|
Plagegeister aller Art und deren Bekämpfung: AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.09.2010, 10:31 | #1 |
| AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe Hallo! Ich bin neu hier und bemühe mich, erst mal alle anderen Möglichkeiten auszuschöpfen, aber ich komme allein wirklich nicht weiter. Mein System: Windows XP, SP3 Virensoftware: AVG, neueste Version Beim Hochfahren kommt gleich die obige Fehlermeldung. Beim täglichen Scan zeigt mir AVG auch, dass der Trojaner in einer Datei hängt, die auf der whitelist steht und daher nicht entfernt werden kann. Ich habe schon CCleaner und weiß was ich alles versucht, alles ohne Erfolg. Jetzt arbeite ich gerade die Anweisungen hier ab. Im nächsten Posting komm das erste log-file. Malwarebytes' Anti-Malware 1.46 Malwarebytes Datenbank Version: 4605 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 15.09.2010 11:32:18 mbam-log-2010-09-15 (11-32-18).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 157474 Laufzeit: 7 Minute(n), 49 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: system32\userinit.exe -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\ie3.tmp (Trojan.Agent) -> Delete on reboot. Habe gerade defogger benutzt und werde mich jetzt mal online verabschieden. Hier kommen meine log-Dateien: defogger disable: defogger_disable by jpshortstuff (23.02.10.1) Log created at 11:41 on 15/09/2010 (Musterfrau) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... gmerlog: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-09-15 17:03:35 Windows 5.1.2600 Service Pack 3 Running: gmer.exe; Driver: C:\DOKUME~1\Musterfrau\LOKALE~1\Temp\pxtdrpoc.sys ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB8DD4380, 0x2FF527, 0xE8000020] .text C:\WINDOWS\system32\drivers\SSHDRV76.sys section is writeable [0xAC2D2000, 0x16204, 0xE8000020] .pklstb C:\WINDOWS\system32\drivers\SSHDRV76.sys entry point in ".pklstb" section [0xAC2F0000] .relo2 C:\WINDOWS\system32\drivers\SSHDRV76.sys unknown last section [0xAC300000, 0x86, 0x42000040] ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\Mozilla Firefox 4.0 Beta 2\firefox.exe[612] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00401410 C:\Programme\Mozilla Firefox 4.0 Beta 2\firefox.exe (Firefox/Mozilla Corporation) ---- Devices - GMER 1.0.15 ---- Device ACPI.sys (ACPI-Treiber für NT/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- Jetzt habe ich alles abgearbeitet, was jetzt? Bei OTL.exe wurde ich beim Klicken auf Benutzerdefinierte Scans/Fixes NICHT nach einer einzufügenden Datei gefragt. Ich habe versucht, die Scan.txt manuell reinzuziehen, ging aber nicht. Ich habe sie dann einfach geöffnet, in der Hoffnung, dass das was hilft- |
16.09.2010, 14:04 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exeZitat:
__________________ |
16.09.2010, 16:37 | #3 |
| AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe Dieses Log ist 2 Tage vorher gemacht worden:
__________________Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4605 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 13.09.2010 15:03:36 mbam-log-2010-09-13 (15-03-36).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 391154 Laufzeit: 1 Stunde(n), 58 Minute(n), 5 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: system32\userinit.exe -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\winsvncs.txt (Malware.Trace) -> Quarantined and deleted successfully. Schon mal im Voraus danke für die Hilfe, Anja |
16.09.2010, 19:33 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O3 - HKLM\..\Toolbar: (no name) - {01708BC3-6BDC-47fc-98FD-27875CF91138} - No CLSID value found. O3 - HKU\S-1-5-21-823518204-706699826-839522115-1003\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O3 - HKU\S-1-5-21-823518204-706699826-839522115-1003\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found. O33 - MountPoints2\{31528b1c-3bd6-11df-b454-000854530bc0}\Shell - "" = AutoRun O33 - MountPoints2\{31528b1c-3bd6-11df-b454-000854530bc0}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{31528b1c-3bd6-11df-b454-000854530bc0}\Shell\AutoRun\command - "" = L:\AutoRun.exe -- File not found O33 - MountPoints2\{31528b1f-3bd6-11df-b454-000854530bc0}\Shell - "" = AutoRun O33 - MountPoints2\{31528b1f-3bd6-11df-b454-000854530bc0}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{31528b1f-3bd6-11df-b454-000854530bc0}\Shell\AutoRun\command - "" = L:\AutoRun.exe -- File not found O33 - MountPoints2\{6c170e70-478f-11df-b461-000854530bc0}\Shell - "" = AutoRun O33 - MountPoints2\{6c170e70-478f-11df-b461-000854530bc0}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{6c170e70-478f-11df-b461-000854530bc0}\Shell\AutoRun\command - "" = L:\AutoRun.exe -- File not found O33 - MountPoints2\{c9b71665-0b2f-11de-9316-0011675ec51f}\Shell - "" = AutoRun O33 - MountPoints2\{c9b71665-0b2f-11de-9316-0011675ec51f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{c9b71665-0b2f-11de-9316-0011675ec51f}\Shell\AutoRun\command - "" = K:\LaunchU3.exe -- File not found O33 - MountPoints2\{f5aacdbb-47a8-11df-b463-000854530bc0}\Shell - "" = AutoRun O33 - MountPoints2\{f5aacdbb-47a8-11df-b463-000854530bc0}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{f5aacdbb-47a8-11df-b463-000854530bc0}\Shell\AutoRun\command - "" = L:\AutoRun.exe -- File not found @Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\Musterfau\Anwendungsdaten\TEMP:3E9E8F66 @Alternate Data Stream - 117 bytes -> C:\Dokumente und Einstellungen\Musterfau\Anwendungsdaten\TEMP:C24B973A @Alternate Data Stream - 116 bytes -> C:\Dokumente und Einstellungen\Musterfau\Anwendungsdaten\TEMP:BB24555F @Alternate Data Stream - 106 bytes -> C:\Dokumente und Einstellungen\Musterfau\Anwendungsdaten\TEMP:D0851FBD :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
