|
Plagegeister aller Art und deren Bekämpfung: Virenfund-PC versucht sich selber herunterzufahrenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
04.12.2010, 21:31 | #1 |
| Virenfund-PC versucht sich selber herunterzufahren Habe die vom Forum geforderten Schritte ausgeführt und die Suchprotokolle unten angefügt bzw. als Anhang beigefügt. Ich habe sehr viel geschrieben, ich hoff das geht in Ordnung. Ich wollte euch die Probleme oder Auffälligkeiten vollständig und präzise schildern. Hier mein Problem: - nach Hochfahren: PC fährt sich selber wieder herunter und es taucht kurz ein schwarzes Feld auf mit der Überschrift auf der Leiste C: //WINDOWS/system 23 oder vielleicht auch …system 32. Danach kommt die Meldung: Das Herunterfahren des Systems wird von COMPUTERNAME/benutzername ausgelöst. Meistens konnte ich es jedoch verhindern. Ich meine, dass diese Meldung immer nur auftaucht wenn ich mit dem Internet verbunden bin!! Wie und wann ist das Problem zum ersten Mal in Erscheinung getreten? - 1. Mal (vor ca. zwei Wochen): surfte im Netz, das Antivir Suchprogramm lief und es wurden Viren gefunden, danach verschwand für kurze Zeit das Desktop und der PC wurde sehr langsam, danach hat sich der PC ausgeschalten (s.o.). Habe ihn dann wieder angeschalten und seitdem bringt er nach dem Hochfahren (bootet normal) diese Meldung. Wie gesagt habe ich die Vermutung dass das immer kommt, wenn ich Internetzugang habe. Sonst läuft der PC normal, funktioniert alles, ist auch nicht merklich langsamer als zuvor. - Habe dann auch Viren gefunden an den nachfolgenden Tagen (Antivir). An einem Tag hat Antivir sogar 16 Viren gefunden, Malwarebytes später noch am gleichen Tag 13. Diese zwei Suchprotokolle habe ich zusätzlich zu den anderen vom Forum geforderten Suchprotokollen beigefügt. In den nächsten zwei Tagen wurde dann nur noch ein Virus gefunden. - Wie gesagt habe ich die vom Forum geforderten Schritte ausgeführt. Es lief alles glatt, nur gmer.exe hat nicht funktioniert. Der PC ist jedes Mal beim Suchlauf bei der Datei Type: Reg Name: HKLM/SOFTWARE/Classes/CLSID/{B6A930A0-A4F5-43A5-9B4… Value: 71230 hängengeblieben. - Ich habe gestern die letzten beiden Schritte durchgeführt (5 u 6). Davor hatte ich den PC eine Woche lang nicht mehr benutzt. Der PC war zum ersten Mal sehr langsam und Malwarebytes brauchte zum Beispiel für den Quickscan ca. zwei Stunden, Antivir drei Stunden. Zudem habe ich heute bemerkt, dass nach dem Hochfahren zuerst alles normal läuft und sich die Programme normal hochfahren. Aber dann verschwinden auf einmal die Taskleiste usw. und es ist nur noch der Bildhintergrund (für bis zu einer Minute ?!) zu sehen. Danach kommen die Programme vom Desktop und die Taskleiste usw. wieder zurück. Es scheint so als würde sich der PC nach dem eigentlichen Hochfahren, nochmals hochfahren. Das Phänomen muss jetzt aber nicht gestern oder heute zum ersten Mal aufgetreten sein. Noch eine weitere Beobachtung in den letzten zwei Wochen: Wenn ich keinen Internetzugang habe, taucht die Meldung auf: No connection to the Internet is currently available. To view Internet content that has been saved on your computer, click Work Offline… Also diese Meldung kenne ich so auch nicht und kommt mir komisch vor. Wie bewertet ihr die Suchprotokolle? Was nun? Wäre echt super wenn ihr mir weiterhelfen könntet J PS: Kenne mich am PC leider nicht sehr aus. OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 04.12.2010 01:48:42 - Run 1 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Dokumente und Einstellungen\All Users\Desktop\MFtools Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 502,00 Mb Total Physical Memory | 221,00 Mb Available Physical Memory | 44,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 66,00% Paging File free Paging file location(s): C:\pagefile.sys 756 1512 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 62,85 Gb Total Space | 26,10 Gb Free Space | 41,53% Space Free | Partition Type: NTFS Drive D: | 11,70 Gb Total Space | 4,37 Gb Free Space | 37,37% Space Free | Partition Type: FAT32 Computer Name: ****| User Name: ***| Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusOverride" = 0 "FirewallOverride" = 0 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Programme\AOL 9.0\AOL.exe" = C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0 -- File not found "C:\Programme\AOL 9.0\WAOL.exe" = C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0 -- File not found "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service) -- File not found "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer) -- File not found "C:\WINDOWS\system32\fxsclnt.exe" = C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax -- (Microsoft Corporation) "C:\Programme\NetMeeting\Conf.exe" = C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting -- (Microsoft Corporation) "C:\Programme\InterVideo\DVD7\WinDVD.exe" = C:\Programme\InterVideo\DVD7\WinDVD.exe:*:enabled:WinDVD 7 -- (InterVideo Inc.) "C:\Programme\InterVideo\MediaOne Gallery\mediaone.exe" = C:\Programme\InterVideo\MediaOne Gallery\mediaone.exe:*:enabled:MediaOne Gallery -- File not found "C:\Programme\BullGuard Software\BullGuard\BullGuard.exe" = C:\Programme\BullGuard Software\BullGuard\BullGuard.exe:*:enabled:BullGuard -- File not found "C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe" = C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe:*:enabled:BullGuard Update -- File not found [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\AOL 9.0\AOL.exe" = C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0 -- File not found "C:\Programme\AOL 9.0\WAOL.exe" = C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0 -- File not found "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service) -- File not found "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer) -- File not found "C:\WINDOWS\system32\fxsclnt.exe" = C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax -- (Microsoft Corporation) "C:\Programme\NetMeeting\Conf.exe" = C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting -- (Microsoft Corporation) "C:\Programme\InterVideo\DVD7\WinDVD.exe" = C:\Programme\InterVideo\DVD7\WinDVD.exe:*:enabled:WinDVD 7 -- (InterVideo Inc.) "C:\Programme\InterVideo\MediaOne Gallery\mediaone.exe" = C:\Programme\InterVideo\MediaOne Gallery\mediaone.exe:*:enabled:MediaOne Gallery -- File not found "C:\Programme\BullGuard Software\BullGuard\BullGuard.exe" = C:\Programme\BullGuard Software\BullGuard\BullGuard.exe:*:enabled:BullGuard -- File not found "C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe" = C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe:*:enabled:BullGuard Update -- File not found "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe" = C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe:*:Enabled:Kaspersky Anti-Virus Service -- File not found "C:\Programme\Gemeinsame Dateien\aol\1220440601\ee\aolsoftware.exe" = C:\Programme\Gemeinsame Dateien\aol\1220440601\ee\aolsoftware.exe:*:Enabled:AOL Shared Components -- File not found "C:\Programme\SopCast\adv\SopAdver.exe" = C:\Programme\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver -- (www.sopcast.com) "C:\Programme\SopCast\SopCast.exe" = C:\Programme\SopCast\SopCast.exe:*:Enabled:SopCast Main Application -- (www.sopcast.com) "C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player -- () "C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.) "C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Disabled:Firefox -- (Mozilla Corporation) "C:\Programme\PPStream\PPStream.exe" = C:\Programme\PPStream\PPStream.exe:*:Enabled:PPSÍøÂçµçÊÓ -- File not found "C:\Programme\PPStream\PPSAP.exe" = C:\Programme\PPStream\PPSAP.exe:*:Enabled:PPS ÍøÂç¼ÓËÙÆ÷ -- File not found "C:\Programme\TVAnts\Tvants.exe" = C:\Programme\TVAnts\Tvants.exe:*:Enabled:TVAnts -- File not found "C:\Programme\uusee\UUSeePlayer.exe" = C:\Programme\uusee\UUSeePlayer.exe:*:Enabled:UUPlayer -- File not found "C:\Programme\Gemeinsame Dateien\uusee\UUSeeMediaCenter.exe" = C:\Programme\Gemeinsame Dateien\uusee\UUSeeMediaCenter.exe:*:Enabled:MediaCenter -- File not found ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium "{0A2A5039-B37F-489D-B1DC-A5258DF9E697}" = FIFA 08 "{113FB2BA-2C64-4F35-8C7F-5B632677BC25}" = Windows Live Messenger "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java(TM) 6 Update 20 "{2792F12C-3515-4D69-8083-B557AF35F06F}" = LightScribe 1.4.89.1 "{31E1050B-F69F-4A16-8F5A-E44D31901250}" = Ulead DVD DiskRecorder 2.1.1 "{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3D1A6B70-3E02-49BC-88B0-916C80274632}" = Informationen über Ihren PC "{43DCF766-6838-4F9A-8C91-D92DA586DFA7}" = Microsoft Windows-Journal-Viewer "{47D2103B-FD51-4017-9C20-DD408B17D726}" = Office 2003 Trial Assistant "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin "{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works "{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053 "{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin "{76EFFC7C-17A6-479D-9E47-8E658C1695AE}" = Windows-Sicherungsprogramm "{871DF2BE-41D2-4334-AC33-839AF16FC8FE}" = Cisco Systems VPN Client 5.0.02.0090 "{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver for Mobile "{90885A82-9673-49EA-AB39-AF776639C67C}" = InterVideo