Trojaner-Board - Avira Antivir findet Trojaner a.bat

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Avira Antivir findet Trojaner a.bat (https://www.trojaner-board.de/65094-avira-antivir-findet-trojaner-a-bat.html)

kann ich jetzt systemwiederherstellung oder wie das hieß wieder aktivieren???

gruß basti und danke für eure mühen!!!

Hallo

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

c:\windows\system32\myspacce.exe

c:\windows\system32\myspacce

c:\windows\system32\DRIVERS\v90drv.sys

c:\windows\system32\DRIVERS\RsFx0102.sys

Danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

registry keys to delete:

HKLM\software\microsoft\active setup\installed components\{644A4322-7128-E694-771C-CF236241FED9}
 

files to delete:

c:\windows\system32\myspacce.exe

c:\windows\system32\myspacce

c:\windows\system32\syx.exe

C:\WINDOWS\Tasks\SA.DAT
 

folders to delete:

c:\windows\system32\myspacce

http://mitglied.lycos.de/efunction/tb/avenger.png

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Code:

 Datei myspacce.exe empfangen 2008.11.24 20:35:02 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 
 

Ergebnis: 9/37 (24.33%)

Laden der Serverinformationen... 

Ihre Datei wartet momentan auf Position: ___.

Geschätzte Startzeit is zwischen ___ und ___ .

Dieses Fenster bis zum Abschluss des Scans nicht schließen. 

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt. 

 Filter Drucken der Ergebnisse  

Datei existiert nicht oder dessen Lebensdauer wurde überschritten 

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 

 Email:  

  
 

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.11.24.3 2008.11.24 Win-Trojan/Buzus.2180707 

AntiVir 7.9.0.35 2008.11.24 - 

Authentium 5.1.0.4 2008.11.24 - 

Avast 4.8.1281.0 2008.11.24 Win32:Rootkit-gen 

AVG 8.0.0.199 2008.11.24 Generic12.BGH 

BitDefender 7.2 2008.11.24 - 

CAT-QuickHeal 10.00 2008.11.24 - 

ClamAV 0.94.1 2008.11.24 - 

DrWeb 4.44.0.09170 2008.11.24 - 

eSafe 7.0.17.0 2008.11.24 - 

eTrust-Vet 31.6.6225 2008.11.24 - 

Ewido 4.0 2008.11.24 - 

F-Prot 4.4.4.56 2008.11.24 - 

F-Secure 8.0.14332.0 2008.11.24 - 

Fortinet 3.117.0.0 2008.11.24 - 

GData 19 2008.11.24 Win32:Rootkit-gen  

Ikarus T3.1.1.45.0 2008.11.24 Virus.Win32.Rootkit 

K7AntiVirus 7.10.532 2008.11.24 - 

Kaspersky 7.0.0.125 2008.11.24 Backdoor.Win32.Bifrose.aerh 

McAfee 5443 2008.11.23 - 

McAfee+Artemis 5443 2008.11.23 Generic!Artemis 

Microsoft 1.4104 2008.11.24 - 

NOD32 3636 2008.11.24 - 

Norman 5.80.02 2008.11.24 W32/Malware.EJNT 

Panda 9.0.0.4 2008.11.24 Generic Malware 

PCTools 4.4.2.0 2008.11.24 - 

Prevx1 V2 2008.11.24 - 

Rising 21.05.02.00 2008.11.24 - 

SecureWeb-Gateway 6.7.6 2008.11.24 - 

Sophos 4.35.0 2008.11.24 - 

Sunbelt 3.1.1823.2 2008.11.22 - 

Symantec 10 2008.11.24 - 

TheHacker 6.3.1.1.161 2008.11.24 - 

TrendMicro 8.700.0.1004 2008.11.24 - 

VBA32 3.12.8.9 2008.11.24 - 

ViRobot 2008.11.24.1483 2008.11.24 - 

VirusBuster 4.5.11.0 2008.11.24 - 

weitere Informationen 

File size: 72192 bytes 

MD5...: 316bfe049623093f9f4b709b7a28a0d6 

SHA1..: 66784b809683f62469b750f806ef59a408eb0092 

SHA256: 56bbf0f3872b5be8d1f67adc935d199355124c5349708a994f2475f105de7cff 

SHA512: 4e5ca60d4595e8250dd853f6c7299348b557fe7c856cd754cb0f21a79c8f34a2

bc6ce08d2575795f931297dc851919c6143db3bc7597f113d8451bacca540e85

 

