Hallo Liebe Community

Auch ich habe mich leider mit Virus und Malware herumzuärgern und wollte euren Rat erfragen. Ich war in der letzten Zeit leider öfters auf einige Dubiosen Webseiten und hab mir das ein oder andere mal einen Virus zugezogen. Der wurde dann auch meist von meinem Avira AntiVir Personal gefunden und in Quarantäne verschoben. Schlechte Malware hab ich dann meist zusätzlich mit Ad-Aware entfernt.

Leider hege ich schon länger den Verdacht, das sich trotz dieser 2 Antivirus Programme irgendwo noch etwas eigeschlichen hat. Heute hatte ich beim besuchen einer Webseite einen Firefoxabsturz und Zeitgleich versuchte sich eine Exe Datei ( den genauen Wortlaut weiß ich leider nicht mehr, es war aber eine lange zahlenkombination.exe) sich auf meinem Rechner zu installieren.
Die Windowsfirewall ( Windows 7 ) wollte daraufhin die Bestätigung aber ich verneinte. Leider öffnete sich daraufhin dieses Fenster immer wieder und mir blieb nur noch die Beendung des Programms im Taskmanager. Ein Virusscan von Avira zeige den Befall von dem Trojaner TR/Vundo.Gen und Ad-aware fand einige Cookies.
Firefox ließ sich nicht mehr starten und das benutzen vom Internetexplorer ( Um Firefox erneut runterzuladen) ließ immer wieder eine Bilderseite mit dem namens 7pic öffnen.
Ich hab mir dann den Taskmanager angeguckt und folgendes gefunden
Dateipfade im Taskmanager sind nicht richtig angegeben ( Beschreibung fehlt )
-> csrss , avscan.exe, winlogon.exe, nvsvc
Hab nun desöfteren gelesen, das das ein Hinweis für ein Virus befall ist

Nun gut Firefox gelöscht, erneut runtergeladen, dieses Forum gefunden, Malwarebytes installiert ( auch war hier z.B. das Problem, das sich der Download von FilePony.de nicht starten ließ ich musste auf Chip.de ausweichen) und Scan durchgeführt ( nachdem ich die Malwarebytes.exe runtergeladen hatte, wurde sie extrem lang auf einen möglichen Virus untersucht und ich hege die Befürchtung, das sie gleich beim runterladen infiziert wurde )

Ich hoffe mein System muss nicht erneut aufgesetzt werden. Allerdings hatte ich sogar vor 2 Wochen den Fall, dass mein iTunes Konto geknackt wurde und damit eingekauft wurde. Auch das ist natürlich ein Hinweis das sich hier evt. irgendwo noch ein Passwort Trojaner befindet
Der Letzte Virusfund von Avira AntiVir war ein TR/Vundo.Gen

Ich hoffe ihr könnt mit dem Scan etwas anfangen ( gefundene Ergebnisse beim Scan natürlich in Quarantäne verschoben) :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6580

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

15.05.2011 03:13:50
mbam-log-2011-05-15 (03-13-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 425130
Laufzeit: 1 Stunde(n), 24 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 22

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\Users\Micha\AppData\Local\cleanhlc.dll (Trojan.FakeMS) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Micha\AppData\Local\cleanhlc.dll (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\49F.tmp (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup1170996412.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup1185238052.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup1201036172.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup1240150084.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup2184511796.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup2214861100.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup2488902932.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup2616291128.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup3066760488.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup3120304544.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup3334050184.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup3767578880.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup3966794364.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup4024191508.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup441485208.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\setup48719776.exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
c:\Users\Micha\Desktop\crypt load\ocr\netload.in\asmcaptcha\test.exe (Malware.Packer) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Local\Temp\0.460431675593153.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Roaming\Adobe\plugs\mmc84.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Micha\AppData\Roaming\Adobe\plugs\mmc92.exe (Trojan.Agent) -> Quarantined and deleted successfully.

So das wars erstmal ich hoffe ihr könnt mir helfen :-)


Mit Freundlichen Grüßen Huskar

hi, tja wer sich auf solche websites rumm treibt muss sich nicht wundern.
1. poste alle avira funde der letzten zeit, avira, ereignisse bzw avira, berichte.
2. poste die adaware funde.
3. wenn du viel pech hast und nach dem was ich hier im ersten log sehe ist formatieren angesagt.

Die Schuld geb ich mir selber keine Frage aber momentan versuch ich einfach nur den kram loszuwerden :-/

So zu 1 ( Wusste nicht wie ich anders die Daten posten soll ) :

Typ: Datei
Quelle: C:\$Recycle.Bin\S-1-5-21-2462340417-860467015-3653408945-1003\$RPPUJK4.rar
Status: Infiziert
Quarantäne-Objekt: 48ee8b7b.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.228
Virendefinitionsdatei: 7.11.07.203
Meldung: Ist das Trojanische Pferd TR/Vundo.Gen
Datum/Uhrzeit: 15.05.2011, 03:42

Typ: Datei
Quelle: C:\Users\Mucke für Alle\AppData\Local\Temp\Rar$EX00.300\keygen.exe
Status: Infiziert
Quarantäne-Objekt: 4a99be48.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.228
Virendefinitionsdatei: 7.11.07.203
Meldung: Ist das Trojanische Pferd TR/Vundo.Gen
Datum/Uhrzeit: 10.05.2011, 13:18


