|
Links auf Google werden umgeleitet, Antivirenprogramm fehlerhaft Hallo zusammen! Ich habe seit einiger Zeit Probleme mit meinem Lenovo Thinkpad T61 mit dem Betriebssystem Windows XP. Angefangen hat alles damit, dass seit ca. 4 Wochen der Standbymodus nicht mehr funktioniert. Egal, ob ich das Laptop zuklappe oder manuell den Standbyodus einstelle, der Bildschirm wird einfach schwarz, nichts geht mehr und ich muss den Akku rausholen und wiedereinsetzen, damit ich wieder hochfahren kann. Der Ruhezustand funktioniert ganz normal. Habe mich im Internet informiert und herausgefunden, dass das an zu alten Treibern liegen könnte. Das bezweifle ich aber, da ich das Notebook erst seit Mai diesen Jahres habe. Ich muss dazu sagen, dass es ein gebrauchtes Notebook ist, dass ich auf der Seite LapStore.de gekauft habe. Kurz darauf ist es mir zum ersten Mal passiert, dass ein Link auf Google umgeleitet wurde zu einer völlig anderen Seite. Das passiert seitdem manchmal, in völlig unregelmäßigen Abständen. Manchmal wird der Link auch einfach auf eine leere Seite umgeleitet, ansonsten wechseln sich zwei Seiten ab, eine Werbeseite für Internetfernsehen (tvnoop oder so ähnlich) und eine andere Werbeseite. Ich weiß, dass es zu diesem Thema hier schon zahlreiche Einträge gibt, aber da mein Problem eben nicht nur daraus besteht, habe ich ein neues Thema eröffnet. Mein Antivirenprogramm war bis dahin Norton Internetsecurity. Ich habe es deinstalliert und Avira installiert, in der Hoffnung, damit etwas zu finden. Wenn ich den Scan ausführen wollte, hat es aber nicht geklappt, es ist nichts passiert. Auf Rat eines Bekannten habe ich mir dann Eset Nod32 runtergeladen, also ich spreche hier immer von den kostenlosen Testversionen, die Installation hat letztendlich auch funktioniert, aber als ich den Suchlauf gestartet habe, hing das Programm ewig lange bei 0%, ich habe den PC neugestartet und jetzt funktioniert das Programm gar nicht mehr, Fehlermeldung: Fehler bei Kommunikation mit dem ESET NOD32 Antivirus-Kerneldienst. Auf der Internetseite von Eset steht eine Anleitung, was man tun soll, um diese Fehlermeldung zu beheben, aber das funktioniert nicht. Ich bin im Moment ziemlich rat- und hilflos und hoffe, ihr könnt mir helfen. Ich weiß nicht, ob es ein Virus ist. Habe probiert, einen Malwarescan zu machen, aber der wird ebenfalls nicht ausgeführt. Gruß, ebee |
hi. 1. instaliere keine weiteren programme und versuche eset und avira zu deinstalieren. 2. mache nur das, was ich dir schreibe bitte. otl: Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)
|
Danke für die schnelle Antwort. Eset konnte ich weder deinstallieren, noch reparieren, noch nochmal installieren, um es dann anschließend zu deinstallieren. Hier jedenfalls die beiden Logfiles. Hoffe, hab alles richtig gemacht. |
bitte mache kein onlinebanking und nichts wichtiges auf diesem pc, du hast ein rootkit auf dem pc. Von http://www.osnanet.de/andreas.hoetker/Mopao/PPFScan.zip den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS. Danach die PPFScan.exe starten. lade jetzt die rootkit.scp File-Upload.net - rootkit.scp zb in den selben ordner, wo sich der ppf scanner befindet, aber auch jeder andere ort ist ok. Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu rowsen und eine Datei auszuwählen. Wähle hier die Datei rootkit.scp aus. klicke auf öffnen, und dann auf ja Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die download links. |
Sorry, hab das mit dem Verlinken nicht hingekriegt. Hoffe, das macht dir nicht zu viel Arbeit. hxxp://www.file-upload.net/download-3769105/Drivers.txt.html hxxp://www.file-upload.net/download-3769114/Eventlog.txt.html hxxp://www.file-upload.net/download-3769130/Files.txt.html hxxp://www.file-upload.net/download-3769131/Firewall.txt.html hxxp://www.file-upload.net/download-3769133/MD5.txt.html hxxp://www.file-upload.net/download-3769139/ppFiles.txt.html hxxp://www.file-upload.net/download-3769140/ppRegistry.txt.html hxxp://www.file-upload.net/download-3769141/Processes.txt.html hxxp://www.file-upload.net/download-3769143/Scripting.txt.html hxxp://www.file-upload.net/download-3769144/Threads.txt.html hxxp://www.file-upload.net/download-3769150/Warnings.txt.html |
passt. brauch n bissel um das durchzuarbeiten. |
scheint nicht so geklappt zu haben wie ichs wollte. versuchen wir erst mal folgendes: bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Alles klar, hat letztendlich geklappt. |
Nein, Moment, hier. |
