Trojaner-Board - Virenscanner F-Prot deinstalliert automatisch

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virenscanner F-Prot deinstalliert automatisch (https://www.trojaner-board.de/78498-virenscanner-f-prot-deinstalliert-automatisch.html)

Virenscanner F-Prot deinstalliert automatisch

Hallo allerseits,

Mein F-Prot hat, ohne dass ich mich an eine Handlung erinnern könnte die mich Malware ausgesetzt hätte oder irgendetwas an der Installation verändert hätte, nicht mehr updaten können. Auch wenn ich versucht habe zu scannen war F-Prot sofort fertig da es keine Datein zum scannen gefunden hat.
Ich habe daraufhin F-Prot neu installiert. Nach dem Neustart der auf die Installation folgt lief alles gut, aber ca 1 - 2 Minuten nach dem Neustart hat sich Windows ohne mein Zutun beendet und der PC hat neu gestartet. Danach war die F-Prot installation weg (Der Ordner, der Eintrag unter "Software", alle Verknüpfungen).

Ich habe das Problem dann ignoriert, da ich zu dem Zeitpunkt eher an einen Bug als an einen Virus dachte, und eine neue Festplatte bereits unterwegs war. Als ich aber F-Prot auf dem Brandneuen System installiert habe passierte genau das gleiche. Ich habe desshalb vermutet, dass sich mein neues System an meiner externen Festplatte neu infiziert hatte.
Ich habe dann rausgefunden, dass im F-Prot Forum andere bereits ähnliche Probleme gehabt hatten, aber dort hatte sich niemand mit einem Konkreten Lösungsansatz geäussert. Es wurde lediglich erwähnt, dass es sich um ein Rootkit handeln könnte. Ich habe dann mit Sophos Anti-Rootkit tasächlich 2 Dateien auf der externen gefunden, die dieses Tool nach seiner aussage desinfiziert hat. Diese Datein befanden sich in einem Ordner, den ich nicht selbst angelegt hatte: "8fe9865a7c248b9e48f07d65b0b79ba3", dadrin befinden sich 2 Subfolders mit den Namen "amd64" und "i386", auf die ich keinen Zugriff habe (Fehlermeldung: Zugriff verweigert) Die Ordner lassen sich auch von der Windows Ebene logischerweise nicht löschen ohne Zugriff.

Ich habe, da das Problem weiterhin bestand, erneut formatiert, ohne die externe anzuschließen. Das hat die Problematik nicht behoben.

Jetzt kommen die Ergebnisse der Tools die ich daraufhin habe drüberlaufen lassen, da ich aber ein ziemlicher Laie bin in dem Gebiet sagen mir die logs wenig.

hijackthis:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:40:19, on 15.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\RootkitRevealer\RootkitRevealer.exe
C:\DOKUME~1\Me!\LOKALE~1\Temp\NTKQKRVC.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winfuture.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winfuture.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CBE5EFF-D565-4278-A7EF-A76A455EA3E0}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CBE5EFF-D565-4278-A7EF-A76A455EA3E0}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2CBE5EFF-D565-4278-A7EF-A76A455EA3E0}: NameServer = 192.168.0.1
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - Unknown owner - C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe (file missing)
O23 - Service: ICILDLLKJXF - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Me!\LOKALE~1\Temp\ICILDLLKJXF.exe
O23 - Service: NTKQKRVC - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Me!\LOKALE~1\Temp\NTKQKRVC.exe
O23 - Service: NVNCOYV - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Me!\LOKALE~1\Temp\NVNCOYV.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4250 bytes

RootKitReveal von Sysinternals:

Zitat:

HKLM\SECURITY\Policy\Secrets\SAC* 15.10.2009 16:59 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 15.10.2009 16:59 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\kl1\InData 15.10.2009 21:41 8 bytes Data mismatch between Windows API and raw hive data.
C:\WINDOWS\Temp\cch473.tmp 15.10.2009 21:40 32.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch474.tmp 15.10.2009 21:40 32.00 KB Visible in Windows API, MFT, but not in directory index.

Avenger

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Completed script processing.

*******************

Finished! Terminate.