Typ: Datei
Quelle: C:\Users\Micha\AppData\Local\Mozilla\Firefox\Profiles\o1hvbhcp.default\Cache\_CACHE_002_
Status: Infiziert
Quarantäne-Objekt: 491423a9.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.206
Virendefinitionsdatei: 7.11.06.109
Meldung: Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
Datum/Uhrzeit: 15.04.2011, 19:37

Typ: Datei
Quelle: C:\Users\Micha\AppData\Local\Mozilla\Firefox\Profiles\o1hvbhcp.default\Cache\F39C2D4Fd01
Status: Infiziert
Quarantäne-Objekt: 494415f5.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.206
Virendefinitionsdatei: 7.11.06.19
Meldung: Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen2
Datum/Uhrzeit: 10.04.2011, 15:46

Typ: Datei
Quelle: C:\Users\Micha\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\143b51c7-3ce2ae41
Status: Infiziert
Quarantäne-Objekt: 48b2857e.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.192
Virendefinitionsdatei: 7.11.05.96
Meldung: Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.J
Datum/Uhrzeit: 29.03.2011, 20:25


Typ: Datei
Quelle: C:\Users\Micha\Downloads\Cryptload_1.1.8.rar
Status: Infiziert
Quarantäne-Objekt: 495f064a.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.188
Virendefinitionsdatei: 7.11.05.15
Meldung: Enthält Erkennungsmuster des SPR/NetCat.A-Programmes
Datum/Uhrzeit: 21.03.2011, 20:09




Typ: Datei
Quelle: C:\Users\Micha\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\7db4016b-7436d156
Status: Infiziert
Quarantäne-Objekt: 522129df.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.188
Virendefinitionsdatei: 7.11.05.15
Meldung: Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
Datum/Uhrzeit: 21.03.2011, 20:09

Typ: Datei
Quelle: E:\Steam\SteamApps\common\left 4 dead\bin\AdminServer.dll
Status: Infiziert
Quarantäne-Objekt: 49fa31f9.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.188
Virendefinitionsdatei: 7.11.05.15
Meldung: Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
Datum/Uhrzeit: 21.03.2011, 19:11

Typ: Datei
Quelle: C:\Users\Micha\Desktop\Letzte HA des Studiums\Cienma 4D Runterladen\C_vierD_v11\PANTHEON\keygen.exe
Status: Infiziert
Quarantäne-Objekt: 48c419d1.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.140
Virendefinitionsdatei: 7.11.01.144
Meldung: Ist das Trojanische Pferd TR/Renaz.95209
Datum/Uhrzeit: 17.01.2011, 23:05


Typ: Datei
Quelle: C:\Users\Micha\AppData\Local\Temp\Rar$DR02.619\router\FRITZ!Box\nc.exe
Status: Infiziert
Quarantäne-Objekt: 49863c52.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.78
Virendefinitionsdatei: 7.10.12.184
Meldung: Enthält Erkennungsmuster des SPR/NetCat.A-Programmes
Datum/Uhrzeit: 12.10.2010, 19:38

Typ: Datei
Quelle: C:\Users\Micha\Downloads\Cryptload_1.1.8.rar
Status: Infiziert
Quarantäne-Objekt: 48c345a0.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.72
Virendefinitionsdatei: 7.10.12.167
Meldung: Enthält Erkennungsmuster des SPR/NetCat.A-Programmes
Datum/Uhrzeit: 09.10.2010, 23:37

Typ: Datei
Quelle: C:\Users\Micha\AppData\Local\Temp\Rar$DR02.447\router\FRITZ!Box\nc.exe
Status: Infiziert
Quarantäne-Objekt: 4e511f82.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.72
Virendefinitionsdatei: 7.10.12.166
Meldung: Enthält Erkennungsmuster des SPR/NetCat.A-Programmes
Datum/Uhrzeit: 09.10.2010, 20:56

Zu 2: Scan 1

Logfile created: 01.05.2011 21:56:36
Ad-Aware version: 9.0.4
Extended engine: 3
Extended engine version: 3.1.2770
User performing scan: Micha

*********************** Definitions database information ***********************
Lavasoft definition file: 150.375
Genotype definition file version: 2011/04/20 08:08:09
Extended engine definition file: 9082.0

******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan (ID: smart)
Objects scanned: 53224
Objects detected: 6


Type Detected
==========================
Processes.......: 0
Registry entries: 0
Hostfile entries: 0
Files...........: 0
Folders.........: 0
LSPs............: 0
Cookies.........: 6
Browser hijacks.: 0
MRU objects.....: 0



Removed items:
Description: *atdmt* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408910 Family ID: 0
Description: *doubleclick* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408875 Family ID: 0
Description: *fastclick* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408869 Family ID: 0
Description: *atdmt* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408910 Family ID: 0
Description: *doubleclick* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408875 Family ID: 0
Description: *fastclick* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408869 Family ID: 0

Scan and cleaning complete: Finished correctly after 387 seconds

*********************************** Settings ***********************************

Scan profile:
ID: smart, enabled:1, value: Intelligenter Scan
ID: folderstoscan, enabled:1, value:
ID: useantivirus, enabled:1, value: true
ID: sections, enabled:1
ID: scancriticalareas, enabled:1, value: true
ID: scanrunningapps, enabled:1, value: true
ID: scanregistry, enabled:1, value: true
ID: scanlsp, enabled:1, value: true
ID: scanads, enabled:1, value: false
ID: scanhostsfile, enabled:1, value: false
ID: scanmru, enabled:1, value: false
ID: scanbrowserhijacks, enabled:1, value: true
ID: scantrackingcookies, enabled:1, value: true
ID: closebrowsers, enabled:1, value: false
ID: filescanningoptions, enabled:1
ID: archives, enabled:1, value: false
ID: onlyexecutables, enabled:1, value: true
ID: skiplargerthan, enabled:1, value: 20480
ID: scanrootkits, enabled:1, value: true
ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict
ID: usespywareheuristics, enabled:1, value: true