hmm das ist aber irgndwie nichts sinnvolles. kannst du die original combofix.txt mal anhängen? oder ist sie dass. als du sie offen hattest war da bei dir normaler text drinnen oder auch solch ein durcheinander :-) |
Siehe oben? Hab da jetzt die ComboFix Datei gepostet. |
da haben sich unsere posts überschnitten, sorry. start programme zubehör editor, kopiere rein: Killall:: rootkit:: folder:: C:\WINDOWS\765326347 klicke auf datei, klicke auf speichern unter, gehe auf dateitypen, wähle alle dateien. schreibe bei name: cfscript.txt speichere dort ab, wo sich combofix.exe befindet. ziehe cfscript auf combofix, programm startet log posten bitte |
Hier, bitte. |
hi öffne den arbeitsplatz c: dort rechtsklick auf qoobox. mit winrar oder zip packen und hier hochladen: http://www.trojaner-board.de/54791-a...ner-board.html (folge der anleitung) dann berichte, wie der pc läuft, insbesondere die antimalware scanner. |
archiv angekommen, danke. nun sag mir bitte ob die antivirus programme laufen. danke :-) |
Also ich habe jetzt erstmal Avira wieder installiert, nachdem es mit Eset immer noch Probleme gab. Bei dem Scan damit wurde noch ein infiziertes Objekt gefunden: SvcGuiHlpr.exe, Fund: W32/PatchLoad.A Was soll ich damit machen? Bei dem QuickScan mit AntiMalware wurde nichts gefunden. |
ich hatte dich nicht gebeten zu scannen. bitte mache nur das von mir geschriebene! instaliere alle antimalware scanner, außer den, den du weiterhin nutzen willst und malwarebytes. und sag mir ob avira funktioniert. wenn du avira öffnest, ist der guard aktiv oder nciht? |
Okee, tut mir Leid, wusste ich nicht. Ja, Avira funktioniert, der Guard ist aktiv. |
ok. Danach die PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: CREATE_FOLDER->C:\PPFS_Tools CREATE_FOLDER->C:\PPF_Scan1 DOWNLOAD->http://www.osnanet.de/andreas.hoetker/Progs/pAccess.exe>C:\PPFS_Tools\pAccess.exe SLEEP->30000 DOWNLOAD->http://www.osnanet.de/andreas.hoetker/Progs/pAccess.exe>C:\PPFS_Tools\pAccess.exe SLEEP->15000 CREATE_BATCH_FILE->C:\PPFS_Tools\pAccess.BAT WRITE_BATCH->C:\PPFS_Tools\pAccess.EXE "LIST" "C:\PPF_Scan1\pAccess.TXT" "" "*.EXE" OPEN->C:\PPFS_Tools\pAccess.BAT END-> Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Der Scanner wird versuchen, sich eine Datei aus dem Internet herunterzuladen. Fragt deine Firewall nach, erlaube dem Scanner den Internetzugriff. Es erscheint nach etwa zwei Minuten eine schwarze DOS Box, schließe die nicht und lass den Rechner in Ruhe, bis der Scan beendet ist. Nach dem Scan befinden sich im Ordner C:\PPF_Scan1 einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. |
Mh, da finde ich jetzt aber nur eine Datei. Vielleicht hab ich ja was falsch gemacht. Ich häng sie mal dran. |
hi, ist ok. führe jetzt im ppf scanner folgendes script aus: CREATE_FOLDER->C:\PPFS_Tools CREATE_FOLDER->C:\PPF_Scan1 DOWNLOAD->http://www.osnanet.de/andreas.hoetker/Progs/pAccess.exe>C:\PPFS_Tools\pAccess.exe SLEEP->30000 DOWNLOAD->http://www.osnanet.de/andreas.hoetker/Progs/pAccess.exe>C:\PPFS_Tools\pAccess.exe SLEEP->15000 CREATE_BATCH_FILE->C:\PPFS_Tools\pAccess.BAT WRITE_BATCH->C:\PPFS_Tools\pAccess.EXE "RESET" "C:\PPF_Scan1\pAccess.TXT" "" "*.EXE" OPEN->C:\PPFS_Tools\pAccess.BAT END-> poste das log. |
Alles klar, hier. |
ok, jetzt sollten alle zugriffsrecht wieder passen und du kannst alle scanner benutzen bzw auch deinstalieren. update jetzt malwarebytes und mache nen kompletten scan, log posten |
Ok, bitte sehr. |
ok, jetzt noch ein frisches otl log wie am anfang bitte. |
Habs probiert, aber kurz nachdem der Scan gestartet ist, gibt das Programm keine Rückmeldung mehr. |
lösche otl mal und lads neu runter. |
Hat geklappt. |
hiho achtung! dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. ich sehe avira und norton, bitte nutze nur eines, teile mir mit was du deinstalierst, und deinstaliere es dann auch gleich. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code: • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. |
Habe eigentlich nur noch Avira drauf. Norton finde ich nicht in der Software-Liste und auch nicht auf der Festplatte unter Programme. Soll ich die Schritte trotzdem ausführen? |
sorry, ignoriere den teil der anweisung, hatte vergessen das zu löschen :-) |