17.09.2010, 07:17 | #5 |
| AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{01708BC3-6BDC-47fc-98FD-27875CF91138} not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01708BC3-6BDC-47fc-98FD-27875CF91138}\ not found. Registry value HKEY_USERS\S-1-5-21-823518204-706699826-839522115-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{A057A204-BACC-4D26-9990-79A187E2698E} not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A057A204-BACC-4D26-9990-79A187E2698E}\ not found. Registry value HKEY_USERS\S-1-5-21-823518204-706699826-839522115-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C55BBCD6-41AD-48AD-9953-3609C48EACC7} not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C55BBCD6-41AD-48AD-9953-3609C48EACC7}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31528b1c-3bd6-11df-b454-000854530bc0}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31528b1c-3bd6-11df-b454-000854530bc0}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31528b1c-3bd6-11df-b454-000854530bc0}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31528b1c-3bd6-11df-b454-000854530bc0}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31528b1c-3bd6-11df-b454-000854530bc0}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31528b1c-3bd6-11df-b454-000854530bc0}\ not found. File L:\AutoRun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31528b1f-3bd6-11df-b454-000854530bc0}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31528b1f-3bd6-11df-b454-000854530bc0}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31528b1f-3bd6-11df-b454-000854530bc0}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31528b1f-3bd6-11df-b454-000854530bc0}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31528b1f-3bd6-11df-b454-000854530bc0}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31528b1f-3bd6-11df-b454-000854530bc0}\ not found. File L:\AutoRun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6c170e70-478f-11df-b461-000854530bc0}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6c170e70-478f-11df-b461-000854530bc0}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6c170e70-478f-11df-b461-000854530bc0}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6c170e70-478f-11df-b461-000854530bc0}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6c170e70-478f-11df-b461-000854530bc0}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6c170e70-478f-11df-b461-000854530bc0}\ not found. File L:\AutoRun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c9b71665-0b2f-11de-9316-0011675ec51f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c9b71665-0b2f-11de-9316-0011675ec51f}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c9b71665-0b2f-11de-9316-0011675ec51f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c9b71665-0b2f-11de-9316-0011675ec51f}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c9b71665-0b2f-11de-9316-0011675ec51f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c9b71665-0b2f-11de-9316-0011675ec51f}\ not found. File K:\LaunchU3.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5aacdbb-47a8-11df-b463-000854530bc0}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f5aacdbb-47a8-11df-b463-000854530bc0}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5aacdbb-47a8-11df-b463-000854530bc0}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f5aacdbb-47a8-11df-b463-000854530bc0}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f5aacdbb-47a8-11df-b463-000854530bc0}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f5aacdbb-47a8-11df-b463-000854530bc0}\ not found. File L:\AutoRun.exe not found. ADS C:\Dokumente und Einstellungen\Musterfrau\Anwendungsdaten\TEMP:3E9E8F66 deleted successfully. ADS C:\Dokumente und Einstellungen\Musterfrau\Anwendungsdaten\TEMP:C24B973A deleted successfully. ADS C:\Dokumente und Einstellungen\Musterfrau\Anwendungsdaten\TEMP:BB24555F deleted successfully. ADS C:\Dokumente und Einstellungen\Musterfrau\Anwendungsdaten\TEMP0851FBD deleted successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Musterfrau ->Temp folder emptied: 1115163 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 16521165 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 456 bytes User: Musterfrau1 User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->FireFox cache emptied: 0 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: postgresh ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 48 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 483 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 17,00 mb OTL by OldTimer - Version 3.2.12.0 log created on 09172010_082253 Files\Folders moved on Reboot... C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\ie3.tmp moved successfully. C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\in1.tmp moved successfully. File move failed. C:\WINDOWS\S160474E9.tmp scheduled to be moved on reboot. Registry entries deleted on Reboot... Geändert von psychicfairy (17.09.2010 um 07:27 Uhr) |
17.09.2010, 07:20 | #6 |
| AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe Ich hatte während dem Fix mehrfach die angehängte Fehlermeldung (siehe Bild). Ich habe dann immer auf "Weiter" geklickt. Das System ist neugestartet. Die Trojaner-Meldung habe ich leider immer noch - völlig unverändert. Ein hartnäckiges Ding! Danke für die Hilfe! Ich hoffe, wir kriegen das zusammen hin! |