WinDVD 7 "{91120407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003 "{929408E6-D265-4174-805F-81D1D914E2A4}" = QuickTime "{94FB906A-CF42-4128-A509-D353026A607E}" = REALTEK Gigabit and Fast Ethernet NIC Driver "{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German) "{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A17EABB6-D0C6-44E5-820C-72DC7F495064}" = PaperPort "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable "{A7661EF6-352F-D5A3-B913-B762230C1031}" = Nero 7 Essentials "{AC76BA86-7AD7-1031-7B44-A71000000002}" = Adobe Reader 7.1.0 - Deutsch "{B5FDA445-CAC4-4BA6-A8FB-A7212BD439DE}" = Microsoft XML Parser "{BB9AC6BF-71B6-42A4-9689-C17D9F44E79A}" = Brother MFL-Pro Suite "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D0846526-66DD-4DC9-A02C-98F9A2806812}" = Launch Manager V1.3.0 "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2 "{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729) "{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01 "{FAF88B432344413595BB2DED98385684}" = DivX User Guide "1F811665-E818-4956-9173-35CD47C9DCE0" = Otto "7A1E1C4F-CC6F-4BF0-BB81-7CFC3F655564" = GemMaster Mystic "7-Zip" = 7-Zip 4.65 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11 "AOL YGP Screensaver" = AOL Meine Fotos Bildschirmschoner "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "Digitale Bibliothek" = Digitale Bibliothek "Digitale Bibliothek 2.80" = Digitale Bibliothek 2.80 "DivX Content Uploader" = DivX Content Uploader "DivX Setup.divx.com" = DivX-Setup "ERUNT_is1" = ERUNT 1.1j "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie7" = Windows Internet Explorer 7 "InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin "InstallShield_{929408E6-D265-4174-805F-81D1D914E2A4}" = QuickTime "LetsTrade" = LetsTrade Komponenten "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox (3.5.15)" = Mozilla Firefox (3.5.15) "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "RealPlayer 6.0" = RealPlayer "SMSERIAL" = Motorola SM56 Data Fax Modem "SopCast" = SopCast 3.0.3 "StreetPlugin" = Learn2 Player (Uninstall Only) "SynTPDeinstKey" = Synaptics Pointing Device Driver "The Unzip Wizard" = The Unzip Wizard "ViewpointMediaPlayer" = Viewpoint Media Player "VLC media player" = VLC media player 0.9.6 "Windows Media Encoder 9" = Windows Media Encoder 9-Reihe "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows XP Media Center Edition Screen Saver Screen Saver" = Windows XP Media Center Edition Screen Saver Screen Saver "Windows XP Service Pack" = Windows XP Service Pack 3 "WMCSetup" = Windows Media Connect "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "uTorrent" = µTorrent ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 26.11.2010 11:13:04 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 26.11.2010 16:30:19 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 26.11.2010 16:37:41 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 26.11.2010 16:39:55 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 26.11.2010 16:42:25 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 26.11.2010 17:53:35 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 26.11.2010 17:55:49 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 27.11.2010 18:37:15 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 03.12.2010 15:48:52 | Computer Name = ****| Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 03.12.2010 20:30:20 | Computer Name = ****| Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung OTL.exe, Version 3.2.17.3, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. [ System Events ] Error - 03.12.2010 21:11:46 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:11:48 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:11:50 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:11:51 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:11:53 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:11:55 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:11:57 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:11:58 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:12:00 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. Error - 03.12.2010 21:12:03 | Computer Name = ****| Source = Disk | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D. < End of report > defogger_disable by jpshortstuff (23.02.10.1) Log created at 00:53 on 28/11/2010 (***) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- Hier noch der Scan von Antivir und Malwarebytes, die ich nach dem ersten Auftreten des Problems habe durchlaufen lassen. Jedes Suchprogramm hat über 10 Viren gefunden. Zudem poste ich noch die das aktuellste Suchlaufprotokoll von Antivir. zu den Protokollen: Was ist den dieses c:\windows\explorer.exe ?? Das fällt mir erst seit dem Auftreten des Problems auf. Wobei ich auch da erst die Rootkit Überprüfung eingestellt habe, welches das dann zu Tage gefördert hat. Ist es schädlich? Die Datei: C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Mozilla\Firefox\Profiles\xw3hq4xp.default\extensions\autopager@mozilla.org\chrome\autopager.jar [0] Archivtyp: ZIP --> locale/zh-CN/autopager.dtd.orig fällt mir eigentlich auch erst seit dem Auftreten des Problems auf. Nur mal so. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 25. November 2010 21:00 Es wird nach 3093000 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : THOMAS1987 Versionsinformationen: BUILD.DAT : 10.0.0.596 31825 Bytes 16.11.2010 15:52:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 04.11.2010 23:16:40 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 18:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:25:13 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:20:36 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 13:28:04 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 12:55:04 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 11:06:59 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 23:16:22 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 23:16:24 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 23:16:28 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 23:16:30 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 23:16:33 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 23:16:33 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 23:16:33 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 23:16:33 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 23:16:33 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 16:49:54 VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 11:20:55 VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 18:37:38 VBASE017.VDF : 7.10.13.243 147456 Bytes 15.11.2010 11:24:26 VBASE018.VDF : 7.10.14.15 142848 Bytes 17.11.2010 19:48:09 VBASE019.VDF : 7.10.14.41 134144 Bytes 19.11.2010 19:48:09 VBASE020.VDF : 7.10.14.63 128000 Bytes 22.11.2010 19:49:16 VBASE021.VDF : 7.10.14.87 143872 Bytes 24.11.2010 19:48:36 VBASE022.VDF : 7.10.14.88 2048 Bytes 24.11.2010 19:48:36 VBASE023.VDF : 7.10.14.89 2048 Bytes 24.11.2010 19:48:36 VBASE024.VDF : 7.10.14.90 2048 Bytes 24.11.2010 19:48:36 VBASE025.VDF : 7.10.14.91 2048 Bytes 24.11.2010 19:48:36 VBASE026.VDF : 7.10.14.92 2048 Bytes 24.11.2010 19:48:36 VBASE027.VDF : 7.10.14.93 2048 Bytes 24.11.2010 19:48:37 VBASE028.VDF : 7.10.14.94 2048 Bytes 24.11.2010 19:48:37 VBASE029.VDF : 7.10.14.95 2048 Bytes 24.11.2010 19:48:37 VBASE030.VDF : 7.10.14.96 2048 Bytes 24.11.2010 19:48:37 VBASE031.VDF : 7.10.14.107 76800 Bytes 25.11.2010 19:48:37 Engineversion : 8.2.4.112 AEVDF.DLL : 8.1.2.1 106868 Bytes 04.11.2010 23:16:38 AESCRIPT.DLL : 8.1.3.47 1294716 Bytes 22.11.2010 19:50:26 AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 19:50:18 AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 19:50:28 AERDL.DLL : 8.1.9.2 635252 Bytes 04.11.2010 23:16:38 AEPACK.DLL : 8.2.3.11 471416 Bytes 04.11.2010 23:16:37 AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22.11.2010 19:50:16 AEHEUR.DLL : 8.1.2.44 3076471 Bytes 22.11.2010 19:50:15 AEHELP.DLL : 8.1.14.0 246134 Bytes 04.11.2010 23:16:36 AEGEN.DLL : 8.1.4.2 401781 Bytes 22.11.2010 19:49:33 AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 19:49:25 AECORE.DLL : 8.1.18.1 196984 Bytes 22.11.2010 19:49:23 AEBB.DLL : 8.1.1.0 53618 Bytes 04.11.2010 23:16:35 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 23:16:40 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 04.11.2010 23:16:40 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 12:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 23:16:21 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Donnerstag, 25. November 2010 21:00 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters\symboliclinkvalue [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\RNG\seed [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avcenter.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'taskmgr.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'brmfcwnd.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '122' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '134' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNetwk.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'mcrdsvc.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'ehSched.