ssdeep: 1536:4+sfljC++lqe7+8k15BuPDt8sPhapQsKAJV9W:4SNf8BuPDt8YarKAJV9W

 

PEiD..: - 

TrID..: File type identification

Win32 EXE PECompact compressed (generic) (41.8%)

Win32 Executable MS Visual C++ (generic) (37.9%)

Win32 Executable Generic (8.5%)

Win32 Dynamic Link Library (generic) (7.6%)

Generic Win/DOS Executable (2.0%) 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x4032e5

timedatestamp.....: 0x490f68dd (Mon Nov 03 21:10:53 2008)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x9000 0x8400 6.54 6ccb1835eb330011a2243a9eb5db1562

.tr1p0d 0xa000 0x5000 0x4e00 5.17 da5adb697e7525b3b91d5e48c071b8f0

.rsrc 0xf000 0x5000 0x4400 6.59 8b75acbbb22f2ec732bb40a44bbd632b
 

( 3 imports ) 

> KERNEL32.dll: LoadResource, FindResourceA, CloseHandle, LoadLibraryA, ExitProcess, GetFileSize, lstrcatA, GetModuleHandleA, LocalAlloc, GetModuleFileNameA, FreeLibrary, lstrcmpA, lstrlenA, CreateFileA, GetTempPathA, GetCurrentProcess, LocalFree, CheckRemoteDebuggerPresent, ContinueDebugEvent, WaitForDebugEvent, CreateProcessA, IsDebuggerPresent, WriteFile, GetProcAddress, GetLastError, DeleteFileA, HeapAlloc, GetCommandLineA, HeapFree, GetVersionExA, GetProcessHeap, GetStartupInfoA, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, VirtualFree, VirtualAlloc, HeapReAlloc, HeapDestroy, HeapCreate, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, InitializeCriticalSection, Sleep, RtlUnwind, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, HeapSize, MultiByteToWideChar, GetLocaleInfoA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW

> USER32.dll: MessageBoxA

> ADVAPI32.dll: RegOpenKeyExA
 

( 0 exports ) 

 

CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=316bfe049623093f9f4b709b7a28a0d6

Code:

 Datei myspacce empfangen 2008.11.24 20:37:12 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 
 

Ergebnis: 0/37 (0%)

Laden der Serverinformationen... 

Ihre Datei wartet momentan auf Position: 3.

Geschätzte Startzeit is zwischen 54 und 77 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen. 

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt. 

 Filter Drucken der Ergebnisse  

Datei existiert nicht oder dessen Lebensdauer wurde überschritten 

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 

 Email:  

  
 