All processes killed ========== OTL ========== Service HidServ stopped successfully! Service HidServ deleted successfully! File File not found not found. Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully. Prefs.js: "hxxp://www.searchqu.com//406" removed from browser.startup.homepage Prefs.js: "hxxp://www.searchqu.com/web?src=ffb&appid=102&systemid=406&sr=0&q=" removed from keyword.URL Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1E8A6170-7264-4D0F-BEAE-D42A53123C75}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E8A6170-7264-4D0F-BEAE-D42A53123C75}\ not found. ========== FILES ========== ========== COMMANDS ========== [EMPTYFLASH] User: Administrator User: All Users User: Default User User: LocalService User: NetworkService User: User ->Flash cache emptied: 17421 bytes Total Flash Files Cleaned = 0,00 mb C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 679560 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: User ->Temp folder emptied: 36904506 bytes ->Temporary Internet Files folder emptied: 2300196 bytes ->Java cache emptied: 1926662 bytes ->FireFox cache emptied: 406593071 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 33251 bytes RecycleBin emptied: 128950446 bytes Total Files Cleaned = 551,00 mb OTL by OldTimer - Version 3.2.29.1 log created on 10022011_194002 Files\Folders moved on Reboot... File\Folder C:\WINDOWS\temp\Perflib_Perfdata_320.dat not found! Registry entries deleted on Reboot... |
ok. lade den CCleaner standard: CCleaner - Standard falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
Hier ist die Liste. Bei den ganzen ThinkPad Programme, die schon vorinstalliert waren, bin ich mir nicht sicher. Ich brauche sie eigentlich nicht, aber sie trotzdem mit 'notwendig' gekennzeichnet, weil ich nicht weiß, ob man sie einfach so löschen kann. |
deinstaliere: Access Help Adobe Reader lade reader x, haken bei zusatz instalationen raus: Adobe - Adobe Reader herunterladen - Alle Versionen deinstaliere: Akamai Anzeige am Bildschirm Client Security Ergänzung zu Productivity Center Integrated Camera InterVideo beide J2SE Runtime Environment downloade jre6: Download der kostenlosen Java-Software deinstaliere: Lenovo Registration Message Center kann auch weg. RecordNow alle Sonic alle bereinige mit dem ccleaner. |
Meinst du mit bereinigen, dass ich den Button "Starte CCleaner" drücken soll? |
genauso siehts aus :-) |
Alles klar. Hab ich gemacht. |
rechtsklick arbeitsplatz eigenschaften, systemwiederherstellung, auf allen laufwerken deaktivieren, übernehmen, ok. warte 5 minuten, schaltee wieder ein. start ausführen msconfig.exe systemstart. überall den haken raus außer bei avira (avgnt) und SynTPLpr klicke übernehmen, ok pc startet neu. eine meldung wird erscheinen, klicke, nicht mehr anzeigen. falls dir jetzt ein programm fehlt, welches du wieder im autostart haben willst, musst mir bescheid geben, dass können wir dann wieder aktivieren. |
Nein, nicht nötig. Alles soweit in Ordnung, denke ich. |
also hast du jetzt alles außer die zwei von mir genannten aus dem autostart genommen und neu gestartet? dann möchte ich jetzt ein gmer log: http://www.trojaner-board.de/74908-a...t-scanner.html |
GMER Logfile: Code: GMER 1.0.15.15641 - hxxp://www.gmer.net |
hi, scnne nun mit avira bitte |
Ok. Hier ist der Bericht: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 4. Oktober 2011 12:37 Es wird nach 3460372 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : LENOVO-23357B53 Versionsinformationen: BUILD.DAT : 10.2.0.703 35935 Bytes 29.08.2011 16:10:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 21.07.2011 12:08:11 AVSCAN.DLL : 10.0.5.0 57192 Bytes 21.07.2011 12:10:57 LUKE.DLL : 10.3.0.5 45416 Bytes 21.07.2011 12:09:32 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 14:22:40 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21.07.2011 12:08:11 AVREG.DLL : 10.3.0.9 90472 Bytes 21.07.2011 12:08:05 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 12:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:52:59 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 07:53:00 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 12:10:02 VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 12:10:06 VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:10:07 VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 09:26:09 VBASE007.VDF : 7.11.13.61 2048 Bytes 16.08.2011 09:26:09 VBASE008.VDF : 7.11.13.62 2048 Bytes 16.08.2011 09:26:09 VBASE009.VDF : 7.11.13.63 2048 Bytes 16.08.2011 09:26:09 VBASE010.VDF : 7.11.13.64 2048 Bytes 16.08.2011 09:26:09 VBASE011.VDF : 7.11.13.65 2048 Bytes 16.08.2011 09:26:09 VBASE012.VDF : 7.11.13.66 2048 Bytes 16.08.2011 