Trojaner-Board - Antivir meldet TR/Dropper.Gen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Antivir meldet TR/Dropper.Gen (https://www.trojaner-board.de/71276-antivir-meldet-tr-dropper-gen.html)

Antivir meldet TR/Dropper.Gen

Hallo,

mein AntiVir meldet den Fund des Trojaners TR/Dropper.Gen in der Datei:
C:\System Volume Information\_restore{C9E5322E-58A4-4CFB-B8A5-0663336410AF}\RP535\A0101469.exe

Kann mir bitte jemand helfen den wieder los zu werden?

Hier das HjackLogfile

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:04:09, on 22.03.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe

F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\cisvc.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Microsoft Hardware\Mouse\point32.exe

C:\Programme\Microsoft Hardware\Keyboard\type32.exe

F:\Programme\Brennen\CloneCD\CloneCDTray.exe

F:\Programme\Bildbearbeitung\OpwareSE4.exe

C:\Programme\Java\jre6\bin\jusched.exe

F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe

C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe

C:\WINDOWS\system32\ctfmon.exe

F:\Programme\Brennen\Daemon Tools\daemon.exe

F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSuite.exe

C:\Programme\Skype\Phone\Skype.exe

F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSync2.exe

C:\Programme\DNA\btdna.exe

C:\dokumente und einstellungen\torsten-admin\lokale einstellungen\anwendungsdaten\gwgacuq.exe

F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe

C:\Programme\RALINK\Common\RaUI.exe

C:\Programme\PC Connectivity Solution\ServiceLayer.exe

C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe

C:\Programme\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cidaemon.exe

F:\Programme\Internet\Mozilla Thunderbird\thunderbird.exe

f:\programme\sicherheit\antivir personaledition classic\avcenter.exe

F:\Programme\Internet\Mozilla Firefox\firefox.exe

F:\Programme\Sicherheit\Hijackthis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.talti.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avgnt] "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"

O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\Brennen\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "F:\Programme\Bildbearbeitung\OpwareSE4.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "F:\Programme\Brennen\Daemon Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [PC Suite Tray] "F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Nokia.PCSync] "F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSync2.exe" /NoDialog

O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"

O4 - HKCU\..\Run: [gwgacuq] "c:\dokumente und einstellungen\torsten-admin\lokale einstellungen\anwendungsdaten\gwgacuq.exe" gwgacuq

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: NkbMonitor.exe.lnk = F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe

O4 - Global Startup: Quicken 2009 Zahlungserinnerung.lnk = F:\Programme\Finanzen\Quicken 2009\billmind.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

--

End of file - 7803 bytes

Grüße

Guddy

Halli hallo.

Du saugst über BitTorrent. Das solltest du bleiben lassen. Da fängt man sich dauernd was ein.
Ich denke für deinen Rechner kommt daher jede Hilfe zu spät -.-

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

c:\dokumente und einstellungen\torsten-admin\lokale einstellungen\anwendungsdaten\gwgacuq.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Hallo,

hab alles so gemacht wie beschrieben. War das die einzige Datei die ich prüfen sollte?

Code:

Datei gwgacuq.exe empfangen 2009.03.23 21:52:23 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 1/39 (2.57%)

Laden der Serverinformationen...

Ihre Datei wartet momentan auf Position: 3.

Geschätzte Startzeit ist zwischen 54 und 77 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen.

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt.

Filter Filter

Drucken der Ergebnisse Drucken der Ergebnisse

Datei existiert nicht oder dessen Lebensdauer wurde überschritten

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

Email:         

        

Antivirus         Version         letzte aktualisierung         Ergebnis

a-squared        4.0.0.101        2009.03.23        -

AhnLab-V3        5.0.0.2        2009.03.23        -

AntiVir        7.9.0.120        2009.03.23        -

Authentium        5.1.2.4        2009.03.23        -

Avast        4.8.1335.0        2009.03.23        -

AVG        8.5.0.283        2009.03.23        -

BitDefender        7.2        2009.03.23        -

CAT-QuickHeal        10.00        2009.03.23        -

ClamAV        0.94.1        2009.03.23        -

Comodo        1082        2009.03.23        -

DrWeb        4.44.0.09170        2009.03.23        -

eSafe        7.0.17.0        2009.03.23        -

eTrust-Vet        31.6.6412        2009.03.23        -

F-Prot        4.4.4.56        2009.03.23        -

F-Secure        8.0.14470.0        2009.03.23        -

Fortinet        3.117.0.0        2009.03.23        -

GData        19        2009.03.23        -

Ikarus        T3.1.1.48.0        2009.03.23        -

K7AntiVirus        7.10.679        2009.03.23        -

Kaspersky        7.0.0.125        2009.03.23        -

McAfee        5562        2009.03.23        -

McAfee+Artemis        5562        2009.03.23        -

McAfee-GW-Edition        6.7.6        2009.03.23        Trojan.LooksLike.Dropper

Microsoft        1.4502        2009.03.23        -

NOD32        3955        2009.03.23        -

Norman        6.00.06        2009.03.23        -

nProtect        2009.1.8.0        2009.03.23        -

Panda        10.0.0.10        2009.03.23        -

PCTools        4.4.2.0        2009.03.23        -

Prevx1        V2        2009.03.23        -

Rising        21.22.02.00        2009.03.23        -

Sophos        4.39.0        2009.03.23        -

Sunbelt        3.2.1858.2        2009.03.23        -

Symantec        1.4.4.12        2009.03.23        -

TheHacker        6.3.3.4.288        2009.03.23        -

TrendMicro        8.700.0.1004        2009.03.23        -

VBA32        3.12.10.1        2009.03.23        -

ViRobot        2009.3.23.1660        2009.03.23        -

VirusBuster        4.6.5.0        2009.03.23        -

weitere Informationen

File size: 253952 bytes

MD5...: d89d116372024c33722d4eb52916b649

SHA1..: ffea0368b9e953ea881e3cdbc71424e2c1ffb433

SHA256: 049093571be1835908e86d297e5bfde0c4ff718db5b9a1caf1c26bf458e98ff0

SHA512: 80c113d5f9bf7211afebea1376118f6e0a1bb4485d85123adc72c72af226d580

41a556772c2cd18e244f0ff1c8c627f66eb91795109edb54ece45f148145ee10

ssdeep: 6144:qVng8FeCgRFtkUsN10iXtVF3ho+T4J4fiUhxr3EtsFocksPnVH7todGn:qV

lXgRFaNB3ho+cJ46UDSgeG

PEiD..: Armadillo v1.71

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x30aa8

timedatestamp.....: 0x474132a9 (Mon Nov 19 06:52:25 2007)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x2fc36 0x30000 7.41 818af54537b0429d9fc4a073c644f64e

.rdata 0x31000 0xb4fc 0xc000 5.53 097b05c1487bd3756f8ef991a15ee55d

.data 0x3d000 0x93c 0x1000 3.79 6a0cf01fec5cdf8083c989ce8f0d31a3
 

( 10 imports )