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'ehRecvr.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'cvpnd.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'brss01a.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'brsvc01a.exe' - '9' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '167' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '80' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1880' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Mozilla\Firefox\Profiles\xw3hq4xp.default\extensions\autopager@mozilla.org\chrome\autopager.jar [0] Archivtyp: ZIP --> locale/zh-CN/autopager.dtd.orig [WARNUNG] Die Datei konnte nicht gelesen werden! [WARNUNG] Die Datei konnte nicht gelesen werden! C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1\31410a01-31bc53df [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2009-3869.A --> vmain.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2009-3869.A C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\11\6039734b-62ba640c [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2009-3869.A --> vmain.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2009-3869.A C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16\488e63d0-20de0d22 [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2009-3869.A --> vmain.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2009-3869.A C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\3b1e4862-4644805a [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.RC --> vload.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.RC --> vmain.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.PG C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4\122990c4-41615021 [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0842.A --> vmain.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0842.A C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51\63dff933-304c1b4d [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0842.A --> vmain.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0842.A C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52\ca82234-1868d81e [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.RC --> vload.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.RC --> vmain.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.PG C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\60\240bc57c-342ab94f [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.RC --> vload.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.RC --> vmain.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.PG C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\7ae6b8bd-7a9932ce [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0842.A --> vmain.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0842.A C:\Dokumente und Einstellungen\geigert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IYWCVZYZ\xmirkvbubujrbrire[1].exe [FUND] Ist das Trojanische Pferd TR/Riner.adi C:\System Volume Information\_restore{426B1B23-67B2-4AE7-86C8-FC2883DFA201}\RP324\A0931578.exe [FUND] Ist das Trojanische Pferd TR/Riner.adj C:\System Volume Information\_restore{426B1B23-67B2-4AE7-86C8-FC2883DFA201}\RP324\A0931624.exe [FUND] Ist das Trojanische Pferd TR/Riner.adl C:\System Volume Information\_restore{426B1B23-67B2-4AE7-86C8-FC2883DFA201}\RP325\A0931630.exe [FUND] Ist das Trojanische Pferd TR/Riner.adn Beginne mit der Suche in 'D:\' <RECOVER> Beginne mit der Desinfektion: C:\System Volume Information\_restore{426B1B23-67B2-4AE7-86C8-FC2883DFA201}\RP325\A0931630.exe [FUND] Ist das Trojanische Pferd TR/Riner.adn [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d27d5b.qua' verschoben! C:\System Volume Information\_restore{426B1B23-67B2-4AE7-86C8-FC2883DFA201}\RP324\A0931624.exe [FUND] Ist das Trojanische Pferd TR/Riner.adl [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f4552fd.qua' verschoben! C:\System Volume Information\_restore{426B1B23-67B2-4AE7-86C8-FC2883DFA201}\RP324\A0931578.exe [FUND] Ist das Trojanische Pferd TR/Riner.adj [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0d1a0815.qua' verschoben! C:\Dokumente und Einstellungen\geigert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IYWCVZYZ\xmirkvbubujrbrire[1].exe [FUND] Ist das Trojanische Pferd TR/Riner.adi [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6b5d4410.qua' verschoben! C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\7ae6b8bd-7a9932ce [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0842.