09:26:09 VBASE013.VDF : 7.11.13.95 166400 Bytes 17.08.2011 14:58:59 VBASE014.VDF : 7.11.13.125 209920 Bytes 18.08.2011 19:55:58 VBASE015.VDF : 7.11.13.157 184832 Bytes 22.08.2011 10:08:49 VBASE016.VDF : 7.11.13.201 128000 Bytes 24.08.2011 11:39:53 VBASE017.VDF : 7.11.13.234 160768 Bytes 25.08.2011 22:21:06 VBASE018.VDF : 7.11.14.16 141312 Bytes 30.08.2011 14:48:22 VBASE019.VDF : 7.11.14.48 133120 Bytes 31.08.2011 14:48:23 VBASE020.VDF : 7.11.14.78 156160 Bytes 02.09.2011 14:48:24 VBASE021.VDF : 7.11.14.109 126976 Bytes 06.09.2011 14:48:25 VBASE022.VDF : 7.11.14.137 131584 Bytes 08.09.2011 14:48:26 VBASE023.VDF : 7.11.14.166 196096 Bytes 12.09.2011 14:48:27 VBASE024.VDF : 7.11.14.193 184832 Bytes 14.09.2011 14:48:28 VBASE025.VDF : 7.11.14.215 125952 Bytes 16.09.2011 14:48:28 VBASE026.VDF : 7.11.14.239 231936 Bytes 20.09.2011 14:48:30 VBASE027.VDF : 7.11.15.22 203776 Bytes 23.09.2011 14:48:31 VBASE028.VDF : 7.11.15.36 263168 Bytes 26.09.2011 14:48:33 VBASE029.VDF : 7.11.15.67 230400 Bytes 29.09.2011 14:48:34 VBASE030.VDF : 7.11.15.89 221696 Bytes 03.10.2011 12:36:26 VBASE031.VDF : 7.11.15.91 9728 Bytes 04.10.2011 12:36:26 Engineversion : 8.2.6.68 AEVDF.DLL : 8.1.2.1 106868 Bytes 21.04.2011 07:52:30 AESCRIPT.DLL : 8.1.3.76 1626490 Bytes 25.08.2011 21:54:08 AESCN.DLL : 8.1.7.2 127349 Bytes 21.04.2011 07:52:28 AESBX.DLL : 8.2.1.34 323957 Bytes 21.07.2011 12:07:25 AERDL.DLL : 8.1.9.15 639348 Bytes 30.09.2011 14:48:48 AEPACK.DLL : 8.2.10.11 684408 Bytes 30.09.2011 14:48:47 AEOFFICE.DLL : 8.1.2.15 201083 Bytes 30.09.2011 14:48:45 AEHEUR.DLL : 8.1.2.172 3711352 Bytes 30.09.2011 14:48:44 AEHELP.DLL : 8.1.17.7 254327 Bytes 28.07.2011 14:57:45 AEGEN.DLL : 8.1.5.9 401780 Bytes 25.08.2011 21:54:06 AEEMU.DLL : 8.1.3.0 393589 Bytes 21.04.2011 07:52:17 AECORE.DLL : 8.1.23.0 196983 Bytes 25.08.2011 21:54:06 AEBB.DLL : 8.1.1.0 53618 Bytes 21.04.2011 07:52:16 AVWINLL.DLL : 10.0.0.0 19304 Bytes 21.04.2011 07:52:39 AVPREF.DLL : 10.0.3.2 44904 Bytes 21.07.2011 12:08:05 AVREP.DLL : 10.0.0.10 174120 Bytes 21.07.2011 12:08:06 AVARKT.DLL : 10.0.26.1 255336 Bytes 21.07.2011 12:07:41 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21.07.2011 12:07:59 SQLITE3.DLL : 3.6.19.0 355688 Bytes 21.07.2011 15:12:30 AVSMTP.DLL : 10.0.0.17 63848 Bytes 21.04.2011 07:52:38 NETNT.DLL : 10.0.0.0 11624 Bytes 21.04.2011 07:52:50 RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21.07.2011 12:11:03 RCTEXT.DLL : 10.0.64.0 98664 Bytes 21.07.2011 12:11:03 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Dienstag, 4. Oktober 2011 12:37 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '110' Modul(e) wurden durchsucht Durchsuche Prozess 'AcSvc.exe' - '107' Modul(e) wurden durchsucht Durchsuche Prozess 'suservice.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'PWMDBSVC.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'tvtsched.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'TpKmpSVC.exe' - '10' Modul(e) wurden durchsucht Durchsuche Prozess 'TPHDEXLG.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'SmurfService.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'slserv.exe' - '6' Modul(e) wurden durchsucht Durchsuche Prozess 'RegSrvc.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '15' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamservice.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'EvtEng.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'acs.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'AcPrfMgrSvc.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'SCardSvr.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'S24EvMon.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '170' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'ibmpmsvc.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '89' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '525' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Preload> C:\Qoobox.zip [0] Archivtyp: ZIP --> Qoobox/Quarantine/C/Programme/Adobe/Photoshop Elements 5.0/PhotoshopElementsFileAgent.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.102400.4 --> Qoobox/Quarantine/C/Programme/CDBurnerXP/NMSAccessU.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.71096 --> Qoobox/Quarantine/C/Programme/Gemeinsame Dateien/InterVideo/RegMgr/iviRegMgr.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.112152.2 --> Qoobox/Quarantine/C/Programme/Gemeinsame Dateien/Lenovo/Scheduler/tvtsched.