Trojaner-Board - Cablecom meldet Viren-/Trojanerbefall :(

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Cablecom meldet Viren-/Trojanerbefall :( (https://www.trojaner-board.de/70358-cablecom-meldet-viren-trojanerbefall.html)

Cablecom meldet Viren-/Trojanerbefall :(

Guten Abend

ich habe mir kurz nach Silvester einen Wurm eingefangen, der meinen Rechner über zugerichtet hatte. Da es sowieso an der Zeit war, mal wieder neu auf zu setzen, fand ich das jedoch nicht weiter schlimm. Ich hatte also meine heruntergeladenen Daten auf die externe Platte gepackt, Festplatten komplett gelöscht und Windows neu draufgepackt..

Später erhielt ich von der Cablecom (Schweiz) einen Brief, in welchem stand:

Zitat:

Cablecom wurde von dritter Stelle darauf aufmerksam gemacht, dass über ihren hispeed internet-Anschluss Viren/Würmer/Trojaner (Malware) verschickt wurde[..] anhand der unten aufgeführten Angaben stelen wir fest, dass die aufgezeichnete IP-Adresse zum angegebenen Datum Ihrem hispeed-Internetanschluss zugeordnet war..

Ich dachte zuerst, dass es sich um den von mir erkannten Wurm handelt, jedoch war das angegebene Datum von nach meiner Neuinstallation. Ich liess also Malwarebytes laufen, was jedoch zu keinem Ergebnis führte. Da ich nichts weiter bemerkte, dachte ich mir, dass die sich irrten oder tatsächlich den bereits gelöschten Wurm ansprechen würden und machte mir nichts weiter draus..

Nun habe ich heute jedoch erneut den selben Brief mit einem anderen Vorfalldatum erhalten, worauf ich gleich sämtliche von euch empfohlenen Schritte durchgeführt habe.

Ist es möglich, oder besser, wie wahrscheinlich ist es, dass sich ein Schädling auf meiner externen Platte befindet und von dort immer wieder auf den rechner zugreift? Falls dies der Fall ist, wie kann ich es erkennen und vor allem das Problem lösen?

Ich wäre sehr froh, wenn sich jemand mal die Logs anschauen könnte und mich für weitere Schritte instruieren würde.

hier erstmal meine logfiles:

Malwarebyte:

Code:

Malwarebytes' Anti-Malware 1.32

Datenbank Version: 1618

Windows 5.1.2600 Service Pack 2
 

22.02.2009 16:25:06

mbam-log-2009-02-22 (16-25-06).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|H:\|)

Durchsuchte Objekte: 112419

Laufzeit: 1 hour(s), 6 minute(s), 47 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Hijackthis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:56:41, on 23.02.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Programme\Canon\MyPrinter\BJMyPrt.exe

C:\Programme\sony\keyboard closure setup\KSWServ.exe

C:\Programme\sony\usbsircs\usbsircs.exe

C:\Programme\Canon\IJPLM\IJPLMSVC.EXE

C:\WINDOWS\System32\irdvxc.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Mozilla Firefox\firefox.exe

D:\Downloads\HiJackThis2009\HiJackThisMutha.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://www.club-vaio.sony-europe.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://www.club-vaio.sony-europe.com/

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [RECOVMSG] C:\Programme\Sony\VAIO Application Recovery Utility\bin\RecovMsg.exe

O4 - HKLM\..\Run: [ISP] C:\Programme\sony\ISPselector\ISPselector.exe /SCHEDULER

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon

O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Keyboard Closure Setup.lnk = ?

O4 - Global Startup: Remocon-Treiber.lnk = ?

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=h***://www.club-vaio.sony-europe.com/

O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe
 

--

End of file - 3498 bytes

Software:

Code:

Adobe Flash Player 10 Plugin

Adobe Reader 9 - Deutsch

Agere Systems AC'97 Modem

Apple Software Update

Applian FLV Player

Canon MP Navigator EX 2.0

Canon MP630 series Benutzerregistrierung

Canon MP630 series MP Drivers

Canon Utilities Easy-PhotoPrint EX

Canon Utilities My Printer

Canon Utilities Solution Menu

CCleaner (remove only)

CD-LabelPrint

Free M4a to MP3 Converter 6.0

HijackThis 2.0.2

Inkjet Printer/Scanner Extended Survey Program

ISP Selector (Deutsch)

Java 2 Runtime Environment, SE v1.4.2_01

Keyboard Closure Setup 

K-Lite Codec Pack 4.5.3 (Full)

