Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/ATRAPS.GEN - msacm32.drv und mehr (https://www.trojaner-board.de/78923-tr-atraps-gen-msacm32-drv-mehr.html)

emet 29.10.2009 00:47
TR/ATRAPS.GEN - msacm32.drv und mehr
 
Hallo an alle,

hier ist mal wieder ein neuer - wie wohl jeden Tag hier im Forum.

Vor ein paar Stunden hats mich gebeutelt beim Surfen im Internet. Irgendwo im Hintergrund ist ne Seite aufgepoppt (konnte ich leider nicht mehr sehen was), da wurden bereits die ersten 10-15 Warnmeldungen (Avira Antivir Premium) des Virenscanners angezeigt.

Ich konnte die gar nicht schnell genug wegklicken, da waren schon mehr auf als ich wegbekommen hab - also schnell PC aus (damit auch die Internetverbindung unterbrochen wurde).

PC wieder hochgefahren, war etwas träge anschließend und es ging ab und an eine Warnmeldung auf mit dem Hinweis das sich in der Datei windows\msacm32.drv (obwohl diese in windows\system32\msacm32.drv liegt) der Trojaner TR/ATRAPS.GEN befinden würde.

Virenscans haben nichts gebracht und ab und an ging das Warnfenster auf. Ich gesucht und bei Euch Informationen gefunden - was ein Glück.

Habe hijackthis ausgeführt und nach dieser Anleitung
http://www.trojaner-board.de/54192-a...tellungen.html
den Virenscanner getunt und nach diesem Hinweis
http://www.trojaner-board.de/51187-a...i-malware.html
nach Malware.

Und habe noch einige andere Links zu Rootkids etc. bei Euch gefunden - hab ich alles ausgeführt.

Virenscanner hat dann eine Datei gefunden - cmdow.exe im system32 ordner (ist nun erst mal in Quarantäne) - und andere Scanner ein mal eine Sache und die Malware gleich 13 evtl. nicht so schlimm (hab ich auch noch nix gemacht) und etwas unsicher weil die rundll dabei ist.

Während des Scannes ist es noch 2 mal zu Warnungen gekommen in ner Tempdatei, die ich gleich weggeklickt habe - seitdem nicht mehr und der PC läuft auch wieder soweit.

Ich liste mal nacheinander alles auf und hoffe, das ich Euch damit nicht erschlage. Brauche meinen PC jeden Tag und da wäre Eure Hilfe sehr wichtig für mich.

hijackthis

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:00:52, on 28.10.2009
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
F:\Sicherheit\Spyware\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\sched.exe
F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
F:\Tools\Brennen\CDBurnerXP\NMSAccessU.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
E:\Sandboxie\SbieSvc.exe
F:\System\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avmailc.exe
F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\RTHDCPL.EXE
F:\Sicherheit\Spyware\Windows Defender\MSASCui.exe
F:\System\Dateien loeschen\Unlocker\UnlockerAssistant.exe
F:\Internet\Spam\Spamihilator\spamihilator.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
F:\Sicherheit\Firewall\ZoneAlarm\ZoneAlarm\zlclient.exe
F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avgnt.exe
E:\Sandboxie\SbieCtrl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
F:\Tools\ISDN-Monitor\ISDNMon.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
F:\Sicherheit\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\SICHER~1\Spyware\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - F:\Tools\Download\Free Download Manager\iefdm2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Windows Defender] "F:\Sicherheit\Spyware\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [UnlockerAssistant] "F:\System\Dateien loeschen\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Spamihilator] "F:\Internet\Spam\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Player\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Sicherheit\Firewall\ZoneAlarm\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SandboxieControl] "E:\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\87b7a01419.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [WAB] C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Macromedia\Common\87b7a01419.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ISDN-Monitor.lnk = F:\Tools\ISDN-Monitor\ISDNMon.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: ISDN-Monitor.lnk = F:\Tools\ISDN-Monitor\ISDNMon.exe (User 'Default user')
O4 - Startup: ISDN-Monitor.lnk = F:\Tools\ISDN-Monitor\ISDNMon.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dlall.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dllink.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Videos mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\SICHER~1\Spyware\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\SICHER~1\Spyware\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - h**p://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - h**p://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB19C06C-F727-4B0E-959C-5F691DF94454}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - F:\Tools\Brennen\CDBurnerXP\NMSAccessU.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - E:\Sandboxie\SbieSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - F:\System\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 13324 bytes
Avira Antivir

Code:

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Mittwoch, 28. Oktober 2009  23:33

Es wird nach 1846740 Virenstämmen gesucht.

Lizenznehmer  : xxxx Mustermann
Seriennummer  : xxxxxxxx-xxxxxx-xxxxxxx
Plattform      : Windows XP
Windowsversion : (Service Pack 3, v.3264)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : Anwender
Computername  : ANWENDER-xxxxxxx

Versionsinformationen:
BUILD.DAT      : 9.0.0.447    21381 Bytes  26.08.2009 16:26:00
AVSCAN.EXE    : 9.0.3.7      466689 Bytes  09.08.2009 16:46:56
AVSCAN.DLL    : 9.0.3.0      49409 Bytes  13.02.2009 11:04:10
LUKE.DLL      : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0      13569 Bytes  26.01.2009 09:41:59
ANTIVIR0.VDF  : 7.1.0.0    15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF  : 7.1.4.132  5707264 Bytes  24.06.2009 13:02:58
ANTIVIR2.VDF  : 7.1.6.160  5413376 Bytes  28.10.2009 17:49:19
ANTIVIR3.VDF  : 7.1.6.162    10240 Bytes  28.10.2009 21:10:22
Engineversion  : 8.2.1.50
AEVDF.DLL      : 8.1.1.2      106867 Bytes  16.09.2009 16:56:48
AESCRIPT.DLL  : 8.1.2.40    487804 Bytes  22.10.2009 18:36:44
AESCN.DLL      : 8.1.2.5      127346 Bytes  03.09.2009 20:03:52
AERDL.DLL      : 8.1.3.2      479604 Bytes  03.10.2009 09:51:25
AEPACK.DLL    : 8.2.0.2      422263 Bytes  22.10.2009 18:36:42
AEOFFICE.DLL  : 8.1.0.38    196987 Bytes  18.06.2009 20:01:24
AEHEUR.DLL    : 8.1.0.173  2064760 Bytes  28.10.2009 19:44:14
AEHELP.DLL    : 8.1.7.0      237940 Bytes  03.09.2009 20:03:50
AEGEN.DLL      : 8.1.1.70    364917 Bytes  28.10.2009 19:43:59
AEEMU.DLL      : 8.1.1.0      393587 Bytes  03.10.2009 09:51:20
AECORE.DLL    : 8.1.8.1      184693 Bytes  16.09.2009 16:56:37
AEBB.DLL      : 8.1.0.3      53618 Bytes  09.10.2008 13:32:40
AVWINLL.DLL    : 9.0.0.3      18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL    : 9.0.3.0      44289 Bytes  08.09.2009 17:41:58
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0      36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL    : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL  : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0      11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.28    2623745 Bytes  09.06.2009 17:19:31
RCTEXT.DLL    : 9.0.37.0      90881 Bytes  17.04.2009 08:41:38

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\Anwender\LOKALE~1\Temp\8cd494d3.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 28. Oktober 2009  23:33

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\WINDOWS\system32\cmdow.exe
    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232

Beginne mit der Desinfektion:
C:\WINDOWS\system32\cmdow.exe
    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b4ccaa9.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 28. Oktober 2009  23:48
Benötigte Zeit: 11:36 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  5962 Verzeichnisse wurden überprüft
 184112 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 184111 Dateien ohne Befall
  1811 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
Malwarebytes (da bin ich mir sehr unsicher)

