eine ganze Latte von Schadprogrammen
 

Hallo zusammen,

ich hab mal ne allgemeinen Scan meines Computers gemacht und dabei ein paar gute Schadprogramme festgestellt:

1. Versuch mit antivir:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 23. November 2007 02:54

Es wird nach 940014 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: POLLOCK

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 15.09.2007 19:10:07
AVSCAN.DLL : 7.0.6.0 57384 Bytes 15.09.2007 19:10:07
LUKE.DLL : 7.0.5.3 147496 Bytes 15.09.2007 19:10:08
LUKERES.DLL : 7.0.6.0 10792 Bytes 15.09.2007 19:10:09
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 09:00:18
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 09:00:18
ANTIVIR2.VDF : 7.0.0.198 1206272 Bytes 11.11.2007 18:37:34
ANTIVIR3.VDF : 7.0.0.249 201216 Bytes 22.11.2007 21:29:42
AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 07.11.2007 21:58:04
AVWINLL.DLL : 1.0.0.7 14376 Bytes 21.04.2007 02:28:29
AVPREF.DLL : 7.0.2.2 25640 Bytes 15.09.2007 19:10:07
AVREP.DLL : 7.0.0.1 155688 Bytes 21.04.2007 02:28:30
AVPACK32.DLL : 7.3.0.15 360488 Bytes 11.08.2007 20:07:28
AVREG.DLL : 7.0.1.6 30760 Bytes 15.09.2007 19:10:07
AVARKT.DLL : 1.0.0.20 278568 Bytes 15.09.2007 19:10:04
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 15.09.2007 19:10:05
NETNT.DLL : 7.0.0.0 7720 Bytes 21.04.2007 02:28:30
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 15.09.2007 19:09:53
RCTEXT.DLL : 7.0.62.0 90152 Bytes 15.09.2007 19:09:53
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.09.2007 19:10:11

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: d:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: F:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Freitag, 23. November 2007 02:54

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'REMIND32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ScnPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ps_timer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'InstantAccess.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '26' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Programme>
D:\Dell Optplex GX150\Wichtige Software\Ahead.Nero.Burning.ROM.v6.6.0.13.Ultra.Edition-CORE-GEAR.for.www.goldesel.to\Ahead.Nero.Burning.ROM.v6.6.0.13.Ultra.Edition.WinALL.Incl.Keymaker-CORE\crack\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Keygen.BF
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47bf3f81.qua' verschoben!
Beginne mit der Suche in 'F:\'
F:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.AY
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47b84fb0.qua' verschoben!
F:\RECYCLER\NPROTECT\00016293.CAB
[0] Archivtyp: CAB (Microsoft)
--> gtrawbm.fil
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.AY
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '477667ca.qua' verschoben!
F:\RECYCLER\NPROTECT\00016896.CAB
[0] Archivtyp: CAB (Microsoft)
--> gtrawbm.fil
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.AY
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47766803.qua' verschoben!
F:\RECYCLER\NPROTECT\00017504.CAB
[0] Archivtyp: CAB (Microsoft)
--> gtrawbm.fil
[FUND] Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.AY
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47766844.qua' verschoben!
F:\Sicherung Werner austausch PC\Desktop\biochemie.rar
[0] Archivtyp: RAR
--> Klausurfragen\FragensammlungHamprecht_20001027.ace
[1] Archivtyp: ACE
--> Nucleins„uren Fragensammlung DIN-A-5.doc
[WARNUNG] Fehler beim Erzeugen der Datei
--> Proteine und Aminos„uren - Fragensammlung DIN-A-5.doc
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
--> Klausurfragen\KlausurHamprecht_20041209.ace
[1] Archivtyp: ACE
--> Diplompr�fungen Hamprecht.doc
[WARNUNG] Fehler beim Erzeugen der Datei
[WARNUNG] Fehler beim Erzeugen der Datei
F:\Sicherung Werner austausch PC\Desktop\biochemie\Klausurfragen\FragensammlungHamprecht_20001027.ace
[0] Archivtyp: ACE
--> Nucleins„uren Fragensammlung DIN-A-5.doc
[WARNUNG] Fehler beim Erzeugen der Datei
--> Proteine und Aminos„uren - Fragensammlung DIN-A-5.doc
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
F:\Sicherung Werner austausch PC\Desktop\biochemie\Klausurfragen\KlausurHamprecht_20041209.ace
[0] Archivtyp: ACE
--> Diplompr�fungen Hamprecht.doc
[WARNUNG] Fehler beim Erzeugen der Datei
[WARNUNG] Fehler beim Erzeugen der Datei


Ende des Suchlaufs: Freitag, 23. November 2007 07:20
Benötigte Zeit: 4:26:14 min

Der Suchlauf wurde abgebrochen!

6051 Verzeichnisse wurden überprüft
315792 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
315787 Dateien ohne Befall
2114 Archive wurden durchsucht
14 Warnungen
2 Hinweise

dann hab ich die Dateien in die Quarantänedatei gepackt

2. Versuch:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:38:57, on 26.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\FreePDF_XP\fpassist.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\ScanPanel\ScnPanel.exe
C:\Programme\TextBridge Pro 8.0\Ereg\REMIND32.EXE
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Pro 8.0\Ereg\REMIND32.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E063043A-7109-4730-8C4F-517FA9CF9474}: NameServer = 134.2.200.2,134.2.200.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4758 bytes

:snyper: bevor ihr mich erschiesst: das wars! eine weitere Überprüfung ergab keine Viren oder andere Programme mehr

Was kann ich jetzt tun? Vielen Dank schon mal im voraus :daumenhoc

Hallo.

Du hast dir fahrlässigerweise einen Keygen besorgt - derartige dubiose Software ist sehr häufig verseucht...

Bei dir wurde ein Schädling mit Backdoorfunktionen erkannt. Backdoors kann man nie zuverlässig entfernen, daher empfehle ich dir ein Neuaufsetzen.