7.10.7.103 2048 Bytes 13.05.2010 10:29:27
VBASE027.VDF : 7.10.7.104 2048 Bytes 13.05.2010 10:29:27
VBASE028.VDF : 7.10.7.105 2048 Bytes 13.05.2010 10:29:27
VBASE029.VDF : 7.10.7.106 2048 Bytes 13.05.2010 10:29:27
VBASE030.VDF : 7.10.7.107 2048 Bytes 13.05.2010 10:29:28
VBASE031.VDF : 7.10.7.111 68096 Bytes 14.05.2010 16:23:00
Engineversion : 8.2.1.242
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 17:37:03
AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 13.05.2010 00:51:49
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 00:51:48
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 17:37:04
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 13:56:58
AEPACK.DLL : 8.2.1.1 426358 Bytes 29.03.2010 19:52:34
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 13.05.2010 00:51:48
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 05.05.2010 13:20:16
AEHELP.DLL : 8.1.11.3 242039 Bytes 01.04.2010 16:28:29
AEGEN.DLL : 8.1.3.9 377203 Bytes 13.05.2010 00:51:47
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 17:37:02
AECORE.DLL : 8.1.15.3 192886 Bytes 13.05.2010 00:51:47
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 17:37:01
AVWINLL.DLL : 10.0.0.0 19304 Bytes 29.03.2010 19:50:57
AVPREF.DLL : 10.0.0.0 44904 Bytes 29.03.2010 19:52:46
AVREP.DLL : 10.0.0.8 62209 Bytes 29.03.2010 19:53:36
AVREG.DLL : 10.0.3.0 53096 Bytes 19.04.2010 13:44:28
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 19.04.2010 13:44:28
AVARKT.DLL : 10.0.0.14 227176 Bytes 19.04.2010 13:44:28
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 29.03.2010 19:52:41
SQLITE3.DLL : 3.6.19.0 355688 Bytes 29.03.2010 19:53:14
AVSMTP.DLL : 10.0.0.17 63848 Bytes 29.03.2010 19:52:48
NETNT.DLL : 10.0.0.0 11624 Bytes 29.03.2010 19:53:09
RCIMAGE.DLL : 10.0.0.32 2631528 Bytes 19.04.2010 13:44:27
RCTEXT.DLL : 10.0.53.0 98152 Bytes 19.04.2010 13:44:27

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, G:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,

Beginn des Suchlaufs: Freitag, 14. Mai 2010 21:54

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\mpDRM\LicenseStore\checkvalue
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\mpDRM\LicenseStore\37cd50b2
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'dllhost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '133' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSCamS32.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD10Serv.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'vVX1000.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.EXE' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '138' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1745' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
Beginne mit der Suche in 'D:\' <DATA>
Beginne mit der Suche in 'G:\' <Eig.Dateien/Sicher>


Ende des Suchlaufs: Samstag, 15. Mai 2010 00:12
Benötigte Zeit: 2:17:22 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

10737 Verzeichnisse wurden überprüft
894521 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
894521 Dateien ohne Befall
10739 Archive wurden durchsucht
0 Warnungen
0 Hinweise
392171 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

......hm, hat niemand eine Idee???

Das liegt daran, dass Threads mit mehreren Antworten als "in Arbeit" angesehen werden.

schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

schritt 2

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Save" und speichere die Log als Gmer.txt auf dem Desktop.
• Mit OK wird GMER beendet

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Bitte poste in Deiner nächsten Antwort
OTL.txt
Extra.txt
Gmer.txt

hallo, und vielen Dank, dass du dich einem Laien annimmst.
Leider auch schon die erste Frage: Ich bin mom. als admin angemeldet, soll dies auch so bleiben?

hier einmal die Fehlermeldung (wirklich eine Fehlermeldung von windows????!!)

sorry nochmal.........im Gastkonto, oder soll ich mich wieder als admin "Kurz" anmelden. Im abgesicherten Modus gibt es ja noch ein admin Konto, ausser meinem "KURZ", welches "Admin" heisst, aber das ist wohl von windows, glaub´ich jedenfalls-

Als Admin.

Aha und woher kommt die Fehlermeldung? Wann kam die, durch Combofix, durch Stromkabel ziehen,...?

Tut leid aber ich hab nicht die Lust derzeit jeden alles aus der Nase zu ziehen.

nein nein, das ist die Meldung, die kommt wenn ich mich im Gäste konto einlogge; ich dachte das intressiert dich. sorry (bin im Mom. als "Gäste" angemeldet..............
mache mich dann an die Arbeit, nachdem ich mich als "Kurz" angemeldet habe.

Du verwirrst mich komplett -.-

Zitat:

nein nein, das ist die Meldung, die kommt wenn ich mich im Gäste konto einlogge;

Dachte es kommt was mit der flacor.dat ?
Oder ist das die wenn du MSCONFIG eingibst?

Beschreibe jetzt dein Problem mal genau. Sonst sitzen wir hier noch 2 Jahre