Code:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3049
Windows 5.1.2600 Service Pack 3, v.3264

28.10.2009 23:05:25
mbam-log-2009-10-28 (23-05-10).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 182317
Laufzeit: 25 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 10
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\87b7a0141.dll) Good: (wdmaud.drv) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> No action taken.
C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> No action taken.
mbr

Code:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
catchme

Code:
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-28 23:20:25
Windows 5.1.2600 Service Pack 3, v.3264 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

war leider nicht genug Platz - Teil2 im nächsten Thread
http://www.trojaner-board.de/78924-t...ehr-teil2.html

emet 29.10.2009 00:51
TR/ATRAPS.GEN - msacm32.drv und mehr Teil2
 
Hier noch die anderen Scans ...



sophos (der hat noch was gefunden)

Code:
Area:        Windows registry
Description:        Hidden registry key
Location:        \HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012008011820080119
Removable:        No
Notes:        (no more detail available)


und zu guter letzt
gmer

Code:
GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-10-28 23:33:04
Windows 5.1.2600 Service Pack 3, v.3264
Running: gmer.exe; Driver: C:\DOKUME~1\Anwender\LOKALE~1\Temp\awxdqpod.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwConnectPort [0xB73D8040]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwCreateFile [0xB73D4930]
SSDT            BAEFB8BE                                                                                                                    ZwCreateKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwCreatePort [0xB73D8510]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwCreateProcess [0xB73DE870]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwCreateProcessEx [0xB73DEAA0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwCreateSection [0xB73E1FD0]
SSDT            BAEFB8B4                                                                                                                    ZwCreateThread
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwCreateWaitablePort [0xB73D8600]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwDeleteFile [0xB73D4F20]
SSDT            BAEFB8C3                                                                                                                    ZwDeleteKey
SSDT            BAEFB8CD                                                                                                                    ZwDeleteValueKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwDuplicateObject [0xB73DE580]
SSDT            BAEFB8D2                                                                                                                    ZwLoadKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwOpenFile [0xB73D4D70]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwOpenProcess [0xB73DE350]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwOpenThread [0xB73DE150]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwRenameKey [0xB73E1250]
SSDT            BAEFB8DC                                                                                                                    ZwReplaceKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwRequestWaitReplyPort [0xB73D7C00]
SSDT            BAEFB8D7                                                                                                                    ZwRestoreKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwSecureConnectPort [0xB73D8220]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwSetInformationFile [0xB73D5120]
SSDT            BAEFB8C8                                                                                                                    ZwSetValueKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                  ZwTerminateProcess [0xB73DECD0]

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwCallbackReturn + 2C7C                                                                                        80504500 12 Bytes  [10, 85, 3D, B7, 70, E8, 3D, ...]
?              srescan.sys                                                                                                                  Das System kann die angegebene Datei nicht finden. !
.text          win32k.sys!FONTOBJ_pxoGetXform + 4D52                                                                                        BF866A97 5 Bytes  JMP 89398610
.text          win32k.sys!EngGradientFill + 189B                                                                                            BF8B9815 5 Bytes  JMP 89398750
.text          win32k.sys!PATHOBJ_bCloseFigure + 19D0                                                                                      BF8ED9FB 5 Bytes  JMP 893987F0
?              C:\WINDOWS\system32\2E.tmp                                                                                                  Das System kann die angegebene Datei nicht finden. !
?              C:\DOKUME~1\Anwender\LOKALE~1\Temp\mbr.sys                                                                                  Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\Explorer.EXE[580] SHELL32.dll!SHFileOperationW                                                                    7E7207EC 5 Bytes  JMP 00CB1102 F:\System\Dateien loeschen\Unlocker\UnlockerHook.dll

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                                    [B73DCCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                                          [B73DD1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                                        [B73DD320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                                  [B73DCE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                                    [B73DCE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                                      [B73DCCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                                            [B73DD1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                                          [B73DD320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                                      [B73DCCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                                    [B73DCE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                                          [B73DD320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                                          [B73DD1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                                            [B73DD320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                                            [B73DD1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                                        [B73DCCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                                    [B73DCE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                                      [B73DCCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                            [B73DD1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                          [B73DD320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                                                          [B73DD320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                                                          [B73DD1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]                                                    [B73DCE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]                                                      [B73DCCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                                      [B73DCCA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                                    [B73DCE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                                          [B73DD320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                                          [B73DD1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- User IAT/EAT - GMER 1.0.15 ----

IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]  [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA]                [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA]                  [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!SetUnhandledExceptionFilter]    [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]  [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA]                  [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA]                  [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]    [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!SetUnhandledExceptionFilter]    [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA]                  [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!SetUnhandledExceptionFilter]  [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA]                  [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]    [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA]                    [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA]                  [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]    [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]  [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]                  [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!SetUnhandledExceptionFilter]  [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA]                  [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA]                    [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]    [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\SAMLIB.dll [KERNEL32.dll!SetUnhandledExceptionFilter]    [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]  [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryA]                [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA]                  [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!SetUnhandledExceptionFilter]  [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!LoadLibraryA]                  [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!SetUnhandledExceptionFilter]  [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!SetUnhandledExceptionFilter]  [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA]                [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!SetUnhandledExceptionFilter]  [017973CC] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT            F:\INTERNET\BROWSER\FIREFOX\FIREFOX.EXE[1508] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryA]                  [01797376] F:\Internet\Browser\Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)

---- Devices - GMER 1.0.15 ----

Device          \Driver\Tcpip \Device\Ip                                                                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\Tcp                                                                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                                      hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                                      hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                                                      hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume4                                                                                      hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume5                                                                                      hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume6                                                                                      hotcore3.sys (Hotbackup helper driver/Paragon Software Group)

Device          \Driver\Tcpip \Device\Udp                                                                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\RawIp                                                                                                  vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                            vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                    fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
Ich hoffe, das ich alles raus hab was raus sollte und Ihr mir hier helfen könnt.

Ich hoffe natürlich das bereits das schlimmste behoben ist, aber bei der Malware und so, da bin ich mir nicht so sicher.

Viele Grüße
Ernst

emet 29.10.2009 10:48
Sorry, hatte gestern Nacht schon keine Nerven mehr und anstatt das ganze auf 2 Posts aufzuteilen, hab ich 2 Themen daraus gemacht.

Seit bitte so lieb und fügt dieses als 2. Post unter

TR/ATRAPS.GEN - msacm32.drv und mehr Teil1

ein, dann kann man diesen Thread wieder löschen.

War wohl gestern Nacht schon leicht verwirrt.

Viele Grüße
Ernst

undoreal 29.10.2009 14:40
Moin Ernst.

Lasse Malwarebytes nocheinmal über den Rechner gucken und lösche alles was gefunden wird!

Gleiches gilt für Avira mit aggresiven Einstellungen!

Danach lässt du SuperAntiSpyware über das System gucken und ebenfalls alles löschen was gefunden wird!

Danach geht es mit Panda weiter:


Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Danach noch Kasperksy:


AVP-Tool
  • Downloade dir das Tool: Kaspersky Virus Removal Tool Download
  • Installiere es wie vorgeschlagen.
  • Räume mit dem cCleaner auf. Punkte 1&2
  • Starte den Computer im abgesicherten Modus.
  • Starte dort das AVP-Tool.
  • Setze unter Automatic Scan alle verfügbaren Häkchen so dass dein gesammter Computer untersucht wird.
  • Klicke im Hauptfenster unter Settings auf "Security Level".
  • Klicke unter Security Level auf den "Customize..."-Button.
    • General:
      • File types: Scan all files.
      • Productivity: Keine Häkchen setzen.
      • Compound files: Alle Häkchen setzen:
        • Scan All archives.
        • Scan All emdedded OLE objects.
        • Parse e-mail formats.
        • Scan passwort protected archives. (Das wird dazu führen, dass du während des Scans nach den Passwörtern für die Archive gefragt wirst. Weisst du diese grade nicht mehr kannst du die Untersuchung des Archives einfach überspringen.
    • Heuritic analyzer: Alle drei Häkchen setzen und den Schieberegler ganz nach rechts auf "High" stellen.
      • Rootkit Search:
        • Enable rootkits search
        • Enable deep rootkits search
      • Use heuristic analizer:
        • Häkchen setzen
        • Schieberegler ganz nach rechts auf "High" stellen.
  • Übernehme alle Einstellungen durch Klicken des "OK"-Buttons.
  • Stelle im Hauptfenster noch einmal sicher, dass dein gesammter PC untersucht wird und starte den Scan durch Klicken des "Scan"-Buttons.