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.11.24.3 2008.11.24 - 

AntiVir 7.9.0.35 2008.11.24 - 

Authentium 5.1.0.4 2008.11.24 - 

Avast 4.8.1281.0 2008.11.24 - 

AVG 8.0.0.199 2008.11.24 - 

BitDefender 7.2 2008.11.24 - 

CAT-QuickHeal 10.00 2008.11.24 - 

ClamAV 0.94.1 2008.11.24 - 

DrWeb 4.44.0.09170 2008.11.24 - 

eSafe 7.0.17.0 2008.11.24 - 

eTrust-Vet 31.6.6225 2008.11.24 - 

Ewido 4.0 2008.11.24 - 

F-Prot 4.4.4.56 2008.11.24 - 

F-Secure 8.0.14332.0 2008.11.24 - 

Fortinet 3.117.0.0 2008.11.24 - 

GData 19 2008.11.24 - 

Ikarus T3.1.1.45.0 2008.11.24 - 

K7AntiVirus 7.10.532 2008.11.24 - 

Kaspersky 7.0.0.125 2008.11.24 - 

McAfee 5443 2008.11.23 - 

McAfee+Artemis 5443 2008.11.23 - 

Microsoft 1.4104 2008.11.24 - 

NOD32 3636 2008.11.24 - 

Norman 5.80.02 2008.11.24 - 

Panda 9.0.0.4 2008.11.24 - 

PCTools 4.4.2.0 2008.11.24 - 

Prevx1 V2 2008.11.24 - 

Rising 21.05.02.00 2008.11.24 - 

SecureWeb-Gateway 6.7.6 2008.11.24 - 

Sophos 4.35.0 2008.11.24 - 

Sunbelt 3.1.1823.2 2008.11.22 - 

Symantec 10 2008.11.24 - 

TheHacker 6.3.1.1.161 2008.11.24 - 

TrendMicro 8.700.0.1004 2008.11.24 - 

VBA32 3.12.8.9 2008.11.24 - 

ViRobot 2008.11.24.1483 2008.11.24 - 

VirusBuster 4.5.11.0 2008.11.24 - 

weitere Informationen 

File size: 2793 bytes 

MD5...: 32d0c36a8ae42e5240bd20a9a4e01fbd 

SHA1..: 87b7484d25a094ce0f64539f25df28ed9285d63e 

SHA256: 0e558cec65c1325d7e54e87b152b00092569ffa07b70bab2a4af9e4b0318882e 

SHA512: 2952370ee190134379603691f6629172bcf21b7586f1fd6d389efc3345738d2c

c8048a1ae3ff4ab90202a2b2f53163f2e48ba8e18868727e117bf4c5e2c242b4

 

ssdeep: 48:bJl3xhUC7WRCVVVLuuXBDVMYbS9+I9jkaeyMqqwoMxUkxaciFd:XN71JyoJ2h

1MyM/woMxEfd

 

PEiD..: - 

TrID..: File type identification

MP3 audio (100.0%) 

PEInfo: -

Code:

 Datei RsFx0102.sys empfangen 2008.11.24 20:42:10 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 
 

Ergebnis: 0/37 (0%)

Laden der Serverinformationen... 

Ihre Datei wartet momentan auf Position: 2.

Geschätzte Startzeit is zwischen 46 und 66 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen. 

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt. 

 Filter Drucken der Ergebnisse  

Datei existiert nicht oder dessen Lebensdauer wurde überschritten 

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 

 Email:  

  
 