17.09.2010, 11:00 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
20.09.2010, 17:55 | #8 |
| AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe So, das war eine schwere Geburt, bis ich da alles richtig hatte...... Hier kommt das Log-file von Combofix: Combofix Logfile: Code:
ATTFilter ComboFix 10-09-20.01 - Musterfrau 20.09.2010 18:40:43.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1400 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Musterfrau\Desktop\cofi.exe AV: AVG Anti-Virus *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\\setup.exe c:\programme\key.txt c:\programme\Setup.exe c:\windows\Downloaded Program Files\popcaploader.inf c:\windows\system32\Cache Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert Kopie von - c:\windows\ServicePackFiles\i386\userinit.exe wurde wiederhergestellt . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SSHNAS ((((((((((((((((((((((( Dateien erstellt von 2010-08-20 bis 2010-09-20 )))))))))))))))))))))))))))))) . 2010-09-17 06:08 . 2010-09-17 06:08 -------- d-----w- C:\_OTL 2010-09-16 10:32 . 2010-09-16 10:32 -------- d-----w- C:\HopeRanch 2010-09-13 16:24 . 2010-09-13 16:24 -------- d-----w- c:\programme\ERUNT 2010-09-13 11:03 . 2010-09-13 11:03 -------- d-----w- c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Malwarebytes 2010-09-13 11:03 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-09-13 11:03 . 2010-09-13 11:03 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-09-13 11:03 . 2010-09-13 11:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-09-13 11:03 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-09-07 13:04 . 2010-09-07 13:04 -------- d-----w- C:\B5 S5-dtsch 2010-09-01 09:43 . 2010-09-01 09:43 -------- d-----w- c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\AVG9 2010-08-30 10:02 . 2010-08-30 13:18 -------- d-----w- c:\dokumente und einstellungen\Musterfrau\DoctorWeb 2010-08-28 12:18 . 2010-08-28 12:18 -------- d-----w- c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\FastStone . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-09-20 16:47 . 2007-09-26 08:21 -------- d-----w- c:\programme\BOINC 2010-09-20 16:27 . 2010-07-29 08:53 -------- d-----w- c:\programme\Mozilla Firefox 4.0 Beta 2 2010-09-20 15:41 . 2010-06-18 09:36 -------- d-----w- c:\programme\CCleaner 2010-09-20 06:35 . 2007-09-26 07:19 0 --sh--w- c:\windows\S160474E9.tmp 2010-09-17 10:38 . 2010-08-10 20:25 -------- d-----w- c:\programme\Mozilla Thunderbird 2010-09-16 10:16 . 2007-09-17 18:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink 2010-09-14 07:27 . 2007-09-17 09:49 93392 ----a-w- c:\dokumente und einstellungen\Musterfrau\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-09-09 11:20 . 2007-09-21 19:03 -------- d-----w- c:\programme\Tobit InfoCenter 2010-09-02 14:24 . 2010-01-22 11:20 -------- d-----w- c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\eXPert PDF 6 2010-08-24 07:22 . 2007-09-25 17:52 -------- d-----w- c:\programme\IncrediMail 2010-08-20 15:41 . 2010-08-20 15:10 -------- d-----w- c:\programme\Gemeinsame Dateien\MAGIX Shared 2010-08-20 15:13 . 2010-08-20 15:13 -------- d-----w- c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\MAGIX 2010-08-20 15:13 . 2010-08-20 15:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX 2010-08-20 14:58 . 2010-08-20 14:58 -------- d-----w- c:\programme\Gemeinsame Dateien\Lexware 2010-08-20 14:16 . 2007-09-25 19:06 -------- d-----w- c:\programme\ArcSoft 2010-08-20 14:16 . 2007-09-17 09:29 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-08-18 11:37 . 2010-08-18 11:37 -------- d-----w- c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\avidemux 2010-08-18 06:39 . 2010-08-09 06:00 456200 ----a-w- c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Real\Update\setup3.12\setup.exe 2010-08-17 13:56 . 2010-08-17 13:55 -------- d-----w- c:\programme\QuickTime 2010-08-17 13:55 . 2010-08-17 13:55 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple 2010-08-17 13:55 . 2010-08-17 13:55 -------- d-----w- c:\programme\Apple Software Update 2010-08-17 13:47 . 2010-08-17 13:47 -------- d-----w- c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\XMedia Recode 2010-08-17 13:17 . 2002-08-29 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe 2010-08-17 11:32 . 2007-10-07 20:56 -------- d-----w- c:\programme\Installationsprogramme 2010-08-12 08:42 . 2002-08-29 12:00 530032 ----a-w- c:\windows\system32\perfh007.dat 2010-08-12 08:42 . 2002-08-29 12:00 108190 ----a-w- c:\windows\system32\perfc007.dat 2010-08-10 20:25 . 2010-08-10 20:25 -------- d-----w- c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Thunderbird 2010-08-09 16:45 . 2007-09-25 18:58 -------- d-----w- c:\programme\WISO 2010-08-03 14:40 . 2010-08-03 14:40 -------- d-----w- c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Spacejock Software 2010-08-03 14:39 . 2010-08-03 14:39 -------- d-----w- c:\programme\yWriter5 2010-07-23 16:17 . 2010-06-18 09:35 -------- d-----w- c:\programme\TuneUp Utilities 2008 2010-07-23 16:17 . 2010-06-18 09:38 355584 ----a-w- c:\windows\system32\TuneUpDefragService.exe 2010-07-23 08:56 . 2010-03-29 17:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX 2010-07-23 08:55 . 2010-07-23 08:55 144696 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe 2010-07-22 15:48 . 