> KERNEL32.dll: CreateNamedPipeA, DebugBreak, GetSystemDirectoryA, GetFileInformationByHandle, GlobalAddAtomA, SetThreadExecutionState, CreateSemaphoreW, InterlockedExchange, GetCurrentDirectoryW, LoadLibraryExW, FindClose, LocalAlloc, GetLogicalDriveStringsA, GetEnvironmentVariableA, LeaveCriticalSection, IsValidLocale, AddAtomA, HeapSize, GetThreadLocale, GetVersion, WideCharToMultiByte, GlobalHandle, GetSystemPowerStatus, CreateMutexA, GetShortPathNameA, SetStdHandle, GetWindowsDirectoryW, _lread, HeapFree, MoveFileExA, GetProcessHeap, SystemTimeToFileTime, GetStdHandle, SetProcessWorkingSetSize, OpenFileMappingA, LocalFileTimeToFileTime, SearchPathW, TlsGetValue, Process32NextW, DuplicateHandle, GetNumberFormatW, TlsFree, GetStringTypeExW, LCMapStringW, GetVolumeInformationA, GetFileAttributesExW, CompareStringA, InterlockedIncrement, GlobalAddAtomW, GetExitCodeThread, QueryPerformanceFrequency, CreateProcessW, GetStartupInfoW, SetCurrentDirectoryA, GetTempFileNameW, _lopen, MoveFileExW, GetOverlappedResult, VirtualQueryEx, SetCurrentDirectoryW, GlobalFree, LockResource, CreateEventW, GetTickCount, WriteProfileStringA, WritePrivateProfileStringW, GetCurrentThread, GetModuleHandleA, CopyFileA, GetModuleFileNameW, CreateSemaphoreA, GetFileTime, HeapDestroy, GetLocaleInfoW, RemoveDirectoryW, GetEnvironmentStringsW, VirtualAlloc, GetStartupInfoA

> USER32.dll: GetMenu, UnpackDDElParam, GetScrollInfo, EnumThreadWindows, SetWindowRgn, UnregisterClassA, GetScrollRange, GetDialogBaseUnits, FlashWindow, SendNotifyMessageA, TrackPopupMenuEx, GetWindowDC, CheckMenuRadioItem, CharUpperBuffW, DrawFrameControl, LoadMenuW, DrawStateW, DestroyIcon, SetCaretPos, DdeDisconnect, GetClassLongA, CharUpperW, SetDlgItemTextW, CreateCaret, CallNextHookEx, IsCharAlphaNumericW, MapVirtualKeyW, GetWindowThreadProcessId, NotifyWinEvent, GetDesktopWindow, TranslateMDISysAccel

> ole32.dll: CoLockObjectExternal, CoTaskMemRealloc, WriteClassStm, CoInitializeEx, PropVariantClear, CLSIDFromString, CoGetMalloc, CreateFileMoniker

> comdlg32.dll: ChooseColorA, GetOpenFileNameA, CommDlgExtendedError

> OLEAUT32.dll: -

> VERSION.dll: GetFileVersionInfoSizeW

> SHLWAPI.dll: PathFindFileNameA

> WINSPOOL.DRV: EnumPortsA, DocumentPropertiesW, GetPrinterDataA, ClosePrinter

> ADVAPI32.dll: RegDeleteValueA, RegisterEventSourceW, StartServiceCtrlDispatcherW, InitializeSid, GetAclInformation, AddAce, RegEnumValueA, RegDeleteKeyA

> MSVCRT.dll: _ecvt, _c_exit, calloc, free, _wcsnicmp, isspace, toupper, wcsspn, localtime, _mbsrchr, _exit, fclose, _errno, strncmp, iswspace, _purecall, _ismbblead, sprintf, wcsncpy, atol, isdigit, wcstol, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, qsort, malloc, exit, _XcptFilter, swscanf, swprintf, wcsstr, _controlfp, _itoa, floor, tolower, _wcsupr, strstr
 

( 0 exports )

Schicke die Datei bitte an Kasperksy:

http://forum.kaspersky.com/index.php?showtopic=42428

Kann ich meine Daten auf dem Rechner schon abschreiben?
Als was soll ich die Datei kennzeichnen: Unbekanntes Schadprogramm?

Zitat:

Kann ich meine Daten auf dem Rechner schon abschreiben?

Wie meinst du das?

Zitat:

Als was soll ich die Datei kennzeichnen: Unbekanntes Schadprogramm?

In den Betraff kommt "new virus"

Ich meine, wenn ich mein System neu aufsetzen muss. Dann muss ich doch davon ausgehen das auch andere Dateien infiziert sind. Muss ich dann alles löschen oder kann man da noch was retten?

Das gucken wir uns an wenn die Kasperksy Analyse da ist.
Kann aber gut sein, dass du den Rechner platt machen musst. Aber auch dann kannst du nach bestimmten Kriterien Daten sichern.
Auf jeden Fall solltest du ihn ab sofort vom Netz nehmen.

Ich hab die

Code:

gwgacuq.exe

eigentlich immer mit der Firewall geblockt seitdem sie drauf ist. Kann es trotzdem sein, dass das Ding schon "raustelefoniert" ?

Ahja und eins fällt mir noch ein. Seitdem der Fund gemeldet wurde Poppen beim Firefox immer neue Fenster auf, obwohl ich das eigentlich ausgeschalten hatte.

Der Rechner ist kompromitiert. Da hilft auch kein Firewall geblocke. Personal Firewalls sind eh kann man eigentlich eh abschaffen..

Was sagt denn Kaspersky Support?

Die melden sich nicht. Hab alles so gemacht wie in der Anleitung.
Hab das System nochmal im abgesicherten Modus gescannt und noch nen Fund:

Code:

Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Mittwoch, 25. März 2009  19:00
 

Es wird nach 1315646 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir PersonalEdition Classic

Seriennummer:     0000149996-ADJIE-0001

Plattform:        Windows XP

Windowsversion:   (Service Pack 3)  [5.1.2600]

Boot Modus:       Abgesicherter Modus

Benutzername:     Admin

Computername:     T
 

Versionsinformationen:

BUILD.DAT     : 8.2.0.347      16934 Bytes  16.03.2009 14:45:00

AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25.11.2008 22:09:57

AVSCAN.DLL    : 8.1.4.0        48897 Bytes  20.07.2008 11:05:35

LUKE.DLL      : 8.1.4.5       164097 Bytes  20.07.2008 11:05:36

LUKERES.DLL   : 8.1.4.0        12545 Bytes  20.07.2008 11:05:36

ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 20:42:41

ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 21:50:14

ANTIVIR2.VDF  : 7.1.2.199    1008640 Bytes  22.03.2009 19:54:24

ANTIVIR3.VDF  : 7.1.2.211      64000 Bytes  24.03.2009 19:54:23

Engineversion : 8.2.0.126 

AEVDF.DLL     : 8.1.1.0       106868 Bytes  01.02.2009 11:19:03

AESCRIPT.DLL  : 8.1.1.67      364923 Bytes  18.03.2009 19:54:10

AESCN.DLL     : 8.1.1.8       127346 Bytes  06.03.2009 18:32:55

AERDL.DLL     : 8.1.1.3       438645 Bytes  05.11.2008 22:07:55

AEPACK.DLL    : 8.1.3.11      397687 Bytes  24.03.2009 22:54:32

AEOFFICE.DLL  : 8.1.0.36      196987 Bytes  02.03.2009 07:32:40

AEHEUR.DLL    : 8.1.0.111    1679736 Bytes  24.03.2009 22:54:30

AEHELP.DLL    : 8.1.2.2       119158 Bytes  02.03.2009 07:32:37

AEGEN.DLL     : 8.1.1.30      336245 Bytes  18.03.2009 19:54:07

AEEMU.DLL     : 8.1.0.9       393588 Bytes  16.10.2008 06:33:00

AECORE.DLL    : 8.1.6.6       176501 Bytes  18.02.2009 06:17:54

AEBB.DLL      : 8.1.0.3        53618 Bytes  16.10.2008 06:32:59

AVWINLL.DLL   : 1.0.0.12       15105 Bytes  20.07.2008 11:05:35

AVPREF.DLL    : 8.0.2.0        38657 Bytes  20.07.2008 11:05:35

AVREP.DLL     : 8.0.0.2        98344 Bytes  01.08.2008 01:20:28

AVREG.DLL     : 8.0.0.1        33537 Bytes  20.07.2008 11:05:35

AVARKT.DLL    : 1.0.0.23      307457 Bytes  17.04.2008 13:27:08

AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  20.07.2008 11:05:35

SQLITE3.DLL   : 3.3.17.1      339968 Bytes  17.04.2008 13:27:09

SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  20.07.2008 11:05:36

NETNT.DLL     : 8.0.0.1         7937 Bytes  17.04.2008 13:27:09

RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  20.07.2008 11:05:31

RCTEXT.DLL    : 8.0.52.0       86273 Bytes  20.07.2008 11:05:31
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Vollständige Systemprüfung

Konfigurationsdatei..............: f:\programme\sicherheit\antivir personaledition classic\sysscan.avp

Protokollierung..................: niedrig

Primäre Aktion...................: interaktiv

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: C:, D:, F:, G:, H:, I:, J:, 

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: ein

Datei Suchmodus..................: Alle Dateien

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: aus

Archiv Smart Extensions..........: ein

Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 

Makrovirenheuristik..............: ein

Dateiheuristik...................: hoch

Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
 

Beginn des Suchlaufs: Mittwoch, 25. März 2009  19:00
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Treiber konnte nicht initialisiert werden.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '12' Prozesse mit '12' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'D:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'F:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'G:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'H:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'I:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'J:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '59' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\Torsten-admin\Anwendungsdaten\Thunderbird\Profiles\sspbjjcj.default\Mail\pop.gmx-1.net\Inbox

    [0] Archivtyp: Netscape/Mozilla Mailbox

      --> Mailbox_[Message-ID: <8704171D.5360744@chronoexpres.com>][From: TMS Logistik <Lance@tms-logistik.de>][Subject: KD 15567 Webshop Bestellung 14.02.2007]2652.mim

        [1] Archivtyp: MIME

        --> Rechnung-RE15567.pdf.exe

          [FUND]      Ist das Trojanische Pferd TR/Dldr.iBill.L

      --> Mailbox_[Message-ID: <1645D6A1.6642845@lansheng.net>][From: TMS Logistik <Teresa@tms-logistik.de>][Subject: KD 16120 Webshop Bestellung 14.02.2007]2654.mim

        [1] Archivtyp: MIME

        --> Rechnung-RE16120.pdf.exe

          [FUND]      Ist das Trojanische Pferd TR/Dldr.iBill.L

      --> Mailbox_[Message-ID: <03164.ximenes@ramani> ][From: "darius pravin" <bkbhandary@pafex.com> ][Subject: New anjelina jolie sex scandal]8594.mim

        [1] Archivtyp: MIME

        --> anjelina_video.zip

          [2] Archivtyp: ZIP

          --> anjelina_video.exe

            [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.fql

    [WARNUNG]   Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!

C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Thunderbird\Profiles\sspbjjcj.default\Mail\pop.gmx-1.net\Trash

    [0] Archivtyp: Netscape/Mozilla Mailbox

      --> Mailbox_[Message-ID: <03164.ximenes@ramani> ][From: "darius pravin" <bkbhandary@pafex.com> ][Subject: New anjelina jolie sex scandal]1400.mim

        [1] Archivtyp: MIME

        --> anjelina_video.zip

          [2] Archivtyp: ZIP

          --> anjelina_video.exe

            [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.fql

    [WARNUNG]   Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!

C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Thunderbird\Profiles\sspbjjcj.default\Mail\pop3.web.de\Inbox

    [0] Archivtyp: Netscape/Mozilla Mailbox

      --> Mailbox_[From: "Deutsche Telekom" <Rechnung-Online@t-com.net>][Message-ID: <759577884.03404236799990@t-com.net>][Subject: Deutsche Telekom Rechnung]2862.mim

        [1] Archivtyp: MIME

        --> TCom.zip

          [FUND]      Ist das Trojanische Pferd TR/PCK.EbayBill.L

      --> Mailbox_[Message-ID: <001a01c73575$c65309c8$4301a8c0@islam-771b966af][From: "Volksbank AG Support" <customers-support-num_9][Subject: Anleitung            ID: 917]3060.mim

        [1] Archivtyp: MIME

        --> file0.mim

          [2] Archivtyp: MIME

          --> file1.html

            [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

      --> Mailbox_[Message-ID: <002901c73665$aa7ae108$00fcfea9@unimatrix001>][From: "Volksbank AG'07" <customer-department_refnum_4][Subject: Volksbank AG: Online-Banking            Ref: 89]3064.mim

        [1] Archivtyp: MIME

        --> file0.mim

          [2] Archivtyp: MIME

          --> file1.html

            [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

      --> Mailbox_[Message-ID: <M4XAZ9-6K3bK7-H9@cpanel.error> ][From: "support@intl.paypal.com" <support@intl.paypal.][Subject: Paypal Notification]3072.mim

        [1] Archivtyp: MIME

        --> file0.html

          [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

      --> Mailbox_[Message-ID: <002001c742a7$ef59755c$b2ecf13c@user-94322c2d57][From: "Volksbanken Raiffeisenbanken  '07" <customer-s][Subject: Mitteilung von dem Volksbanken Raiffeisenbanken]3230.mim

        [1] Archivtyp: MIME

        --> file0.mim

          [2] Archivtyp: MIME

          --> file1.html

            [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

      --> Mailbox_[Message-ID: <000d01c74dac$9ff772ba$0202a8c0@zengin-4mqmkj0y][From: "Postbank  2007" <customer_department_id_66bso@][Subject: Wichtige Information            Id: 635]3434.mim