Scan global:
ID: global, enabled:1
ID: addtocontextmenu, enabled:1, value: true
ID: playsoundoninfection, enabled:1, value: false
ID: soundfile, enabled:0, value: N/A

Scheduled scan settings:
<Empty>

Update settings:
ID: updates, enabled:1
ID: launchthreatworksafterscan, enabled:1, value: off, domain: normal,off,silently
ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: schedules, enabled:1, value: true
ID: updatedaily1, enabled:1, value: Daily 1
ID: time, enabled:1, value: Fri Apr 15 19:41:00 2011
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily2, enabled:1, value: Daily 2
ID: time, enabled:1, value: Fri Apr 15 01:41:00 2011
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily3, enabled:1, value: Daily 3
ID: time, enabled:1, value: Fri Apr 15 07:41:00 2011
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily4, enabled:1, value: Daily 4
ID: time, enabled:1, value: Fri Apr 15 13:41:00 2011
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updateweekly1, enabled:1, value: Weekly
ID: time, enabled:1, value: Fri Apr 15 19:41:00 2011
ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: true
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: true
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false

Appearance settings:
ID: appearance, enabled:1
ID: skin, enabled:1, value: Carbon.eGL, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
ID: showtrayicon, enabled:1, value: true
ID: autoentertainmentmode, enabled:1, value: false
ID: guimode, enabled:1, value: mode_advanced, domain: mode_advanced,mode_simple
ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language

Realtime protection settings:
ID: realtime, enabled:1
ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant
ID: modules, enabled:1
ID: processprotection, enabled:1, value: true
ID: onaccessprotection, enabled:1, value: true
ID: registryprotection, enabled:1, value: true
ID: networkprotection, enabled:1, value: true
ID: layers, enabled:1
ID: useantivirus, enabled:1, value: true
ID: usespywareheuristics, enabled:1, value: true
ID: maintainbackup, enabled:1, value: true


****************************** System information ******************************
Computer name: BORELDI
Processor name: Intel(R) Core(TM) i7 CPU 860 @ 2.80GHz
Processor identifier: Intel64 Family 6 Model 30 Stepping 5
Processor speed: ~2798MHZ
Raw info: processorarchitecture 9, processortype 8664, processorlevel 6, processor revision 7685, number of processors 8, processor features: [MMX,SSE,SSE2,SSE3]
Physical memory available: 2863935488 bytes
Physical memory total: 4290195456 bytes
Virtual memory available: 1888526336 bytes
Virtual memory total: 2147352576 bytes
Memory load: 33%
Microsoft (build 7600)
Windows startup mode:

Running processes:
PID: 376 name: C:\Windows\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 512 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 588 name: C:\Windows\System32\wininit.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 616 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 648 name: C:\Windows\System32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 664 name: C:\Windows\System32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 672 name: C:\Windows\System32\lsm.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 776 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 876 name: C:\Windows\System32\nvvsvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 916 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 980 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1016 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 132 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 900 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1128 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1256 name: C:\Windows\System32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1284 name: C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1460 name: C:\Windows\System32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1492 name: C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1588 name: C:\Windows\System32\nvvsvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1640 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1748 name: C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1812 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1876 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1088 name: C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1116 name: C:\Windows\System32\conhost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2164 name: C:\Windows\System32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2240 name: C:\Windows\System32\wbem\WmiPrvSE.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2516 name: C:\Windows\System32\dwm.exe owner: Micha domain: Boreldi
PID: 2572 name: C:\Windows\explorer.exe owner: Micha domain: Boreldi
PID: 2660 name: C:\Windows\System32\taskhost.exe owner: Micha domain: Boreldi
PID: 2764 name: C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe owner: Micha domain: Boreldi
PID: 2780 name: C:\Program Files (x86)\Vtune\TBPANEL.exe owner: Micha domain: Boreldi
PID: 2880 name: C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe owner: Micha domain: Boreldi
PID: 2628 name: C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe owner: Micha domain: Boreldi
PID: 2868 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1360 name: C:\Windows\System32\SearchIndexer.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1516 name: C:\Program Files\Windows Media Player\wmpnetwk.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 3656 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 3784 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4044 name: C:\Windows\System32\wuauclt.exe owner: Micha domain: Boreldi
PID: 3496 name: C:\Windows\explorer.exe owner: Micha domain: Boreldi
PID: 640 name: C:\Program Files (x86)\VideoLAN\VLC\vlc.exe owner: Micha domain: Boreldi
PID: 3236 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4500 name: C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe owner: Micha domain: Boreldi
PID: 4372 name: C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-Aware.exe owner: Micha domain: Boreldi

Startup items:
Name: JMB36X IDE Setup
imagepath: C:\Windows\RaidTool\xInsIDE.exe
Name: avgnt
imagepath: "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
Name: WebCheck
imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name:
imagepath: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

Bootexecute items:
Name:
imagepath: autocheck autochk *
Name:
imagepath: lsdelete

