Hi Arne,

bei mir sieht es soweit ganz gut aus, keine weiteren Meldungen. Wenn ich dich nicht überbeanspruche hätte ich aber gern noch 2-3 Fragen.

1. ich hatte externe Datenträger inklusive ipod während des befalls an den rechner angeschlossen. muss ich mir sorgen machen dass ich der rechner wieder verseucht wird? wie könnte hier sicher nach viren scannen?

2. hast du eine ahnung wieso der bei mir nicht sp1 für vista zieht? auch die manuelle installation bricht er ab...


ich danke dir an dieser stelle nochmal für deine dicke hilfe. würd dich ja gern auf ein bier einladen, aber hb ist doch ein stück zu weit....

vg
andreas

Zitat:

1. ich hatte externe Datenträger inklusive ipod während des befalls an den rechner angeschlossen. muss ich mir sorgen machen dass ich der rechner wieder verseucht wird? wie könnte hier sicher nach viren scannen?

So genau kenn ich den iPod nicht, wird der als normales Laufwerk im Arbeitsplatz angezeigt nach dem Anstecken?

Zitat:

2. hast du eine ahnung wieso der bei mir nicht sp1 für vista zieht? auch die manuelle installation bricht er ab...

Manuelle Installation von dem hier? => Downloaddetails: Windows Vista Service Pack 1 Five Language Standalone (KB936330)
Welche Fehlermeldung?

Hi arne,

danke erstmal für das service pack. keine ahnung woran es vorher gescheitert ist, aber jetzt hat es auf anhieb funktioniert

mein ipod wird nicht als laufwerk im arbeitsplatz angezeigt. er öffnet via plug and play einen eigenen ordner...
kann ich ganz unbedarft meine ext. hdd anschließen auch wenn ein virus drauf ist, und dann einen virenscan machen, oder laufe ich dann schon gefahr mich gleich wieder zu infizieren?

An für dich ist das Medium/Gerät egal, auch ein iPod könnte eine Ablage für eine autorun.inf sein, um damit Schädlinge automatisch starten zu lassen, diese missbrauchen dann die automatische Wiedergabe. Ich schlage daher generell vor, die automatische Wiedergabe zu deaktivieren.

Kannst Du direkt auf den iPod-Speicher zugreifen und schauen ob dort eine autorun.inf ist?

Hi arne,

dann habe ich mir so den trojaner eingefangen. ich habe nämlich von antivir eine meldung bekommen dass autorun.inf blockiert wurde als ich den ipod reingesteckt habe... kurz darauf kamen die virenmeldungen.

mit automatische wiedergabe deaktivieren, meinst du den dienst plug&play deaktivieren?

ich glaube ich kann den ipod mit einer tastenkombination in den sogenannten disc modus setzen. das entspricht einem laufwerk. leider ist mein display defekt und ich kann es nicht sehen, aber müsste trotzdem klappen.

nächste schritte für mich:
1. plug&play deaktivieren
2. ext hdd anstöpseln und Malwarebytes laufen lassen (oder empfiehlst du für den erstscan etwas anderes?)
3. ipod in disc modus und virenscan.

gibst du mir hierfür grünes licht?

Hi Arne,

ich habe jetzt nochmal einen komplettscan, mit antivir gemacht, inkl. externer festplatte.
der scan hat immer noch eine meldung gemacht mit der ich nichts anfangen kann. ich habe dir mal den screenshot angehängt.

2 funde kommen aus meinen papierkorb von thunderbird. wahrscheinlich, einer veseuchte spam-mail
1 fund aus der quarantäne qoobox
1 fund aus c:\windows\sxs\x86_microsoft-windows-nbsmb_.......smb.sys

siehe logfile:



Avira AntiVir Professional
Erstellungsdatum der Reportdatei: Donnerstag, 19. August 2010 13:19