        [1] Archivtyp: MIME

        --> file0.mim

          [2] Archivtyp: MIME

          --> file1.html

            [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

      --> Mailbox_[Message-ID: <000a01c75063$f7bb0804$2f01a8c0@deCellofamily>][From: "Volksbanken '2007" <technical_support_op_759cj][Subject: Wichtige Information            ID: 0499]3480.mim

        [1] Archivtyp: MIME

        --> file0.mim

          [2] Archivtyp: MIME

          --> file1.html

            [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

      --> Mailbox_[Message-ID: <v5nyrZ-7lRrtd-W2@cpanel.error> ][From: "notify@intl.paypal.com" <notify@intl.paypal.co][Subject: Message Regarding Your Paypal Account]3620.mim

        [1] Archivtyp: MIME

        --> file0.html

          [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

      --> Mailbox_[Message-ID: <E7y6Zc-0E8i8U-r8@cpanel.error> ][From: "paypal_support@4069.com" <paypal_support@4069.][Subject: Paypal Member]4352.mim

        [1] Archivtyp: MIME

        --> file0.html

          [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

      --> Mailbox_[Message-ID: <000b01c7d384$c20d0348$f1a2abcb@bloodtyp-o9vfci][From: "Volksbanken  '2007" <online_support-reference_][Subject: Mitteilung von dem Volksbanken  - Sicherheitsdi]4750.mim

        [1] Archivtyp: MIME

        --> file1.html

          [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

    [WARNUNG]   Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!

C:\Dokumente und Einstellungen\admin\Desktop\Thunderbird 1.5 (de) - 25.06.2007.pcv

    [0] Archivtyp: ZIP

      --> Mail/pop.gmx-1.net/Inbox

        [1] Archivtyp: Netscape/Mozilla Mailbox

        --> Mailbox_[Message-ID: <8704171D.5360744@chronoexpres.com>][From: TMS Logistik <Lance@tms-logistik.de>][Subject: KD 15567 Webshop Bestellung 14.02.2007]2652.mim

          [2] Archivtyp: MIME

          --> Rechnung-RE15567.pdf.exe

            [FUND]      Ist das Trojanische Pferd TR/Dldr.iBill.L

        --> Mailbox_[Message-ID: <1645D6A1.6642845@lansheng.net>][From: TMS Logistik <Teresa@tms-logistik.de>][Subject: KD 16120 Webshop Bestellung 14.02.2007]2654.mim

          [2] Archivtyp: MIME

          --> Rechnung-RE16120.pdf.exe

            [FUND]      Ist das Trojanische Pferd TR/Dldr.iBill.L

      --> Mail/pop.gmx-1.net/Trash

        [1] Archivtyp: Netscape/Mozilla Mailbox

        --> Mailbox_[Message-ID: <8704171D.5360744@chronoexpres.com>][From: TMS Logistik <Lance@tms-logistik.de>][Subject: KD 15567 Webshop Bestellung 14.02.2007]298.mim

          [2] Archivtyp: MIME

          --> Rechnung-RE15567.pdf.exe

            [FUND]      Ist das Trojanische Pferd TR/Dldr.iBill.L

        --> Mailbox_[Message-ID: <1645D6A1.6642845@lansheng.net>][From: TMS Logistik <Teresa@tms-logistik.de>][Subject: KD 16120 Webshop Bestellung 14.02.2007]300.mim

          [2] Archivtyp: MIME

          --> Rechnung-RE16120.pdf.exe

            [FUND]      Ist das Trojanische Pferd TR/Dldr.iBill.L

      --> Mail/pop3.web.de/Inbox

        [1] Archivtyp: Netscape/Mozilla Mailbox

        --> Mailbox_[From: "Deutsche Telekom" <Rechnung-Online@t-com.net>][Message-ID: <759577884.03404236799990@t-com.net>][Subject: Deutsche Telekom Rechnung]2862.mim

          [2] Archivtyp: MIME

          --> TCom.zip

            [FUND]      Ist das Trojanische Pferd TR/PCK.EbayBill.L

        --> Mailbox_[Message-ID: <001a01c73575$c65309c8$4301a8c0@islam-771b966af][From: "Volksbank AG Support" <customers-support-num_9][Subject: Anleitung            ID: 917]3060.mim

          [2] Archivtyp: MIME

          --> file0.mim

            [3] Archivtyp: MIME

            --> file1.html

              [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

        --> Mailbox_[Message-ID: <002901c73665$aa7ae108$00fcfea9@unimatrix001>][From: "Volksbank AG'07" <customer-department_refnum_4][Subject: Volksbank AG: Online-Banking            Ref: 89]3064.mim

          [2] Archivtyp: MIME

          --> file0.mim

            [3] Archivtyp: MIME

            --> file1.html

              [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

        --> Mailbox_[Message-ID: <M4XAZ9-6K3bK7-H9@cpanel.error> ][From: "support@intl.paypal.com" <support@intl.paypal.][Subject: Paypal Notification]3072.mim

          [2] Archivtyp: MIME

          --> file0.html

            [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

        --> Mailbox_[Message-ID: <002001c742a7$ef59755c$b2ecf13c@user-94322c2d57][From: "Volksbanken Raiffeisenbanken  '07" <customer-s][Subject: Mitteilung von dem Volksbanken Raiffeisenbanken]3230.mim

          [2] Archivtyp: MIME

          --> file0.mim

            [3] Archivtyp: MIME

            --> file1.html

              [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus 

          [2] Archivtyp: MIME

          --> file0.html

            [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

        --> Mailbox_[Message-ID: <002901c73665$aa7ae108$00fcfea9@unimatrix001>][From: "Volksbank AG'07" <customer-department_refnum_4][Subject: Volksbank AG: Online-Banking            Ref: 89]2268.mim

          [2] Archivtyp: MIME

          --> file0.mim

            [3] Archivtyp: MIME

            --> file1.html

              [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

        --> Mailbox_[Message-ID: <002001c742a7$ef59755c$b2ecf13c@user-94322c2d57][From: "Volksbanken Raiffeisenbanken  '07" <customer-s][Subject: Mitteilung von dem Volksbanken Raiffeisenbanken]2374.mim

          [2] Archivtyp: MIME

          --> file0.mim

            [3] Archivtyp: MIME

            --> file1.html

              [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

        --> Mailbox_[Message-ID: <000d01c74dac$9ff772ba$0202a8c0@zengin-4mqmkj0y][From: "Postbank  2007" <customer_department_id_66bso@][Subject: Wichtige Information            Id: 635]2608.mim

          [2] Archivtyp: MIME

          --> file0.mim

            [3] Archivtyp: MIME

            --> file1.html

              [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

        --> Mailbox_[Message-ID: <000a01c75063$f7bb0804$2f01a8c0@deCellofamily>][From: "Volksbanken '2007" <technical_support_op_759cj][Subject: Wichtige Information            ID: 0499]2666.mim

          [2] Archivtyp: MIME

          --> file0.mim

            [3] Archivtyp: MIME

            --> file1.html

              [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

        --> Mailbox_[Message-ID: <v5nyrZ-7lRrtd-W2@cpanel.error> ][From: "notify@intl.paypal.com" <notify@intl.paypal.co][Subject: Message Regarding Your Paypal Account]2822.mim

          [2] Archivtyp: MIME

          --> file0.html

            [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

        --> Mailbox_[Message-ID: <E7y6Zc-0E8i8U-r8@cpanel.error> ][From: "paypal_support@4069.com" <paypal_support@4069.][Subject: Paypal Member]3536.mim

          [2] Archivtyp: MIME

          --> file0.html

            [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

    [WARNUNG]   Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!