Malwarebytes' Anti-Malware

Microsoft Office Professional Edition 2003

Mozilla Firefox (3.0.6)

QuickTime

SiS Compatible VGA V2.21a

VAIO BrightColor Wallpaper

VAIO Clock Screen Saver

VAIO DeepSea Wallpaper

VAIO Remote Commander Utility 6.2

VAIO System Information

Windows XP Service Pack 2

WinRAR

Ich habe mir Mühe gegeben, alle eure Regeln und Angaben zu befolgen und hoffe, dass der Thread nicht wieder gelöscht wird.. :eek:

Vielen Dank schonmal im Voraus für eure Hilfe!

Gruss, mpc101

Zitat:

Zitat von mpc101 (Beitrag 415914)

Malwarebyte:
[CODE]Malwarebytes' Anti-Malware 1.32 <--- nicht aktuell
Datenbank Version: 1618 <--- veraltet

Lade dir bitte die aktuelle Version von Malwarebytes Anti-Malware runter und starte dann ein Update. Anschließend einen neuen Scan durchführen, dann sollte er fündig werden.

Danach SUPERAntiSpyware runterladen und die Anleitung befolgen. (Updaten nicht vergessen)

Untersuche deine Externe Festplatte sehr gründlich auf Viren (Avira Antivir auf aggressive Einstellungen) und Malwarebytes solltest du auch dort drüberlaufen lassen.

Du kannst dann schonmal die Windows CD rauskramen und dich auf ein weiteres Neuaufsetzen einstellen. ServicePack 3 installieren nicht vergessen.

Danke für deine Antwort!

Malwarebytes ist momentan offenbar down, dh man kann nix updaten..

ich habe versucht die neue version mit dem im forum geposteten link (filepony)
runterzuladen, aber wenn ich diese installieren will geht da was schief..

der assistent meldet sofort nachdem ich auf installieren klicke, dass die installation erfolgreich abgeschlossen sei. jedoch ohne dass irgendwas installiert wurde.. Es wurde zwar auf C: ein Programmordner erstellt, der ist aber leer..

Hoffe, dass Malwarebytes bald wieder funzt, dann werde ich deine Schritte ausführen.. jetzt werde ich also erstmal Avira Antivir auf meine externen lalufwerke loslassen.. bericht folgt!

EDIT: wollte jetzt gerade Superantispyware runterladen jedoch bekomme ich auch hier die gleiche Fehlermeldung:

Code:

Der Server unter www.superantispyware.com konnte nicht gefunden werden.

Code:

Der Server unter www.malwarebytes.org konnte nicht gefunden werden.

sind die beiden sites wirklich gerade down oder ist mein Viech etwa so intelligent, dass es seine schlimmsten feinde von mir fernhält???

Was sowieso offensichtlich war, hat sich jetzt noch bestätigt..
das war natürlich mein Mistviech, welches alle gängigen Seiten bekannter Antivirusfirmen blockierte.

Habe nun bereits zum zweiten mal neu aufgesetzt..
Offenbar ist auch meine externe Festplatte infiziert, denn bevor ich diese wieder angeschlossen hatte, war alles gut. Später wurden bereits wieder die Seiten blockiert.. Jedoch glaube ich, dass die Probleme erst zurückkamen, nachdem ich Schlaumeier Software von der externen Platte auf den Rechner installiert habe.. D.h. ich habe also grosse Hoffnung, die ca 300GB an Daten, welche mir zum Teil schon sehr wichtig sind, retten zu können.

Nun stimmt es, dass es unwahrscheinlich ist, dass sich lediglich vom anschliessen der Platte wieder was bei mir einnistet?
Anschliessen muss ich das Ding ja ohnehin wieder, damit ich überhaupt scannen kann. ich hoffe doch sehr, dass ich den Schweinehund aufspüren und eliminieren kann, ohne, dass ich meine ganzen Daten verliere. Die sind mir nämlich fast wichtiger als meine Schrottkiste. (ca 5 Jahre alt)

http://gmer.net/ lade dir dort bitte Cachtme und Gmer auf den Desktop.

Starte Catchme, nachdem es fertig ist, erscheint ein Log auf deinem Desktop. Den Inhalt kopieren und hier einfügen.

Anschließend Gmer starten. Der Reiter Rootkit sollte ausgewählt sein. Starte den Scan und wenn er fertig ist, auf "Copy" drücken und das Ergebnis hier einfügen. Sollte der Log zu lang sein, in 2 Teilen posten oder bei http://www.file-upload.net/ hochladen und link zum Download posten.