Der Scan beginnt in einem neuen Fenster.
Er kann je nach Datenvolumen und Leistungsindex des Computers mehrere Stunden dauern.
Nach Abschluss des Scans wirst du über gefundene Objekte informiert.
Folge den empfohlenen Maßnahmen!
Zuerst wird Kaspersky versuchen die schädliche Datei zu desinfizieren.
Ist das nicht möglich wird sie unter Quarantäne gestellt oder gelöscht. Dabei wird immer ein Backup angelegt! Zögere also nicht die Funde löschen zu lassen.
In besonderen Fällen wird Kaspersky eine Desinfektions-Routine einleiten die einen Neustart des PCs beinhaltet. Folge auch hier einfach den Anweisungen.
Nachdem alle Funde gelöscht wurden klicke auf den "Report"-Button und kopiere den kompletten Bericht.
Füge ihn bitte in deinen nächsten Beitrag hier am Forum ein. Dieser Bericht ist für weitere Analysen sehr wichtig und sollte unbedingt gepostet werden!



Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\87b7a01419.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.



Poste alle logs.

emet 29.10.2009 18:57
Hallo und danke erst mal für die Hilfe.

Ich fang jetzt noch an, doch den Scan mit AVP-Tool werd ich erst am Wochenende schaffen - muss wohl nochmal 1-2 Tage weg.

Zitat:
Lasse Malwarebytes nocheinmal über den Rechner gucken und lösche alles was gefunden wird!
Und was ist mit der rundll32.exe - die kann ich doch nicht löschen???


Zitat:
Gleiches gilt für Avira mit aggresiven Einstellungen!
Hatte bereits bemerkt, das ich 2 Einstellungen vergessen hatte und dies bereits nachgeholt. Nochmal gescannt und findet nix mehr.


Zitat:
Räume mit dem cCleaner auf. Punkte 1&2
Welche Punkte 1 & 2 meinst du.
Und bitte nicht mit dem cCleaner - der verträgt sich absolut nicht mit meinem PC - der hat mir schon alles irgendwie zerschossen. Oder ist die neueste Version endlich sicher. Ansonsten benutz ich was anderes.

Zitat:
Zitat:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macrome dia\Common\87b7a01419.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch
Alle Dateien - ist doch nur eine oder?


So, ich fang jetzt gleich an.

Bis dann und Danke erst mal.
Gruß Ernst

undoreal 29.10.2009 19:46
Zitat:
Und was ist mit der rundll32.exe - die kann ich doch nicht löschen???
MBMA will nicht die rundll32.exe Datei löschen sondern einen Registrierungseintrag. Der ist schädlich. Lösche also bitte alles was gefunden wird.

emet 29.10.2009 22:56
Hab ich bereits gemacht.

Avira auch noch mal - findet aber nix mehr.

Superantispyware hat noch ein paar Sachen in Quarantäne gestellt.

Immer während der Scanvorgänge poppen hier und da mal ein paar Warungen von Avira auf. Da hats mir inzwischen ne PHP-Datei auf der zweiten Festplatte bei Dateien angelegt - hab ich darüber gleich gelöscht.

Es läuft gerade der Onlinescan und der hat schon 3 sachen gefunden - soll ich mich dort registrieren, damit er es auch repariert.

Und wie ist es nochmal mit ccleaner - der hatte mir wie gesagt mal alles zerhauen - geht auch easycleaner - der macht mir nix kaputt. Den hab ich bisher immer nur für die Registry benutzt.

Gruß
Ernst

EDIT:
Muss mich verbessern und bin geschockt - der OnlineScan zeigt bereits 60 infizierte Dateien.
Ich kann es mir nicht leisten jetzt meinen PC neu aufzusetzen. Hab ne Menge Arbeit zu tun.

undoreal 30.10.2009 01:42
Poste bitte alle logs! Nur so können wir dir helfen.

emet 02.11.2009 13:54
Habs jetzt geschafft und poste alle Logs in 4 Posts, da der Platz sonst nicht reicht.

Habe alles entfernen lassen und was nicht ging wie bei Mails (altbackups) oder Sys Volume Info etc. hab ich alles per Hand gelöscht.

Wegen dem Platz zeige ich auch nur die Laufwerke an, wo was gefunden wurde.

Zuerst mal hijackthis

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:47:09, on 02.11.2009
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
F:\Sicherheit\Spyware\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
F:\Sicherheit\Spyware\Windows Defender\MSASCui.exe
F:\System\Dateien loeschen\Unlocker\UnlockerAssistant.exe
F:\Internet\Spam\Spamihilator\spamihilator.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
F:\Sicherheit\Firewall\ZoneAlarm\ZoneAlarm\zlclient.exe
F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avgnt.exe
E:\Sandboxie\SbieCtrl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
F:\Tools\ISDN-Monitor\ISDNMon.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
F:\Sicherheit\Antivirus\a-squared-Free\a2service.exe
F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
F:\Tools\Brennen\CDBurnerXP\NMSAccessU.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Sandboxie\SbieSvc.exe
F:\System\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avmailc.exe
F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\AVWEBGRD.EXE
F:\Sicherheit\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\SICHER~1\Spyware\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - F:\Tools\Download\Free Download Manager\iefdm2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Windows Defender] "F:\Sicherheit\Spyware\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [UnlockerAssistant] "F:\System\Dateien loeschen\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Spamihilator] "F:\Internet\Spam\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Player\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Sicherheit\Firewall\ZoneAlarm\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "F:\Sicherheit\Malwarebytes\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [SandboxieControl] "E:\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ISDN-Monitor.lnk = F:\Tools\ISDN-Monitor\ISDNMon.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: ISDN-Monitor.lnk = F:\Tools\ISDN-Monitor\ISDNMon.exe (User 'Default user')
O4 - Startup: ISDN-Monitor.lnk = F:\Tools\ISDN-Monitor\ISDNMon.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dlall.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dllink.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Videos mit FDM herunterladen - file://F:\Tools\Download\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\SICHER~1\Spyware\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\SICHER~1\Spyware\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - h**p://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - h**p://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB19C06C-F727-4B0E-959C-5F691DF94454}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O20 - Winlogon Notify: !SASWinLogon - F:\Sicherheit\Spyware\Superantispyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - F:\Sicherheit\Antivirus\a-squared-Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - F:\Sicherheit\Antivirus\Avira\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - F:\Tools\Brennen\CDBurnerXP\NMSAccessU.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - E:\Sandboxie\SbieSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - F:\System\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 13560 bytes
Nun Malwarebytes

Code:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3059
Windows 5.1.2600 Service Pack 3, v.3264

31.10.2009 15:00:07
mbam-log-2009-10-31 (15-00-07).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 423492
Laufzeit: 1 hour(s), 12 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


............................................