Es wird nach 2729497 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : ***
Seriennummer : ***
Plattform : Windows Vista
Windowsversion : (Service Pack 1) [6.0.6001]
Boot Modus : Normal gebootet
Benutzername : amueller
Computername : AMUELLER-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.918 41550 Bytes 19.04.2010 15:43:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 19.04.2010 08:48:54
AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 08:48:54
LUKE.DLL : 10.0.2.3 104296 Bytes 26.03.2010 17:23:47
LUKERES.DLL : 10.0.0.0 13672 Bytes 26.03.2010 17:23:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 11:36:55
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 11:36:55
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 17:05:09
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 16:35:33
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:37:13
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 12:38:07
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 14:51:51
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 09:20:10
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 09:20:10
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 09:20:11
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 09:20:11
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 09:20:11
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 09:20:11
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 15:31:24
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 13:12:35
VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 11:21:38
VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 15:04:38
VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 23:09:47
VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 09:06:09
VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 12:34:55
VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 14:51:41
VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 15:48:33
VBASE022.VDF : 7.10.10.217 118272 Bytes 19.08.2010 10:02:54
VBASE023.VDF : 7.10.10.218 2048 Bytes 19.08.2010 10:02:54
VBASE024.VDF : 7.10.10.219 2048 Bytes 19.08.2010 10:02:54
VBASE025.VDF : 7.10.10.220 2048 Bytes 19.08.2010 10:02:54
VBASE026.VDF : 7.10.10.221 2048 Bytes 19.08.2010 10:02:54
VBASE027.VDF : 7.10.10.222 2048 Bytes 19.08.2010 10:02:54
VBASE028.VDF : 7.10.10.223 2048 Bytes 19.08.2010 10:02:55
VBASE029.VDF : 7.10.10.224 2048 Bytes 19.08.2010 10:02:55
VBASE030.VDF : 7.10.10.225 2048 Bytes 19.08.2010 10:02:55
VBASE031.VDF : 7.10.10.228 8704 Bytes 19.08.2010 11:03:21
Engineversion : 8.2.4.38
AEVDF.DLL : 8.1.2.1 106868 Bytes 29.07.2010 22:46:14
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 29.07.2010 22:46:14
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 03:25:51
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 14:04:14
AERDL.DLL : 8.1.8.2 614772 Bytes 20.07.2010 13:54:28
AEPACK.DLL : 8.2.3.5 471412 Bytes 06.08.2010 23:09:57
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21.07.2010 15:54:23
AEHEUR.DLL : 8.1.2.15 2859382 Bytes 18.08.2010 12:15:01
AEHELP.DLL : 8.1.13.2 242039 Bytes 20.07.2010 13:54:24
AEGEN.DLL : 8.1.3.19 393587 Bytes 06.08.2010 23:09:52
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 14:04:07
AECORE.DLL : 8.1.16.2 192887 Bytes 20.07.2010 13:54:23
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 14:04:05
AVWINLL.DLL : 10.0.0.0 19304 Bytes 26.03.2010 17:23:44
AVPREF.DLL : 10.0.0.0 44904 Bytes 26.03.2010 17:23:46
AVREP.DLL : 10.0.0.8 62209 Bytes 26.03.2010 17:23:48
AVREG.DLL : 10.0.3.0 53096 Bytes 19.04.2010 08:48:54
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 19.04.2010 08:48:54
AVARKT.DLL : 10.0.0.14 227176 Bytes 19.04.2010 08:48:54
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.03.2010 17:23:45
SQLITE3.DLL : 3.6.19.0 355688 Bytes 26.03.2010 17:23:47
AVSMTP.DLL : 10.0.0.17 63848 Bytes 26.03.2010 17:23:46
NETNT.DLL : 10.0.0.0 11624 Bytes 26.03.2010 17:23:47
RCIMAGE.DLL : 10.0.0.32 2856808 Bytes 19.04.2010 08:48:54
RCTEXT.DLL : 10.0.53.0 98152 Bytes 19.04.2010 08:48:54

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 19. August 2010 13:19

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Lion.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bmwebcfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1686' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Vista>
C:\Qoobox\Quarantine\C\Windows\system32\Drivers\smb.sys.vir
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
C:\Users\amueller\AppData\Roaming\Thunderbird\Profiles\i5fv70vo.default\Mail\Local Folders\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
[FUND] Ist das Trojanische Pferd TR/Sasfis.DA
--> Mailbox_[Message-ID: <000d01cabc5b$f61704f0$6400a8c0@innermostlv63>][From: "Service Manager Eldon Leal" <parcel.delivery@u][Subject: UPS Delivery Problem NR 25209.]7206.mim
[1] Archivtyp: MIME
--> UPS_invoice_8355.zip
[2] Archivtyp: ZIP
--> UPS_invoice_8355.exe
[FUND] Ist das Trojanische Pferd TR/Sasfis.DA
--> Mailbox_[From: "UPS Support Freddie Slater" <parcel@ups.com>][Message-ID: <211470439.16796329298170@banctrust.com>][Subject: UPS Delivery Problem NR 16444.]7574.mim
[1] Archivtyp: MIME
--> UPS_invoice_5532.zip
[2] Archivtyp: ZIP
--> UPS_invoice_5532.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.klj
--> Mailbox_[Message-ID: <000d01cae7c2$555361c0$6400a8c0@maoriebf49>][From: "Manager Amparo Rose" <manager@ups.com>][Subject: UPS Delivery Problem NR 48847.]8022.mim
[1] Archivtyp: MIME
--> UPS_invoice_2927.zip
[2] Archivtyp: ZIP
--> UPS_invoice_2927.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.lkr
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
C:\Users\amueller\AppData\Roaming\Thunderbird\Profiles\i5fv70vo.default\Mail\Local Folders\Trash
[0] Archivtyp: Netscape/Mozilla Mailbox
[FUND] Ist das Trojanische Pferd TR/Sasfis.DA
--> Mailbox_[Message-ID: <000d01cabc5b$f61704f0$6400a8c0@innermostlv63>][From: "Service Manager Eldon Leal" <parcel.delivery@u][Subject: UPS Delivery Problem NR 25209.]7158.mim
[1] Archivtyp: MIME
--> UPS_invoice_8355.zip
[2] Archivtyp: ZIP
--> UPS_invoice_8355.exe
[FUND] Ist das Trojanische Pferd TR/Sasfis.DA
--> Mailbox_[From: "UPS Support Freddie Slater" <parcel@ups.com>][Message-ID: <211470439.16796329298170@banctrust.com>][Subject: UPS Delivery Problem NR 16444.]7490.mim
[1] Archivtyp: MIME
--> UPS_invoice_5532.zip
[2] Archivtyp: ZIP
--> UPS_invoice_5532.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.klj
--> Mailbox_[Message-ID: <000d01cae7c2$555361c0$6400a8c0@maoriebf49>][From: "Manager Amparo Rose" <manager@ups.com>][Subject: UPS Delivery Problem NR 48847.]7970.mim
[1] Archivtyp: MIME
--> UPS_invoice_2927.zip
[2] Archivtyp: ZIP
--> UPS_invoice_2927.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.lkr
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
C:\Windows\winsxs\x86_microsoft-windows-nbsmb_31bf3856ad364e35_6.0.6000.16386_none_5d33cf37fb0b3064\smb.sys
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
Beginne mit der Suche in 'D:\' <Q>
D:\explodingdog\Andreas Arbeit\c\proggis\Oo Diskrecovery v4.0.1231 -Zwt (Osloskop Net).rar
[0] Archivtyp: RAR
[FUND] Ist das Trojanische Pferd TR/Spy.54272
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Spy.54272
Beginne mit der Suche in 'F:\' <Daten>