Running services:
Name: AeLookupSvc
displayname: Anwendungserfahrung
Name: AntiVirSchedulerService
displayname: Avira AntiVir Planer
Name: AntiVirService
displayname: Avira AntiVir Guard
Name: Appinfo
displayname: Anwendungsinformationen
Name: AudioEndpointBuilder
displayname: Windows-Audio-Endpunkterstellung
Name: AudioSrv
displayname: Windows-Audio
Name: BFE
displayname: Basisfiltermodul
Name: BITS
displayname: Intelligenter Hintergrundübertragungsdienst
Name: Browser
displayname: Computerbrowser
Name: CryptSvc
displayname: Kryptografiedienste
Name: CscService
displayname: Offlinedateien
Name: DcomLaunch
displayname: DCOM-Server-Prozessstart
Name: Dhcp
displayname: DHCP-Client
Name: Dnscache
displayname: DNS-Client
Name: DPS
displayname: Diagnoserichtliniendienst
Name: EapHost
displayname: Extensible Authentication-Protokoll
Name: eventlog
displayname: Windows-Ereignisprotokoll
Name: EventSystem
displayname: COM+-Ereignissystem
Name: fdPHost
displayname: Funktionssuchanbieter-Host
Name: FDResPub
displayname: Funktionssuche-Ressourcenveröffentlichung
Name: gpsvc
displayname: Gruppenrichtlinienclient
Name: hidserv
displayname: Zugriff auf Eingabegeräte
Name: HomeGroupListener
displayname: Heimnetzgruppen-Listener
Name: HomeGroupProvider
displayname: Heimnetzgruppen-Anbieter
Name: iphlpsvc
displayname: IP-Hilfsdienst
Name: KeyIso
displayname: CNG-Schlüsselisolation
Name: LanmanServer
displayname: Server
Name: LanmanWorkstation
displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
displayname: Lavasoft Ad-Aware Service
Name: lmhosts
displayname: TCP/IP-NetBIOS-Hilfsdienst
Name: MMCSS
displayname: Multimediaklassenplaner
Name: MpsSvc
displayname: Windows-Firewall
Name: Netman
displayname: Netzwerkverbindungen
Name: netprofm
displayname: Netzwerklistendienst
Name: NlaSvc
displayname: NLA (Network Location Awareness)
Name: nsi
displayname: Netzwerkspeicher-Schnittstellendienst
Name: nvsvc
displayname: NVIDIA Display Driver Service
Name: p2pimsvc
displayname: Peernetzwerkidentitäts-Manager
Name: p2psvc
displayname: Peernetzwerk-Gruppenzuordnung
Name: PcaSvc
displayname: Programmkompatibilitäts-Assistent-Dienst
Name: PlugPlay
displayname: Plug & Play
Name: PNRPsvc
displayname: Peer Name Resolution-Protokoll
Name: PolicyAgent
displayname: IPsec-Richtlinien-Agent
Name: Power
displayname: Stromversorgung
Name: ProfSvc
displayname: Benutzerprofildienst
Name: RpcEptMapper
displayname: RPC-Endpunktzuordnung
Name: RpcSs
displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
displayname: Sicherheitskonto-Manager
Name: Schedule
displayname: Aufgabenplanung
Name: SENS
displayname: Benachrichtigungsdienst für Systemereignisse
Name: ShellHWDetection
displayname: Shellhardwareerkennung
Name: Spooler
displayname: Druckwarteschlange
Name: SSDPSRV
displayname: SSDP-Suche
Name: stisvc
displayname: Windows-Bilderfassung (WIA)
Name: SysMain
displayname: Superfetch
Name: Themes
displayname: Designs
Name: TrkWks
displayname: Überwachung verteilter Verknüpfungen (Client)
Name: upnphost
displayname: UPnP-Gerätehost
Name: UxSms
displayname: Sitzungs-Manager für Desktopfenster-Manager
Name: WdiServiceHost
displayname: Diagnosediensthost
Name: WerSvc
displayname: Windows-Fehlerberichterstattungsdienst
Name: WinDefend
displayname: Windows Defender
Name: WinHttpAutoProxySvc
displayname: WinHTTP-Web Proxy Auto-Discovery-Dienst
Name: Winmgmt
displayname: Windows-Verwaltungsinstrumentation
Name: Wlansvc
displayname: Automatische WLAN-Konfiguration
Name: WMPNetworkSvc
displayname: Windows Media Player-Netzwerkfreigabedienst
Name: wscsvc
displayname: Sicherheitscenter
Name: WSearch
displayname: Windows Search
Name: wuauserv
displayname: Windows Update
Name: wudfsvc
displayname: Windows Driver Foundation - Benutzermodus-Treiberframework

Scan 2

Logfile created: 15.05.2011 01:18:32
Ad-Aware version: 9.0.4
Extended engine: 3
Extended engine version: 3.1.2770
User performing scan: Micha

*********************** Definitions database information ***********************
Lavasoft definition file: 150.375
Genotype definition file version: 2011/04/20 08:08:09
Extended engine definition file: 9082.0

******************************** Scan results: *********************************
Scan profile name: Intelligenter Scan (ID: smart)
Objects scanned: 53932
Objects detected: 6


Type Detected
==========================
Processes.......: 0
Registry entries: 0
Hostfile entries: 0
Files...........: 0
Folders.........: 0
LSPs............: 0
Cookies.........: 6
Browser hijacks.: 0
MRU objects.....: 0



Removed items:
Description: *atdmt* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408910 Family ID: 0
Description: *doubleclick* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408875 Family ID: 0
Description: *fastclick* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408869 Family ID: 0
Description: *atdmt* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408910 Family ID: 0
Description: *doubleclick* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408875 Family ID: 0
Description: *fastclick* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408869 Family ID: 0