Alles klar, hab ich beides gemacht.

Catchme:

Code:

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006

h**p://www.gmer.net
 

scanning hidden processes ...
 

scanning hidden services ...
 

scanning hidden autostart entries ...
 

scanning hidden files ...
 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Gmer:

Code:

GMER 1.0.14.14536 - h**p://www.gmer.net

Rootkit scan 2009-02-24 20:01:55

Windows 5.1.2600 Service Pack 3
 
 

---- System - GMER 1.0.14 ----
 

SSDT            E1482F70                     ZwConnectPort
 

---- Devices - GMER 1.0.14 ----
 

AttachedDevice  \FileSystem\Ntfs \Ntfs       SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\Ip     SYMTDI.SYS (Norton Internet Security Filter/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\Tcp    SYMTDI.SYS (Norton Internet Security Filter/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\Udp    SYMTDI.SYS (Norton Internet Security Filter/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\RawIp  SYMTDI.SYS (Norton Internet Security Filter/Symantec Corporation)

AttachedDevice  \FileSystem\Fastfat \Fat     SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
 

---- EOF - GMER 1.0.14 ----

Ich lass in der Zwischenzeit mal die anderen Proggis laufen, die du mir empfohlen hast.

Gruss, mpc

Okay, wenn die anderen Programme durch sind, poste nur Ergebnisse, wenn sie etwas finden.

Prüfe vor Allem deine externe Festplatte sehr gründlich, ich denke, dass dort ein Autorunvirus drauf ist. Falls du dir nicht ganz sicher bist, ob alles sauber ist, vermeide alle ausführbaren Programme. Ist ohnehin meistens sinnvoll kleinere Programme nicht lange zu speichern, weil sowieso in relativ kurzen Abständen neuere Versionen auftauchen. Räum am besten gleich auf und schmeiss alles raus, was du nicht unbbedingt benötigst oder schnell wieder laden kannst.

Such mal nach versteckten Autorun.inf.

Ok, Malwarebytes und Superantispyware sind tatsächlich fündig geworden..

Was mich etwas verwirrt hat, war, dass Malwarebytes die 6 gefundenen Objekte gleich nach den ersten paar Sekunden angezeigt hatte. Also, während C:\ gescannt wurde. Die infizierten Objekte befinden sich jedoch offensichtlich auf den externen Laufwerken, die erst zum Schluss gescannt wurden.. Keine Ahnung was das soll, ist mir nur aufgefallen..

Ich scanne die externen Platten jetzt noch mit Avira mit aggressiven Einstellungen und schaue, was dabei herauskommt. Bericht folgt.

PS:

Der allergrösste Teil meiner gespeicherten Daten ist Musik. Sind diese Files also eher sicher? Nur weil du vor allem ausführbare Dateien ansprichst..

Und wie siehts aus mit noch unentpackten rar-verzeichnissen, kann sich da auch was verstecken, auch wenn diese vorher sauber waren?

Nisten sich die Dinger in beliebige ausführbaren Dateien ein und diese sind dann verseucht oder springen diese sozusagen auf den Zug auf, sobald ich ihnen durch irgend ein setup Zugang zum System verschaffe?
Ich frage nur, weil heute gings wieder los, nachdem ich MS Office von der Festplatte her installierte, vorher hatte ich jedoch nie Probleme damit..
Ich habe zusätzlich auch noch immer die ursprüngliche gezippte Version "archiviert"..

Auch das Adobe Programm, welches von Superantispyware gekennzeichnet wurde machte nie Probleme oder fiel irgendwie auf bei Scans usw..

Sorry, falls die Fragen doof sind.. ich bin mir einfach nicht sicher ob ich mir das richtig vorstelle und würde es gern verstehen, damit ich in Zukunft besser vorbeugen kann. Ich bin lange (vermeintlich?) gut gefahren mit brain.exe und jetzt plötzlich ist wieder die hölle los..

wie auch immer;

Code:

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1798

Windows 5.1.2600 Service Pack 3
 

24.02.2009 20:35:43

mbam-log-2009-02-24 (20-35-21).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|)

Durchsuchte Objekte: 114113

Laufzeit: 22 minute(s), 35 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 2

Infizierte Dateien: 4
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

G:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Conficker.H) -> No action taken.

H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Conficker.H) -> No action taken.
 