C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SDOTIFOH\zaSetup_80_065_000_en[1].exe

    [0] Archivtyp: ZIP SFX (self extracting)

      --> WINDOWS6.0-KB929547-V2-X64.MSU

        [1] Archivtyp: CAB (Microsoft)

        --> Windows6.0-KB929547-v2-x64.cab

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

C:\WINDOWS\NirCmd.exe

    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3c8cf4.qua' verschoben!

C:\WINDOWS\system32\drivers\sptd.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Beginne mit der Suche in 'D:\' <Maxtor1>

D:\Mathematica\Mathematica Applications\aplicaciones_para_mathematica\OSP1.CAB

    [0] Archivtyp: CAB (Microsoft)

    --> AGENTDP2.DLL

      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

Beginne mit der Suche in 'F:\' <Programme>

Beginne mit der Suche in 'G:\' <Musik>

Beginne mit der Suche in 'H:\' <Daten und Filme>

H:\Backup\BearShareV6int.exe

    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/RealSpy

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2bab0e.qua' verschoben!

H:\Berufsschule\LF7\Öffentliche Netze\Weidner-öffentlichenetzte.ace

    [0] Archivtyp: ACE

    --> AufgabenIK01B.xls

      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

H:\e-books\neu\(ebook_german_pdf)_45_psychologische_Fachbücher.zip

    [0] Archivtyp: ZIP

      --> 45 pschologische Fachbﾁcher/01._Lehrbuch_fr_klinische_Psychologie_-_Psychotherapie.ace

        [1] Archivtyp: ACE

        --> 01. Lehrbuch fﾁr klinische Psychologie - Psychotherapie\1-2.PDF

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

      --> 45 pschologische Fachbﾁcher/08._Grundri_der_Sozialpsychologie_Bd._1-_Grundlegende_Begriffe_und_Prozesse.ace

        [1] Archivtyp: ACE

        --> 08. Grundri￡ der Sozialpsychologie Bd. 1- Grundlegende Begriffe und Prozesse\8-10.PDF

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

      --> 45 pschologische Fachbﾁcher/15._Pdagogisch-psychologische_Diagnostik.ace

        [1] Archivtyp: ACE

        --> 15. Pﾄdagogisch-psychologische Diagnostik\15-13.PDF

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

      --> 45 pschologische Fachbﾁcher/16._Ernhrungspsychologie_-_eine_Einfhrung.ace

        [1] Archivtyp: ACE

        --> 16. Ernﾄhrungspsychologie - eine Einfﾁhrung\16-13.PDF

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

      --> 45 pschologische Fachbﾁcher/18._Grundri_der_Sozialpsychologie_Band_2.ace

        [1] Archivtyp: ACE

        --> 18. Grundri￡ der Sozialpsychologie Band 2\18-12.PDF

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

      --> 45 pschologische Fachbﾁcher/22._Einfhrung_in_die_psychosomatische_und_psychotherapeutische_Medizin.ace

        [1] Archivtyp: ACE

        --> 22. Einfﾁhrung in die psychosomatische und psychotherapeutische Medizin\22-15.PDF

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

      --> 45 pschologische Fachbﾁcher/28._Pdagogisch_psych._Diagnostik_Bd_2.ace

        [1] Archivtyp: ACE

        --> 28. Pﾄdagogisch psych. Diagnostik Bd 2 - Anwendungsbereiche & Praxisfelder\28-12.PDF

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

      --> 45 pschologische Fachbﾁcher/35._Enzyklopdie_der_Psychologie_Themenbereich_B__Methodologie_und_Methoden.ace

        [1] Archivtyp: ACE

        --> 35. Enzyklopﾄdie der Psychologie, Themenbereich B, Methodologie und Methoden\35-2.PDF

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

      --> 45 pschologische Fachbﾁcher/36._Pdagogische_Psychologie_des_Lernens_und_Lehrens.ace

        [1] Archivtyp: ACE

        --> 36. Pﾄdagogische Psychologie des Lernens und Lehrens\36-11.PDF

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

      --> 45 pschologische Fachbﾁcher/38._Persnlichkeitspsychologie.ace

        [1] Archivtyp: ACE

        --> 38. Persﾔnlichkeitspsychologie\38-14.PDF

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

      --> 45 pschologische Fachbﾁcher/44._Pdagogische_Psychologie_des_Lernens_und_LehrensII.ace

        [1] Archivtyp: ACE

        --> 44. Pﾄdagogische Psychologie des Lernens und Lehrens\44-11.PDF

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

Beginne mit der Suche in 'I:\' <Maxtor2>

Beginne mit der Suche in 'J:\' <Maxtor3>
 
 

Ende des Suchlaufs: Donnerstag, 26. März 2009  00:36

Benötigte Zeit:  5:36:49 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

   8113 Verzeichnisse wurden überprüft

 727127 Dateien wurden geprüft

     38 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      2 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      2 Dateien konnten nicht durchsucht werden

 727087 Dateien ohne Befall

  39617 Archive wurden durchsucht

     20 Warnungen

      2 Hinweise

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Doppelklicke auf navilog1.exe
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

ciao, andreas

Zitat:

anjelina_video.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.fql

Der Rechner ist kompromitiert.. ;)

Die angelina.exe ist aber im gelöscht-Mailordner und wurde nie geöffnet.

Ja, ich weiß, deshalb habe ich dir ja auch neue Anweisungen gegeben. Bei dir ist nur Navipromo aktiv. Lösche die Mails.

ciao, andreas

Hi, hier das logfile:

Code:

Search Navipromo version 3.7.6 began on 29.03.2009 at 22:06:32,06
 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!
 

Fix running from C:\Programme\navilog1
 

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO
 

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2400+ )

BIOS : Phoenix - AwardBIOS v6.00PG

USER : Torsten-admin ( Administrator )

BOOT : Normal boot
 

Antivirus : Avira AntiVir PersonalEdition Classic  6.38.1.81

 (Activated)

Firewall  : ZoneAlarm Firewall 8.0.298.000 (Activated)
 

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:34 Go (Free:16 Go)

D:\ (Local Disk) - NTFS - Total:9 Go (Free:5 Go)

E:\ (CD or DVD)

F:\ (Local Disk) - NTFS - Total:34 Go (Free:30 Go)

G:\ (Local Disk) - NTFS - Total:78 Go (Free:32 Go)

H:\ (Local Disk) - NTFS - Total:151 Go (Free:7 Go)

I:\ (Local Disk) - NTFS - Total:7 Go (Free:7 Go)

J:\ (Local Disk) - NTFS - Total:58 Go (Free:15 Go)

K:\ (CD or DVD)

L:\ (CD or DVD)

M:\ (CD or DVD)

N:\ (CD or DVD)
 
 

Search done in normal mode
 
 

*** Search folders in "C:\WINDOWS" ***
 
 

*** Search folders in "C:\Programme" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
 
 

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Torsten-admin\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\Guddy\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Torsten-admin\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\Guddy\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Torsten-admin\startm~1\progra~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** 
 
 

*** Search folders in "C:\DOKUME~1\Guddy\startm~1\progra~1" *** 
 
 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : http://www.gmer.net
 
 
 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!
 