Scan and cleaning complete: Finished correctly after 405 seconds

*********************************** Settings ***********************************

Scan profile:
ID: smart, enabled:1, value: Intelligenter Scan
ID: folderstoscan, enabled:1, value:
ID: useantivirus, enabled:1, value: true
ID: sections, enabled:1
ID: scancriticalareas, enabled:1, value: true
ID: scanrunningapps, enabled:1, value: true
ID: scanregistry, enabled:1, value: true
ID: scanlsp, enabled:1, value: true
ID: scanads, enabled:1, value: false
ID: scanhostsfile, enabled:1, value: false
ID: scanmru, enabled:1, value: false
ID: scanbrowserhijacks, enabled:1, value: true
ID: scantrackingcookies, enabled:1, value: true
ID: closebrowsers, enabled:1, value: false
ID: filescanningoptions, enabled:1
ID: archives, enabled:1, value: false
ID: onlyexecutables, enabled:1, value: true
ID: skiplargerthan, enabled:1, value: 20480
ID: scanrootkits, enabled:1, value: true
ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict
ID: usespywareheuristics, enabled:1, value: true

Scan global:
ID: global, enabled:1
ID: addtocontextmenu, enabled:1, value: true
ID: playsoundoninfection, enabled:1, value: false
ID: soundfile, enabled:0, value: N/A

Scheduled scan settings:
<Empty>

Update settings:
ID: updates, enabled:1
ID: launchthreatworksafterscan, enabled:1, value: off, domain: normal,off,silently
ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: schedules, enabled:1, value: true
ID: updatedaily1, enabled:1, value: Daily 1
ID: time, enabled:1, value: Fri Apr 15 19:41:00 2011
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily2, enabled:1, value: Daily 2
ID: time, enabled:1, value: Fri Apr 15 01:41:00 2011
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily3, enabled:1, value: Daily 3
ID: time, enabled:1, value: Fri Apr 15 07:41:00 2011
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily4, enabled:1, value: Daily 4
ID: time, enabled:1, value: Fri Apr 15 13:41:00 2011
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updateweekly1, enabled:1, value: Weekly
ID: time, enabled:1, value: Fri Apr 15 19:41:00 2011
ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: true
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: true
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false

Appearance settings:
ID: appearance, enabled:1
ID: skin, enabled:1, value: Carbon.eGL, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
ID: showtrayicon, enabled:1, value: true
ID: autoentertainmentmode, enabled:1, value: false
ID: guimode, enabled:1, value: mode_advanced, domain: mode_advanced,mode_simple
ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language

Realtime protection settings:
ID: realtime, enabled:1
ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant
ID: modules, enabled:1
ID: processprotection, enabled:1, value: true
ID: onaccessprotection, enabled:1, value: true
ID: registryprotection, enabled:1, value: true
ID: networkprotection, enabled:1, value: true
ID: layers, enabled:1
ID: useantivirus, enabled:1, value: true
ID: usespywareheuristics, enabled:1, value: true
ID: maintainbackup, enabled:1, value: true


****************************** System information ******************************
Computer name: BORELDI
Processor name: Intel(R) Core(TM) i7 CPU 860 @ 2.80GHz
Processor identifier: Intel64 Family 6 Model 30 Stepping 5
Processor speed: ~2798MHZ
Raw info: processorarchitecture 9, processortype 8664, processorlevel 6, processor revision 7685, number of processors 8, processor features: [MMX,SSE,SSE2,SSE3]
Physical memory available: 2639970304 bytes
Physical memory total: 4290195456 bytes
Virtual memory available: 1889800192 bytes
Virtual memory total: 2147352576 bytes
Memory load: 38%
Microsoft (build 7600)
Windows startup mode:

Running processes:
PID: 376 name: C:\Windows\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 516 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 592 name: C:\Windows\System32\wininit.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 612 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 648 name: C:\Windows\System32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 664 name: C:\Windows\System32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 672 name: C:\Windows\System32\lsm.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 776 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 876 name: C:\Windows\System32\nvvsvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 916 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 984 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1016 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 156 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 932 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1132 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1272 name: C:\Windows\System32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1312 name: C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1452 name: C:\Windows\System32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1492 name: C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1528 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1660 name: C:\Windows\System32\nvvsvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1748 name: C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1812 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1888 name: C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1896 name: C:\Windows\System32\conhost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1972 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2168 name: C:\Windows\System32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2256 name: C:\Windows\System32\wbem\WmiPrvSE.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2660 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 2900 name: C:\Windows\System32\taskhost.exe owner: Micha domain: Boreldi
PID: 2940 name: C:\Windows\System32\dwm.exe owner: Micha domain: Boreldi
PID: 3008 name: C:\Windows\explorer.exe owner: Micha domain: Boreldi
PID: 2384 name: C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe owner: Micha domain: Boreldi
PID: 2360 name: C:\Program Files (x86)\Vtune\TBPANEL.exe owner: Micha domain: Boreldi
PID: 2232 name: C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe owner: Micha domain: Boreldi
PID: 3140 name: C:\Windows\System32\SearchIndexer.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3284 name: C:\Program Files\Windows Media Player\wmpnetwk.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 3684 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 3908 name: C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe owner: Micha domain: Boreldi
PID: 1588 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3160 name: C:\Program Files (x86)\Mozilla Firefox\firefox.exe owner: Micha domain: Boreldi
PID: 3956 name: C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe owner: Micha domain: Boreldi
PID: 640 name: C:\Windows\System32\wuauclt.exe owner: Micha domain: Boreldi
PID: 3700 name: C:\PROGRA~2\Java\jre6\bin\jp2launcher.exe owner: Micha domain: Boreldi
PID: 3760 name: C:\Program Files (x86)\Java\jre6\bin\java.exe owner: Micha domain: Boreldi
PID: 3860 name: C:\Windows\System32\conhost.exe owner: Micha domain: Boreldi
PID: 4368 name: C:\Users\Micha\AppData\Local\cleanhlc.exe owner: Micha domain: Boreldi
PID: 4388 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4640 name: C:\Windows\System32\taskmgr.exe owner: Micha domain: Boreldi
PID: 4696 name: C:\Windows\System32\SearchProtocolHost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4748 name: C:\Windows\System32\SearchFilterHost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2804 name: C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-Aware.exe owner: Micha domain: Boreldi