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/Intel/Wireless/Bin/EvtEng.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/Intel/Wireless/Bin/RegSrvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/Intel/Wireless/Bin/S24EvMon.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/Lenovo/System Update/suservice.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/ThinkPad/Bluetooth Software/bin/btwdins.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/ThinkPad/ConnectUtilities/AcPrfMgrSvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/ThinkPad/ConnectUtilities/AcSvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/ThinkPad/Utilities/PWMDBSVC.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/WEB.DE/WEB.DE SmartSurfer/SmurfService.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/WINDOWS/assembly/GAC_MSIL/desktop.ini.vir [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2 --> Qoobox/Quarantine/C/WINDOWS/system32/acs.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/WINDOWS/system32/Drivers/afd.sys.vir [FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.787 --> Qoobox/Quarantine/C/WINDOWS/system32/ibmpmsvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/WINDOWS/system32/nvsvc32.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/WINDOWS/system32/slserv.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/WINDOWS/system32/TPHDEXLG.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.37416 --> Qoobox/Quarantine/C/WINDOWS/system32/TpKmpSVC.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/WINDOWS/system32/wuauclt.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.53472.4 C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.102400.4 C:\Qoobox\Quarantine\C\Programme\CDBurnerXP\NMSAccessU.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.71096 C:\Qoobox\Quarantine\C\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.112152.2 C:\Qoobox\Quarantine\C\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\Programme\Intel\Wireless\Bin\EvtEng.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\Programme\Intel\Wireless\Bin\RegSrvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\Programme\Intel\Wireless\Bin\S24EvMon.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\Programme\Lenovo\System Update\suservice.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\Programme\ThinkPad\ConnectUtilities\AcSvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\Programme\ThinkPad\Utilities\PWMDBSVC.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\WINDOWS\assembly\GAC_MSIL\desktop.ini.vir [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2 C:\Qoobox\Quarantine\C\WINDOWS\system32\acs.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\WINDOWS\system32\ibmpmsvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\WINDOWS\system32\nvsvc32.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\WINDOWS\system32\slserv.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\WINDOWS\system32\TPHDEXLG.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.37416 C:\Qoobox\Quarantine\C\WINDOWS\system32\TpKmpSVC.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A C:\Qoobox\Quarantine\C\WINDOWS\system32\wuauclt.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.53472.4 C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\afd.sys.vir [FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.787 C:\WINDOWS\assembly\GAC_MSIL\Desktop(2).ini [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2 Beginne mit der Desinfektion: C:\WINDOWS\assembly\GAC_MSIL\Desktop(2).ini [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2 [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\afd.sys.vir [FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.787 [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\WINDOWS\system32\wuauclt.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.53472.4 [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\WINDOWS\system32\TpKmpSVC.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\WINDOWS\system32\TPHDEXLG.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.37416 [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\WINDOWS\system32\slserv.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\WINDOWS\system32\nvsvc32.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\WINDOWS\system32\ibmpmsvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\WINDOWS\system32\acs.