* Scan in "C:\WINDOWS\system32" *
 

* Scan in "C:\Dokumente und Einstellungen\Torsten-admin\lokale~1\anwend~1" * 
 

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 
 

* Scan in "C:\DOKUME~1\Guddy\lokale~1\anwend~1" * 
 
 
 

*** Search files *** 
 
 
 

*** Search specific Registry keys ***

!! Following keys are not certainly all infected !!
 
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"cwawu"="\"c:\\dokumente und einstellungen\\torsten-admin\\lokale einstellungen\\anwendungsdaten\\cwawu.exe\" cwawu"
 
 

*** Complementary Search ***

(Search specific files)
 

1)Search new Instant Access files :
 
 

2)Heuristic Search :
 

* In "C:\WINDOWS\system32" :
 
 

* In "C:\Dokumente und Einstellungen\Torsten-admin\lokale~1\anwend~1" : 
 

cwawu.exe found !

cwawu.dat found !

cwawu_nav.dat found !

cwawu_navps.dat found !
 

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" : 
 
 

* In "C:\DOKUME~1\Guddy\lokale~1\anwend~1" : 
 
 

3)Certificates Search :
 

Egroup certificate not found !

Electronic-Group certificate not found !

Montorgueil certificate not found !

OOO-Favorit certificate not found !

Sunny-Day-Design-Ltd certificate not found !
 

4)Search others known folders and files :
 
 
 

*** Search completed on 29.03.2009 at 22:15:32,98 ***

Gleich nocheinmal, diesmal mit Option 2. Danach kommen keine Werbefenster mehr.

ciao, andreas

Ausgeführt:

Code:

Navipromo Removal version 3.7.6 started on 29.03.2009 at 22:32:56,09
 

Fix running from C:\Programme\navilog1
 

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO
 

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2400+ )

BIOS : Phoenix - AwardBIOS v6.00PG

USER : Torsten-admin ( Administrator )

BOOT : Normal boot
 

Antivirus : Avira AntiVir PersonalEdition Classic  6.38.1.81

 (Activated)

Firewall  : ZoneAlarm Firewall 8.0.298.000 (Activated)
 

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:34 Go (Free:16 Go)

D:\ (Local Disk) - NTFS - Total:9 Go (Free:5 Go)

E:\ (CD or DVD)

F:\ (Local Disk) - NTFS - Total:34 Go (Free:30 Go)

G:\ (Local Disk) - NTFS - Total:78 Go (Free:32 Go)

H:\ (Local Disk) - NTFS - Total:151 Go (Free:7 Go)

I:\ (Local Disk) - NTFS - Total:7 Go (Free:7 Go)

J:\ (Local Disk) - NTFS - Total:58 Go (Free:15 Go)

K:\ (CD or DVD)

L:\ (CD or DVD)

M:\ (CD or DVD)

N:\ (CD or DVD)
 
 

Automatic removal 

with Catchme and GNS results
 
 

Cleanning stage done on Reboot
 

 

*** fsbl1.txt not found ***

(Check that Catchme found nothing in Search Mode)

 
 

*** Deleting with Backups GenericNaviSearch results ***
 

* Deletion in "C:\WINDOWS\System32" *
 
 

* Deletion in "C:\Dokumente und Einstellungen\Torsten-admin\lokale~1\anwend~1" * 
 
 

* Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 
 

* Deletion in "C:\DOKUME~1\Guddy\lokale~1\anwend~1" * 
 
 

*** Deleting folders in "C:\WINDOWS" ***
 
 

*** Deleting folders in "C:\Programme" ***
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
 
 

*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\Torsten-admin\anwend~1" *** 
 
 

*** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** 
 
 

*** Deleting folders in "C:\DOKUME~1\Guddy\anwend~1" *** 
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\Torsten-admin\lokale~1\anwend~1" *** 
 
 

*** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** 
 
 

*** Deleting folders in "C:\DOKUME~1\Guddy\lokale~1\anwend~1" *** 
 
 

*** Deleting folders in "C:\Dokumente und Einstellungen\Torsten-admin\startm~1\progra~1" *** 
 
 

*** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** 
 
 

*** Deleting folders in "C:\DOKUME~1\Guddy\startm~1\progra~1" *** 
 
 
 

*** Deleting files ***
 
 

*** Deleting temporary files ***
 

Cleaning of C:\WINDOWS\Temp done !

Cleaning of C:\Dokumente und Einstellungen\Torsten-admin\lokale~1\Temp done !
 

*** Complementary Search ***

(Search specific files)
 

1)Deletion with backups new Instant Access files:
 

2)Heuristic search and deletion with backups :
 
 

* In "C:\WINDOWS\system32" *
 
 

C:\WINDOWS\prefetch\cwawu*.pf found ! 

Copy C:\WINDOWS\prefetch\cwawu*.pf done !

C:\WINDOWS\prefetch\cwawu*.pf deleted !
 
 

* In "C:\Dokumente und Einstellungen\Torsten-admin\lokale~1\anwend~1" * 
 
 

cwawu.exe found ! 

Copy cwawu.exe done !

cwawu.exe deleted !
 

cwawu.dat found ! 

Copy cwawu.dat done !

cwawu.dat deleted !
 

cwawu_nav.dat found ! 

Copy cwawu_nav.dat done !

cwawu_nav.dat deleted !
 

cwawu_navps.dat found ! 

Copy cwawu_navps.dat done !

cwawu_navps.dat deleted !
 
 

* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 
 
 
 

* In "C:\DOKUME~1\Guddy\lokale~1\anwend~1" * 
 
 
 

*** Copy Registry to Safebackup folder ***
 

Backing up Registry done !
 

*** Cleaning Registry ***
 

Registry cleaned
 
 

*** Certificates ***
 

Egroup Certificate not found !

Electronic-Group Certificate not found !

Montorgueil Certificate not found !

OOO-Favorit Certificate not found !

Sunny-Day-Design-Ltd Certificate not found !
 

*** Search others known folders and files ***
 
 
 

*** Cleaning stage complete on 29.03.2009 at 22:37:39,01 ***

Was ist mit den anderen Meldungen? (Dropper.Gen, RealSpy, NirCmd.exe)

Kommen die denn noch? Navilog wird als Nircmd erkannt. Navipromo als Dropper.Gen.

ciao, andreas

Nein, die beiden nicht. Was ist mit Realspy?
Die Mails wie kann ich die mails denn löschen? sind zumindest nicht mehr in den normalen Ordnern im Thunderbird.