2002-08-29 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll 2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll 2010-06-30 12:28 . 2002-08-29 12:00 149504 ----a-w- c:\windows\system32\schannel.dll 2010-06-29 22:13 . 2010-08-12 10:35 52224 ----a-w- c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Mozilla\Firefox\Profiles\ta8sy5fu.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\components\FFExternalAlert.dll 2010-06-29 22:13 . 2010-08-12 10:35 101376 ----a-w- c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Mozilla\Firefox\Profiles\ta8sy5fu.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\components\RadioWMPCore.dll 2010-06-26 18:48 . 2010-06-26 18:48 50354 ----a-w- c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Facebook\uninstall.exe 2010-06-24 12:22 . 2002-08-29 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2010-06-24 09:02 . 2002-08-29 12:00 1852032 ------w- c:\windows\system32\win32k.sys 2009-08-28 13:36 . 2009-08-28 13:36 9450176 ----a-w- c:\programme\ocinstall.exe 2009-06-12 21:12 . 2009-06-12 21:10 18752672 ----a-w- c:\programme\ifolor-Designer-CHDE-de.exe 2008-11-08 17:34 . 2008-11-06 17:41 163 -c--a-w- c:\programme\VirtualDub.jobs 2008-09-21 11:08 . 2008-11-06 17:34 246239 -c--a-w- c:\programme\VirtualDub.chm 2008-09-21 11:07 . 2008-11-06 17:34 203212 -c--a-w- c:\programme\VirtualDub.vdi 2008-09-21 11:07 . 2008-11-06 17:34 973312 ----a-w- c:\programme\VirtualDub.exe 2008-09-21 11:06 . 2008-11-06 17:34 8704 ----a-w- c:\programme\vdub.exe 2008-09-21 11:06 . 2008-11-06 17:34 33792 ----a-w- c:\programme\auxsetup.exe 2008-09-21 11:06 . 2008-11-06 17:34 31232 ----a-w- c:\programme\vdremote.dll 2008-09-21 11:06 . 2008-11-06 17:34 29696 ----a-w- c:\programme\vdicmdrv.dll 2008-09-21 11:06 . 2008-11-06 17:34 25088 ----a-w- c:\programme\vdsvrlnk.dll 2008-05-15 12:03 . 2009-01-09 09:11 25922 -c--a-w- c:\programme\FastVideoDownload_1.6_fx_de-DE.xpi 2008-04-12 15:24 . 2008-11-06 17:34 18321 -c--a-w- c:\programme\copying 2008-01-07 09:10 . 2008-01-07 09:10 2392722 -c--a-w- c:\programme\ac3filter_1_46.exe 2007-10-23 14:13 . 2008-11-07 09:29 15248705 -c--a-w- c:\programme\How to use the Recorder.wmv 2005-01-21 17:08 . 2008-11-06 17:41 2384669 ----a-w- c:\programme\WinAVI_Video_Capture.exe 2004-05-16 02:18 . 2008-11-06 18:14 1364995 ----a-w- c:\programme\Camstudio2-0.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-10-16 1115392] [HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}] 2009-10-16 11:13 1115392 ----a-w- c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] 2009-05-19 11:37 1144712 ----a-w- c:\programme\Ask.com\GenericAskToolbar.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-10-16 1115392] "{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2009-05-19 1144712] [HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}] [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1] [HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-10-16 1115392] "{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2009-05-19 1144712] [HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}] [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1] [HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2006-09-06 16262656] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432] "nwiz"="nwiz.exe" [2007-06-28 1626112] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832] "vspdfprsrv.exe"="c:\programme\Visagesoft\eXPert PDF 6\vspdfprsrv.exe" [2008-11-18 1199616] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-06-17 40368] "TrayServer"="d:\programme\Video_deluxe_15\TrayServer.exe" [2008-08-07 90112] "AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-22 2065760] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Musterfrau\Startmen\Programme\Autostart\ BOINC Manager.lnk - c:\programme\BOINC\boincmgr.exe [2007-8-23 4141056] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ PowerISDNMonitor 4.5.lnk - c:\programme\PowerISDNMonitor\pimjava.exe [2007-7-26 45056] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter] 2010-06-22 07:38 12536 ----a-w- c:\windows\system32\avgrsstx.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk backup=c:\windows\pss\BlueSoleil.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^EZ VHS Converter Monitor.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\EZ VHS Converter Monitor.lnk backup=c:\windows\pss\EZ VHS Converter Monitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HOTSYNCSHORTCUTNAME.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HOTSYNCSHORTCUTNAME.lnk backup=c:\windows\pss\HOTSYNCSHORTCUTNAME.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Mein Sparbuch heute.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Sparbuch heute.lnk backup=c:\windows\pss\WISO Mein Sparbuch heute.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Urteilsmonitor.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WISO Urteilsmonitor.lnk backup=c:\windows\pss\WISO Urteilsmonitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Musterfrau^Startmenü^Programme^Autostart^ERUNT AutoBackup.lnk] path=c:\dokumente und einstellungen\Musterfrau\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk backup=c:\windows\pss\ERUNT AutoBackup.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Musterfrau^Startmenü^Programme^Autostart^SmartUI.lnk] path=c:\dokumente und einstellungen\Musterfrau\Startmenü\Programme\Autostart\SmartUI.lnk backup=c:\windows\pss\SmartUI.