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.11.24.3 2008.11.24 - 

AntiVir 7.9.0.35 2008.11.24 - 

Authentium 5.1.0.4 2008.11.24 - 

Avast 4.8.1281.0 2008.11.24 - 

AVG 8.0.0.199 2008.11.24 - 

BitDefender 7.2 2008.11.24 - 

CAT-QuickHeal 10.00 2008.11.24 - 

ClamAV 0.94.1 2008.11.24 - 

DrWeb 4.44.0.09170 2008.11.24 - 

eSafe 7.0.17.0 2008.11.24 - 

eTrust-Vet 31.6.6225 2008.11.24 - 

Ewido 4.0 2008.11.24 - 

F-Prot 4.4.4.56 2008.11.24 - 

F-Secure 8.0.14332.0 2008.11.24 - 

Fortinet 3.117.0.0 2008.11.24 - 

GData 19 2008.11.24 - 

Ikarus T3.1.1.45.0 2008.11.24 - 

K7AntiVirus 7.10.532 2008.11.24 - 

Kaspersky 7.0.0.125 2008.11.24 - 

McAfee 5443 2008.11.23 - 

McAfee+Artemis 5443 2008.11.23 - 

Microsoft 1.4104 2008.11.24 - 

NOD32 3636 2008.11.24 - 

Norman 5.80.02 2008.11.24 - 

Panda 9.0.0.4 2008.11.24 - 

PCTools 4.4.2.0 2008.11.24 - 

Prevx1 V2 2008.11.24 - 

Rising 21.05.02.00 2008.11.24 - 

SecureWeb-Gateway 6.7.6 2008.11.24 - 

Sophos 4.35.0 2008.11.24 - 

Sunbelt 3.1.1823.2 2008.11.22 - 

Symantec 10 2008.11.24 - 

TheHacker 6.3.1.1.161 2008.11.24 - 

TrendMicro 8.700.0.1004 2008.11.24 - 

VBA32 3.12.8.9 2008.11.24 - 

ViRobot 2008.11.24.1483 2008.11.24 - 

VirusBuster 4.5.11.0 2008.11.24 - 

weitere Informationen 

File size: 242712 bytes 

MD5...: fedd2710b75be3ecf078adace790c423 

SHA1..: d49eb2332a7187efbfd5f8885c8943f240420570 

SHA256: c4ef46a5064180145c923df08eee58218945950202df96519a10b28afa68d923 

SHA512: 9aa090ba80ffabeca88a43a86dc7d5f36bdc430f3ef9f9129f62813e68b9feb3

dda2beb71127b0157727e35e948b45ad00221994ea5e708847b25cc2198ed2b0

 

ssdeep: 6144:iJYfev1rg2mC2+qEgJ3dj9MDRHfGGBXHxjbnM4g:iJYfed02mC2+qEgJkDR

HuGBhjTM4g

 

PEiD..: - 

TrID..: File type identification

Win32 Executable Generic (58.4%)

Clipper DOS Executable (13.8%)

Generic Win/DOS Executable (13.7%)

DOS Executable Generic (13.7%)

VXD Driver (0.2%) 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x44485

timedatestamp.....: 0x48753e0c (Wed Jul 09 22:39:08 2008)

machinetype.......: 0x14c (I386)
 

( 9 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x500 0xb2a5 0xb300 5.84 f764a5870fc1a00c36385b68b4741e77

NONPAGED 0xb800 0xb8cc 0xb900 5.81 e11f74d0f0f0bc5e45a4287948d85b45

.rdata 0x17100 0x4e84 0x4f00 3.64 951b50022144a8bb47e7da9cbfdc7671

.data 0x1c000 0x9f0 0xa00 1.08 625723fa0d3f9802819c1b7652a8aa7b

PAGE 0x1ca00 0x17698 0x17700 5.89 0a90b1c1dc2fd328b47d09254bb26733

PAGED 0x34100 0x372 0x380 5.31 4262e46b933ec92ceca8e76d30d6cf8d

INIT 0x34480 0x1216 0x1280 5.45 0e98f35af37021c37b21cc5d5c3e753b

.rsrc 0x35700 0x708 0x780 3.30 484d71ff2875f63b46b051855723a2aa

.reloc 0x35e80 0x3124 0x3180 6.69 9e0af56de6c7b03c3cf425674f8846b2
 

( 3 imports ) 

