Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   "Antivir XP 2008" und die Folgen (https://www.trojaner-board.de/56906-antivir-xp-2008-folgen.html)

blueshirtxxl 28.07.2008 22:20
"Antivir XP 2008" und die Folgen
 
Hallo und guten Abend!

Vorgestern hatte ich mir den Trojaner TR/Fakealert.AG eingefangen, und wie an anderer Stelle schon bemerkt ist dieser recht hartnäckig. Jetzt ist er wahrscheilich weg. Habe dafür Hijack eingesetzt um einzugrenzen, dann manuell gelöscht was ich konnte, muss aber doch wohl den einen oder anderen Fehler gemacht haben.
Hier meine Fragen:
1. Unten im Feld mit Datum und Uhr, steht immer noch Virus Alert, das möchte ich wieder weg haben, aber wie?
2. Auf dem Arbeitsplatz erscheinen die beiden Harddisks C: und D: nicht. Ich würde sie gerne wieder sehen.
3. Im Startordner fehlen Systemsteuerung und Hilfe& support, hätte ich gerne wieder

Wahrscheinlich habe ich die fehlenden Teile aus der Registry entfernt, als mir Search und destroy sagte es würde die Fehler in der Registry beheben, behoben ist in diesem Fall wohl gelöscht. Jetzt weiß ich nicht mehr welche Strings das waren.
Eine Systemwiederherstellung ist nicht möglich, da der zuletzt wirksame Wiederherstellungpunkt der ist an dem das " virus Alert" -Zeugs auftaucht. Wenn weitere Infos benötigt werden liefere ich gerne nach.
System: Windows XP Pro SP3,

mfg
blueshirtxxl

myrtille 28.07.2008 23:14
Hi,

lade dir bitte Smitfraudfix herunter und führe die dort angeführten Schritte unter Reinigung aus.
Poste das erstellte Log dann hier.

Lade dir anschließend MalwareBytes herunter und lasse alle Funde löschen. Poste auch das Log danach hier.

lg myrtille

blueshirtxxl 29.07.2008 01:53
Hallo und guten Tag!
werde ich machen sobald ich zu Hause bin, bin im Moment am Arbeitsplatz, habe hier keinen Zugriff auf Datenträger.
MFG
Blueshirtxxl

blueshirtxxl 29.07.2008 16:21
Hir das LOG von Smitfraudfix:
Code:
SmitFraudFix v2.332

Scan done at 17:12:22,23, 29.07.2008
Run from C:\Dokumente und Einstellungen\XXXXXX\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1      localhost
127.0.0.1      localhost
127.0.0.1      localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

Description: VMware Virtual Ethernet Adapter for VMnet1
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{11089726-0FE3-4936-AE3B-6B5B1760F057}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BD1039D1-4C73-40F4-89BC-105A41C6443D}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{11089726-0FE3-4936-AE3B-6B5B1760F057}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BD1039D1-4C73-40F4-89BC-105A41C6443D}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done.
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
ich hoffe das ist das was Du meintest?

myrtille 29.07.2008 17:28
Wie gehts dem Rechner? Was macht Malwarebytes? :D
Das Log ist nicht aus dem abgesicherten Modus, hast du das Log nach der Reinigung neuerstellt?

lg myrtille

blueshirtxxl 29.07.2008 18:31
Ja , nach der Reinigung erneut log erstellt, aus Dummheit, wahrscheinlich.
Malwarebites läuft noch. Habe hier wahrscheinlich auch einen Fehler gemacht, finde das Log nicht wieder, deshalb erneuter Lauf, sorry
Rechner Zeigt allerdings wieder die Harddisks wie sie sind, VirusAlert in der Symbolleiste ist verschwunden, den Desktop kann ich wieder so einrichten wie es war. vorerst schonmal extra viele Dankesgrüße für die Hilfe. Beim Scan der Malwarebytes fanden sich 4 Infizierte Dateien, aber ich habe ja das Log verloren.
Gruß
Blueshirtxxl

blueshirtxxl 29.07.2008 18:34
hier die logdatei von Malwarebytes:
Code:
Malwarebytes' Anti-Malware 1.23
Datenbank Version: 1007
Windows 5.1.2600 Service Pack 3, v.3311

19:31:43 29.07.2008
mbam-log-7-29-2008 (19-31-35).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 49400
Laufzeit: 8 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 22
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc321j0e3dn (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\rhc321j0e3dn (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{2a9805a1-fe72-4b17-98e7-958312ea56aa} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{951ccafd-23f9-4013-9a5d-96b970052291} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{ad730a0b-b21e-421b-abe3-1b6563d2cee7} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\fdkowvbp.bgow (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\fdkowvbp.toolbar.1 (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\eqvwamkl (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Packages (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Packages (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\eovp.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Fonts\G_Fonts.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\mndosnet.dll (Trojan.vundo) -> No action taken.
C:\WINDOWS\grswptdl.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\nfavxwdbsxb.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\blphc721j0e3dn.scr (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\phc721j0e3dn.bmp (Trojan.FakeAlert) -> No action taken.

myrtille 29.07.2008 19:03
Hi,
ja das Smitfraudfixlog war dann im großen und ganzen nutzlos ;) Aber Hauptziel war auch erstmal die Symptome zu beheben, um den Rechner korrekt nutzen zu können.

Ich hätte gern noch ein Log mit DSS, um zu sehen was auf dem Rechner noch zu finden ist:
  • Lade dir DSS
  • Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
  • Führe während DSS arbeitet bitte keine anderen Aktionen durch
  • Am Ende öffnen sich 2 Datein main.txt und extra.txt
  • Poste den Inhalt beider Dateien hier

lg myrtille

blueshirtxxl 29.07.2008 22:23
Tut mir leid, habe einen großen Fehler gemacht, im Übereifer vergessen im abgesicherten Modus laufen zu lassen, hier das Log von Smtfraudfix im abgesicherten Modus, das von Malwarebytes kann ich erst morgen senden, musste abbrechen und zur Arbeit....
Code:
SmitFraudFix v2.332

Scan done at 19:50:43,26, 29.07.2008
Run from P:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1      localhost
127.0.0.1      localhost
127.0.0.1      localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

Description: VMware Virtual Ethernet Adapter for VMnet1
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{11089726-0FE3-4936-AE3B-6B5B1760F057}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BD1039D1-4C73-40F4-89BC-105A41C6443D}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{11089726-0FE3-4936-AE3B-6B5B1760F057}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BD1039D1-4C73-40F4-89BC-105A41C6443D}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done.
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

blueshirtxxl 29.07.2008 22:26
Noch ne Frage....soll Malewarebytes ebenfalls im abgesicherten Modus laufen?

myrtille 29.07.2008 22:41
Hi,
Malwarebytes sollte muss aber nicht im abgesicherten Modus laufen. Der abgesicherte Modus wird empfohlen, weil die meisten Viren schlechter geschützt sind.

lg myrtille

blueshirtxxl 29.07.2008 22:45
Danke für die schnelle Antwort, morgen dann mehr.

blueshirtxxl 31.07.2008 17:20
Hallo und guten Tag.
Ich hoffe, alles richtig gemacht zu haben. Hier mein Malwarbites log nach der Reinigung im abgesicherten Modus.
Code:
Malwarebytes' Anti-Malware 1.23
Datenbank Version: 1007
Windows 5.1.2600 Service Pack 3, v.3311