Infizierte Dateien:

G:\autorun.inf (Trojan.Conficker.H) -> No action taken.

G:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Conficker.H) -> No action taken.

H:\autorun.inf (Trojan.Conficker.H) -> No action taken.

H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Conficker.H) -> No action taken.

Code:

SUPERAntiSpyware Scan Log

h**p://www.superantispyware.com
 

Generated 02/24/2009 at 09:49 PM
 

Application Version : 4.25.1012
 

Core Rules Database Version : 3773

Trace Rules Database Version: 1732
 

Scan type       : Complete Scan

Total Scan Time : 00:59:24
 

Memory items scanned      : 414

Memory threats detected   : 0

Registry items scanned    : 3482

Registry threats detected : 0

File items scanned        : 59686

File threats detected     : 16
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\***\Cookies\***@tribalfusion[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@www.highfi-stats[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@sonyeurope.112.2o7[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@conrad-ch[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@smartadserver[2].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@apmebf[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@xiti[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@conrad[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@2o7[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@bluestreak[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@ad.zanox[2].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@fastclick[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@adtech[1].txt
 

Trojan.Agent/Gen-FSG

        G:\DOWNLOADS FOLDER\++++EVERYTHINGELSE\AA3\ADOBE.AUDITION.V3.0.MULTILINGUAL.RETAIL.INCL.KEYMAKER.READ.NFO-AGAIN\KEYGEN.EXE

So, und hier ist der Avira Report.
Da wurde einiges mehr gefunden, jedoch weis ich nicht ob die meisten Fehlalarme sind.. Contains recognition pattern of the W32/Virut.AX Windows virus
Ich habe mal die dinger in Quarantäne geschickt und warte ab, was du dazu meinst..

Code:



Avira AntiVir Personal

Report file date: Dienstag, 24. Februar 2009  23:04
 

Scanning for 1264314 virus strains and unwanted programs.
 

Licensed to:      Avira AntiVir PersonalEdition Classic

Serial number:    0000149996-ADJIE-0001

Platform:         Windows XP

Windows version:  (Service Pack 3)  [5.1.2600]

Boot mode:        Normally booted

Username:         SYSTEM

Computer name:    SJ
 

Version information:

BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:05:00

AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.11.2008 08:21:26

AVSCAN.DLL    : 8.1.4.0        40705 Bytes  26.05.2008 07:56:40

LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 12:44:19

LUKERES.DLL   : 8.1.4.0        12033 Bytes  26.05.2008 07:58:52

ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 11:30:36

ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 21:52:14

ANTIVIR2.VDF  : 7.1.2.55      248832 Bytes  20.02.2009 21:52:15

ANTIVIR3.VDF  : 7.1.2.75       91648 Bytes  24.02.2009 21:52:16

Engineversion : 8.2.0.88  

AEVDF.DLL     : 8.1.1.0       106868 Bytes  24.02.2009 21:52:27

AESCRIPT.DLL  : 8.1.1.52      348538 Bytes  24.02.2009 21:52:26

AESCN.DLL     : 8.1.1.7       127347 Bytes  24.02.2009 21:52:25

AERDL.DLL     : 8.1.1.3       438645 Bytes  04.11.2008 13:58:38

AEPACK.DLL    : 8.1.3.8       397684 Bytes  24.02.2009 21:52:24

AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  24.02.2009 21:52:23

AEHEUR.DLL    : 8.1.0.97     1610103 Bytes  24.02.2009 21:52:22

AEHELP.DLL    : 8.1.2.0       119159 Bytes  24.02.2009 21:52:19

AEGEN.DLL     : 8.1.1.21      336244 Bytes  24.02.2009 21:52:18

AEEMU.DLL     : 8.1.0.9       393588 Bytes  14.10.2008 10:05:56

AECORE.DLL    : 8.1.6.6       176501 Bytes  24.02.2009 21:52:17

AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 10:05:56

AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 08:40:05

AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:28:01

AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 12:02:15

AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 11:26:40

AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:23

AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:49

SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02

SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 12:49:40

NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:10

RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 13:48:07

RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 13:34:37
 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:, D:, G:, H:, 

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: off

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 

Macro heuristic..................: on

File heuristic...................: high

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,
 

Start of the scan: Dienstag, 24. Februar 2009  23:04
 

Starting search for hidden objects.