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Musterfrau^Startmenü^Programme^Autostart^WISO Urteilsmonitor.lnk] path=c:\dokumente und einstellungen\Musterfrau\Startmenü\Programme\Autostart\WISO Urteilsmonitor.lnk backup=c:\windows\pss\WISO Urteilsmonitor.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-06-09 08:06 976832 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2010-06-17 06:24 40368 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service] 2008-02-22 09:33 72192 ----a-w- c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail] 2010-08-24 07:21 353736 ----a-w- c:\programme\IncrediMail\bin\IncMail.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch] 2002-08-08 09:09 36864 ----a-w- c:\programme\Scansoft\PaperPort\IndexSearch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2008-10-01 17:57 289576 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] 2008-04-14 02:22 1695232 ------w- c:\programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ] 2005-10-11 16:25 1961984 ------w- c:\programme\Ahead\Nero BackItUp\NBJ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 08:50 155648 ------w- c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD] 2002-08-08 08:38 45108 ----a-w- c:\programme\Scansoft\PaperPort\pptd40nt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-08-10 03:15 421888 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] 2010-05-13 14:12 26192168 ----a-r- c:\programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] 2006-05-16 18:04 2879488 ------r- c:\windows\SkyTel.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] 2008-09-12 10:34 185896 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tvjbmonitor] 2006-12-26 16:08 53248 ----a-w- c:\programme\MMEDIA\TV Jukebox 3.5\tvjbMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "YahooAUService"=2 (0x2) "iPod Service"=3 (0x3) "Bonjour Service"=2 (0x2) "BlueSoleil Hid Service"=2 (0x2) "Apple Mobile Device"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Messenger (Yahoo!)"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet "NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Palm\\Hotsync.exe"= "c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"= "c:\\Programme\\IncrediMail\\bin\\IncMail.exe"= "c:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"= "c:\\Programme\\IncrediMail\\bin\\ImApp.exe"= "c:\\Programme\\WS_FTP Pro\\ftp95pro.exe"= "c:\\Programme\\Haufe\\iDesk\\iDeskBrowser\\hidb.exe"= "c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"= "c:\\Programme\\Media Converter SA Edition\\Media Converter.exe"= "c:\\Programme\\AVG\\AVG9\\avgam.exe"= "c:\\Programme\\AVG\\AVG9\\avgdiagex.exe"= "c:\\Programme\\AVG\\AVG9\\avgemc.exe"= "c:\\Programme\\AVG\\AVG9\\avgupd.exe"= "c:\\Programme\\AVG\\AVG9\\avgnsx.exe"= "c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 aarsi3x;aarsi3x;c:\windows\system32\drivers\aarsi3x.sys [13.09.2007 16:05 197120] R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [26.04.2008 15:27 52872] R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [26.04.2008 15:27 216400] R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [26.04.2008 15:27 243024] R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [25.03.2008 11:46 53760] R2 avg9emc;AVG E-mail Scanner;c:\programme\AVG\AVG9\avgemc.exe [21.07.2010 09:42 921952] R2 avg9wd;AVG WatchDog;c:\programme\AVG\AVG9\avgwdsvc.exe [22.06.2010 09:38 308136] R2 DavidGrabbingServer;DvISE Grabbing Server;c:\david\Apps\Dvgrab\Code\dvgrab.exe [21.09.2007 21:00 241664] R2 DavidPostMan;DvISE PostMan;c:\david\Apps\Postman\Code\postman.exe [21.09.2007 21:00 471040] R2 DavidServiceLayer;DvISE Service Layer;c:\david\Code\sl.exe [21.09.2007 21:00 942080] R2 DavidTLD001;DvISE TLD 001;c:\david\tld\code\CAPI\tld.exe 001 --> c:\david\tld\code\CAPI\tld.exe 001 [?] R2 Haufe PostgreSQL;Haufe PostgreSQL;c:\programme\Haufe\iDesk\PostgreSQL\bin\pg_ctl.exe runservice -N "Haufe PostgreSQL" -D "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Haufe\haufedb\postgres\" -o "-i" --> c:\programme\Haufe\iDesk\PostgreSQL\bin\pg_ctl.exe runservice -N Haufe PostgreSQL [?] R2 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [10.06.2009 04:09 70336] R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [17.09.2007 12:13 37568] R3 ElgTaDrv;elmeg USB Device Driver;c:\windows\system32\drivers\ElgTaDrv.sys [29.09.2007 09:59 71484] R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [17.09.2007 12:13 444416] S2 Ca533av;Icatch(IV) Video Camera Device;c:\windows\system32\drivers\Ca533av.sys [09.08.2008 18:14 515803] S2 gupdate1c9a60c18cf1454;Google Update Service (gupdate1c9a60c18cf1454);c:\programme\Google\Update\GoogleUpdate.exe [16.03.2009 09:52 133104] S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;c:\windows\system32\drivers\atl01_xp.sys [17.09.2007 11:29 35712] S3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [29.09.2007 21:20 2944] S3 BrSerWDM;Brother-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [29.09.2007 20:53 61952] S3 BrUsbMdm;Brother MFC-nur-Fax-Modem (USB);c:\windows\system32\drivers\BrUsbMdm.sys [29.09.2007 21:20 11008] S3 BrUsbScn;Brother MFC-Scannertreiber (USB);c:\windows\system32\drivers\BrUsbScn.sys [29.09.2007 21:20 10368] S3 DavidClipInc001;DvISE ClipInc 001;c:\david\APPS\CLIPINC\CODE\CLIPINC.EXE 001 --> c:\david\APPS\CLIPINC\CODE\CLIPINC.EXE 001 [?] S3 DavidDiscussionServer;DvISE Discussion Server;c:\david\Apps\Dserver\Code\dserver.exe [21.09.2007 21:00 233472] S3 DavidHost;DvISE Host;c:\david\Apps\Dvhost\CODE\dvhost.exe [21.09.2007 21:00 204800] S3 DavidMailAccessServer;DvISE Mail Access