17:57:59 31.07.2008
mbam-log-7-31-2008 (17-57-59).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|I:\|J:\|K:\|L:\|M:\|N:\|O:\|)
Durchsuchte Objekte: 233012
Laufzeit: 53 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 22
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc321j0e3dn (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhc321j0e3dn (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{2a9805a1-fe72-4b17-98e7-958312ea56aa} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{951ccafd-23f9-4013-9a5d-96b970052291} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{ad730a0b-b21e-421b-abe3-1b6563d2cee7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\fdkowvbp.bgow (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\fdkowvbp.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\eqvwamkl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Üfeyra\Anwendungsdaten\rhc321j0e3dn\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\rhc321j0e3dn\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{CAB8D212-1324-402F-B33B-062428793756}\RP628\A0194203.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CAB8D212-1324-402F-B33B-062428793756}\RP628\A0194204.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\eovp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
K:\System Volume Information\_restore{CAB8D212-1324-402F-B33B-062428793756}\RP628\A0194210.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\G_Fonts.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mndosnet.dll (Trojan.vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\grswptdl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\nfavxwdbsxb.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphc721j0e3dn.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phc721j0e3dn.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

myrtille 31.07.2008 17:34
Hi,

das sieht recht gut aus, erstell bitte noch ein Log mit DSS:
  • Lade dir DSS
  • Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
  • Führe während DSS arbeitet bitte keine anderen Aktionen durch
  • Am Ende öffnen sich 2 Datein main.txt und extra.txt
  • Poste den Inhalt beider Dateien hier

lg myrtille

blueshirtxxl 31.07.2008 18:28
DSS ergebnisse hier:
Code:
Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 3.0
Architecture: X86; Language: German

CPU 0: AMD Duron(tm) processor
Percentage of Memory in Use: 39%
Physical Memory (total/avail): 1023.48 MiB / 623.73 MiB
Pagefile Memory (total/avail): 2462.1 MiB / 2020.63 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1929.39 MiB

C: is Fixed (NTFS) - 12.04 GiB total, 0.75 GiB free.
D: is Fixed (NTFS) - 49.03 GiB total, 1.67 GiB free.
E: is Fixed (NTFS) - 6.19 GiB total, 4.57 GiB free.
F: is Fixed (FAT32) - 18.38 GiB total, 12.96 GiB free.
H: is Removable (No Media)
I: is Removable (FAT32)
J: is Removable (No Media)
K: is Fixed (NTFS) - 62.78 GiB total, 36.26 GiB free.
L: is CDROM (No Media)
M: is CDROM (No Media)
N: is Removable (No Media)
O: is Removable (FAT32)

\\.\PHYSICALDRIVE1 - SAMSUNG SV1203N - 111.81 GiB - 2 partitions
  \PARTITION0 - Installierbares Dateisystem - 49.03 GiB - D:
  \PARTITION1 - Installierbares Dateisystem - 62.78 GiB - K:

\\.\PHYSICALDRIVE0 - WDC WD400EB-00CPF0 - 37.27 GiB - 3 partitions
  \PARTITION0 (bootable) - Installierbares Dateisystem - 12.04 GiB - C:
  \PARTITION1 - Erweitert mit Int 13 (erweitert) - 25.23 GiB - E: - F:

\\.\PHYSICALDRIVE6 - EXTREME EXTREMEMORY USB Device - 949.15 MiB - 1 partition
  \PARTITION0 (bootable) - Unknown - 953.5 MiB - O:

\\.\PHYSICALDRIVE3 - Generic USB CF Reader USB Device - 1945.37 MiB - 1 partition
  \PARTITION0 (bootable) - Unknown - 1945.59 MiB - I:

\\.\PHYSICALDRIVE5 - Generic USB MS Reader USB Device

\\.\PHYSICALDRIVE2 - Generic USB SD Reader USB Device

\\.\PHYSICALDRIVE4 - Generic USB SM Reader USB Device



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten
CLASSPATH=.;C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=KORHAN-D6C586D3
ComSpec=C:\WINDOWS\system32\cmd.exe
DEVMGR_SHOW_DETAILS=0
DEVMGR_SHOW_NONPRESENT_DEVICES=0
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Korhan
LOGONSERVER=\\KORHAN-D6C586D3
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\QuickTime\QTSystem\;C:\Programme\ATI Technologies\ATI.ACE\;C:\Programme\Gemeinsame Dateien\Ulead Systems\MPEG;C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD;C:\BITWARE\;C:\Programme\Gemeinsame Dateien\Nero\Lib\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 7 Stepping 1, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0701
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\Korhan\LOKALE~1\Temp
TMP=C:\DOKUME~1\Korhan\LOKALE~1\Temp
USERDOMAIN=KORHAN-D6C586D3
USERNAME=Korhan
USERPROFILE=C:\Dokumente und Einstellungen\Korhan
windir=C:\WINDOWS
__COMPAT_LAYER=EnableNXShowUI