Grüße

Gudmanef

Zitat:

Was ist mit Realspy?

Bearshare hätte ich dich eh löschen lassen, also hau den weg.

Zitat:

Die Mails wie kann ich die mails denn löschen?

Hab Thunderbird hier nicht installiert. Öffne den Papierkorb von Thunderbird und lösche alles.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Klicke auf "Für alle Neuen" in meiner Signatur und arbeite die Liste unter Punkt 2 ab.

ciao, andreas

Thunderbird löscht aus Performancegründen Emails nicht, wenn man sie in den Mülleimer tut, sondern blendet diese nur aus.

Ruf Thunderbird auf, leere den Mülleimer und anschließend dann unter Datei auf "All Ordner des Konto komprimieren" klicken.
Danach sollten die Dateien auch verschwunden sien.

lg myrtille

Danke meine Heldin. http://www.cosgan.de/images/more/bigs/a200.gif

Aber irgendwann werde ich doch noch melden, dass du ständig dazwischenpostest. :D

ciao, andreas

Hi,

hier das Logfile von Anti-Malware:

Code:

Malwarebytes' Anti-Malware 1.35

Datenbank Version: 1925

Windows 5.1.2600 Service Pack 3
 

31.03.2009 20:36:45

mbam-log-2009-03-31 (20-36-45).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|H:\|I:\|J:\|)

Durchsuchte Objekte: 184374

Laufzeit: 58 minute(s), 54 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 4
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.

C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\systems.txt (Trojan.Vundo) -> Delete on reboot.

C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot.

Hijackthis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:44:43, on 31.03.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe

F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Microsoft Hardware\Mouse\point32.exe

C:\Programme\Microsoft Hardware\Keyboard\type32.exe

F:\Programme\Brennen\CloneCD\CloneCDTray.exe

F:\Programme\Bildbearbeitung\OpwareSE4.exe

C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe

F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

F:\Programme\Brennen\Daemon Tools\daemon.exe

F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSuite.exe

C:\Programme\Skype\Phone\Skype.exe

F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSync2.exe

F:\Programme\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe

F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe

C:\Programme\RALINK\Common\RaUI.exe

C:\Programme\PC Connectivity Solution\ServiceLayer.exe

C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe

C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Skype\Plugin Manager\skypePM.exe

F:\Programme\Internet\Mozilla Firefox\firefox.exe

F:\Programme\Sicherheit\Hijackthis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.talti.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**1p://go.microsoft.com/fwlink/?LinkId=74005

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avgnt] "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\Brennen\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "F:\Programme\Bildbearbeitung\OpwareSE4.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart

O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Programme\Sicherheit\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "F:\Programme\Brennen\Daemon Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [PC Suite Tray] "F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Nokia.PCSync] "F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSync2.exe" /NoDialog

O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: NkbMonitor.exe.lnk = F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe

O4 - Global Startup: Quicken 2009 Zahlungserinnerung.lnk = F:\Programme\Finanzen\Quicken 2009\billmind.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

--

End of file - 7759 bytes

unistall list:

Code:

Adobe AIR

Adobe AIR

Adobe Flash Player 9 ActiveX

Adobe Reader 9 - Deutsch

AFPL Ghostscript 8.54

AFPL Ghostscript Fonts

Apple Software Update

ArcSoft Panorama Maker 3

ArcSoft PhotoStudio 5.5

Audiograbber 1.83 SE 

Avira AntiVir Personal - Free Antivirus

Canon MP Navigator EX 1.0

CanoScan LiDE 90

CCleaner (remove only)

CloneCD

Dev-C++ 5 beta 9 release (4.9.9.2)

DivX Codec

DivX Converter

DivX Web Player

DriveImage XML (Private Edition)

EES - Engineering Equation Solver (DEMO)

foobar2000 v0.9.4.3

FreeMind

GANetXL

Google Earth

Google Updater

HASP Gerätetreiber

HijackThis 2.0.2

Hotfix for Windows Media Format 11 SDK (KB929399)

Hotfix für Windows Media Player 11 (KB939683)

Hotfix für Windows XP (KB952287)

IsoBuster 2.2

J2SE Runtime Environment 5.0 Update 10

Java(TM) 6 Update 11

Java(TM) 6 Update 2

Java(TM) 6 Update 3

Java(TM) 6 Update 5

Java(TM) 6 Update 7

Java(TM) SE Runtime Environment 6 Update 1

K-Lite Mega Codec Pack 4.7.0

Letstrade

Lexware Info Service

Lexware online banking

Malwarebytes' Anti-Malware

Microsoft .NET Framework 2.0 Service Pack 1

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

Microsoft Office Professional Edition 2003

Microsoft Office Visio Professional 2003

Microsoft User-Mode Driver Framework Feature Pack 1.0

Microsoft Visual C++ 2005 Redistributable

MozBackup 1.4.2

Mozilla Firefox (3.0.8)

Mozilla Thunderbird (2.0.0.21)

MSVC80_x86

MSXML 4.0 SP2 (KB927978)

MSXML 4.0 SP2 (KB936181)

MSXML 4.0 SP2 (KB954430)

MSXML 4.0 SP2 Parser and SDK

Navilog1 3.7.6

Nikon FotoShare

Nikon Message Center

Nokia Connectivity Cable Driver

Nokia PC Suite

Nokia PC Suite

PC Connectivity Solution

PictureProject

PowerQuest PartitionMagic 8.0

Presto! PageManager 7.15.16

ProtectDisc Driver, Version 11

Quicken Deluxe 2009

Ralink Wireless LAN Card

Realtek AC'97 Audio

S400

ScanSoft OmniPage SE 4

Shredder 8 Sonderedtion

ShutDownTimer 1.7.0.0

Sicherheitsupdate für Windows Media Player (KB952069)

Sicherheitsupdate für Windows Media Player 11 (KB936782)

Sicherheitsupdate für Windows Media Player 11 (KB954154)

Sicherheitsupdate für Windows Media Player 9 (KB917734)

Sicherheitsupdate für Windows XP (KB923789)

Sicherheitsupdate für Windows XP (KB938464)

Sicherheitsupdate für Windows XP (KB938464-v2)

Sicherheitsupdate für Windows XP (KB941569)

Sicherheitsupdate für Windows XP (KB946648)

Sicherheitsupdate für Windows XP (KB950759)

Sicherheitsupdate für Windows XP (KB950760)

Sicherheitsupdate für Windows XP (KB950762)

Sicherheitsupdate für Windows XP (KB950974)

Sicherheitsupdate für Windows XP (KB951066)

Sicherheitsupdate für Windows XP (KB951376)

Sicherheitsupdate für Windows XP (KB951376-v2)

Sicherheitsupdate für Windows XP (KB951698)

Sicherheitsupdate für Windows XP (KB951748)

Sicherheitsupdate für Windows XP (KB952954)

Sicherheitsupdate für Windows XP (KB953838)

Sicherheitsupdate für Windows XP (KB953839)

Sicherheitsupdate für Windows XP (KB954211)

Sicherheitsupdate für Windows XP (KB954459)