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3059
Windows 5.1.2600 Service Pack 3, v.3264

31.10.2009 16:25:38
mbam-log-2009-10-31 (16-25-38).txt

Scan-Methode: Vollständiger Scan (H:\|)
Durchsuchte Objekte: 288593
Laufzeit: 1 hour(s), 12 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
H:\System Volume Information\_restore{E7646A06-CAB7-41A7-A3FE-ADED973D931E}\RP402\A0171993.exe (Malware.Tool) -> Quarantined and deleted successfully.
H:\Undo\Alt_Undo_2007\Undo\Programme\Web\ani\anigif5\IconCoolStudio.exe (Malware.NSPack) -> Quarantined and deleted successfully.
H:\Undo\Alt_Undo_2007\Undo\Programme\Web\Color Schemer\ColorPix.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
H:\Undo\Alt_Undo_2007\Undo\Programme\Web\Color Schemer\www.colorschemer.com\ColorPix.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

.......................

Es ist alles in Quarantäne bzw. gelöscht!!

--------------
Weiter im nächsten Post ...

emet 02.11.2009 14:00
... und Post 2 mit den weiteren Logs

Nun Avira

Code:
In 2 Laufwerken waren Funde:

Die Mails waren aus alten Mailordnern, die ich aufgehoben hatte, als ich letztes Jahr auf einen neuen PC umgezogen bin.
Diese lagen auf  Laufwerken vom hin und herschieben. Diese Mails wurde allerdings nie geöffnet.


Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Samstag, 31. Oktober 2009  16:13

Es wird nach 1851309 Virenstämmen gesucht.

Plattform      : Windows XP
Windowsversion : (Service Pack 3, v.3264)  [5.1.2600]
Boot Modus    : Normal gebootet

Versionsinformationen:
BUILD.DAT      : 9.0.0.447    21381 Bytes  26.08.2009 16:26:00
AVSCAN.EXE    : 9.0.3.7      466689 Bytes  09.08.2009 16:46:56
AVSCAN.DLL    : 9.0.3.0      49409 Bytes  13.02.2009 11:04:10
LUKE.DLL      : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0      13569 Bytes  26.01.2009 09:41:59
ANTIVIR0.VDF  : 7.1.0.0    15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF  : 7.1.4.132  5707264 Bytes  24.06.2009 13:02:58
ANTIVIR2.VDF  : 7.1.6.160  5413376 Bytes  28.10.2009 17:49:19
ANTIVIR3.VDF  : 7.1.6.173    71680 Bytes  30.10.2009 10:17:17
Engineversion  : 8.2.1.53
AEVDF.DLL      : 8.1.1.2      106867 Bytes  16.09.2009 16:56:48
AESCRIPT.DLL  : 8.1.2.43    528764 Bytes  31.10.2009 10:17:18
AESCN.DLL      : 8.1.2.5      127346 Bytes  03.09.2009 20:03:52
AERDL.DLL      : 8.1.3.2      479604 Bytes  03.10.2009 09:51:25
AEPACK.DLL    : 8.2.0.2      422263 Bytes  22.10.2009 18:36:42
AEOFFICE.DLL  : 8.1.0.38    196987 Bytes  18.06.2009 20:01:24
AEHEUR.DLL    : 8.1.0.173  2064760 Bytes  28.10.2009 19:44:14
AEHELP.DLL    : 8.1.7.0      237940 Bytes  03.09.2009 20:03:50
AEGEN.DLL      : 8.1.1.70    364917 Bytes  28.10.2009 19:43:59
AEEMU.DLL      : 8.1.1.0      393587 Bytes  03.10.2009 09:51:20
AECORE.DLL    : 8.1.8.1      184693 Bytes  16.09.2009 16:56:37
AEBB.DLL      : 8.1.0.3      53618 Bytes  09.10.2008 13:32:40
AVWINLL.DLL    : 9.0.0.3      18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL    : 9.0.3.0      44289 Bytes  08.09.2009 17:41:58
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0      36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL    : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL  : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0      11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.28    2623745 Bytes  09.06.2009 17:19:31
RCTEXT.DLL    : 9.0.37.0      90881 Bytes  17.04.2009 08:41:38

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\Anwender\LOKALE~1\Temp\b4e09cb1.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: F:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,


Beginne mit der Suche in 'F:\' <Programme>
F:\Internet\Browser\Kopie von Netscape\Mail\pop.btx.dtag.de\Inbox
  [0] Archivtyp: Netscape/Mozilla Mailbox
    [WARNUNG]  Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
    --> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]918.mim
      [1] Archivtyp: MIME
      --> Fiona-Karte-.jpeq.zip
        [2] Archivtyp: ZIP
        --> Fiona-Karte-.jpeq.com
          [3] Archivtyp: ZIP SFX (self extracting)
          [FUND]      Ist das Trojanische Pferd TR/Drop.Mudrop.CY
          --> Bild.exe
            [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
          --> zz05.exe
            [FUND]      Ist das Trojanische Pferd TR/Spy.2048.7
F:\Internet\Browser\Kopie von Netscape\Mail\pop.btx.dtag.de\Trash
  [0] Archivtyp: Netscape/Mozilla Mailbox
    [WARNUNG]  Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
    --> Mailbox_[Subject: Hallo von Carla][From: boungertz-j@gmx.de][Message-ID: <cmu-lmtpd-17841-1238670362-3@mhead203>]190.mim
      [1] Archivtyp: MIME
      --> Foto-Carla-.jpeq.zip
        [2] Archivtyp: ZIP
        --> Foto-Carla-.jpeq.com
          [3] Archivtyp: ZIP SFX (self extracting)
          [FUND]      Enthält Erkennungsmuster des Droppers DR/Fiona.G
          --> Bild.exe
            [FUND]      Ist das Trojanische Pferd TR/Drop.Agent.91751
          --> windows1.bat
            [FUND]      Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.XK
          --> zz.exe
            [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
    --> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]378.mim
      [1] Archivtyp: MIME
      --> Fiona-Karte-.jpeq.zip
        [2] Archivtyp: ZIP
        --> Fiona-Karte-.jpeq.com
          [3] Archivtyp: ZIP SFX (self extracting)
          [FUND]      Ist das Trojanische Pferd TR/Drop.Mudrop.CY
F:\Internet\Browser\Netscape\Mail_alt\pop.btx.dtag.de\Inbox
  [0] Archivtyp: Netscape/Mozilla Mailbox
    [WARNUNG]  Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
    --> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]918.mim
      [1] Archivtyp: MIME
      --> Fiona-Karte-.jpeq.zip
        [2] Archivtyp: ZIP
        --> Fiona-Karte-.jpeq.com
          [3] Archivtyp: ZIP SFX (self extracting)
          [FUND]      Ist das Trojanische Pferd TR/Drop.Mudrop.CY
          --> Bild.exe
            [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
          --> zz05.exe
            [FUND]      Ist das Trojanische Pferd TR/Spy.2048.7
F:\Internet\Browser\Netscape\Mail_alt\pop.btx.dtag.de\Trash
  [0] Archivtyp: Netscape/Mozilla Mailbox
    [WARNUNG]  Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
    --> Mailbox_[Subject: Hallo von Carla][From: boungertz-j@gmx.de][Message-ID: <cmu-lmtpd-17841-1238670362-3@mhead203>]190.mim
      [1] Archivtyp: MIME
      --> Foto-Carla-.jpeq.zip
        [2] Archivtyp: ZIP
        --> Foto-Carla-.jpeq.com
          [3] Archivtyp: ZIP SFX (self extracting)
          [FUND]      Enthält Erkennungsmuster des Droppers DR/Fiona.G
          --> Bild.exe
            [FUND]      Ist das Trojanische Pferd TR/Drop.Agent.91751
          --> windows1.bat
            [FUND]      Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.XK
          --> zz.exe
            [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
    --> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]378.mim
      [1] Archivtyp: MIME
      --> Fiona-Karte-.jpeq.zip
        [2] Archivtyp: ZIP
        --> Fiona-Karte-.jpeq.com
          [3] Archivtyp: ZIP SFX (self extracting)
          [FUND]      Ist das Trojanische Pferd TR/Drop.Mudrop.CY


Ende des Suchlaufs: Samstag, 31. Oktober 2009  16:37
Benötigte Zeit: 23:21 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  2854 Verzeichnisse wurden überprüft
 157092 Dateien wurden geprüft
    16 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 157076 Dateien ohne Befall
  20144 Archive wurden durchsucht
      4 Warnungen
      0 Hinweise

........................