-- User Profiles ---------------------------------------------------------------

Korhan (admin)
Zelos
Üfeyra


-- Add/Remove Programs ---------------------------------------------------------

 --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
 --> C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
 --> C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
 --> C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
 --> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
 --> C:\WINDOWS\UNRecode.exe /UNINSTALL
 --> K:\Proggys\Alles Hilfsprogramme für PC und Audio\Nero 8\\nero\uninstall\UNNERO.exe /UNINSTALL
 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
20/20 v2.2 --> G:\PROGRA~1\BYLIGHT\2020\UNWISE.EXE G:\PROGRA~1\BYLIGHT\2020\INSTALL.LOG
ACDSee Pro --> MsiExec.exe /I{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}
ACE Mega CoDecS Pack --> "K:\ACE Mega CoDecS Pack\unins000.exe"
Ad-Aware 2007 --> MsiExec.exe /X{E31C348B-63A9-4CBF-8D7F-D932ABB63244}
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) --> MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Color Common Settings --> C:\Programme\Gemeinsame Dateien\Adobe\Installers\6c8e2cb4fd241c55406016127a6ab2e\Setup.exe
Adobe Color Common Settings --> MsiExec.exe /I{6D4AC5A4-4CF9-4F90-8111-B9B53CE257BF}
Adobe ExtendScript Toolkit 2 --> C:\Programme\Gemeinsame Dateien\Adobe\Installers\5bc0f8414ec36c555a3e7e5ec2e225e\Setup.exe
Adobe ExtendScript Toolkit 2 --> MsiExec.exe /I{1BCEA516-B4C5-4B2D-BFA0-AB7910BAD862}
Adobe Flash Player 9 ActiveX --> C:\WINDOWS\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Adobe Setup --> MsiExec.exe /I{64C1FA9A-FA94-4B6E-B3E4-8573738E4AD1}
Adobe Setup --> MsiExec.exe /I{D504303A-717D-414C-BA9F-FE01093E2EF8}
Amazonia --> MsiExec.exe /I{688F5419-B149-4936-B228-E4FB729D2967}
ATI - Software Uninstall Utility --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center --> MsiExec.exe /I{F85B3B0A-E302-4B67-9220-6B57F075B311}
ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
AVIcodec (remove only) --> "S:\Software  Freeware\AVIcodec\uninst.exe"
Avira AntiVir Personal - Free Antivirus --> K:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
AXIS Media Control --> rundll32 "C:\Programme\Axis Communications\AXIS Media Control\AxisMediaControl.dll",UninstallMe
BeFaster --> "K:\Proggys\BeFaster\uninstall.exe"
Bejeweled 2 Deluxe --> "J:\bejeweld\Bejeweled 2 Deluxe\GameInstaller.exe" --uninstall UnInstall.log
Biet-O-Matic v2.0.29 --> C:\PROGRA~1\BIET-O~1\UNWISE.EXE C:\PROGRA~1\BIET-O~1\Install.log
Blood Ties --> MsiExec.exe /I{4707EED9-330D-4D40-8C33-091700F6D07D}
Browser Mouse Browser Mouse 1.0 --> C:\Programme\Browser Mouse\Browser Mouse\1.0\unins000.EXE
Bursting Bubbles Deluxe 3.0 --> C:\WINDOWS\iun6002.exe "N:\Programme\irunin.ini"
Canon ScanGear Toolbox CS 2.2 --> C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Canon\ScanGear Toolbox CS\Uninst.isu" -c"C:\Programme\Canon\ScanGear Toolbox CS\uninst.dll"
Cash Out --> MsiExec.exe /I{BCC0E355-540B-445C-B268-BCC38F920172}
CCleaner (remove only) --> "K:\Proggys\CCleaner\uninst.exe"
ClearProg 1.4.2 Beta 13 --> K:\Proggys\ClearProg\Uninstall.exe
Compatibility Pack for the 2007 Office system --> MsiExec.exe /X{90120000-0020-0409-0000-0000000FF1CE}
Cubis Gold 2 --> "I:\Cubis Gold 2\ReflexiveArcade\unins000.exe"
CUEcards 2000 --> K:\Proggys\cue\uninstall.exe
Cup Fever v6.01 --> "N:\Cup Fever\unins000.exe"
DAMN NFO Viewer 2.10.0031 RC3 --> MsiExec.exe /I{DA5E6A2D-DEAA-4152-A43A-FDBDE29AA724}
DivX Player --> C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
EVEREST Home Edition v2.20 --> "K:\Proggys\EVEREST Home Edition\unins000.exe"
FireTune --> C:\WINDOWS\iun6002.exe "C:\Programme\FireTune\irunin.ini"
Flowers Story Fairy Quest (remove only) --> "K:\Proggys\alles Spiele\iWin.com\Uninstall.exe"
Flowery Vale --> "C:\Dokumente und Einstellungen\All Users\Flowery Vale\ReflexiveArcade\unins000.exe"
FLV Player 1.3.3 --> "K:\Proggys\FLVPlayer\uninstall.exe"
Focus Magic 3.02 --> "I:\Focus Magic\unins000.exe"
GameHouse Super Games AIO® --> "K:\Proggys\alles Spiele\GameHouse\unins000.exe"
GMail Drive Shell Extension --> rundll32.exe C:\WINDOWS\system32\ShellExt\GMailFS.dll,Uninstall C:\WINDOWS\system32\ShellExt\GMailFS.inf
Google Earth --> MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
Google Earth Pro --> MsiExec.exe /X{9578C0CD-8108-4379-9026-4601F59859A0}
Google SketchUp --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E1423608-F529-40A1-93CA-C7F396F30DF0}\setup.exe" -l0x9
Google Updater --> "C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall
Google Video Player --> "K:\Proggys\google\Google Video Player\Uninstall.exe"
HijackThis 2.0.2 --> "K:\Programme\Hijackthis\HijackThis.exe" /uninstall
hp deskjet 3500 --> msiexec /x{C7EC0699-D82C-4451-B701-C98C330D43AF}
Incadia --> J:\INCADIA\UNWISE.EXE /U J:\INCADIA\INSTALL.LOG
Incredible Ink --> J:\INCRED~1\UNWISE.EXE /U J:\INCRED~1\INSTALL.LOG
Invadazoid --> J:\GAMEHO~1\INVADA~1\UNWISE.EXE /U J:\GAMEHO~1\INVADA~1\INSTALL.LOG
J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Jewel Quest --> J:\JEWELQ~1\UNWISE.EXE /U J:\JEWELQ~1\INSTALL.LOG
JINNI ZEALA 1.2.2 --> MsiExec.exe /I{7D08F20F-EF4E-4035-8027-854F05F1C1D3}
Karu --> J:\GAMEHO~1\KARU\UNWISE.EXE /U J:\GAMEHO~1\KARU\INSTALL.LOG
Lame ACM MP3 Codec --> C:\WINDOWS\system32\rundll32.exe setupapi,InstallHinfSection Remove_LameMP3 132 C:\WINDOWS\INF\LameACM.inf
Laser Dolphin --> J:\Laser Dolphin\uninst.exe
Legend of Aladdin --> J:\LEGEND~1\UNWISE.EXE /U J:\LEGEND~1\INSTALL.LOG
Lode Runner 1.5 --> "H:\Lode Runner\unins000.exe"
LudoRace --> I:\ludorace\uninstall.exe
Macromedia Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Malwarebytes' Anti-Malware --> "K:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Data Access Components KB870669 --> C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf
Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
MONSTER FAIR 1.2.0 --> MsiExec.exe /I{13C82DCE-D929-485B-8053-2E90BD2BD6FE}
Mozilla Firefox (3.0.1) --> E:\Mozilla Firefox\uninstall\helper.exe
MSN Messenger 7.5 --> MsiExec.exe /I{0D93041A-03EC-11DA-BFBD-00065BBDC0B5}
Multimedia Keyboard Driver --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{31C63A8A-D9AB-4300-828B-86B41F59FAE1}
Nero 8 --> MsiExec.exe /X{B944FA21-81AF-4A77-8328-CE4F4CC51031}
neroxml --> MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NTREGOPT 1.1j --> "K:\Proggys\Alles Hilfsprogramme für PC und Audio\NT Registry Optimizer\unins000.exe"
Opera 9.51 --> MsiExec.exe /X{179624B1-2683-45ED-965A-B72189EB5820}
Pando --> MsiExec.exe /I{C0B0FA55-D4E9-4374-9871-BBFBF2AEF0D1}
PerfectDisk --> MsiExec.exe /I{212F5777-1190-4DEF-8E4D-6B2F313B45E7}
Phantasia --> I:\Phantasia\ReflexiveArcade\unins000.exe
Phantasia 2 1.02 --> K:\Proggys\alles Spiele\Phantasia 2\uninst.exe
Philips SPC 200NC PC Camera --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2A2646FB-7BAC-451B-BF90-4889C4429C5E}\setup.exe" -l0x7
Picasa 2 --> "C:\Programme\Picasa2\Uninstall.exe"
Pirates Plunder --> MsiExec.exe /I{5C2878E2-99ED-48AF-B756-BB1F901A5811}
Porrasturvat - Stair Dismount --> G:\Porrast\Porrasturvat - Stair Dismount\uninstall.exe
QuickTime --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{C21D5524-A970-42FA-AC8A-59B8C7CDCA31} /l1031
RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Reindeer Reels v6.01 --> "H:\Reindeer Reels\unins000.exe"
Rhombis --> MsiExec.exe /I{95CB2786-73F5-4072-94F4-591FCD5005BF}
Rocket.Time --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{78FE57A5-9645-40AF-A95C-8FAC37CFDD33}\setup.exe" -l0x9  -removeonly
Skype™ 3.8 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
SpeedFan (remove only) --> "K:\Proggys\Alles Hilfsprogramme für PC und Audio\SpeedFan\uninstall.exe"
Spybot - Search & Destroy 1.4 --> "K:\Proggys\Spybot - Search & Destroy\unins000.exe"
Story Of Fairy Place --> MsiExec.exe /I{C8D460F9-2C99-4AF8-A981-52138C041764}
Tetris4000 --> H:\tetris\uninstal.exe
TreeSize Personal 5.1 --> "K:\Proggys\TreeSize Personal\unins000.exe"
TuneUp Utilities 2008 --> MsiExec.exe /I{5888428E-699C-4E71-BF71-94EE06B497DA}
Turbo Lister 2 --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{69640730-B830-4C24-BB5C-222DA1260548}
Turtix --> G:\Turtix\Turtix\uninstal.exe
Turtle Odyssey 2 --> "I:\Turtle Odyssey 2\unins000.exe"
Tux Paint 0.9.15 --> "K:\Proggys\TuxPaint\unins000.exe"
Tux Paint Stamps 2005-11-25 --> "K:\Proggys\TuxPaint\unins001.exe"
Ulead Drop Spot 1.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3BCC5640-5360-11D4-A44A-0000E86D2305}\setup.exe" -l0x7
Ulead Photo Explorer 8.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D271DAE0-8D68-4C97-8356-A126D48A1D8C}\setup.exe" -l0x7
Ulead PhotoImpact XL --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0DDDE141-9696-4E33-AB82-EF398169D7E5}\setup.exe" -l0x7
VCRedistSetup --> MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
Visitors Pinball --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F181AC06-9A40-11D6-9A6E-0050BF7EC58C}\setup.exe"
Visual Pinball --> MsiExec.exe /I{B36C4994-A563-4339-8754-CCCE51314A4C}
VMware Player --> MsiExec.exe /I{31799B14-B3E7-4522-B393-6206C03EC5D3}
VoptXP v7.22 --> K:\Proggys\VOPTXP~1\UNWISE.EXE K:\Proggys\VOPTXP~1\INSTALL.LOG
WAV to MP3 --> K:\PROGGYS\Uninstal.exe
Winamp --> "E:\Winamp\UninstWA.exe"
Winamp Remote --> "C:\Programme\Winamp Remote\uninstall.exe"
Windows Live Anmelde-Assistent --> MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Windows Live installer --> MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger --> MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Live Safety Scanner --> RunDll32.exe "C:\Programme\Windows Live Safety Center\wlscCore.dll",UninstallFunction WLSC_SCANNER_PRODUCT
Windows XP Service Pack 3 --> "K:\$ntservicepackuninstall$\spuninst\spuninst.exe"
WinRAR archiver --> C:\Programme\WinRAR\uninstall.exe
WinZip --> "K:\Proggys\WinZip\WINZIP32.EXE" /uninstall
Yahoo! Messenger --> C:\PROGRA~1\Yahoo!\MESSEN~1\UNWISE.EXE /U C:\PROGRA~1\Yahoo!\MESSEN~1\INSTALL.LOG
YSIGet --> C:\Programme\YSIGet\uninstall.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type30076 / Success
Event Submitted/Written: 07/31/2008 06:23:46 PM
Event ID/Source: 12001 / usnjsvc
Event Description:
The Messenger Sharing USN Journal Reader service started successfully.