Server;c:\david\Apps\Maserver\CODE\maserver.exe [21.09.2007 21:00 307200] S3 DavidPBXpense;DvISE PBXpense;c:\david\Apps\pbxpense\code\pbxpense.exe [21.09.2007 21:00 118784] S3 DavidReplica;DvISE Replica;c:\david\Apps\Replica\Code\replica.exe [21.09.2007 21:00 282624] S3 DavidTVIndex;DvISE TVIndex;c:\david\Apps\tvindex\tvindex.exe [21.09.2007 21:01 102400] S3 DavidVideoCapture;DvISE Video Capture;c:\david\Apps\videocpt\code\VIDEOC~1.EXE [21.09.2007 21:00 1060864] S3 DavidWebBox;DvISE WebBox;c:\david\Apps\Webbox\Code\webbox.exe [21.09.2007 21:00 434176] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;d:\programme\Common\Database\bin\fbserver.exe [20.08.2010 17:11 1527900] S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\drivers\motccgp.sys [20.01.2009 10:55 18688] S3 motccgpfl;MotCcgpFlService;c:\windows\system32\drivers\motccgpfl.sys [20.01.2009 10:55 8320] S3 MotDev;Motorola Inc. USB Device;c:\windows\system32\drivers\motodrv.sys [20.01.2009 10:55 42112] S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [20.08.2010 17:11 544768] S3 VCR2PC;VCR2PC Analog Capture;c:\windows\system32\drivers\0140_ION.sys [20.11.2008 12:18 277888] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2010-09-20 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-29 09:54] 2010-08-18 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] 2010-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-03-16 07:51] 2010-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-03-16 07:51] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://mystart.incredimail.com/ uInternet Settings,ProxyOverride = *.local uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*hxxp://de.search.yahoo.com IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Mozilla\Firefox\Profiles\ta8sy5fu.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=9&q= FF - prefs.js: browser.startup.homepage - www.google.de FF - prefs.js: keyword.URL - hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=9&tid={4C6B2547-B8E5-3BDA-E971-6F3BB62E1295}&q= FF - component: c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Mozilla\Firefox\Profiles\ta8sy5fu.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\components\FFExternalAlert.dll FF - component: c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Mozilla\Firefox\Profiles\ta8sy5fu.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\components\RadioWMPCore.dll FF - component: c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Mozilla\Firefox\Profiles\ta8sy5fu.default\extensions\{FCAB6FDD-5585-425b-95C1-5ED856F3FD08}\components\nsCatcher.dll FF - component: c:\programme\AVG\AVG9\Firefox\components\avgssff.dll FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils2.dll FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils3.dll FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils35.dll FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\xpavgtbapi.dll FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF - plugin: c:\dokumente und einstellungen\Musterfrau\Anwendungsdaten\Facebook\npfbplugin_1_0_3.dll FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: yahoo.homepage.dontask - true. - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-Netlog Music Tool - c:\programme\Netlog Music Tool\NetlogMusicTool.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-09-20 18:48 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*] "7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(2672) c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\AVG\AVG9\avgchsvx.exe c:\programme\AVG\AVG9\avgrsx.exe c:\programme\AVG\AVG9\avgcsrvx.exe c:\windows\system32\brss01a.exe c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe c:\programme\Haufe\iDesk\PostgreSQL\bin\pg_ctl.exe c:\programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe c:\windows\RTHDCPL.EXE c:\windows\system32\RUNDLL32.EXE c:\windows\system32\javaw.exe c:\programme\BOINC\boinc.exe c:\programme\AVG\AVG9\avgam.exe c:\programme\AVG\AVG9\avgnsx.exe c:\programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe c:\programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe c:\programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe c:\programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe c:\windows\system32\inetsrv\inetinfo.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Haufe\iDesk\iDeskService\ideskpython.exe c:\programme\AVG\AVG9\avgcsrvx.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\windows\system32\nvsvc32.exe c:\programme\AVG\AVG9\avgcsrvx.exe c:\david\tld\code\CAPI\tld.exe c:\windows\System32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-09-20 18:52:23 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-09-20 16:52 Vor Suchlauf: 39 Verzeichnis(se), 25.333.493.760 Bytes frei Nach Suchlauf: 41 Verzeichnis(se), 25.191.014.400 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /usepmtimer /NoExecute=OptOut - - End Of File - - 58CFE08CA657FA0B1F68DB93AFB1C136 |
20.09.2010, 17:56 | #9 |
| AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe Hab ich schon danke gesagt? Falls nicht, sag ich es jetzt schon mal: DANKE FÜR DIE HILFE!! Kann ich leise hoffen, dass es das jetzt war und das Ungeziefer weg ist? Habe gerade meinen AVG Shield wieder aktiviert. |
20.09.2010, 18:27 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe Nur mal so BTW, von Incredimail solltest Du wirklich die Finger lassen, das Teil ist Spyware. Es analysiert Dein E-Mailaufkommen, sowas geht garnicht nimm lieber einen anderen Mailclient, zB sowas wie Mozilla Thunderbird. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten |
21.09.2010, 18:54 | #11 |
| AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe Hallo! Im Anhang sind die logs. Und zusätzlich die Meldung meines AVG nach dem täglichen Scan. Diese gefundenen Dateien liessen sich jetzt in die Virenquarantäne verschieben. Die Trojaner-Meldung vom Anfang kommt nicht mehr. Sieht ganz gut aus, hoffe ich. Zu Incredimail: Ich bin halt doch ne alte Spielratte.... Die ganzen Gimicks sind so verführerisch. Aber ich benutze Thunderbird für die wichtigen Mails. Incredimail nur für das private Rumgeschreibe. |
22.09.2010, 09:04 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
22.09.2010, 09:31 | #13 |
| AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe Hier kommts. Kann ich die Systemwiederherstellung schon wieder einschalten? MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x00000fbd Kernel Drivers (total 146): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806D1000 \WINDOWS\system32\hal.dll 0xBA5A8000 \WINDOWS\system32\KDCOM.DLL 0xBA4B8000 \WINDOWS\system32\BOOTVID.dll 0xB9F78000 ACPI.sys 0xBA5AA000 \WINDOWS\System32\DRIVERS\WMILIB.SYS 0xB9F67000 pci.sys 0xBA0A8000 isapnp.sys 0xBA670000 pciide.sys 0xBA328000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS 0xBA5AC000 viaide.sys 0xBA0B8000 MountMgr.sys 0xB9F48000 ftdisk.sys 0xBA5AE000 dmload.sys 0xB9F22000 dmio.sys 0xBA330000 PartMgr.sys 0xBA338000 videX32.sys 0xBA0C8000 VolSnap.sys 0xB9F0A000 atapi.sys 0xB9ED6000 aarsi3x.sys 0xB9EBE000 \WINDOWS\system32\drivers\SCSIPORT.SYS 0xBA0D8000 disk.sys 0xBA0E8000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS 0xB9E9E000 fltmgr.sys 0xB9E8C000 sr.sys 0xBA340000 xfilt.sys 0xBA0F8000 PxHelp20.sys 0xB9E75000 KSecDD.sys 0xB9DE8000 Ntfs.sys 0xB9DBB000 NDIS.sys 0xB9DA1000 Mup.sys 0xBA348000 BTHidMgr.sys 0xBA108000 avgrkx86.sys 0xB94CB000 \SystemRoot\System32\DRIVERS\AmdK8.sys 0xB7E9A000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xB7E86000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xBA380000 \SystemRoot\system32\drivers\Afc.sys 0xBA600000 \SystemRoot\System32\Drivers\ElbyDelay.sys 0xBA534000 \SystemRoot\System32\Drivers\cdrbsdrv.SYS 0xB94BB000 \SystemRoot\System32\DRIVERS\cdrom.sys 0xB94AB000 \SystemRoot\System32\DRIVERS\redbook.sys 0xB7E63000 \SystemRoot\System32\DRIVERS\ks.sys 0xBA538000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys 0xB949B000 \SystemRoot\System32\DRIVERS\imapi.sys 0xBA388000 \SystemRoot\System32\DRIVERS\usbuhci.sys 0xB7E3F000 \SystemRoot\System32\DRIVERS\USBPORT.SYS 0xBA390000 \SystemRoot\System32\DRIVERS\usbehci.sys 0xBA398000 \SystemRoot\System32\DRIVERS\fdc.sys 0xB7E2B000 \SystemRoot\System32\DRIVERS\parport.sys 0xBA602000 \SystemRoot\System32\DRIVERS\ASACPI.sys 0xB948B000 \SystemRoot\System32\DRIVERS\serial.sys 0xBA544000 \SystemRoot\System32\DRIVERS\serenum.sys 0xB947B000 \SystemRoot\System32\DRIVERS\i8042prt.sys 0xBA3A0000 \SystemRoot\System32\DRIVERS\kbdclass.sys 0xBA3A8000 \SystemRoot\System32\DRIVERS\mouclass.sys 0xB7E06000 \SystemRoot\System32\DRIVERS\HDAudBus.sys 0xBA3B0000 \SystemRoot\system32\DRIVERS\RTL8139.SYS 0xB7D99000 \SystemRoot\system32\DRIVERS\fpcibase.sys 0xBA218000 \SystemRoot\system32\DRIVERS\avmwan.sys 0xBA228000 \SystemRoot\System32\Drivers\VcommMgr.sys 0xBA550000 \SystemRoot\system32\DRIVERS\vbtenum.sys 0xBA3B8000 \SystemRoot\system32\DRIVERS\blueletaudio.sys 0xB7D75000 \SystemRoot\system32\DRIVERS\portcls.sys 0xBA238000 \SystemRoot\system32\DRIVERS\drmk.sys 0xBA6DE000 \SystemRoot\System32\DRIVERS\audstub.sys 0xBA604000 \SystemRoot\System32\Drivers\RootMdm.sys 0xBA3C0000 \SystemRoot\System32\Drivers\Modem.SYS 0xBA248000 \SystemRoot\System32\DRIVERS\rasl2tp.sys 0xBA554000 \SystemRoot\System32\DRIVERS\ndistapi.sys 0xB7D5E000 \SystemRoot\System32\DRIVERS\ndiswan.sys 0xBA258000 \SystemRoot\System32\DRIVERS\raspppoe.sys 0xBA268000 \SystemRoot\System32\DRIVERS\raspptp.sys 0xBA3C8000 \SystemRoot\System32\DRIVERS\TDI.SYS 0xB7D4D000 \SystemRoot\System32\DRIVERS\psched.sys 0xB85A8000 \SystemRoot\System32\DRIVERS\msgpc.sys 0xBA3D0000 \SystemRoot\System32\DRIVERS\ptilink.sys 0xBA3D8000 \SystemRoot\System32\DRIVERS\raspti.sys 0xB8740000 \SystemRoot\system32\DRIVERS\VComm.sys 0xB7D1D000 \SystemRoot\System32\DRIVERS\rdpdr.sys 0xB8598000 \SystemRoot\System32\DRIVERS\termdd.sys 0xB8738000 \SystemRoot\system32\DRIVERS\VClone.sys 0xBA606000 \SystemRoot\System32\DRIVERS\swenum.sys 0xB7CBF000 \SystemRoot\System32\DRIVERS\update.sys 0xBA570000 \SystemRoot\System32\DRIVERS\mssmbios.sys 0xB8588000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xBA198000 \SystemRoot\System32\DRIVERS\usbhub.sys 0xBA63C000 \SystemRoot\System32\DRIVERS\USBD.SYS 0xAFA20000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xBA450000 \SystemRoot\System32\DRIVERS\flpydisk.sys 0xAA99B000 \??