Konfiguration für den aktuellen Suchlauf:
Bootsektoren..........................: H:,

Beginn des Suchlaufs: Samstag, 31. Oktober 2009  17:41

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'H:\' <Undo>
H:\Undo\Alt_Undo\Programme\Webdesign\ShopSoftware\xaranshop----fragezeichen\zipexe\xaranshop.part04.rar
  [0] Archivtyp: RAR
    [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    --> InstMsiW.exe
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
H:\Undo\Alt_Undo\Programme\Webdesign\ShopSoftware\xaranshop----fragezeichen\zipexe\xaranshop.part06.rar
  [0] Archivtyp: RAR
    [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    --> setup.exe
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
H:\Undo\Alt_Undo_2007\Undo\Backup.rar
  [0] Archivtyp: RAR
    [WARNUNG]  Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
    --> Backup\Netscape71\Mail\m7798252-2j-m\Spam---Junk
      [1] Archivtyp: Netscape/Mozilla Mailbox
      --> Mailbox_[From: "Benutzerunterstutzung." <support@citibank.de>][Message-ID: <939650065.08779689156796@bramall.com>][Subject: Scheckkonto, citibank schlo? einige Konten  ]702.mim
        [2] Archivtyp: MIME
        [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
        --> file0.html
          [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
      --> Mailbox_[From: "Benutzerunterstutzung." <admin@citibank.de>][Message-ID: <968410524.18770809541099@be-intl.com>][Subject: Citibank informiert 3000 Konten von der Schlie?]704.mim
        [2] Archivtyp: MIME
        [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
        --> file0.html
          [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
      --> Mailbox_[From: "Informationen." <Inform@citibank.de>][Message-ID: <346745571.37842990346540@brandywineonline.com>][Subject: Die Nachrichten von citibank - Scheckkonto ]706.mim
        [2] Archivtyp: MIME
        [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
        --> file0.html
          [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
      --> Mailbox_[From: "Informationen." <admin@citibank.de>][Message-ID: <084879686.68513485727537@liquidweb.com>][Subject: Ihr citibank erklart moglicherweise getroffene ]708.mim
        [2] Archivtyp: MIME
        [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
        --> file0.html
          [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
      --> Mailbox_[From: "Hilfsteam." <admin@citibank.de>][Message-ID: <941105505.64040438319324@offerbyowner.com>][Subject: Citibank informiert 3000 Konten von der Schlie?]718.mim
        [2] Archivtyp: MIME
        [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
        --> file0.html
          [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
      --> Mailbox_[From: "Hilfsteam." <Unterstutzung@citibank.de >][Message-ID: <120700157.35618806672867@qeddata.com>][Subject: Uberprufen Sie prompt citibank-Konto ]720.mim
        [2] Archivtyp: MIME
        [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
        --> file0.html
          [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
    --> Backup\Netscape71\Mail\pop.btx.dtag.de\Spam---Junk
      [1] Archivtyp: Netscape/Mozilla Mailbox
      --> Mailbox_[From: "NatWest" <clientcare.ref98935933.ib@natwest.co][Subject: *SPAM* notification from National Westminster B]2582.mim
        [2] Archivtyp: MIME
        [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
        --> file0.html
          [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
H:\Undo\Alt_Undo_2007\Undo\Programme\Programme.rar
  [0] Archivtyp: RAR
    --> Flash 4 Web - Win XP\Slideshow\Flash Slideshow Maker  Free Version 4.2\setup_fssmpro.exe
      [1] Archivtyp: NSIS
      --> Settings/fssmdrm_pro.dll
        [FUND]      Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Armadillo). Bitte verifizieren Sie den Ursprung dieser Datei.
    --> Flash 4 Web - Win XP\Slideshow\Flash Slideshow Maker  Version 4.21\setup_flash_slideshow_maker.exe
      [1] Archivtyp: NSIS
      --> Settings/fssmdrm_pro.dll
        [FUND]      Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Armadillo). Bitte verifizieren Sie den Ursprung dieser Datei.
    --> Flash 4 Web - Win XP\Slideshow\SlideshowZilla 1.0 Free Trial\slideshowzilla_setup.exe
      [1] Archivtyp: NSIS
      --> Settings/fssmdrm_pro.dll
        [FUND]      Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Armadillo). Bitte verifizieren Sie den Ursprung dieser Datei.
      --> Settings/slideshowzilladrm.dll
        [FUND]      Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Armadillo). Bitte verifizieren Sie den Ursprung dieser Datei.
    --> Packer\simplyzipse\simplyzipse.exe
      [1] Archivtyp: ZIP SFX (self extracting)
      --> setup.exe
        [2] Archivtyp: NSIS
        --> [ProgramFilesDir]/Simplyzip/SimplyZip.exe
          [FUND]      Ist das Trojanische Pferd TR/Spy.536832
    --> TS-Tune\2001_Update\ts-tune2001-v7-update.exe
    --> Updates\webfresh\detection.exe
    --> Updates\webfresh\sp_446717_r2_r2c.exe
H:\Undo\Undo\Backup\MozBackup\Backups\Netscape7.1\SeaMonkey  - 2009-05-30.pcv
  [0] Archivtyp: ZIP
    [WARNUNG]  Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
    --> Mail/pop.btx.dtag.de/Inbox
      [1] Archivtyp: Netscape/Mozilla Mailbox
      --> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]918.mim
        [2] Archivtyp: MIME
        --> Fiona-Karte-.jpeq.zip
          [3] Archivtyp: ZIP
          --> Fiona-Karte-.jpeq.com
            [4] Archivtyp: ZIP SFX (self extracting)
            [FUND]      Ist das Trojanische Pferd TR/Drop.Mudrop.CY
            --> Bild.exe
              [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
            --> zz05.exe
              [FUND]      Ist das Trojanische Pferd TR/Spy.2048.7
    --> Mail/pop.btx.dtag.de/Trash
      [1] Archivtyp: Netscape/Mozilla Mailbox
      --> Mailbox_[Subject: Hallo von Carla][From: boungertz-j@gmx.de][Message-ID: <cmu-lmtpd-17841-1238670362-3@mhead203>]190.mim
        [2] Archivtyp: MIME
        --> Foto-Carla-.jpeq.zip
          [3] Archivtyp: ZIP
          --> Foto-Carla-.jpeq.com
            [4] Archivtyp: ZIP SFX (self extracting)
            [FUND]      Enthält Erkennungsmuster des Droppers DR/Fiona.G
            --> Bild.exe
              [FUND]      Ist das Trojanische Pferd TR/Drop.Agent.91751
            --> windows1.bat
              [FUND]      Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.XK
            --> zz.exe
              [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
      --> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]378.mim
        [2] Archivtyp: MIME
        --> Fiona-Karte-.jpeq.zip
          [3] Archivtyp: ZIP
          --> Fiona-Karte-.jpeq.com
            [4] Archivtyp: ZIP SFX (self extracting)
            [FUND]      Ist das Trojanische Pferd TR/Drop.Mudrop.CY
H:\Undo\Undo\Backup\Netscape71\Mail\m7798252-2j-m\Spam---Junk
  [0] Archivtyp: Netscape/Mozilla Mailbox
    [WARNUNG]  Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
    --> Mailbox_[From: "Benutzerunterstutzung." <support@citibank.de>][Message-ID: <939650065.08779689156796@bramall.com>][Subject: Scheckkonto, citibank schlo? einige Konten  ]702.mim
      [1] Archivtyp: MIME
      [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
      --> file0.html
        [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
    --> Mailbox_[From: "Benutzerunterstutzung." <admin@citibank.de>][Message-ID: <968410524.18770809541099@be-intl.com>][Subject: Citibank informiert 3000 Konten von der Schlie?]704.mim
      [1] Archivtyp: MIME
      [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
      --> file0.html
        [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
    --> Mailbox_[From: "Informationen." <Inform@citibank.de>][Message-ID: <346745571.37842990346540@brandywineonline.com>][Subject: Die Nachrichten von citibank - Scheckkonto ]706.mim
      [1] Archivtyp: MIME
      [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
      --> file0.html
        [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
    --> Mailbox_[From: "Informationen." <admin@citibank.de>][Message-ID: <084879686.68513485727537@liquidweb.com>][Subject: Ihr citibank erklart moglicherweise getroffene ]708.mim
      [1] Archivtyp: MIME
      [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
      --> file0.html
        [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
    --> Mailbox_[From: "Hilfsteam." <admin@citibank.de>][Message-ID: <941105505.64040438319324@offerbyowner.com>][Subject: Citibank informiert 3000 Konten von der Schlie?]718.mim
      [1] Archivtyp: MIME
      [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
      --> file0.html
        [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
    --> Mailbox_[From: "Hilfsteam." <Unterstutzung@citibank.de >][Message-ID: <120700157.35618806672867@qeddata.com>][Subject: Uberprufen Sie prompt citibank-Konto ]720.mim
      [1] Archivtyp: MIME
      [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
      --> file0.html
        [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
H:\Undo\Undo\Backup\Netscape71\Mail\pop.btx.dtag.de\Spam---Junk
  [0] Archivtyp: Netscape/Mozilla Mailbox
    [WARNUNG]  Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
    --> Mailbox_[From: "NatWest" <clientcare.ref98935933.ib@natwest.co][Subject: *SPAM* notification from National Westminster B]2582.mim
      [1] Archivtyp: MIME
      [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
      --> file0.html
        [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
H:\Undo\Undo\Backup\Netscape71_neu\Mail_alt\pop.btx.dtag.de\Inbox
  [0] Archivtyp: Netscape/Mozilla Mailbox
    [WARNUNG]  Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
    --> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]918.mim
      [1] Archivtyp: MIME
      --> Fiona-Karte-.jpeq.zip
        [2] Archivtyp: ZIP
        --> Fiona-Karte-.jpeq.com
          [3] Archivtyp: ZIP SFX (self extracting)
          [FUND]      Ist das Trojanische Pferd TR/Drop.Mudrop.CY
          --> Bild.exe
            [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
          --> zz05.exe
            [FUND]      Ist das Trojanische Pferd TR/Spy.2048.7
H:\Undo\Undo\Backup\Netscape71_neu\Mail_alt\pop.btx.dtag.de\Trash
  [0] Archivtyp: Netscape/Mozilla Mailbox
    [WARNUNG]  Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
    --> Mailbox_[Subject: Hallo von Carla][From: boungertz-j@gmx.de][Message-ID: <cmu-lmtpd-17841-1238670362-3@mhead203>]190.mim
      [1] Archivtyp: MIME
      --> Foto-Carla-.jpeq.zip
        [2] Archivtyp: ZIP
        --> Foto-Carla-.jpeq.com
          [3] Archivtyp: ZIP SFX (self extracting)
          [FUND]      Enthält Erkennungsmuster des Droppers DR/Fiona.G
          --> Bild.exe
            [FUND]      Ist das Trojanische Pferd TR/Drop.Agent.91751
          --> windows1.bat
            [FUND]      Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.XK
          --> zz.exe
            [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
    --> Mailbox_[Subject: Hallo von Fiona][From: K-loschkatz@gmx.de][Message-ID: <cmu-lmtpd-20996-1241385722-1@mhead203>]378.mim
      [1] Archivtyp: MIME
      --> Fiona-Karte-.jpeq.zip
        [2] Archivtyp: ZIP
        --> Fiona-Karte-.jpeq.com
          [3] Archivtyp: ZIP SFX (self extracting)
          [FUND]      Ist das Trojanische Pferd TR/Drop.Mudrop.CY
H:\Undo\Undo\Programme\Sicherheit\Sandbox\Win-SeO\Win-SeO_3.1.exe
  [0] Archivtyp: RSRC
    --> Object
      [1] Archivtyp: CAB (Microsoft)
      --> SetACL.exe
        [FUND]      Enthält Erkennungsmuster der Anwendung APPL/ACLSet