Event Record #/Type30074 / Warning
Event Submitted/Written: 07/31/2008 06:10:56 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Spy.Gampass.CVK:\System Volume Information\_restore{CAB8D212-1324-402F-B33B-062428793756}\RP628\A0194202.exe

Event Record #/Type30068 / Warning
Event Submitted/Written: 07/31/2008 06:03:58 PM
Event ID/Source: 32068 / Microsoft Fax
Event Description:
Die ausgehende Verteilerregel ist nicht gültig, weil kein gültiges Gerät gefunden werden kann. Ausgehende Faxe, die diese Regel verwenden, werden nicht weitergeleitet. Stellen Sie sicher, dass das angezielte Gerät bzw. die angezielten Geräte angeschlossen, korrekt installiert und angeschaltet sind. Stellen Sie außerdem sicher, dass die Gruppe korrekt konfiguriert ist, falls die Weiterleitung an eine Gruppe von Geräten erfolgen soll.
Landes-/Regionskennzahl: "*"
Ortskennzahl: "*"

Event Record #/Type30067 / Warning
Event Submitted/Written: 07/31/2008 06:03:58 PM
Event ID/Source: 32026 / Microsoft Fax
Event Description:
Fehler beim Initialisieren der zugewiesenen Faxgeräte (virtuell oder TAPI) durch den Faxdienst.
Es können keine Faxe gesendet werden, bis ein Faxgerät installiert ist.

Event Record #/Type30058 / Warning
Event Submitted/Written: 07/29/2008 09:57:41 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Spy.Gampass.CVK:\Proggys\alles Spiele\blood ties\Uninstall.exe



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type67916 / Error
Event Submitted/Written: 07/31/2008 06:12:06 PM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Der Dienst "FileInfo" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Event Record #/Type67903 / Error
Event Submitted/Written: 07/31/2008 06:04:09 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1058" aufgetreten, als der Dienst "upnphost" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{204810B9-73B2-11D4-BF42-00B0D0118B56}

Event Record #/Type67895 / Error
Event Submitted/Written: 07/31/2008 06:03:57 PM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Der Dienst "FanSpeedNT Service" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Event Record #/Type67894 / Error
Event Submitted/Written: 07/31/2008 06:03:56 PM
Event ID/Source: 2 / VMnetDHCP
Event Description:
Can't open C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware\vmnetdhcp.conf: No such file or directory

Event Record #/Type67885 / Error
Event Submitted/Written: 07/31/2008 05:59:08 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{1BE1F766-5536-11D1-B726-00C04FB926AF}



-- End of Deckard's System Scanner: finished at 2008-07-31 19:22:30 ------------

blueshirtxxl 31.07.2008 18:32
Code:
Deckard's System Scanner v20071014.68
Run by Korhan on 2008-07-31 19:19:01
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 3 Restore Point(s) --
3: 2008-07-31 17:19:10 UTC - RP629 - Deckard's System Scanner Restore Point
2: 2008-07-26 17:34:21 UTC - RP628 - Systemprüfpunkt
1: 2008-07-24 12:57:35 UTC - RP627 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.

System Drive C: has 0.75 GiB (less than 15%) free.