Sicherheitsupdate für Windows XP (KB954600)

Sicherheitsupdate für Windows XP (KB955069)

Sicherheitsupdate für Windows XP (KB956390)

Sicherheitsupdate für Windows XP (KB956391)

Sicherheitsupdate für Windows XP (KB956802)

Sicherheitsupdate für Windows XP (KB956803)

Sicherheitsupdate für Windows XP (KB956841)

Sicherheitsupdate für Windows XP (KB957095)

Sicherheitsupdate für Windows XP (KB957097)

Sicherheitsupdate für Windows XP (KB958215)

Sicherheitsupdate für Windows XP (KB958644)

Sicherheitsupdate für Windows XP (KB958687)

Sicherheitsupdate für Windows XP (KB958690)

Sicherheitsupdate für Windows XP (KB960225)

Sicherheitsupdate für Windows XP (KB960714)

Sicherheitsupdate für Windows XP (KB960715)

Skype™ 3.8

Spybot - Search & Destroy

Sybex

Thermoflow 18

Trillian

Update für Windows XP (KB951072-v2)

Update für Windows XP (KB951978)

Update für Windows XP (KB955839)

Update für Windows XP (KB967715)

VC 9.0 Runtime

VC 9.0 Runtime

Virtualdub 1.4.9

Water & Steam (IAPWS-IF97)

Wichtiges Update für Windows Media Player 11 (KB959772)

Windows Media Format 11 runtime

Windows Media Format 11 runtime

Windows Media Player 11

Windows Media Player 11

Windows XP Service Pack 3

Windows-Treiberpaket - Nokia pccsmcfd  (10/12/2007 6.85.4.0)

WinPcap 3.1 beta4

WinRAR archiver

WinSCP 4.1.5

WISO Haushaltsbuch 2008

WordToPDF 2.3

Xming 6.9.0.31

Zattoo 3.3.1 Beta

ZoneAlarm

Lass den nochmal laufen und poste das Log. http://www.trojaner-board.de/51871-a...tispyware.html

ciao, andreas

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 04/01/2009 at 07:39 PM
 

Application Version : 4.26.1000
 

Core Rules Database Version : 3822

Trace Rules Database Version: 1778
 

Scan type       : Complete Scan

Total Scan Time : 01:58:16
 

Memory items scanned      : 568

Memory threats detected   : 0

Registry items scanned    : 6141

Registry threats detected : 0

File items scanned        : 102696

File threats detected     : 3
 

Adware.Vundo/Variant-MSFake

        C:\PROGRAMME\NAVILOG1\REG.EXE
 

Adware.WhenU

        F:\PROGRAMME\BRENNEN\DAEMON TOOLS\SETUPDTSB.EXE
 

Trojan.Downloader-EventLoh

        F:\PROGRAMME\SICHERHEIT\HIJACKTHIS\BACKUPS\BACKUP-20071209-215539-704.DLL

Soll ich die Dateien löschen?

Ja. Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten?

ciao, andreas

Mir fällt soweit nix auf. Die Popups kommen nicht mehr.

Dann räumen wir noch auf.

1.) Deinstalliere:

Adobe Flash Player 9 ActiveX
Google Updater
J2SE Runtime Environment 5.0 Update 10
Java(TM) 6 Update 11
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
Navilog1 3.7.6
Spybot - Search & Destroy
SuperAntiSpyware
ZoneAlarm

2.) Entferne alte Javareste mit Javara.

3.) Installiere (Toolbars immer abwählen, Haken weg):

4.) Poste ein letztes HJT-Log.

ciao, andreas

Hi,

wieso soll ich meine Firewall deinstallieren?

Grüße

Guddy

Äh, was hat deine Personal Firewall eigentlich getan, als du dir freiwillig Navipromo installiert hast? Und was, als du per Email Zlob bekommen hast? Wozu ist die eigentlich gut ausser ein zusätzliches Sicherheitsrisiko darzustellen (klicke auf den letzten Link in meiner Signatur)?

Da diese Frage häufiger kommt, habe ich einige Links gesucht und zusammengestellt. Einer würde reichen, aber lies dir besser alle durch:
Lutz Donnerhacke: de.comp.security.firewall FAQ
http://www.fefe.de/pffaq/halbesicherheit.txt
Personal Firewall Security FAQ
Wie Personal Firewalls ausgetrickst werden können
http://www.stud.tu-ilmenau.de/~traenk/zaweg.htm
PC Flank: Make sure you're protected on all sides.
heise online - 13.05.04 - Kritische Sicherheitslücken in Symantecs Desktop Firewalls
pfargumente
CCC | FAQ - Sicherheit

ciao, andreas

Hi,

alles durchgeführt.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:32:42, on 06.04.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe

F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Microsoft Hardware\Mouse\point32.exe

C:\Programme\Microsoft Hardware\Keyboard\type32.exe

F:\Programme\Brennen\CloneCD\CloneCDTray.exe

F:\Programme\Bildbearbeitung\OpwareSE4.exe

C:\WINDOWS\system32\ctfmon.exe

F:\Programme\Brennen\Daemon Tools\daemon.exe

F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSuite.exe

C:\Programme\Skype\Phone\Skype.exe

F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSync2.exe

F:\Programme\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe

F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe

C:\Programme\RALINK\Common\RaUI.exe

C:\Programme\PC Connectivity Solution\ServiceLayer.exe

C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe

C:\Programme\Skype\Plugin Manager\skypePM.exe

F:\Programme\Internet\Mozilla Thunderbird\thunderbird.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\rundll32.exe

F:\Programme\Internet\Mozilla Firefox\firefox.exe

F:\Programme\system\Java\bin\jqs.exe

F:\Programme\Finanzen\WisoHaushaltsbuch\MG.exe

F:\Programme\Sicherheit\Hijackthis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.talti.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Programme\system\Java\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Programme\system\Java\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avgnt] "F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\Brennen\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "F:\Programme\Bildbearbeitung\OpwareSE4.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
 

O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\system\Java\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "F:\Programme\Brennen\Daemon Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [PC Suite Tray] "F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Nokia.PCSync] "F:\Programme\Handy\Nokia PC Suite 6\Nokia PC Suite 7\Nokia PC Suite 7\PCSync2.exe" /NoDialog

O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: NkbMonitor.exe.lnk = F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Programme\system\Java\bin\jqs.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

--

End of file - 7010 bytes

Starte HJT => Do a system scan only => Markiere:

Code:

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\system\Java\bin\jusched.exe"

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: NkbMonitor.exe.lnk = F:\Programme\Multimedia\Nikon\pictureproject\NkbMonitor.exe

=> Fix checked => Wundere dich anschliessend darüber, dass dein Rechner schneller bootet. :)

Hab ich dich Spybot nicht deinstallieren lassen?

Egal, bist entlassen.

ciao, andreas

Oh Spybot hab ich vergessen. :-)

Viele Dank für deine Mühe und die investierte Zeit!
Ich werde jetzt auf jeden Fall vorsichtiger sein.

Viele Grüße

Guddy