Beginne mit der Desinfektion:
H:\Undo\Alt_Undo_2007\Undo\Programme\Programme.rar
    [WARNUNG]  Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26001
    [WARNUNG]  Fehler in der Quarantäne Initialisierung!
    [HINWEIS]  Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '489a87af.qua' verschoben!
H:\Undo\Undo\Programme\Sicherheit\Sandbox\Win-SeO\Win-SeO_3.1.exe
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b5ab18d.qua' verschoben!


Ende des Suchlaufs: Samstag, 31. Oktober 2009  22:50
Benötigte Zeit:  4:33:14 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  16515 Verzeichnisse wurden überprüft
 1135128 Dateien wurden geprüft
    50 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1135078 Dateien ohne Befall
  46667 Archive wurden durchsucht
    11 Warnungen
      2 Hinweise

.................................

Es ist alles in Quarantäne oder gelöscht!!
Und weiter mit Post 3....

emet 02.11.2009 14:03
Post 3 mit weiteren Logs

Nun SUPERAntiSpyware

Code:
SUPERAntiSpyware Scan Log


Generated 10/29/2009 at 10:01 PM

Application Version : 4.29.1004

Core Rules Database Version : 4210
Trace Rules Database Version: 2117

Scan type      : Complete Scan
Total Scan Time : 00:37:41

Memory items scanned      : 587
Memory threats detected  : 0
Registry items scanned    : 6916
Registry threats detected : 0
File items scanned        : 44147
File threats detected    : 5

Adware.Tracking Cookie
        .de.at.atwola.com [ C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Profiles\default\Kopie von lto5p63v.slt\cookies.txt ]
        .aolde.122.2o7.net [ C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Profiles\default\Kopie von lto5p63v.slt\cookies.txt ]

Dialer.Sysupd
        H:\UNDO\ALT_UNDO_2007\UNDO\PROGRAMME\VIRENSCANNER\ANTIVIR WINDOWS-SYSTEM-DLLS\SYSUPD.EXE

Unclassified.Monitor/ActualSpy
        H:\UNDO\UNDO\SOFTWARE\XP MULTI\PROGRAMME\MG11PRO\SUPPORT\MGGSTR32.DLL

Trojan.Agent/Gen-FSG
        H:\UNDO\UNDO\SOFTWARE\XP MULTI\PROGRAMME\RAXCO\KEYGEN.EXE

..........................


Generated 11/01/2009 at 05:05 PM

Application Version : 4.29.1004

Core Rules Database Version : 4218
Trace Rules Database Version: 2122

Scan type      : Complete Scan
Total Scan Time : 00:16:02

Memory items scanned      : 621
Memory threats detected  : 0
Registry items scanned    : 6912
Registry threats detected : 0
File items scanned        : 12069
File threats detected    : 1

Unclassified.Monitor/ActualSpy
        H:\SYSTEM VOLUME INFORMATION\_RESTORE{E7646A06-CAB7-41A7-A3FE-ADED973D931E}\RP402\A0171918.DLL

..................

Alles gelöscht!!