-- HijackThis (run as Korhan.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21:37, on 31.07.2008
Platform: Windows XP SP3, v.3311 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
K:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
K:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
K:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
K:\Proggys\Alles Hilfsprogramme für PC und Audio\Nero 8\Nero BackItUp\NBService.exe
C:\Programme\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\svchost.exe
E:\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
K:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
K:\Proggys\Spybot - Search & Destroy\TeaTimer.exe
C:\BITWARE\NT\bwprnmon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
K:\pando downloads\dss.exe
K:\Programme\HIJACK~1\Korhan.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: YSIGet Browser Helper Object - {248B131E-01EA-4587-8EFE-1D915E143D5E} - C:\Programme\YSIGet\YSIGet.dll
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Programme\Pando Networks\Pando\PandoIEPlugin.dll
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - K:\Proggys\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {f5c93451-2609-4723-a053-5c19516be1a8} - (no file)
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "K:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoveWGA] O:\RemoveWGA.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketAppCenter.exe] "C:\Programme\Rocket Software\Rocket Mobile & Security Apps\MobileCenter.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] K:\Proggys\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Komfort-Wecker.lnk = E:\komfortwecker\KomfortWecker.exe
O4 - Global Startup: BitWare Print Monitor.lnk = C:\BITWARE\NT\bwprnmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: YSIGet it! - C:\Programme\YSIGet\wgbho.js
O8 - Extra context menu item: Zu &Windows Live Favorites hinzufügen - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0585238B-9CA6-4CCB-A9B2-FE4BA495E880} -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O16 - DPF: {31150A86-0BBA-409F-BEB4-F3922D10BF34} -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} -
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_03) -
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - K:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - K:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - K:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: FanSpeedNT Service - Unknown owner - K:\Proggys\Alles Hilfsprogramme für PC und Audio\fanspeedNT.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - K:\Proggys\Alles Hilfsprogramme für PC und Audio\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E:\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 8242 bytes

-- HijackThis Fixed Entries (K:\Programme\HIJACK~1\backups\) -------------------

backup-20050531-135012-102 O1 - Hosts: 62.75.224.159 www.rg4.com
backup-20050531-135012-204 O1 - Hosts: 62.75.224.159 www.rg7.com
backup-20050531-135012-374 O1 - Hosts: 62.75.224.159 rg5.com
backup-20050531-135012-420 O1 - Hosts: 62.75.224.159 rg3.com
backup-20050531-135012-424 O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - J:\Programme\DAP\DAPBHO.dll
backup-20050531-135012-465 O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - J:\Programme\DAP\DAP.EXE
backup-20050531-135012-569 O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
backup-20050531-135012-582 O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - J:\\Proggys\\Preispiraten2\\preispiraten.html
backup-20050531-135012-596 O1 - Hosts: 62.75.224.159 rg8.com
backup-20050531-135012-615 O1 - Hosts: 62.75.224.159 rg6.com
backup-20050531-135012-683 O1 - Hosts: 62.75.224.159 rg2.com
backup-20050531-135012-706 O1 - Hosts: 62.75.224.159 www.rg3.com
backup-20050531-135012-739 O1 - Hosts: 62.75.224.159 www.rg6.com
backup-20050531-135012-785 O1 - Hosts: 62.75.224.159 2004CMS.com
backup-20050531-135012-864 O1 - Hosts: 62.75.224.159 www.rg2.com
backup-20050531-135012-877 O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://peter-heck.dyndns.org:8881/plugin/h263ctrl.cab
backup-20050531-135012-916 O1 - Hosts: 62.75.224.159 www.rg5.com
backup-20050531-135012-926 O1 - Hosts: 62.75.224.159 bns1.m7z.net
backup-20050531-135012-929 O1 - Hosts: 62.75.224.159 rg1.com
backup-20050531-135012-931 O1 - Hosts: 62.75.224.159 j.2004CMS.com
backup-20050531-135012-936 O1 - Hosts: 62.75.224.159 www.rg8.com
backup-20050531-135012-944 O1 - Hosts: 62.75.224.159 rg4.com
backup-20050531-135012-947 O1 - Hosts: 62.75.224.159 www.rg1.com
backup-20050531-135012-953 O1 - Hosts: 62.75.224.159 rg7.com
backup-20050531-135613-933 O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
backup-20050601-205108-230 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
backup-20050601-205108-309 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
backup-20050601-205108-487 O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - J:\Proggys\Preispiraten2\preispiraten2ie.exe
backup-20050601-205108-494 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://J:\MICROS~1\Office10\EXCEL.EXE/3000
backup-20050601-205108-535 O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
backup-20050601-205108-851 O8 - Extra context menu item: Download &all with DAP - J:\Programme\DAP\dapextie2.htm
backup-20050601-205108-873 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
backup-20050601-205108-933 O8 - Extra context menu item: &Download with &DAP - J:\Programme\DAP\dapextie.htm
backup-20080728-141136-592 O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe (file missing)
backup-20080728-141136-695 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
backup-20080728-141136-823 O4 - HKLM\..\Run: [SMrhc321j0e3dn] C:\Programme\rhc321j0e3dn\rhc321j0e3dn.exe
backup-20080728-141137-115 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - K:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
backup-20080728-141137-249 O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
backup-20080728-141137-828 O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
backup-20080728-144500-265 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
backup-20080728-144500-391 O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
backup-20080728-144500-463 O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
backup-20080728-144500-722 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
backup-20080728-144500-867 O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
backup-20080728-144500-870 O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
backup-20080728-144501-376 O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
backup-20080728-144502-207 O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
backup-20080728-150056-865 O16 - DPF: {0585238B-9CA6-4CCB-A9B2-FE4BA495E880} -
backup-20080728-150056-931 O2 - BHO: QXK Olive - {AEFFF7D6-917C-4D8D-A780-7C2D69F1B01A} - C:\WINDOWS\nfavxwdbsxb.dll
backup-20080728-150057-685 O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -
backup-20080728-150059-955 O16 - DPF: {31150A86-0BBA-409F-BEB4-F3922D10BF34} -
backup-20080728-150557-544 O2 - BHO: QXK Olive - {AEFFF7D6-917C-4D8D-A780-7C2D69F1B01A} - C:\WINDOWS\nfavxwdbsxb.dll

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*
.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 giveio - c:\windows\system32\giveio.sys
R0 speedfan - c:\windows\system32\speedfan.sys <Not Verified; Windows (R) 2000 DDK provider; Windows (R) 2000 DDK driver>
R2 VMnetBridge (VMware Bridge Protocol) - c:\windows\system32\drivers\vmnetbridge.sys <Not Verified; VMware, Inc.; VMware bridge driver (32-bit)>
R2 VMnetuserif (VMware Network Application Interface) - c:\windows\system32\drivers\vmnetuserif.sys <Not Verified; VMware, Inc.; VMware network application interface driver (32-bit)>
R2 VMparport (VMware VMparport) - c:\windows\system32\drivers\vmparport.sys <Not Verified; VMware, Inc.; VMware parallel port driver>
R2 vmx86 (VMware vmx86) - c:\windows\system32\drivers\vmx86.sys <Not Verified; VMware, Inc.; VMware kernel driver>
R2 vstor2 (Vstor2 Virtual Storage Driver) - c:\programme\gemeinsame dateien\vmware\vmware virtual image editing\vstor2.sys <Not Verified; VMware, Inc.; VMware Player>
R3 pfc (Padus ASPI Shell) - c:\windows\system32\drivers\pfc.sys <Not Verified; Padus, Inc.; Padus(R) ASPI Shell>