Startup items:
Name: WebCheck
imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: JMB36X IDE Setup
imagepath: C:\Windows\RaidTool\xInsIDE.exe
Name: avgnt
imagepath: "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
Name:
location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\cleanhlc.lnk
imagepath: C:\Windows\System32\config\systemprofile\AppData\Local\cleanhlc.exe
Name:
imagepath: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

Bootexecute items:
Name:
imagepath: autocheck autochk *
Name:
imagepath: lsdelete

Running services:
Name: AeLookupSvc
displayname: Anwendungserfahrung
Name: AntiVirSchedulerService
displayname: Avira AntiVir Planer
Name: AntiVirService
displayname: Avira AntiVir Guard
Name: Appinfo
displayname: Anwendungsinformationen
Name: AudioEndpointBuilder
displayname: Windows-Audio-Endpunkterstellung
Name: AudioSrv
displayname: Windows-Audio
Name: BFE
displayname: Basisfiltermodul
Name: Browser
displayname: Computerbrowser
Name: CryptSvc
displayname: Kryptografiedienste
Name: CscService
displayname: Offlinedateien
Name: DcomLaunch
displayname: DCOM-Server-Prozessstart
Name: Dhcp
displayname: DHCP-Client
Name: Dnscache
displayname: DNS-Client
Name: DPS
displayname: Diagnoserichtliniendienst
Name: EapHost
displayname: Extensible Authentication-Protokoll
Name: eventlog
displayname: Windows-Ereignisprotokoll
Name: EventSystem
displayname: COM+-Ereignissystem
Name: fdPHost
displayname: Funktionssuchanbieter-Host
Name: FDResPub
displayname: Funktionssuche-Ressourcenveröffentlichung
Name: gpsvc
displayname: Gruppenrichtlinienclient
Name: hidserv
displayname: Zugriff auf Eingabegeräte
Name: HomeGroupListener
displayname: Heimnetzgruppen-Listener
Name: HomeGroupProvider
displayname: Heimnetzgruppen-Anbieter
Name: iphlpsvc
displayname: IP-Hilfsdienst
Name: KeyIso
displayname: CNG-Schlüsselisolation
Name: LanmanServer
displayname: Server
Name: LanmanWorkstation
displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
displayname: Lavasoft Ad-Aware Service
Name: lmhosts
displayname: TCP/IP-NetBIOS-Hilfsdienst
Name: MMCSS
displayname: Multimediaklassenplaner
Name: MpsSvc
displayname: Windows-Firewall
Name: Netman
displayname: Netzwerkverbindungen
Name: netprofm
displayname: Netzwerklistendienst
Name: NlaSvc
displayname: NLA (Network Location Awareness)
Name: nsi
displayname: Netzwerkspeicher-Schnittstellendienst
Name: nvsvc
displayname: NVIDIA Display Driver Service
Name: p2pimsvc
displayname: Peernetzwerkidentitäts-Manager
Name: p2psvc
displayname: Peernetzwerk-Gruppenzuordnung
Name: PcaSvc
displayname: Programmkompatibilitäts-Assistent-Dienst
Name: PlugPlay
displayname: Plug & Play
Name: PNRPsvc
displayname: Peer Name Resolution-Protokoll
Name: PolicyAgent
displayname: IPsec-Richtlinien-Agent
Name: Power
displayname: Stromversorgung
Name: ProfSvc
displayname: Benutzerprofildienst
Name: RpcEptMapper
displayname: RPC-Endpunktzuordnung
Name: RpcSs
displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
displayname: Sicherheitskonto-Manager
Name: Schedule
displayname: Aufgabenplanung
Name: SENS
displayname: Benachrichtigungsdienst für Systemereignisse
Name: ShellHWDetection
displayname: Shellhardwareerkennung
Name: Spooler
displayname: Druckwarteschlange
Name: SSDPSRV
displayname: SSDP-Suche
Name: stisvc
displayname: Windows-Bilderfassung (WIA)
Name: SysMain
displayname: Superfetch
Name: Themes
displayname: Designs
Name: TrkWks
displayname: Überwachung verteilter Verknüpfungen (Client)
Name: upnphost
displayname: UPnP-Gerätehost
Name: UxSms
displayname: Sitzungs-Manager für Desktopfenster-Manager
Name: W32Time
displayname: Windows-Zeitgeber
Name: WdiServiceHost
displayname: Diagnosediensthost
Name: WdiSystemHost
displayname: Diagnosesystemhost
Name: WerSvc
displayname: Windows-Fehlerberichterstattungsdienst
Name: WinDefend
displayname: Windows Defender
Name: WinHttpAutoProxySvc
displayname: WinHTTP-Web Proxy Auto-Discovery-Dienst
Name: Winmgmt
displayname: Windows-Verwaltungsinstrumentation
Name: Wlansvc
displayname: Automatische WLAN-Konfiguration
Name: WMPNetworkSvc
displayname: Windows Media Player-Netzwerkfreigabedienst
Name: wscsvc
displayname: Sicherheitscenter
Name: WSearch
displayname: Windows Search
Name: wuauserv
displayname: Windows Update
Name: wudfsvc
displayname: Windows Driver Foundation - Benutzermodus-Treiberframework