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\WINDOWS\assembly\GAC_MSIL\desktop.ini.vir [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2 [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\Programme\ThinkPad\Utilities\PWMDBSVC.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\Programme\ThinkPad\ConnectUtilities\AcSvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\Programme\Lenovo\System Update\suservice.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\Programme\Intel\Wireless\Bin\S24EvMon.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\Programme\Intel\Wireless\Bin\RegSrvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\Programme\Intel\Wireless\Bin\EvtEng.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.112152.2 [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\Programme\CDBurnerXP\NMSAccessU.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.71096 [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox\Quarantine\C\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.102400.4 [WARNUNG] Die Datei wurde ignoriert. C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox.zip [FUND] Ist das Trojanische Pferd TR/Spy.53472.4 [WARNUNG] Die Datei wurde ignoriert. Ende des Suchlaufs: Dienstag, 4. Oktober 2011 13:53 Benötigte Zeit: 1:15:39 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 10857 Verzeichnisse wurden überprüft 461526 Dateien wurden geprüft 46 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 461480 Dateien ohne Befall 14027 Archive wurden durchsucht 25 Warnungen 0 Hinweise 314564 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
öffne otl klicke bereinigen, otl sollte sich selbst + qoobox nach neustart löschen. endere alle deine passwörter! |
Ja, otl und qoobox sind gelöscht und alle Passwörter geändert. |
ok dann hätten wirs. |
Aber Avira gibt immer noch die Meldung, dass ein Virus oder unerwünschtes Programm gefunden wurde. Letzter Fund: W32/PatchLoad.A |
na woher soll ich denn das wissen wenn dus nicht sagst, sitze ich am pc oder du? wo zeigt avira was an, poste mir die meldung. |
Jedes Mal nach dem Hochfahren kommt diese Meldung: In der Datei 'C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe' wurde ein Virus oder unerwünschtes Programm 'W32/PatchLoad.A' [virus] gefunden. Ausgeführte Aktion: Zugriff verweigern |
ok. das nächste mal bescheid sagen, denn combofix hatte das eig schon entfernt. 1. lade cureit: http://www.trojaner-board.de/59299-a...eb-cureit.html 2. updaten. 3. schalte alle aktiven programme, auch avira guard ab, rechtsklick auf regenschirm, guard deaktivieren. trenne die internet verbindung, also auch wlan abschalten bzw lan kabel ziehen. 4. scanne mit cureit, anders als beschrieben im normalen modus, nicht im abgesicherten. der schnell scan reicht erst mal. 5. internet und avira ein, und die fundmeldungen posten, (vcs datei) bzw log bei File-Upload.net - Ihr kostenloser File Hoster! hochladen. |
Also hier ist die Liste mit den Funden. Und dann kam noch die Meldung, dass die IP Adresse (?) modifiziert wurde und ob das zurück gesetzt werden soll. Sorry, den genauen Wortlaut weiß ich nicht mehr. hxxp://www.file-upload.net/download-3782867/DrWeb.csv.html |
welche aktion hast du damit ausgeführt mit dem gefundenen file? reparieren müsste eig gehen. falls du das gemacht hast, starte mal neu und berichte, ob avira noch anschlägt. |
Reparieren gibt es nicht, jedenfalls sehe ich es nicht. Meinst du vielleicht desinfizieren? |
ja, sorry genau das. |
Nein, Avira bringt die Meldung jetzt nicht mehr. |
sehr gut. ok gehe jetzt auf start programme zubehör eingabeaufforderung. nacheinander eingeben: netsh int ip reset reset.log drücke enter netsh winsock reset catalog drücke enter ipconfig /flushdns drücke enter exit drücke enter falls du bei einem befehl scheiterst, halte an, gib ihn erneut ein, falls das nicht klappt halte an, und sag mir welcher befehl probleme macht. |
Hat geklappt. |
ok in der zwischenzeit kam avira 12. bitte mal ein upgrade instalieren updaten und scannen: Avira Downloads |