S3 Ad-Watch Connect Filter (Ad-Watch Connect Kernel Filter) - c:\windows\system32\drivers\nsdriver.sys <Not Verified; Lavasoft AB; Ad-Watch Connections>
S3 fspio - c:\windows\system32\drivers\fspio.sys
S3 MEMSWEEP2 - c:\windows\system32\9.tmp (file missing)
S3 NETFWDSL (AVM FRITZ!web DSL PPP) - c:\windows\system32\drivers\netfwdsl.sys (file missing)
S3 NSNDIS5 (NSNDIS5 NDIS Protocol Driver) - c:\windows\system32\nsndis5.sys (file missing)
S3 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
S3 TIAcxubt (D-Link WLAN USB Boot Device) - c:\windows\system32\drivers\tiacxubt.sys (file missing)
S3 TIACXUSB (D-Link AirPlus DWL-120+ Wireless USB Adapter) - c:\windows\system32\drivers\tiacxusb.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 aawservice (Ad-Aware 2007 Service) - "k:\programme\lavasoft\ad-aware 2007\aawservice.exe" <Not Verified; Lavasoft AB; Ad-Aware 2007 Service>
R2 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Planer) - "k:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
R2 Nero BackItUp Scheduler 3 - k:\proggys\alles hilfsprogramme für pc und audio\nero 8\nero backitup\nbservice.exe
R2 VMAuthdService (VMware Authorization Service) - e:\vmware-authd.exe <Not Verified; VMware, Inc.; VMware Player>
R2 vmount2 (VMware Virtual Mount Manager Extended) - "c:\programme\gemeinsame dateien\vmware\vmware virtual image editing\vmount2.exe" <Not Verified; VMware, Inc.; VMware Player>
R2 VMware NAT Service - c:\windows\system32\vmnat.exe <Not Verified; VMware, Inc.; VMware Player>

S2 FanSpeedNT Service - "k:\proggys\alles hilfsprogramme für pc und audio\fanspeednt.exe"  (file missing)
S2 VMnetDHCP (VMware DHCP Service) - c:\windows\system32\vmnetdhcp.exe <Not Verified; VMware, Inc.; VMware Player>
S3 de_serv (AVM FRITZ!web Routing Service) - c:\programme\gemeinsame dateien\avm\de_serv.exe (file missing)


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Scheduled Tasks -------------------------------------------------------------

2008-07-25 17:19:58      348 --a------ C:\WINDOWS\Tasks\1-Click Maintenance.job


-- Files created between 2008-06-30 and 2008-07-31 -----------------------------

2008-07-31 18:21:56        0 dr-h----- C:\Dokumente und Einstellungen\Korhan\Recent
2008-07-29 19:45:25        0 d--hs---- C:\WINDOWS\CSC
2008-07-29 16:58:31      2128 --a------ C:\WINDOWS\system32\tmp.reg
2008-07-29 16:58:03    25600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-07-29 16:58:03    289144 --a------ C:\WINDOWS\system32\VCCLSID.exe <Not Verified; S!Ri; >
2008-07-29 16:58:03    86528 --a------ C:\WINDOWS\system32\VACFix.exe <Not Verified; S!Ri.URZ; VACFix>
2008-07-29 16:58:03    288417 --a------ C:\WINDOWS\system32\SrchSTS.exe <Not Verified; S!Ri; SrchSTS>
2008-07-29 16:58:03    82944 --a------ C:\WINDOWS\system32\IEDFix.exe <Not Verified; S!Ri.URZ; IEDFix>
2008-07-29 16:58:03    51200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-07-29 16:58:03    81920 --a------ C:\WINDOWS\system32\404Fix.exe <Not Verified; S!Ri.URZ; 404Fix>
2008-07-29 16:58:02    53248 --a------ C:\WINDOWS\system32\Process.exe <Not Verified; http://www.beyondlogic.org; Command Line Process Utility>
2008-07-29 16:57:58        0 d-------- C:\Dokumente und Einstellungen\Korhan\SmitfraudFix
2008-07-28 15:41:59        0 d-------- C:\WINDOWS\system32\system
2008-07-15 16:14:27        0 d-------- C:\WINDOWS\system32\msmq
2008-07-08 16:31:29        0 d-------- C:\Programme\MSECache


-- Find3M Report ---------------------------------------------------------------

2008-07-31 18:13:01        0 d-------- C:\Programme\Google
2008-07-29 17:24:20        0 d-------- C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\Malwarebytes
2008-07-27 13:39:38        0 d-------- C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\TmpRecentIcons
2008-07-26 21:17:06        0 d-------- C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\Skype
2008-07-26 20:44:42        0 d-------- C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\skypePM
2008-07-26 20:15:55        0 d-------- C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\U3
2008-07-24 14:45:23        0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-18 12:22:16        91 --a----c- C:\WINDOWS\popcinfo.dat
2008-07-15 16:18:45    434528 --a------ C:\WINDOWS\system32\perfh007.dat
2008-07-15 16:18:45    81642 --a------ C:\WINDOWS\system32\perfc007.dat
2008-07-15 16:16:53        0 d-------- C:\Programme\Windows NT
2008-07-14 16:26:03        0 d-------- C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\Canon
2008-07-05 15:49:32    332104 --a------ C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-07-04 14:46:25        0 d-------- C:\Programme\Opera
2008-06-30 19:05:57        0 d-------- C:\Programme\Picasa2
2008-06-26 20:57:55        0 d-------- C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\BloodTies
2008-06-18 12:10:21        0 d-------- C:\Dokumente und Einstellungen\Korhan\Anwendungsdaten\Mozilla
2008-06-03 11:20:36        0 --a----c- C:\WINDOWS\system32\BWFAX
2008-05-08 18:29:21        56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
 Registry Dump ---

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [10.05.2006 11:12]
"avgnt"="K:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [17.07.2008 20:21]
"BigDogPath"="C:\WINDOWS\VM_STI.exe" [09.06.2004 16:37]
"LWBMOUSE"="C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe" [26.03.2001 06:35]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [01.03.2007 15:57]
"RemoveWGA"="O:\RemoveWGA.exe" []
"QuickTime Task"="C:\WINDOWS\system32\qttask.exe" [12.02.2008 16:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [12.02.2008 16:55]
"RocketAppCenter.exe"="C:\Programme\Rocket Software\Rocket Mobile & Security Apps\MobileCenter.exe" [17.06.2005 11:06]
"SpybotSD TeaTimer"="K:\Proggys\Spybot - Search & Destroy\TeaTimer.exe" [31.05.2005 02:04]

C:\Dokumente und Einstellungen\Korhan\Startmen�\Programme\Autostart\
Komfort-Wecker.lnk - E:\komfortwecker\KomfortWecker.exe [12.10.2003 10:14:15]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
BitWare Print Monitor.lnk - C:\BITWARE\NT\bwprnmon.exe [21.11.2007 13:58:05]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 02:01:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)
"NoStartMenuMFUprogramsList"=0 (0x0)
"NoLowDiskSpaceChecks"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders        msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BeFaster]
K:\Proggys\BeFaster\befaster3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pando]
"C:\Programme\Pando Networks\Pando\Pando.exe" /Minimized

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs        eaphost
dot3svc        dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
napagent
hkmsvc


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
AutoRun\command- K:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9fbce67-8229-11da-9d97-806d6172696f}]
AutoRun\command- L:\_isauto.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9fbce71-8229-11da-9d97-806d6172696f}]
AutoRun\command- K:\setupSNK.exe
System Scanner: finished at 2008-07-31 19:22:30

myrtille 01.08.2008 20:55
Hi,
die Logs sehen gut aus.