So Das wars. Ich hoffe ihr könnt damit etwas anfangen und mein Systhem ist noch zu retten, wobei formatieren ja anscheined immer mehr die einzige möglichkeit wird :-(

Mit freundlichen grüßen und sehr dankbar für eure Hilfe

Husk

Edit1: Achja vergessen zu erwähnen ein erneuter Malwarebytes Scan ergab nichts mehr aber das heißt ja warscheinlich nicht viel :-(

Quelle: C:\Users\Mucke für Alle\AppData\Local\Temp\Rar$EX00.300\keygen.exe
bei keygens gibts hier sowieso nur hilfe beim formatieren und neu aufsetzen, da wir die verwendung illegaler software nicht unterstützen.
was bei der vermurksten instalation sowieso nötig ist.
ich helfe dir außerdem, falls erwünscht, das system richtig abzusichern.
hoffendlich lernst was draus.

Ich musste erstmal stutzen, das ich überhaupt einen Keygen habe, konnte mich erst garnicht daran erinnern, so etwas benutzt zu haben, außer im Ramen meines Studiums um eine Arbeit zu erledigen ( Die Unni Rechner besaßen das Programm, wir bekamen eine 30Tage Trial Version, aber ich wollte auch Zuhause daran arbeiten nachdem diese 30 Tage abgelaufen waren und ein Freund hat mir aus der Patche geholfen ). Aber du hast recht ich habe über die Weihnachtszeit mit 2 Arbeitskollegen ein bisschen aus langer Weile, Call of Duty 1 gespielt und einer von denen hat mir ne Datei gegeben damit wir das gemeinsam spielen können.

Mit Dubiosen Seiten meinte ich keinesfalls irgentwelche Hacker oder Crackseiten oder solchen Kram, ich habe es eher so dezent ausgedrückt weil es dabei um Pronografisches Material ging und bei solchen Webseiten, kann man sich ja denken, das das oft nicht mit rechten Dingen zugeht, aber hey niemand ist der fleischlichen Lust ganz gefreit :-)

Mein Systhem ist also nicht mehr zu retten obwohl Malwarebytes nichts findet, hm mist.

Was meinst du denn mit vermurksten Installation ? Meine Computerkenntnisse sind nicht gerade berauschend aber nachdem ich Windows 7 auf einer gespiegelten Festplatte instaliert hab, hab ich gleich Antivir und Ad-aware installiert die Windows Firewall aktiv gehalten, alle benötigten Treiber installiert, auf den aktuellen Stand gebracht und natürlich regelmäßig upgedatet.

Natürlich ist es erwünscht, das System richtig abzusichern :-) Würd mich freuen, über Tipps was ich nach der Formatierung alles machen kann, damit son Käse mir nicht noch einmal passiert. ( Tipps für ne interne Firewall etc ? Ich benutze leider nur die "standart Firewall" von meinem Alice-ruter aber auf meinem Mac für die Arbeit zusätzlich noch Littlesnitch )

Auch noch eine Frage zur Datensicherung. Da ich natürlich vor dem formatieren möglichst alles wichtige sichern wollte ( Arbeitsrelevante Datein, Privaten Kram und natürlich einige savegame Speicherstände ) ist meine Frage, ob ich das bedenken los tun kann, ohne mein neues System dann gleich erneut zu infizieren. ( Alles auf eine Frische externe Festplatte und dann einen erneuten Virusscan auf einem neu aufgesetzten System ) Oder gibt es noch weitere Sicherheitsmaßnahmen die ich durchführen kann um sowas zu verhinden.

Ja ja, vielen Fragen ich hoffe ich ruinier nicht damit irgendwem den Sonntag Nachmittag :-)

Mfg Husk

hi,
ohne dich als lügner bezeichnen zu wollen oder so, aber solche und ähnliche geschichten mit den keygens bekomme ich ständig zu lesen :-)
mit vermurkst meine ich, nicht mehr vertrauenswürdig aufgrund der vielen trojaner.
datensicherung:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
deaktiviere autorun und dann sichere die daten.
zur absicherung kommen wir dann wenn wir so weit sind.
weist du wie das mit dem formatieren läuft?
benutzt du:
- windows cd
- recovery cd
-recovery laufwerk?

hi,
ohne dich als lügner bezeichnen zu wollen oder so, aber solche und ähnliche geschichten mit den keygens bekomme ich ständig zu lesen :-)

Verständlich und wie gesagt ich hab ja einen benutzt da führt kein gestammel drum rum ^^

Das mit Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de

Werd ich gleich morgen angehen, dann hab ich eine Externe Festplatte zu Verfügung

->

weist du wie das mit dem formatieren läuft?
benutzt du:
- windows cd
- recovery cd
-recovery laufwerk?