Nun Panda Active Scan

Code:
Panda Active Scan

Registriert und dadurch desinfizieren lassen. Was nicht desinfiziert wurde, ist alles von Hand gelöscht!!
Auch Sys Volume Info

...........

ANALYSIS: 2009-11-01

Laufwerk C:

MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location

04779600  Trj/Sinowal.WOS                    Virus/Trojan        No        1        Yes            Yes          c:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp402\a0171999.exe
04779600  Trj/Sinowal.WOS                    Virus/Trojan        No        1        Yes            Yes          c:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp402\a0172000.exe
04779600  Trj/Sinowal.WOS                    Virus/Trojan        No        1        Yes            Yes          c:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp402\a0171998.exe

SUSPECTS
Sent      Location

Yes      c:\windows\installer\sandboxieinstall.exe

.......................................................................................................................................................................

Laufwerk F:

MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location

00139061  Cookie/Doubleclick                TrackingCookie      No        0        Yes            No          f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.doubleclick.net/]
00145738  Cookie/Mediaplex                  TrackingCookie      No        0        Yes            No          f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.mediaplex.com/]
00168061  Cookie/Apmebf                      TrackingCookie      No        0        Yes            No          f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.apmebf.com/]
00168090  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168093  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.bs.serving-sys.com/]
00169190  Cookie/Advertising                TrackingCookie      No        0        Yes            No          f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.advertising.com/]
00169190  Cookie/Advertising                TrackingCookie      No        0        Yes            No          f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.advertising.com/]
00169190  Cookie/Advertising                TrackingCookie      No        0        Yes            No          f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.advertising.com/]
01648769  HackTool/Finder.B                  HackTools          No        0        Yes            No          f:\sicherheit\pantsoff\pantsoffhk.dll
01648911  HackTool/Finder.B                  HackTools          No        0        No            No          f:\internet\browser\netscape\ehm\standardbenutzer\9uvs43lk.slt\mail\pop.gmx.net\sent[pantsoff.rar][pantsoff.exe]

.......................................................................................................................................................................

Laufwerk F:

MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location

00139061  Cookie/Doubleclick                TrackingCookie      No        0        Yes            No          h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.doubleclick.net/]
00145738  Cookie/Mediaplex                  TrackingCookie      No        0        Yes            No          h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.mediaplex.com/]
00168061  Cookie/Apmebf                      TrackingCookie      No        0        Yes            No          h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.apmebf.com/]
00168090  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168090  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.serving-sys.com/]
00168093  Cookie/Serving-sys                TrackingCookie      No        0        Yes            No          h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.bs.serving-sys.com/]
00169190  Cookie/Advertising                TrackingCookie      No        0        Yes            No          h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.advertising.com/]
00169190  Cookie/Advertising                TrackingCookie      No        0        Yes            No          h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.advertising.com/]
00169190  Cookie/Advertising                TrackingCookie      No        0        Yes            No          h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\cookies.txt[.advertising.com/]
01648911  HackTool/Finder.B                  HackTools          No        0        Yes            No          h:\undo\undo\programme\sicherheit\pantsoff\pantsoff.exe
01648911  HackTool/Finder.B                  HackTools          No        0        Yes            No          h:\undo\alt_undo_2007\undo\programme\passwort pants off\pantsoff.exe
01648911  HackTool/Finder.B                  HackTools          No        0        Yes            No          h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp403\a0173433.exe
01648911  HackTool/Finder.B                  HackTools          No        0        No            No          h:\undo\undo\backup\netscape71_neu\ehm\standardbenutzer\9uvs43lk.slt\mail\pop.gmx.net\sent[pantsoff.rar][pantsoff.exe]
01648911  HackTool/Finder.B                  HackTools          No        0        No            No          h:\undo\undo\programme\sicherheit\pantsoff\pantsoff.rar[pantsoff.exe]
03882164  Adware/UppcBar                    Adware              No        0        No            No          h:\undo\undo\software\xp multi\programme\mg11pro\data1.cab[fmaccount.dll]
04199671  Trj/Downloader.MDW                Virus/Trojan        No        1        Yes            Yes          h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp402\a0172001.exe


SUSPECTS
Sent      Location

No        h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp403\a0173436.exe[setup.exe][simplyzip.exe]
No        h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp403\a0173465.exe
No        h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp403\a0173574.exe
No        h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp404\a0177003.exe[setup.exe][simplyzip.exe]
No        h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp404\a0176780.exe
No        h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp404\a0176780.exe[h:\system volume information\_restore{e7646a06-cab7-41a7-a3fe-aded973d931e}\rp404\a0176780.exe][win-seo.exe]
No        h:\undo\alt_undo\programme\webdesign\tools media\createmovie\zipexe\createmovie.exe
No        h:\undo\alt_undo_2007\undo\programme\messenger\portable gaim 2.0b3.1_multilingual\gaim_portable_2.0b3.1_multilingual.exe
No        h:\undo\alt_undo_2007\undo\programme\system\spyware\spybot - search & destroy 1.4\detection updates 2006-12-01\spybotsd_includes.exe
No        h:\undo\alt_undo_2007\undo\web\htaccess generator 1.00\easyhta.zip[support/easyhta.exe]
No        h:\undo\alt_undo_2007\undo\web\htaccess generator 1.00\easyhta.zip[easyhta.cab][easyhta.exe]
No        h:\undo\undo\programme\sicherheit\sandbox\sandboxie\03-2008\sandboxieinstall.exe
No        h:\undo\undo\programme\tools\brennen\easy burning\easyburn_dvd202.zip[setup.exe][easy_burning.exe]
No        h:\undo\undo\software\multi\programme\startup-spyxp\startupspy.exe
No        h:\undo\undo\software\multi\programme\studio10\setup\data1.cab[mixup3du.fex]
No        h:\undo\undo\web\tools\easy .htaccess generator 1.0\easyhta.zip[support/easyhta.exe]
No        h:\undo\undo\web\tools\easy .htaccess generator 1.0\easyhta.zip[easyhta.cab][easyhta.exe]
.......................................................................................................................................................................


VULNERABILITIES
Id        Severity      Description

214076    HIGH          MS09-059
971486    HIGH          MS09-058
214074    HIGH          MS09-057
214073    HIGH          MS09-056
214072    HIGH          MS09-055
214071    HIGH          MS09-054
213109    HIGH          MS09-046
212494    HIGH          MS09-042
212493    HIGH          MS09-041
212490    HIGH          MS09-038
212530    HIGH          MS09-034
211784    HIGH          MS09-032
211781    HIGH          MS09-029
210625    HIGH          MS09-026
210624    HIGH          MS09-025
210621    HIGH          MS09-022
210618    HIGH          MS09-019
208380    HIGH          MS09-015
208379    HIGH          MS09-014
208378    HIGH          MS09-013
208377    HIGH          MS09-012
206981    HIGH          MS09-007
206980    HIGH          MS09-006
205735    HIGH          MS09-002
204670    HIGH          MS09-001
203806    HIGH          MS08-078
203508    HIGH          MS08-073
203505    HIGH          MS08-071
202465    HIGH          MS08-068
201683    HIGH          MS08-067
201258    HIGH          MS08-066
201256    HIGH          MS08-064
201255    HIGH          MS08-063
201253    HIGH          MS08-061
201250    HIGH          MS08-058
209275    HIGH          MS08-049
209273    HIGH          MS08-045
196455    MEDIUM        MS08-037
194862    HIGH          MS08-032
194861    HIGH          MS08-031
194860    HIGH          MS08-030
191617    HIGH          MS08-024
weiter mit Post 4 ...

emet 02.11.2009 14:08
Post 4 mit den restlichen Logs

Virus Removal Tool

Code:
Virus Removal Tool

Habe nur das notwendigste rausgezogen, da die Dateien riesig sind.
Bin erst beim letzten draufgekommen, nochmal von Hand Report zu sichern.
Die automatischen Reports eines Laufwerkes sind ja riesengroß.