> ntoskrnl.exe: IoGetFileObjectGenericMapping, ObfReferenceObject, ObfDereferenceObject, IoUnregisterFileSystem, ZwCreateFile, KeEnterCriticalRegion, KeLeaveCriticalRegion, ZwQueryValueKey, RtlEqualUnicodeString, ExAcquireResourceSharedLite, FsRtlTeardownPerStreamContexts, KeTickCount, KeBugCheckEx, RtlUnwind, SeAccessCheck, IoRegisterFileSystem, InterlockedPopEntrySList, IoGetCurrentProcess, IofCompleteRequest, ProbeForRead, PsGetCurrentProcessId, PsGetCurrentThreadId, InterlockedPushEntrySList, KeWaitForSingleObject, InitSafeBootMode, DbgPrint, RtlGetVersion, IoCreateDevice, ExInitializeNPagedLookasideList, ExDeleteNPagedLookasideList, IoDeleteDevice, KeInitializeEvent, IoWMIRegistrationControl, WmiQueryTraceInformation, RtlQueryRegistryValues, _vsnwprintf, _allmul, RtlCompareMemory, RtlInitUnicodeString, RtlCompareUnicodeString, ExQueueWorkItem, ExReleaseResourceLite, KeGetCurrentThread, ExAcquireResourceExclusiveLite, ExDeleteResourceLite, memset, ExInitializeResourceLite, memcpy, RtlCopyUnicodeString, ZwEnumerateKey, RtlGUIDFromString, KeDelayExecutionThread, ProbeForWrite, ZwDeleteValueKey, ZwCreateKey, ZwSetValueKey, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, ZwOpenKey, ExAllocatePoolWithTag, ZwEnumerateValueKey, ExFreePoolWithTag, ZwOpenEvent, ZwCreateEvent, ZwWaitForSingleObject, ZwSetEvent, ExInitializePagedLookasideList, ExDeletePagedLookasideList, RtlUpcaseUnicodeChar, RtlCaptureStackBackTrace, ExSystemTimeToLocalTime, KeQuerySystemTime, KeClearEvent, KeSetEvent, ExfInterlockedRemoveHeadList, KeReleaseSemaphore, ExfInterlockedInsertTailList, KeInitializeSemaphore, KeInitializeSpinLock, PsGetVersion, MmGetSystemRoutineAddress, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, memmove, KeWaitForMultipleObjects, ZwQueryInformationToken, ZwOpenProcessTokenEx, PsIsThreadTerminating, RtlCopySid, RtlLengthSid, ObReferenceObjectByHandle, PsDereferenceImpersonationToken, ZwDuplicateToken, PsReferenceImpersonationToken, ZwOpenThreadTokenEx, PsImpersonateClient, ZwSetSecurityObject, RtlValidSecurityDescriptor, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, RtlAddAce, RtlAddAccessAllowedAce, RtlCreateAcl, RtlEqualSid, RtlGetAce, RtlGetDaclSecurityDescriptor, ZwQuerySecurityObject, ObOpenObjectByPointer, RtlValidRelativeSecurityDescriptor, RtlLengthSecurityDescriptor, SePrivilegeCheck, MmMapLockedPagesSpecifyCache, FsRtlDoesNameContainWildCards, ZwQueryDirectoryFile, MmFlushImageSection, SeQuerySecurityDescriptorInfo, ZwClose, WmiTraceMessage

> HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock, KeQueryPerformanceCounter, ExAcquireFastMutex, ExReleaseFastMutex, KeGetCurrentIrql, KfLowerIrql, KfRaiseIrql

> FLTMGR.SYS: FltReleasePushLock, FltGetVolumeContext, FltQueryVolumeInformation, FltQueryInformationFile, FltDoCompletionProcessingWhenSafe, FltCreateFile, FltClose, FltGetFileNameInformation, FltParseFileNameInformation, FltGetStreamContext, FltGetFileNameInformationUnsafe, FltCheckAndGrowNameControl, FltReleaseFileNameInformation, FltUnregisterFilter, FltRegisterFilter, FltStartFiltering, FltLockUserBuffer, FltDecodeParameters, FltDeleteContext, FltCancelFileOpen, FltSetStreamContext, FltSetStreamHandleContext, FltInitializePushLock, FltSetCallbackDataDirty, FltClearCallbackDataDirty, FltCbdqRemoveIo, FltCbdqInsertIo, FltCbdqInitialize, FltAcquirePushLockExclusive, FltGetStreamHandleContext, FltFlushBuffers, FltDeletePushLock, FltDeleteVolumeContext, FltAllocateContext, FltGetVolumeFromName, FltAttachVolume, FltSetVolumeContext, FltDetachVolume, FltObjectDereference, FltReleaseContext
 

( 0 exports )

Code:

 Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File "c:\windows\system32\myspacce.exe" deleted successfully.

File "c:\windows\system32\myspacce" deleted successfully.

File "c:\windows\system32\syx.exe" deleted successfully.