Eigentlich ja. Cd Rein ( Im Bios müsste noch gespiegelte Festplatten eingestellt sein ) Platte auswählen und formatieren, dann entsprechend der Anleitung folgen.

Ich benutz ne Windows cd ( Home ) oder was meinst du mit Recovery laufwerk ?

Mfg Husk

na zb netbooks haben ja kein extra cd bzw dvd laufwerk, dort gibt es eine partition auf der das betriebssystem liegt.
ok wenn du fertig bist, meld dich bitte für weiter führende tipps.

Sooo

Hat leider bissel länger gedauert zuviel Arbeit :-)

Rechner ist platt , wieder neu hergestellt und ich würde mich freuen wenn du mir die entsprechenden Hinweise geben könntest, damit son murx mir nicht noch einmal passiert :-)

Mfg Husk

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter vista /windows 7 und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:
http://www.trojaner-board.de/127580-...igurieren.html
denke die haben das beste gesammt angebot für kostenlose produkte.
als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt

Sooo erstmal nen aktueller Bearbeitungstand :-)


Anleitung: Maßnahmen zur Absicherung des Rechners

Windows Updates automatisch herunterladen und installieren - Check


Alles installiert, auch optionales, biss auf

Windows-Tool zum Entfernen bösartiger Software


Unter der beschreibung dieses Tools steht :

Findet das Windows-Tool ein oder mehrere Schadprogramme, werden diese automatisch entfernt. Laut Microsoft werden nur in diesem Fall Informationen an den Hersteller verschickt, darunter der Name des Wurms, das Ergebnis des Entfernungsversuchs, Daten zur Betriebssystem-Version, dem Standort des Rechners und der Prozessor-Architektur.

Ich möchte ungerne irgentwem auch nur ansatzweise verraten wo ich mich befinde. Hat bei Apple schon dazu geführt das ich mein Iphone stillgelegt habe.


Du solltest nur noch als eingeschränkter Nutzer arbeiten, da das Admininstrator Konto nur für Installationen gedacht ist. - Check

(

Fand dann nur störend das ich für jedes Konto die Firefox addons erneut installieren musste und

alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü

da gab es das Problem, das es Default also Standart nicht gab, nur die drei angelegten Konten ( mit dem Adminkonto ) Öffentlich und UpdatusUser.
Fand das bissel komisch

)

SEHOP - check

Wobei ich weiß ob das geklappt hat ( bin den Anweisungen gefolgt in der Anleitung )

Benutzerkontensteuerung - check

Virenschutz - check

In der Anleitung wurden 3 aufgezählt

Avast
Avira AntiVir free
Microsoft Security Essentials

Da ich mich bereits mit Avira Antivir auskenne, habe ich mich dafür entschieden.

Browser -Check

Benutze Firefox, hab ich schon immer und möchte mich ungerne an Opera gewöhnen

-NoScript -check
- Adblock -check
- WOT hab ich zwar instaliert aber es kommt nur der Hinweiß, wenn man auf einstellungen gehen möchte -> Please enable JavaScript to use this feature. / aber Java is bereits in Firefox aktiviert


Autorun deaktivieren -check

USB Sticks, Festplatten etc, sollte man mit Panda Vaccine desinfizieren -> nicht besorgt, um das Tool runterzuladen zu dürfen, bedarf es Telefonnummer etc und das bin ich nicht bereit, anzugeben für ein Freetool

( Meine einzige Sorge war, das nachdem ich die Daten auf einer Externen Festplatte gespeichert hatte, vor der Löschung des Betriebssystems, das davon einige Dateien infiziert sind und sich nun auf meinem frischen Betriebssystem breitmachen ( Hab die Autostart Funktion deaktiviert bevor ich meine Daten sicherte ))

Instaliere dir folgende Update Checker -check

Secunia:
Secunia Personal Software Inspector (PSI)


File Hippo update checker:

Auf Back Ups hab ich verzichtet, da ich ja ein Raid von 2 Platten habe , für den Fall, das mal eine kaputt geht.


Soo das war erstmal mein aktueller Stand :-)
Mit der Sandbox werd ich mich demnächst beschäftigen, das sieht doch komplexer aus.

Vielen Dank erstmal für die Hilfe biss hier hin :-)

Mfg Husk

na das ms tool brauchst du nicht unbedingt.
aber daten wo du dich befindest gibts du nun mal preis.... ist eig auch nicht weiter tragisch, denn der standort lässt erst mal keine schlüsse auf dich zu.
hatt das mit den verknüpfungen geklappt? eig müsste es das geben. über
ordneroptionen ansicht mal versteckte dateien und ordner einblenden.
SEHOP - check
wenn du das fixit tool genommen hast und es kei fehler gab hatts geklappt
avira konfig anleitung:
http://www.trojaner-board.de/54192-a...tellungen.html
achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig.
unter avira, konfiguration, Guard, Suche, weitere Aktionen die autostart überwachung deaktivieren.

aber wie gesagt würd ich avast nutzen, da umfangreicher, pdf link ist zu sehen
- WOT hab ich zwar instaliert aber es kommt nur der Hinweiß, wenn man auf einstellungen gehen möchte -> Please enable JavaScript to use this feature. /
aber Java is bereits in Firefox aktiviert kann man auch drauf verzichten.
panda:
1. hättest gefälschte daten angeben können, außer bei der mail.
2. lads von hier:
http://filepony.de/download-panda_usb_vaccine/
ok, sandboxie ist eig einfach zu bedienen, wirst schon merken denke ich, falls fragen auftauchen, melden.