Wie gehts deinem Rechner?

lg myrtlle

blueshirtxxl 01.08.2008 22:08
Hallo und guten Abend!
Ich weiß nicht, wie sehr ich Dir Danken soll. Du hast mir so gut geholfen und auch dazu noch eine außerordentlich große Geduld aufgebracht.
Mein Rechner " funzt" gut, ich hab sogar die Vermutung, besser als zuvor. Nochmals vielen Dank für Deine fachlich exakten Anleitungen. Sicher geschieht es öfters mal, dass jemand (wie ich) in der Hektik den ersten Lauf nicht im abgesicherten Modus macht usw.
Vor diesem Unfall hatte ich, wie auch jetzt, immer den Avira Free Scanner aktuell und die Firewall von XP aktiviert. Recht selten mal einen Virenalarm. Allerdings heute nach einem totalen Systemcheck mit Avira fanden sich 27 (siebenundzwanzig) infizierte Dateien auf meinem Rechner. Ich werde morgen im laufe das Tages nochmal eine totalen Systemchek machen, mal sehen was dabei rauskommt. Ich vermute, dass in der Zeit, in der der Trojaner hier alles verstellt hatte, ja auch die Firewall deaktiviert hatte, und mein System völlig ungeschützt war, diese Jungs an Bord gekommen sind und einfach schwarzfahren wollten.
Also, nochmals recht herzlichen Dank für alles!
:knuddel:
MFG
Blueshirtxxl

myrtille 02.08.2008 00:30
Hi,
kannst du das Log von Avira bitte hier einstellen? Damit wir sehen können wo die Schädlinge gefunden werden/wurden?

Wenn weitere Schädlinge auf dem Rechner sind, dann sollte man sich das nochmal genauer anschauen.

lg myrtille

blueshirtxxl 02.08.2008 06:52
Ja, da bin ich wieder.
Hier der Report vom Virenscanner Avira:
Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 1. August 2008  13:14

Es wird nach 1523577 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 3, v.3311)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    KORHAN-D6C586D3

Versionsinformationen:
BUILD.DAT    : 8.1.0.326      16933 Bytes  11.07.2008 12:52:00
AVSCAN.EXE    : 8.1.4.7      315649 Bytes  17.07.2008 18:21:20
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  17.07.2008 18:21:19
LUKE.DLL      : 8.1.4.5      164097 Bytes  17.07.2008 18:21:21
LUKERES.DLL  : 8.1.4.0        12545 Bytes  17.07.2008 18:21:21
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 10:22:32
ANTIVIR2.VDF  : 7.0.5.174    2027008 Bytes  25.07.2008 15:58:11
ANTIVIR3.VDF  : 7.0.5.199    209408 Bytes  31.07.2008 16:06:28
Engineversion : 8.1.1.15 
AEVDF.DLL    : 8.1.0.5      102772 Bytes  25.02.2008 09:58:21
AESCRIPT.DLL  : 8.1.0.61      311675 Bytes  31.07.2008 16:06:32
AESCN.DLL    : 8.1.0.23      119156 Bytes  15.07.2008 14:43:02
AERDL.DLL    : 8.1.0.20      418165 Bytes  16.06.2008 13:07:35
AEPACK.DLL    : 8.1.2.1      364917 Bytes  15.07.2008 14:43:00
AEOFFICE.DLL  : 8.1.0.21      192891 Bytes  19.07.2008 08:37:18
AEHEUR.DLL    : 8.1.0.44    1343863 Bytes  24.07.2008 15:58:06
AEHELP.DLL    : 8.1.0.15      115063 Bytes  16.06.2008 13:07:21
AEGEN.DLL    : 8.1.0.32      315765 Bytes  31.07.2008 16:06:31
AEEMU.DLL    : 8.1.0.7      430452 Bytes  31.07.2008 16:06:30
AECORE.DLL    : 8.1.1.8      172406 Bytes  31.07.2008 16:06:29
AEBB.DLL      : 8.1.0.1        53617 Bytes  17.07.2008 18:21:22
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  17.07.2008 18:21:20
AVPREF.DLL    : 8.0.2.0        38657 Bytes  17.07.2008 18:21:19
AVREP.DLL    : 8.0.0.2        98344 Bytes  31.07.2008 16:06:28
AVREG.DLL    : 8.0.0.1        33537 Bytes  17.07.2008 18:21:19
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  17.07.2008 18:21:19
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  17.07.2008 18:21:22
NETNT.DLL    : 8.0.0.1        7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  17.07.2008 18:21:17
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  17.07.2008 18:21:17

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: k:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: quarantäne
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:, G:, K:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 1. August 2008  13:14

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pando.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cidaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ntvdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KomfortWecker.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bwprnmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobileCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LwbWheel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VM_STI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDEngine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmnat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmount2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-authd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '44' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]  Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD6
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]  Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD7
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'K:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '62' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <01 korhan 1>
C:\WINDOWS\SUPERB~1.CAB
    [0] Archivtyp: CAB (Microsoft)
    --> msvbvm60.dll
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\' <03 KORHAN 3>
D:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
D:\Downloads from Emile\Software Downloads\ICM_3627.zip
    [0] Archivtyp: ZIP
    --> incredimail.5.70.build.3627.patch-tdassa.exe
      [FUND]      Enthält Erkennungsmuster des Droppers DR/Agent.19968.E
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48dffe48.qua' verschoben!
D:\Downloads from Emile\Software Downloads\Winamp.Pro.v5.53.1924.Multilingual.Incl.Keymaker-CORE.rar
    [0] Archivtyp: RAR
    --> Winamp.Pro.v5.53.1924.Multilingual.Incl.Keymaker-CORE\keygen.exe
      [FUND]      Ist das Trojanische Pferd TR/Agent.14336.L
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4900ff8f.qua' verschoben!
Beginne mit der Suche in 'E:\' <05 Korhan 5>
E:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\' <02 KORHAN 2>
Beginne mit der Suche in 'G:\' <06 KORHANTR>
Beginne mit der Suche in 'K:\' <04 KORHAN 4>
K:\pando downloads\Incoming\RSD_0.521_Cap.rar
    [0] Archivtyp: RAR
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\airfreshsteelhoster.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Delf.BS
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\bestprotect.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIZ
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\cashcrystalize.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIO
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\ddlwarez.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BJJ
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\hoerbuch.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BHS
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\linkkuzeyforum.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIM
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\linkprotector.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BHN
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\lix.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BHU
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\myref.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIJ
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\protectit.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Delf.BR
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\rapidbolt.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BJI
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\rsprotect.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIY
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\safecrystalize.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BHZ
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\safefilecash.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BID
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\safelink.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIS
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\shareprotect.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BJE
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\speedsafe.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BJK
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\ssllinkz.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIR
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\stacheldraht.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIP
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\takemyfile.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIU
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\tresor.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BHP
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\uppicoasis.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIT
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\wonsite.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIE
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\xeem.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BIW
    --> RSD 0.521 Cap.exe\Plugins\YCPlugins\xirror.dll
      [FUND]      Ist das Trojanische Pferd TR/Spy.Agent.BII
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d70c03.qua' verschoben!


Ende des Suchlaufs: Freitag, 1. August 2008  15:48
Benötigte Zeit:  2:33:43 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  11790 Verzeichnisse wurden überprüft
 515575 Dateien wurden geprüft
    27 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      3 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 515546 Dateien ohne Befall
  9020 Archive wurden durchsucht
      5 Warnungen
      3 Hinweise

myrtille 02.08.2008 11:08
Ich kann auch in dem Log keine Anzeichen für Vundo finden. :confused: Wo hast du den gesehen?