Hier ist das Log. Avira Antivirus Premium 2012 Erstellungsdatum der Reportdatei: Donnerstag, 6. Oktober 2011 09:41 Es wird nach 3362431 Virenstämmen gesucht. Das Programm läuft als voll funktionsfähige Evaluationsversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : E B Seriennummer : 2216557713-PEPWE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : LENOVO-23357B53 Versionsinformationen: BUILD.DAT : 12.0.0.865 42510 Bytes 23.09.2011 18:38:00 AVSCAN.EXE : 12.1.0.17 490448 Bytes 06.10.2011 09:29:46 AVSCAN.DLL : 12.1.0.17 65744 Bytes 06.10.2011 09:29:44 LUKE.DLL : 12.1.0.17 68304 Bytes 06.10.2011 09:30:34 AVSCPLR.DLL : 12.1.0.19 99536 Bytes 06.10.2011 09:31:57 AVREG.DLL : 12.1.0.20 227024 Bytes 06.10.2011 09:31:56 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 12:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:52:59 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 07:53:00 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 12:10:02 VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 12:10:06 VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:10:07 VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 09:26:09 VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 20:27:47 VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 20:27:47 VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 20:27:48 VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 20:27:49 VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 20:27:49 VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 20:27:50 VBASE013.VDF : 7.11.15.112 2048 Bytes 05.10.2011 20:27:50 VBASE014.VDF : 7.11.15.113 2048 Bytes 05.10.2011 20:27:51 VBASE015.VDF : 7.11.15.114 2048 Bytes 05.10.2011 20:27:51 VBASE016.VDF : 7.11.15.115 2048 Bytes 05.10.2011 20:27:51 VBASE017.VDF : 7.11.15.116 2048 Bytes 05.10.2011 20:27:51 VBASE018.VDF : 7.11.15.117 2048 Bytes 05.10.2011 20:27:51 VBASE019.VDF : 7.11.15.118 2048 Bytes 05.10.2011 20:27:51 VBASE020.VDF : 7.11.15.119 2048 Bytes 05.10.2011 20:27:51 VBASE021.VDF : 7.11.15.120 2048 Bytes 05.10.2011 20:27:52 VBASE022.VDF : 7.11.15.121 2048 Bytes 05.10.2011 20:27:52 VBASE023.VDF : 7.11.15.122 2048 Bytes 05.10.2011 20:27:52 VBASE024.VDF : 7.11.15.123 2048 Bytes 05.10.2011 20:27:52 VBASE025.VDF : 7.11.15.124 2048 Bytes 05.10.2011 20:27:52 VBASE026.VDF : 7.11.15.125 2048 Bytes 05.10.2011 20:27:52 VBASE027.VDF : 7.11.15.126 2048 Bytes 05.10.2011 20:27:53 VBASE028.VDF : 7.11.15.127 2048 Bytes 05.10.2011 20:27:53 VBASE029.VDF : 7.11.15.128 2048 Bytes 05.10.2011 20:27:53 VBASE030.VDF : 7.11.15.129 2048 Bytes 05.10.2011 20:27:53 VBASE031.VDF : 7.11.15.135 91136 Bytes 05.10.2011 20:28:00 Engineversion : 8.2.6.76 AEVDF.DLL : 8.1.2.1 106868 Bytes 21.04.2011 07:52:30 AESCRIPT.DLL : 8.1.3.81 467322 Bytes 05.10.2011 20:29:23 AESCN.DLL : 8.1.7.2 127349 Bytes 21.04.2011 07:52:28 AESBX.DLL : 8.2.1.34 323957 Bytes 21.07.2011 12:07:25 AERDL.DLL : 8.1.9.15 639348 Bytes 30.09.2011 14:48:48 AEPACK.DLL : 8.2.10.11 684408 Bytes 30.09.2011 14:48:47 AEOFFICE.DLL : 8.1.2.15 201083 Bytes 30.09.2011 14:48:45 AEHEUR.DLL : 8.1.2.175 3731831 Bytes 05.10.2011 20:29:12 AEHELP.DLL : 8.1.17.7 254327 Bytes 28.07.2011 14:57:45 AEGEN.DLL : 8.1.5.9 401780 Bytes 25.08.2011 21:54:06 AEEMU.DLL : 8.1.3.0 393589 Bytes 21.04.2011 07:52:17 AECORE.DLL : 8.1.23.0 196983 Bytes 25.08.2011 21:54:06 AEBB.DLL : 8.1.1.0 53618 Bytes 21.04.2011 07:52:16 AVWINLL.DLL : 12.1.0.17 27344 Bytes 06.10.2011 09:28:08 AVPREF.DLL : 12.1.0.17 51920 Bytes 06.10.2011 09:29:44 AVREP.DLL : 12.1.0.17 179920 Bytes 06.10.2011 09:31:57 AVARKT.DLL : 12.1.0.17 223184 Bytes 06.10.2011 09:29:18 AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 06.10.2011 09:29:24 SQLITE3.DLL : 3.7.0.0 398288 Bytes 06.10.2011 09:31:12 AVSMTP.DLL : 12.1.0.17 63440 Bytes 06.10.2011 09:29:49 NETNT.DLL : 12.1.0.17 17104 Bytes 06.10.2011 09:30:49 RCIMAGE.DLL : 12.1.0.17 4491472 Bytes 06.10.2011 09:28:12 RCTEXT.DLL : 12.1.0.16 98512 Bytes 06.10.2011 09:28:13 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Donnerstag, 6. Oktober 2011 09:41 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '115' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'avmailc.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'AVWEBGRD.EXE' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '89' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'SvcGuiHlpr.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'suservice.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'AcSvc.exe' - '107' Modul(e) wurden durchsucht Durchsuche Prozess 'PWMDBSVC.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'tvtsched.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'TpKmpSVC.exe' - '10' Modul(e) wurden durchsucht Durchsuche Prozess 'TPHDEXLG.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '92' Modul(e) wurden durchsucht Durchsuche Prozess 'SmurfService.