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2edd6ada.qua' verschoben! C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\60\240bc57c-342ab94f [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.PG [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '518b5894.qua' verschoben! C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52\ca82234-1868d81e [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.PG [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1d0b74f1.qua' verschoben! C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51\63dff933-304c1b4d [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0842.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6167348e.qua' verschoben! C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4\122990c4-41615021 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0842.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c4f1bc2.qua' verschoben! C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\3b1e4862-4644805a [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.PG [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55182388.qua' verschoben! C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16\488e63d0-20de0d22 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2009-3869.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '397d0c6e.qua' verschoben! C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\11\6039734b-62ba640c [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2009-3869.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c335e3.qua' verschoben! C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1\31410a01-31bc53df [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2009-3869.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46da053a.qua' verschoben! Ende des Suchlaufs: Donnerstag, 25. November 2010 22:48 Benötigte Zeit: 1:46:59 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 10814 Verzeichnisse wurden überprüft 437938 Dateien wurden geprüft 16 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 13 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 437922 Dateien ohne Befall 8277 Archive wurden durchsucht 2 Warnungen 13 Hinweise 590372 Objekte wurden beim Rootkitscan durchsucht 2 Versteckte Objekte wurden gefunden Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5190 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 26.11.2010 02:29:08 mbam-log-2010-11-26 (02-29-08).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 163121 Laufzeit: 23 Minute(n), 18 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 1 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\helper (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Helper\bin\liveu.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\A360.lnk (Rogue.AntiVirus360) -> Quarantined and deleted successfully. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 4. Dezember 2010 12:01 Es wird nach 3095583 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : THOMAS1987 Versionsinformationen: BUILD.DAT : 10.0.0.596 31825 Bytes 16.11.2010 15:52:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 04.11.2010 23:16:40 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 18:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:25:13 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:20:36 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 13:28:04 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 12:55:04 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 11:06:59 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 23:16:22 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 23:16:24 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 23:16:28 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 23:16:30 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 23:16:33 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 23:16:33 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 23:16:33 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 23:16:33 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 23:16:33 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 16:49:54 VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 11:20:55 VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 18:37:38 VBASE017.VDF : 7.10.13.243 147456 Bytes 15.11.2010 11:24:26 VBASE018.VDF : 7.10.14.15 142848 Bytes 17.11.2010 19:48:09 VBASE019.VDF : 7.10.14.41 134144 Bytes 19.11.2010 19:48:09 VBASE020.VDF : 7.10.14.63 128000 Bytes 22.11.2010 19:49:16 VBASE021.VDF : 7.10.14.87 143872 Bytes 24.11.2010 19:48:36 VBASE022.VDF : 7.10.14.88 2048 Bytes 24.11.2010 19:48:36 VBASE023.VDF : 7.10.14.89 2048 Bytes 24.11.2010 19:48:36 VBASE024.VDF : 7.10.14.90 2048 Bytes 24.11.2010 19:48:36 VBASE025.VDF : 7.10.14.91 