Beginne mit der Desinfektion:
D:\explodingdog\Andreas Arbeit\c\proggis\Oo Diskrecovery v4.0.1231 -Zwt (Osloskop Net).rar
[FUND] Ist das Trojanische Pferd TR/Spy.54272
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48899cc5.qua' verschoben!
C:\Windows\winsxs\x86_microsoft-windows-nbsmb_31bf3856ad364e35_6.0.6000.16386_none_5d33cf37fb0b3064\smb.sys
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '505cb361.qua' verschoben!
C:\Users\amueller\AppData\Roaming\Thunderbird\Profiles\i5fv70vo.default\Mail\Local Folders\Trash
[FUND] Ist das Trojanische Pferd TR/Agent2.lkr
[WARNUNG] Die Datei wurde ignoriert.
C:\Users\amueller\AppData\Roaming\Thunderbird\Profiles\i5fv70vo.default\Mail\Local Folders\Inbox
[FUND] Ist das Trojanische Pferd TR/Agent2.lkr
[WARNUNG] Die Datei wurde ignoriert.
C:\Qoobox\Quarantine\C\Windows\system32\Drivers\smb.sys.vir
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0203e989.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 19. August 2010 15:56
Benötigte Zeit: 2:15:44 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

29918 Verzeichnisse wurden überprüft
498600 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
498591 Dateien ohne Befall
14162 Archive wurden durchsucht
2 Warnungen
3 Hinweise
109723 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden



ich würde hier nochmal gern auf deinen rat zurückgreifen, wie ich hier weiter vorgehen kann.

danke
andreas

Zitat:

D:\explodingdog\Andreas Arbeit\c\proggis\Oo Diskrecovery v4.0.1231 -Zwt (Osloskop Net).rar
[0] Archivtyp: RAR
[FUND] Ist das Trojanische Pferd TR/Spy.54272
--> keygen.exe

Sry, aber was denn das hier?!

hmmm das kann ich dir gar nicht genau sagen.
das sieht aus wie ein archiv ordner von früher. ein tool was ich mal zur datenrettung nutzen wollte. ich kann es im angezeigten ordner aber nicht sehen
ich habe keine ahnung was die keygen.exe ist...
was ist damit?

Zitat:

ich habe keine ahnung was die keygen.exe ist...

Du bist ein kleines
Ein Keygen ist ein illegales Programm, um ein kostenpflichtiges ohne zu bezahlen nutzen zu können, indem mit dem keygen illegal ein Schlüssel erzeugt (CD-Key) erzeugt wird, das Programm zur Freischaltung nutzt. Ist aber illegal!

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

Hi Arne,

ich kann deinen Unmut natürlich nachvollziehen, aber auch wenn du mir nicht glaubst, ich benutze ausschließlich vollversionen (legal!) mit original serial.

ich weiß natürlich was ein keygen macht, kann dir aber wirklich nicht sagen woher die datei kommt, zumal dieser archivordner wahrscheinlich schon mind. 10 jahre alt ist...
komischerweise kann ich die datei auch gar nicht finden, eigentlich müsste ich sie doch sehen können oder?!

ich danke dir auf jeden fall für deine nette hilfe, hoffe auch dass du kein falsches bild von mir hast, da es hier echt den falschen treffen würde...

rechner werde ich neu aufsetzen. reicht es den ordner auf der externen festplatte zu löschen, damit das ding nach Neuaufsetzen nicht gleich wieder aktiviert wird?

vg
andreas

Ja, löschen reicht