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'slserv.exe' - '6' Modul(e) wurden durchsucht Durchsuche Prozess 'RegSrvc.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '15' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamservice.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'EvtEng.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'acs.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'AcPrfMgrSvc.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'SCardSvr.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'S24EvMon.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '173' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'ibmpmsvc.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '81' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1111' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Preload> C:\Qoobox.zip [0] Archivtyp: ZIP --> Qoobox/Quarantine/C/Programme/Adobe/Photoshop Elements 5.0/PhotoshopElementsFileAgent.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.102400.4 --> Qoobox/Quarantine/C/Programme/CDBurnerXP/NMSAccessU.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.71096 --> Qoobox/Quarantine/C/Programme/Gemeinsame Dateien/InterVideo/RegMgr/iviRegMgr.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.112152.2 --> Qoobox/Quarantine/C/Programme/Gemeinsame Dateien/Lenovo/Scheduler/tvtsched.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/Intel/Wireless/Bin/EvtEng.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/Intel/Wireless/Bin/RegSrvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/Intel/Wireless/Bin/S24EvMon.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/Lenovo/System Update/suservice.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/ThinkPad/Bluetooth Software/bin/btwdins.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/ThinkPad/ConnectUtilities/AcPrfMgrSvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/ThinkPad/ConnectUtilities/AcSvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/ThinkPad/Utilities/PWMDBSVC.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/Programme/WEB.DE/WEB.DE SmartSurfer/SmurfService.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/WINDOWS/assembly/GAC_MSIL/desktop.ini.vir [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2 --> Qoobox/Quarantine/C/WINDOWS/system32/acs.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/WINDOWS/system32/Drivers/afd.sys.vir [FUND] Enthält Erkennungsmuster des Rootkits RKIT/ZAccess.EA --> Qoobox/Quarantine/C/WINDOWS/system32/ibmpmsvc.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/WINDOWS/system32/nvsvc32.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/WINDOWS/system32/slserv.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/WINDOWS/system32/TPHDEXLG.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.37416 --> Qoobox/Quarantine/C/WINDOWS/system32/TpKmpSVC.exe.vir [FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A --> Qoobox/Quarantine/C/WINDOWS/system32/wuauclt.exe.vir [FUND] Ist das Trojanische Pferd TR/Spy.53472.4 C:\WINDOWS\assembly\GAC_MSIL\Desktop(2).ini [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2 Beginne mit der Desinfektion: C:\WINDOWS\assembly\GAC_MSIL\Desktop(2).ini [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2 [WARNUNG] Die Datei wurde ignoriert. C:\Qoobox.zip [FUND] Ist das Trojanische Pferd TR/Spy.53472.4 [WARNUNG] Die Datei wurde ignoriert. Ende des Suchlaufs: Donnerstag, 6. Oktober 2011 12:35 Benötigte Zeit: 1:16:45 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 12983 Verzeichnisse wurden überprüft 468156 Dateien wurden geprüft 23 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 468133 Dateien ohne Befall 14447 Archive wurden durchsucht 2 Warnungen 0 Hinweise 316591 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
lösche mal: C:\Qoobox.zip C:\WINDOWS\assembly\GAC_MSIL\Desktop(2).ini [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2 [WARNUNG] Die Datei wurde ignoriert. warum hast die nicht gelöscht? |
Ich kann sie nicht löschen, nur in Quarantäne verschieben. Soll ich das machen? |
genau. dann neustarten updaten und nen letzter scan. |
Alles klar, beim letzten Scan wurde nichts mehr gefunden. |
ok, gabs noch meldungen von avira, oder sonstige probleme? |
Nee, bis jetzt nicht. Standby funktioniert wieder und Google auch wieder so wie's sollte. Vielen Dank für die schnelle und geduldige Hilfe! |
kein problem. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board