2048 Bytes 24.11.2010 19:48:36 VBASE026.VDF : 7.10.14.92 2048 Bytes 24.11.2010 19:48:36 VBASE027.VDF : 7.10.14.93 2048 Bytes 24.11.2010 19:48:37 VBASE028.VDF : 7.10.14.94 2048 Bytes 24.11.2010 19:48:37 VBASE029.VDF : 7.10.14.95 2048 Bytes 24.11.2010 19:48:37 VBASE030.VDF : 7.10.14.96 2048 Bytes 24.11.2010 19:48:37 VBASE031.VDF : 7.10.14.113 117248 Bytes 26.11.2010 15:51:46 Engineversion : 8.2.4.112 AEVDF.DLL : 8.1.2.1 106868 Bytes 04.11.2010 23:16:38 AESCRIPT.DLL : 8.1.3.47 1294716 Bytes 22.11.2010 19:50:26 AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 19:50:18 AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 19:50:28 AERDL.DLL : 8.1.9.2 635252 Bytes 04.11.2010 23:16:38 AEPACK.DLL : 8.2.3.11 471416 Bytes 04.11.2010 23:16:37 AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22.11.2010 19:50:16 AEHEUR.DLL : 8.1.2.44 3076471 Bytes 22.11.2010 19:50:15 AEHELP.DLL : 8.1.14.0 246134 Bytes 04.11.2010 23:16:36 AEGEN.DLL : 8.1.4.2 401781 Bytes 22.11.2010 19:49:33 AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 19:49:25 AECORE.DLL : 8.1.18.1 196984 Bytes 22.11.2010 19:49:23 AEBB.DLL : 8.1.1.0 53618 Bytes 04.11.2010 23:16:35 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 23:16:40 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 04.11.2010 23:16:40 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 12:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 23:16:21 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Samstag, 4. Dezember 2010 12:01 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters\symboliclinkvalue [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. c:\windows\explorer.exe c:\WINDOWS\explorer.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\windows\explorer.exe Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'NOTEPAD.EXE' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'WINDOW~1.SCR' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '102' Modul(e) wurden durchsucht Durchsuche Prozess 'taskmgr.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'avnotify.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '111' Modul(e) wurden durchsucht Durchsuche Prozess 'RealPlay.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNSCFG.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'brctrcen.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'pptd40nt.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'Wbutton.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'OSD.exe' - '15' Modul(e) wurden durchsucht Durchsuche Prozess 'HotkeyApp.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'LaunchAp.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'sm56hlpr.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'WMPNetwk.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'mcrdsvc.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'ehSched.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'ehRecvr.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'cvpnd.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'brss01a.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'brsvc01a.exe' - '9' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '167' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1860' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\Dokumente und Einstellungen\geigert\Anwendungsdaten\Mozilla\Firefox\Profiles\xw3hq4xp.default\extensions\autopager@mozilla.org\chrome\autopager.jar [0] Archivtyp: ZIP --> locale/zh-CN/autopager.dtd.orig [WARNUNG] Die Datei konnte nicht gelesen werden! [WARNUNG] Die Datei konnte nicht gelesen werden! Beginne mit der Suche in 'D:\' <RECOVER> Ende des Suchlaufs: Samstag, 4. Dezember 2010 15:31 Benötigte Zeit: 3:29:46 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 7786 Verzeichnisse wurden überprüft 407183 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 407183 Dateien ohne Befall 8123 Archive wurden durchsucht 2 Warnungen 0 Hinweise 581665 Objekte wurden beim Rootkitscan durchsucht 3 Versteckte Objekte wurden gefunden |
Themen zu Virenfund-PC versucht sich selber herunterzufahren |
.com, 0x8007042, 7-zip, adobe, adware.180solutions, antivir, avira, computer, desktop, dllhost.exe, einstellungen, error, fehler, firefox.exe, flash player, format, herunterfahren, internet, jusched.exe, langsam, launch, location, logfile, media center, mozilla, notepad.exe, nt.dll, oldtimer, otl.exe, pc normal, präzise, realtek, recover, registry, routine, rundll, saver, security, sehr langsam, shell32.dll, stolen.data, super, system restore, taskleiste, tcp, thomas, udp, versteckte objekte, verweise, viren, virus, vlc media player, windows internet |