\C:\WINDOWS\system32\drivers\SSHDRV76.sys 0xBA64C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xBA768000 \SystemRoot\System32\Drivers\Null.SYS 0xBA64E000 \SystemRoot\System32\Drivers\Beep.SYS 0xB054A000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xB3B82000 \SystemRoot\System32\drivers\vga.sys 0xBA650000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xBA652000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xB3B7A000 \SystemRoot\System32\Drivers\Msfs.SYS 0xB3B72000 \SystemRoot\System32\Drivers\Npfs.SYS 0xABBB8000 \SystemRoot\System32\DRIVERS\rasacd.sys 0xAA968000 \SystemRoot\System32\DRIVERS\ipsec.sys 0xAA90F000 \SystemRoot\System32\DRIVERS\tcpip.sys 0xAA8D5000 \SystemRoot\System32\Drivers\avgtdix.sys 0xAA8AF000 \SystemRoot\System32\DRIVERS\ipnat.sys 0xB8568000 \SystemRoot\System32\DRIVERS\wanarp.sys 0xAA887000 \SystemRoot\System32\DRIVERS\netbt.sys 0xAA865000 \SystemRoot\System32\drivers\afd.sys 0xB8548000 \SystemRoot\System32\DRIVERS\netbios.sys 0xAA83A000 \SystemRoot\System32\DRIVERS\rdbss.sys 0xAA7CA000 \SystemRoot\System32\DRIVERS\mrxsmb.sys 0xB8528000 \SystemRoot\System32\Drivers\Fips.SYS 0xBA400000 \SystemRoot\System32\Drivers\ElbyCDIO.sys 0xBA408000 \SystemRoot\System32\Drivers\avgmfx86.sys 0xAA796000 \SystemRoot\System32\Drivers\avgldx86.sys 0xBA458000 \SystemRoot\system32\DRIVERS\usbprint.sys 0xAF787000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xAA784000 \SystemRoot\System32\Drivers\ElgTaDrv.sys 0xBA468000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS 0xBA470000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xB7C73000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xB8558000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xB5A37000 \SystemRoot\system32\DRIVERS\usbscan.sys 0xB7C9F000 \SystemRoot\System32\DRIVERS\mouhid.sys 0xAA70E000 \SystemRoot\system32\DRIVERS\AF15BDA.sys 0xB3DBB000 \SystemRoot\system32\DRIVERS\BdaSup.SYS 0xB3DAB000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0xB7C93000 \SystemRoot\System32\Drivers\dump_diskdump.sys 0xAA6DA000 \SystemRoot\System32\Drivers\dump_aarsi3x.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0xB3DAF000 \SystemRoot\System32\drivers\Dxapi.sys 0xBA488000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xBA7E3000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xB7CAB000 \SystemRoot\System32\DRIVERS\ndisuio.sys 0xAA48C000 \SystemRoot\system32\drivers\wdmaud.sys 0xB1D4A000 \SystemRoot\system32\drivers\sysaudio.sys 0xAA2A7000 \SystemRoot\System32\DRIVERS\mrxdav.sys 0xB8710000 \SystemRoot\System32\drivers\BrPar.sys 0xBA64A000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xAA0A3000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xA9CBC000 \SystemRoot\System32\Drivers\HTTP.sys 0xA9782000 \SystemRoot\System32\DRIVERS\srv.sys 0xA85DE000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 60): 0 System Idle Process 4 System 576 C:\WINDOWS\system32\smss.exe 632 csrss.exe 656 C:\WINDOWS\system32\winlogon.exe 700 C:\WINDOWS\system32\services.exe 712 C:\WINDOWS\system32\lsass.exe 864 C:\WINDOWS\system32\svchost.exe 924 svchost.exe 992 C:\WINDOWS\system32\svchost.exe 1048 svchost.exe 1152 C:\Programme\AVG\AVG9\avgchsvx.exe 1160 C:\Programme\AVG\AVG9\avgrsx.exe 1204 svchost.exe 1316 C:\Programme\AVG\AVG9\avgcsrvx.exe 1468 C:\WINDOWS\system32\brsvc01a.exe 1496 C:\WINDOWS\system32\brss01a.exe 1488 C:\WINDOWS\system32\spoolsv.exe 1660 C:\WINDOWS\explorer.exe 2012 C:\WINDOWS\RTHDCPL.exe 2040 C:\WINDOWS\system32\rundll32.exe 180 C:\Programme\Visagesoft\eXPert PDF 6\vspdfprsrv.exe 228 C:\PROGRA~1\AVG\AVG9\avgtray.exe 248 C:\WINDOWS\system32\ctfmon.exe 272 C:\Programme\BOINC\boincmgr.exe 304 C:\WINDOWS\system32\javaw.exe 112 svchost.exe 716 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe 872 C:\Programme\AVG\AVG9\avgwdsvc.exe 1200 C:\Programme\BOINC\boinc.exe 1544 C:\Programme\Haufe\iDesk\PostgreSQL\bin\pg_ctl.exe 2052 C:\Programme\Haufe\iDesk\iDeskService\ideskservice.exe 2244 C:\Programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe 2272 C:\Programme\AVG\AVG9\avgam.exe 2316 C:\Programme\AVG\AVG9\avgnsx.exe 2332 C:\Programme\Haufe\iDesk\iDeskService\ideskpython.exe 2372 C:\WINDOWS\system32\svchost.exe 2428 C:\WINDOWS\system32\inetsrv\inetinfo.exe 2628 C:\Programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe 2636 C:\Programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe 2644 C:\Programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe 2652 C:\Programme\Haufe\iDesk\PostgreSQL\bin\postgres.exe 2696 C:\Programme\Java\jre6\bin\jqs.exe 2748 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE 2772 C:\WINDOWS\system32\nvsvc32.exe 2816 C:\WINDOWS\system32\svchost.exe 2932 C:\Programme\AVG\AVG9\avgemc.exe 3120 C:\Programme\AVG\AVG9\avgcsrvx.exe 3400 C:\David\Apps\Dvgrab\Code\dvgrab.exe 3536 C:\David\Apps\Postman\Code\postman.exe 3612 C:\David\Code\sl.exe 3704 C:\David\Tld\CODE\CAPI\tld.exe 1116 alg.exe 2168 C:\Programme\AVG\AVG9\avgcsrvx.exe 3100 C:\WINDOWS\system32\wbem\wmiapsrv.exe 4060 C:\Programme\IncrediMail\bin\IncMail.exe 2792 C:\Programme\IncrediMail\bin\ImApp.exe 1944 C:\Programme\Mozilla Firefox\firefox.exe 3340 wmiprvse.exe 3916 C:\Dokumente und Einstellungen\Musterfrau\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive1 Model Number: ADAPTECRAID 1, Rev: 1.0 PhysicalDrive0 Model Number: Maxtor4G120J6, Rev: GAK819K0 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive1 RE: Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 114 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! |
22.09.2010, 12:05 | #14 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exeZitat:
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
22.09.2010, 18:50 | #15 |
| AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe So, da sind sie die logs. |
Themen zu AVG meldet Trojaner "Generic18.dpu; Pfad c:\\WINDOWS\system32\userinit.exe |
andere, anderen, avg, ccleaner, datei, defogger, entfernt, firefox.exe, gen, generic, hochfahren, hängt, log-file, melde, meldet, neu, neues, ntdll.dll, otl.exe, posting, scan, software, system, system32, trojaner, versucht, windows, windows xp, wirklich |