File "C:\WINDOWS\Tasks\SA.DAT" deleted successfully.
 

Error:  folder "c:\windows\system32\myspacce" not found!

Deletion of folder "c:\windows\system32\myspacce" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

Registry key "HKLM\software\microsoft\active setup\installed components\{644A4322-7128-E694-771C-CF236241FED9}" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Code:

 Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:57:14, on 24.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\Programme\FRITZ!DSL\IGDCTRL.EXE

C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\SYSTEM32\GEARSEC.EXE

C:\WINDOWS\system32\svchost.exe

C:\Programme\Skype\Phone\Skype.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\PROGRA~1\ICQ6\ICQ.exe

C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe

C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe

C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\slserv.exe

c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Skype\Plugin Manager\SkypePM.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\HP\Smart Web Printing\hpswp_clipbook.exe

C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe

C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UCMHCSN4\qlketzd[1].com
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [System Updater Machine   ] syx.exe

O4 - HKLM\..\RunServices: [System Updater Machine   ] syx.exe

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent

O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.schueler.cc/uploader/ImageUploader5.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?978306409921

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://javadl-esd.sun.com/update/1.4.2/jinstall-1_4_2-windows-i586.cab

O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - http://www.schueler.cc/uploader/ImageUploader5.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
 

--

End of file - 9254 bytes

Das sieht viiel besser aus :)

Code:

O4 - HKLM\..\Run: [System Updater Machine ] syx.exe

O4 - HKLM\..\RunServices: [System Updater Machine ] syx.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

Diese Einträge mit Hijackthis aber noch fixen. Meld Dich dann wieder wenns wieder/noch Probleme gibt.

Hallo es gibt schon wieder Probleme. Mein Aviara Antivir hat mir grad folgendes angezeigt:

C:\System Volume Information\...\A0330393.dll

Ist das Trojanische Pferd TR/Trash.Gen

Neueste HiJackThis Liste ist folgende:

Code:

 Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:13:57, on 25.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\FRITZ!DSL\IGDCTRL.EXE

C:\WINDOWS\SYSTEM32\GEARSEC.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\slserv.exe

c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Skype\Phone\Skype.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\PROGRA~1\ICQ6\ICQ.exe

C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe

C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe

C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programme\PC Connectivity Solution\ServiceLayer.exe

C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe

C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe

C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Programme\Skype\Plugin Manager\SkypePM.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\HP\Smart Web Printing\hpswp_clipbook.exe

C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UCMHCSN4\HiJackThis[1].exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent

O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.schueler.cc/uploader/ImageUploader5.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?978306409921

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://javadl-esd.sun.com/update/1.4.2/jinstall-1_4_2-windows-i586.cab

O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - http://www.schueler.cc/uploader/ImageUploader5.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
 

--

End of file - 8823 bytes

Zitat:

Zitat von Basti255 (Beitrag 394791)

Hallo es gibt schon wieder Probleme. Mein Aviara Antivir hat mir grad folgendes angezeigt:

C:\System Volume Information\...\A0330393.dll

Ist das Trojanische Pferd TR/Trash.Gen

Hattest Du die SWH nicht deaktiviert? :confused:

doch habe ich eigentlich gestern deaktiviert!!!

war jetzt aber wieder aktiviert...habs wieder ausgemacht!!!
komisch!!!:kloppen:

Lass nochmal bitte Malwarebytes durchlaufen.

so hier der malware bericht:

Code:

 Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1419

Windows 5.1.2600 Service Pack 3
 

26.11.2008 18:31:45

mbam-log-2008-11-26 (18-31-45).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 127193

Laufzeit: 1 hour(s), 0 minute(s), 47 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

aber jetzt hat mein antivir schon wieder ein virus gefunden(ich hab auf löschen geklickt)!!!
hier die meldung:

C:\Qoobox\Quarantine\C\Programme\...\ShoppingReport.dll.vir

Ist das Trojanisch Pferd TR/Trash.Gen