Alle anderen Laufwerke waren ok.



Laufwerk H:


Scanned:        1037197
Detected:        2
Untreated:        0
Start time:        01.11.2009 21:44:48
Duration:        02:37:01
Finish time:        02.11.2009 00:21:49


Detected
--------
Status        Object
------        ------
deleted: Trojan program Trojan.BAT.KillAll.an        File: H:\Undo\Alt_Undo_2007\Undo\Programme\System\mbrkill\KOP.BAT
deleted: Trojan program Trojan.BAT.KillAll.an        File: H:\Undo\Alt_Undo_2007\Undo\Programme\System\mbrkill\PLAT.BAT


Events
------
Time        Name        Status        Reason
----        ----        ------        ------
01.11.2009 21:44:58        Logical disk sector: H        ok        scanned
01.11.2009 21:44:58        Physical disk sector: \Device\HarddiskVolume1        ok        scanned
01.11.2009 21:44:59        Physical disk sector: \Device\HarddiskVolume4        ok        scanned


Statistics
----------
Object        Scanned        Detected        Untreated        Deleted        Moved to Quarantine        Archives        Packed files        Password protected        Corrupted
------        -------        --------        ---------        -------        -------------------        --------        ------------        ------------------        ---------


Settings
--------
Parameter        Value
---------        -----
Security Level        Custom
Action        Prompt for action when the scan is complete
Run mode        Manually
File types        Scan all files
Scan only new and changed files        No
Scan archives        All
Scan embedded OLE objects        All
Skip if object is larger than        No
Skip if scan takes longer than        No
Parse email formats        Yes
Scan password-protected archives        No
Enable iChecker technology        Yes
Enable iSwift technology        Yes
Show detected threats on "Detected" tab        Yes
Rootkits search        Yes
Deep rootkits search        Yes
Use heuristic analyzer        Yes


Quarantine
----------
Status        Object        Size        Added
------        ------        ----        -----


Backup
------
Status        Object        Size
------        ------        ----
Infected: Trojan program Trojan.BAT.KillAll.an        g:\daten\alt_daten\xdaten\mbrkill\kop.bat        67 bytes
Infected: Trojan program Trojan.BAT.KillAll.an        g:\daten\alt_daten\xdaten\mbrkill\plat.bat        34 bytes
und noch Virustotal

Code:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\87b7a01419.exe
wurde gelöscht bzw. desinfiziert

Virustotal

Datei 87b7a01419.exe empfangen 2009.10.29 18:01:57 (UTC)


Ergebnis: 2/41 (4.88%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.10.29 -
AhnLab-V3 5.0.0.2 2009.10.29 -
AntiVir 7.9.1.50 2009.10.29 -
Antiy-AVL 2.0.3.7 2009.10.27 -
Authentium 5.1.2.4 2009.10.29 -
Avast 4.8.1351.0 2009.10.29 -
AVG 8.5.0.423 2009.10.29 -
BitDefender 7.2 2009.10.29 -
CAT-QuickHeal 10.00 2009.10.29 -
ClamAV 0.94.1 2009.10.29 -
Comodo 2769 2009.10.29 -
DrWeb 5.0.0.12182 2009.10.29 -
eSafe 7.0.17.0 2009.10.29 -
eTrust-Vet None 2009.10.29 -
F-Prot 4.5.1.85 2009.10.29 -
F-Secure 9.0.15370.0 2009.10.27 Trojan:W32/Riern.B
Fortinet 3.120.0.0 2009.10.29 -
GData 19 2009.10.29 -
Ikarus T3.1.1.72.0 2009.10.29 -
Jiangmin 11.0.800 2009.10.29 -
K7AntiVirus 7.10.883 2009.10.29 -
Kaspersky 7.0.0.125 2009.10.29 -
McAfee 5785 2009.10.28 -
McAfee+Artemis 5785 2009.10.28 -
McAfee-GW-Edition 6.8.5 2009.10.29 -
Microsoft 1.5202 2009.10.29 -
NOD32 4555 2009.10.29 -
Norman 6.03.02 2009.10.29 -
nProtect 2009.1.8.0 2009.10.29 -
Panda 10.0.2.2 2009.10.28 Trj/Sinowal.WOS
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.29 -
Rising 21.53.34.00 2009.10.29 -
Sophos 4.47.0 2009.10.29 -
Sunbelt 3.2.1858.2 2009.10.29 -
Symantec 1.4.4.12 2009.10.29 -
TheHacker 6.5.0.2.056 2009.10.28 -
TrendMicro 8.950.0.1094 2009.10.29 -
VBA32 3.12.10.11 2009.10.29 -
ViRobot 2009.10.29.2011 2009.10.29 -
VirusBuster 4.6.5.0 2009.10.29 -
weitere Informationen
File size: 16384 bytes
MD5...: 2c2213706440f89620a9f9d1eebc4478
SHA1..: a6cf8bf2b1c93cd41caa2872f01dbfcdfba3a377
SHA256: 0ed1434afd37f1369897a5c7bf32ed54ff5b0832c37c3118783805ae336babb5
ssdeep: 384:Iaib4iAgY7Avc+x2mlm1Lh1sype+SoEglZsi1E:3ib4iAgY7B+xcJs42Fgl6
iq
 
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x134f
timedatestamp.....: 0x4ae47672 (Sun Oct 25 16:01:54 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b9e 0x2c00 6.56 60c373bc0c8dc6c17965d3f7dace9cf0
.rdata 0x4000 0x736 0x800 4.97 dfd28a1990c2ecc325ca747cccd278c7
.data 0x5000 0xc5c 0x800 4.30 0cc4373d86265f29d00b0a76de516000

( 1 imports )
> KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW

( 0 exports )
 
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
--------------
War und bin geschockt, was sich da ansammelt und hoffe, das ich jetzt befreit bin. Alles läuft jedenfalls wieder einwandfrei und es kommen keine Warnfenster mehr.

Auch wenn nicht alle wie die alten Mailanhänge was tun konnten - sie waren noch auf dem PC.

Wenn meine Software, die ich auf dem PC habe nicht hilft, was muss ich mir dann installieren, was Live überwachen kann und relativ sicher ist.

Nur im Nachhinein ist doch etwas gefährlich.

Vielen Dank und viele Grüße
Ernst

stillway 03.11.2009 12:18
Hallo,

ich lese immer wieder, dass dieser Trojaner NICHT ohne das Neuaufsetzen von Windows möglich ist. Ist das richtig?

Da ich auch betroffen bin überlege ich, mir mein Acronis Backup draufzuspielen nach der Neuinstallation. Reicht das aus? Oder muss ich noch zusätzlich den Masterboot Sektor "ausmerzen"?

emet 03.11.2009 14:07
Also, scheinbar hat mir die ausführliche Info und Anleitung geholfen.

Mein System läuft wieder schnell und scheinbar ist auch alles wieder sauber.

Keine Warnungen oder sonst was mehr.

Man muss halt scheinbar nach diesem System alles ab und an mal manuell suchen lassen oder sich Vollversionen kaufen, die auch live mitlaufen.

Habe auch den cCleaner 2-3 Einstellungen geändert und er hat mir mein System einwandfrei gesäubert und aufgeräumt ohne Schaden anzurichten.

Anschließend nochmal mit dem Easycleaner drüber und der hat mir dann noch die restlichen Leichen beseitigt.

Der Panda-Online-Scan findet auch wirklich jede Menge, was aandere nicht gefunden haben - war schon heftig.

stillway 03.11.2009 14:12
Ja, dieses "Scheinb a r" ist mir ein bisschen zu unsicher, deswegen frage ich.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:47 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131