Dafür sieht man das hier:
Winamp.Pro.v5.53.1924.Multilingual.Incl.Keymaker-CORE\keygen.exe :schmoll:

lg mytille

blueshirtxxl 02.08.2008 18:37
Hier der Report vom erneuten totalen Systemcheck, diesesmal ohne Funde..also 3sauber".
Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 2. August 2008  14:45

Es wird nach 1528705 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 3, v.3311)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    KORHAN-D6C586D3

Versionsinformationen:
BUILD.DAT    : 8.1.0.326      16933 Bytes  11.07.2008 12:52:00
AVSCAN.EXE    : 8.1.4.7      315649 Bytes  17.07.2008 18:21:20
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  17.07.2008 18:21:19
LUKE.DLL      : 8.1.4.5      164097 Bytes  17.07.2008 18:21:21
LUKERES.DLL  : 8.1.4.0        12545 Bytes  17.07.2008 18:21:21
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 10:22:32
ANTIVIR2.VDF  : 7.0.5.174    2027008 Bytes  25.07.2008 15:58:11
ANTIVIR3.VDF  : 7.0.5.205    285696 Bytes  01.08.2008 16:06:17
Engineversion : 8.1.1.15 
AEVDF.DLL    : 8.1.0.5      102772 Bytes  25.02.2008 09:58:21
AESCRIPT.DLL  : 8.1.0.61      311675 Bytes  31.07.2008 16:06:32
AESCN.DLL    : 8.1.0.23      119156 Bytes  15.07.2008 14:43:02
AERDL.DLL    : 8.1.0.20      418165 Bytes  16.06.2008 13:07:35
AEPACK.DLL    : 8.1.2.1      364917 Bytes  15.07.2008 14:43:00
AEOFFICE.DLL  : 8.1.0.21      192891 Bytes  19.07.2008 08:37:18
AEHEUR.DLL    : 8.1.0.44    1343863 Bytes  24.07.2008 15:58:06
AEHELP.DLL    : 8.1.0.15      115063 Bytes  16.06.2008 13:07:21
AEGEN.DLL    : 8.1.0.32      315765 Bytes  31.07.2008 16:06:31
AEEMU.DLL    : 8.1.0.7      430452 Bytes  31.07.2008 16:06:30
AECORE.DLL    : 8.1.1.8      172406 Bytes  31.07.2008 16:06:29
AEBB.DLL      : 8.1.0.1        53617 Bytes  17.07.2008 18:21:22
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  17.07.2008 18:21:20
AVPREF.DLL    : 8.0.2.0        38657 Bytes  17.07.2008 18:21:19
AVREP.DLL    : 8.0.0.2        98344 Bytes  31.07.2008 16:06:28
AVREG.DLL    : 8.0.0.1        33537 Bytes  17.07.2008 18:21:19
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  17.07.2008 18:21:19
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  17.07.2008 18:21:22
NETNT.DLL    : 8.0.0.1        7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  17.07.2008 18:21:17
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  17.07.2008 18:21:17

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: k:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: quarantäne
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:, G:, K:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 2. August 2008  14:45

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cidaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ntvdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KomfortWecker.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bwprnmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobileCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LwbWheel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VM_STI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDEngine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmnat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmount2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-authd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '44' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD6
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]  Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD7
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]  Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'K:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '60' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <01 korhan 1>
C:\WINDOWS\SUPERB~1.CAB
    [0] Archivtyp: CAB (Microsoft)
    --> msvbvm60.dll
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\' <03 KORHAN 3>
D:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\' <05 Korhan 5>
E:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\' <02 KORHAN 2>
Beginne mit der Suche in 'G:\' <06 KORHANTR>
Beginne mit der Suche in 'K:\' <04 KORHAN 4>


Ende des Suchlaufs: Samstag, 2. August 2008  16:49
Benötigte Zeit:  2:03:53 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  11796 Verzeichnisse wurden überprüft
 515913 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 515911 Dateien ohne Befall
  9055 Archive wurden durchsucht
      5 Warnungen
      0 Hinweise

blueshirtxxl 02.08.2008 18:45
[QUOTE=myrtille;359113]Ich kann auch in dem Log keine Anzeichen für Vundo finden. :confused: Wo hast du den gesehen?

Was ist damit? ich weiß gar nicht was das ist.

Dafür sieht man das hier:
Winamp.Pro.v5.53.1924.Multilingual.Incl.Keymaker-CORE\keygen.exe :schmoll:
werde das entfernen, sollte sowieso nicht da sein, sorry.

MFG
Blueshirtxxl

myrtille 02.08.2008 18:59
Zitat:
Zitat von blueshirtxxl (Beitrag 359273)
Zitat:
Zitat von myrtille (Beitrag 359113)
Ich kann auch in dem Log keine Anzeichen für Vundo finden. :confused: Wo hast du den gesehen?
Was ist damit? ich weiß gar nicht was das ist.
Sorry mein Fehler. Da hab ich was verwechselt.

Zitat:
Dafür sieht man das hier:
Winamp.Pro.v5.53.1924.Multilingual.Incl.Keymaker-CORE\keygen.exe :schmoll:
werde das entfernen, sollte sowieso nicht da sein, sorry.

MFG
Blueshirtxxl
Darf ich dir empfehlen von sowas in Zukunft die Finger zu lassen! Erstens wirst du dir so immerwieder jede Menge Scheiße einfangen und zweitens gibt es in den allermeisten Fällen auch Opensource und Freeware die man statt Cracks benutzen kann.

lg myrtille

blueshirtxxl 02.08.2008 19:13
Du hast völlig recht, werde mich danach richten.
Zum Rechner selbst scheinst Du keinen weiteren kommentar zu haben, somit scheint bis auf die Empfehlung zu Freeware und opensource....bei mir alles wieder sauber zu sein.
Mein Dank ist und bleibt Dir. Sehr kompetente und schnelle Hilfe wurde mir zuteil.

MFG
Blueshirtxxl

myrtille 03.08.2008 13:27
Alle Funde waren in Cracks, Keygens und ähnlichem Schrott... was soll ich da noch zu sagen? :confused:

Die Dateien sind gelöscht und gut ist.

Eine Seite die dich interessieren könnte ist osalt: Man gibt den Namen des Programmes ein, das man nicht kaufen möchte und es werden einem Opensource Alternativen aufgelistet.

lg myrtille

blueshirtxxl 03.08.2008 21:40
Nochmals vielen Dank und ich werde Deinen Ratschlag beherzigen. Osalt kannte ich nicht, werde dort sicher Stammkunde :)

MFG
Blueshirtxxl ( Korhan)

Erutan 11.08.2008 10:35
Hallo,

ich will jetzt auch mal meinen Senf dazu geben



[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.


Danke. :)

[/edit]

myrtille 11.08.2008 10:41
Hi,
so wie sich das bei dir liest würde ich dir dringend ein Neuaufsetzen empfehlen! Scheint sowieso schneller zu sein als ein weiterer Antivirenscan ;)
Außerdem solltest du von einem anderen Rechner deine Passwörter ändern.

Außerdem bin ich so frei zu vermuten, dass du nicht nur eine Infektion auf deinem Rechner hattest, sondern einen ganzen Zoo :D

Weswegen hier in der Regel zur Bereinigung auch jedem empfohlen wird seinen eigenen Thread aufzumachen. Der Zoo ist bei keinem genau derselbe. ;)

Was wirst du denn nun tun?

blueshirtxxl 11.08.2008 15:08
:aplaus: Ich dachte schon es betrifft mich.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131