'42211' objects were checked, '0' hidden objects were found.
 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'firefox.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'VAServ.exe' - '1' Module(s) have been scanned

Scan process 'USBsircs.exe' - '1' Module(s) have been scanned

Scan process 'KSWServ.exe' - '1' Module(s) have been scanned

Scan process 'SUPERAntiSpyware.exe' - '1' Module(s) have been scanned

Scan process 'ccApp.exe' - '1' Module(s) have been scanned

Scan process 'ezSP_Px.exe' - '1' Module(s) have been scanned

Scan process 'AGRSMMSG.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'SAVScan.exe' - '1' Module(s) have been scanned

Scan process 'navapsvc.exe' - '1' Module(s) have been scanned

Scan process 'ccProxy.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'ccEvtMgr.exe' - '1' Module(s) have been scanned

Scan process 'ccSetMgr.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

31 processes with 31 modules were scanned
 

Starting master boot sector scan:

Master boot sector HD0

    [INFO]      No virus was found!

Master boot sector HD1

    [INFO]      No virus was found!

    [WARNING]   System error [21]: Das Gerät ist nicht bereit.

Master boot sector HD2

    [INFO]      No virus was found!

Master boot sector HD3

    [INFO]      No virus was found!
 

Start scanning boot sectors:

Boot sector 'C:\'

    [INFO]      No virus was found!

Boot sector 'D:\'

    [INFO]      No virus was found!

Boot sector 'G:\'

    [INFO]      No virus was found!

Boot sector 'H:\'

    [INFO]      No virus was found!
 

Starting to scan the registry.

The registry was scanned ( '56' files ).
 
 

Starting the file scan:
 

Begin scan in 'C:\' <VAIO>

C:\hiberfil.sys

    [WARNING]   The file could not be opened!

C:\pagefile.sys

    [WARNING]   The file could not be opened!

Begin scan in 'D:\' <VAIO>

D:\Downloads\FFSJ.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [WARNING]   An error has occurred and the file was not deleted. ErrorID: 26004

    [WARNING]   The source file could not be found.

    [NOTE]      Attempting to perform action using the ARK lib.

    [WARNING]   Error in ARK lib

    [NOTE]      The file is scheduled for deleting after reboot.

D:\System Volume Information\_restore{D0E95171-075C-4CCC-B2B9-A2503316E952}\RP12\A0003735.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '49d47637.qua'!

Begin scan in 'G:\' <MOTHERLOAD>

G:\DOWNLOADS FOLDER\CryptLoad_1.1.6.rar

    [0] Archive type: RAR

    --> router\FRITZ!Box\nc.exe

      [DETECTION] Contains recognition pattern of the SPR/Tool.NetCat.B program

    [NOTE]      The file was moved to '4a1d77ca.qua'!

G:\DOWNLOADS FOLDER\++++EVERYTHINGELSE\AA3\Adobe.Audition.v3.0.Multilingual.Retail.Incl.Keymaker.READ.NFO-AGAiN\ag-32801.zip

    [0] Archive type: ZIP

    --> Keygen.EXE

      [DETECTION] Is the TR/Packed.2537 Trojan

    [NOTE]      The file was moved to '49d17d12.qua'!

G:\DOWNLOADS FOLDER\++++EVERYTHINGELSE\SOUNDWAVES\Crunchy Nut\PowerISO.v3.1.Incl.Keymaker\CORE10k.EXE

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '49f67d7b.qua'!

G:\DOWNLOADS FOLDER\++++EVERYTHINGELSE\SOUNDWAVES\Crunchy Nut\PowerISO.v3.1.Incl.Keymaker\keygen.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4a1d7da4.qua'!

G:\DOWNLOADS FOLDER\++++SOUNDS & TOOLS\Vintage Warmer 2\PSP.Audioware.Vintage.Warmer.VST.RTAS.v2.1.4.incl.KeyGen.WIN-NEMESiS\KeyGen.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4a1d821e.qua'!

G:\DOWNLOADS FOLDER\ADOBE CS3 KEYGEN\Adobe.CS3.Design.Premium.Keymaker.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4a13821f.qua'!

G:\DOWNLOADS FOLDER\NEUSTART\DATEN VON C\iZotope\Vinyl\win32\Installer_Register_Proxy.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4a178269.qua'!

G:\DOWNLOADS FOLDER\NEUSTART\DATEN VON C\iZotope\Vinyl\win64\Installer_Register_Proxy.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4a17826a.qua'!

G:\RECYCLER\S-1-5-21-1844237615-1275210071-839522115-1003\Dk5.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '49d983e2.qua'!

G:\RECYCLER\S-1-5-21-1844237615-1275210071-839522115-1003\Dk10\USB\mxoaldr.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4a1383ef.qua'!

G:\RECYCLER\S-1-5-21-1844237615-1275210071-839522115-1003\Dk10\USB\mxonttry.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4a1383f0.qua'!

G:\RECYCLER\S-1-5-21-1844237615-1275210071-839522115-1003\Dk10\USB\mxostray.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4b81d739.qua'!

G:\RECYCLER\S-1-5-21-1844237615-1275210071-839522115-1003\Dk10\USB\mxoun.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4a1383f2.qua'!

G:\RECYCLER\S-1-5-21-1844237615-1275210071-839522115-1003\Dk9\demo32.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4a1183df.qua'!

G:\RECYCLER\S-1-5-21-1844237615-1275210071-839522115-1003\Dk9\start.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4a0583ef.qua'!

G:\System Volume Information\_restore{D0E95171-075C-4CCC-B2B9-A2503316E952}\RP11\A0003726.EXE

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '49d483bf.qua'!

G:\System Volume Information\_restore{D0E95171-075C-4CCC-B2B9-A2503316E952}\RP12\A0003736.EXE

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4845cee8.qua'!

G:\System Volume Information\_restore{D0E95171-075C-4CCC-B2B9-A2503316E952}\RP12\A0003737.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '49d483c0.qua'!

G:\System Volume Information\_restore{D0E95171-075C-4CCC-B2B9-A2503316E952}\RP12\A0003738.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4845cee9.qua'!

G:\System Volume Information\_restore{D0E95171-075C-4CCC-B2B9-A2503316E952}\RP12\A0003739.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '49d483c2.qua'!

G:\System Volume Information\_restore{D0E95171-075C-4CCC-B2B9-A2503316E952}\RP12\A0003740.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '49d483c1.qua'!

G:\System Volume Information\_restore{D0E95171-075C-4CCC-B2B9-A2503316E952}\RP12\A0003741.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4845ceea.qua'!

G:\System Volume Information\_restore{D0E95171-075C-4CCC-B2B9-A2503316E952}\RP12\A0003742.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '49d483c3.qua'!

G:\System Volume Information\_restore{D0E95171-075C-4CCC-B2B9-A2503316E952}\RP12\A0003743.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4845ceec.qua'!

G:\System Volume Information\_restore{D0E95171-075C-4CCC-B2B9-A2503316E952}\RP12\A0003744.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4845ceeb.qua'!

G:\System Volume Information\_restore{D0E95171-075C-4CCC-B2B9-A2503316E952}\RP12\A0003745.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '49d483c4.qua'!

G:\System Volume Information\_restore{D0E95171-075C-4CCC-B2B9-A2503316E952}\RP12\A0003746.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '4845ceed.qua'!

G:\System Volume Information\_restore{D0E95171-075C-4CCC-B2B9-A2503316E952}\RP12\A0003747.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '49d483c6.qua'!

G:\System Volume Information\_restore{D0E95171-075C-4CCC-B2B9-A2503316E952}\RP12\A0003748.exe

    [DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus

    [NOTE]      The file was moved to '49d483c5.qua'!

Begin scan in 'H:\' <MOVIE-DRIVE>
 
 

End of the scan: Mittwoch, 25. Februar 2009  00:33

Used time:  1:28:39 Hour(s)
 

The scan has been done completely.
 

   2953 Scanning directories

 304485 Files were scanned

     31 viruses and/or unwanted programs were found

      0 Files were classified as suspicious:

      0 files were deleted

      0 files were repaired

     30 files were moved to quarantine

      0 files were renamed

      2 Files cannot be scanned

 304452 Files not concerned

   7374 Archives were scanned

      4 Warnings

     31 Notes

  42211 Objects were scanned with rootkit scan

      0 Hidden objects were found

Zitat:

Zitat von mpc101 (Beitrag 416168)

incl.KeyGen.WIN-NEMESiS\KeyGen.exe

Also ich glaube jetzt wird dir hier kaum noch jemand helfen. Das es illegal ist brauche ich dir wohl kaum sagen, aber Cracks und Keygens sind fast immer infiziert.

Zitat:

Contains recognition pattern of the W32/Virut.AX Windows virus

Letzter Tipp von mir: Sichere alle NICHT AUSFÜHRBAREN Dateien irgendwo und mach alles andere platt.

Ich bin hier fertig, bye und Finger weg von Warez und co.

Ok, danke trotzdem für deine Hilfe!