Habe mir auch mal die Trial Version von Kaspersky Anti-Virus gezogen, das Programm hat aber nichts gefunden, weder auf der Systemplatte noch auf der externen (die ich wieder angeschloßen habe, nachdem das abkoppeln ja nichts genützt hat).

Entschuldigt den Roman, bin dankbar um jeden Rat!

Hallo und Herzlich Willkommen! :)

Dein Log sieht in Ordnung aus...
aber mal eine Frage: was hast Du für ein Programm von Sysinternals - www.sysinternals.com? War schon immer installiert in dieser Zeit wo Du Probleme hattest?
- Gibt es Irgendein Programm Tools, die es beeinflussen könn(t)en?
- Welche Version hast du? F-PROT für DOS?

Zitat:

Nur die DOS-Version ist kostenlos - Kein Hintergrundwächter - Da F-PROT für DOS unter den Windows-Versionen NT/2000/XP ein Problem mit langen Dateinamen hat, sollte es auf diesen Betriebssystemen nicht mehr eingesetzt werden

gruß
Cf

Hallo und danke für den Willkommensgruß,

Ich habe mir von Sysinternals den RootkitRevealer 1.71 gezogen, nachdem das Problem nach dem zweiten Formatieren der Festplatte immernoch nicht weg war. Ich hatte zuvor keine Sysinternal Tools auf dem PC.

Du meinst Tools, die sich mit F-Prot beissen? Ich denke nicht, da ich nach der Formatierung F-Prot direkt als erstes nach den Treibern für Graka, Netzwerkadapter und Soundkarte installiert habe, und ich genauso den Reboot hatte, wonach F-Prot wieder verschwunden war.

Ich nutze F-Prot für Windows, Version 6.0.8.0 ganz legal mit gekauftem key.

hi

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:
1.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird Gmer beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

2.
Master Boot Record überprüfen:

Lade Dir die MBR.exe von Gmer herunter
Speichere auf deinem Desktop
Per Doppelklick starten.
wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

3.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

Installieren und per Doppelklick starten.
Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
"Komplett Scan durchführen" wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

4.
Führe dann einen Komplett-Systemcheck mit Nod32 - die Scanergebnis als *.txt Dateien speichern)
- (ESET Online Scanner
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
Speichere und Poste bitte das Logfile

4.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

5.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

6.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

Hi und danke für die detailierten Anweisungen. Hier die Ergebnisse:

gmer hat "keine Systemänderungen gefunden", folglich kein logfile.

mbr

Code:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Malwarebytes Anti-Malware

Code:

Durchsuchte Objekte: 93987

Laufzeit: 2 minute(s), 21 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Nod32
Hier sind bei der Installation 2 Fehlermeldungen aufgetreten:

Zitat:

Benutzer "SYSTEM" hat die INstallation des Produkts "F-PROT Antivirus for Windows" bereits initialisiert. Dieser Benutzer muss die Installation wiederholen, bevor dieses Produkt verwendet werden kann. Die aktuelle Installation wird jetzt fortgesetzt.

weiter gings mit "OK"

direkt danach:

Zitat:

Eine Installaton von F-PROT Antivirus for Windows ist im Augenblick unterbrochen. SIe müssen die von dieser Installation vorgenommen Änderungen rückgängig machen, bevir sie den Vorgang fortsetzen können. Möchten Sie diese Änderung rückgänig machen?

Optionen: Ja oder Nein ==> Ja

nun der log:

Code:

Log

Version der Signaturdatenbank: 4518 (20091017)

Datum: 17.10.2009  Uhrzeit: 18:37:13

Geprüfte Laufwerke, Ordner und Dateien: Arbeitsspeicher;A:\Bootsektor;A:\;C:\Bootsektor;C:\;D:\Bootsektor;D:\;E:\Bootsektor;E:\

Bootsektor von Laufwerk A: - Fehler beim Öffnen  [4]

A:\ - Fehler beim Öffnen  [4]

C:\pagefile.sys - Fehler beim Öffnen  [4]

C:\Dokumente und Einstellungen\Me!\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RZBFC88X\mbam-setup[1].exe » INNO » files.info - Datei ist kein Archiv

D:\back up\Desktop\mbam-setup.exe » INNO » files.info - Datei ist kein Archiv

D:\f-prot\F-Prot_win (licensed)\Ver3\commandline.txt » MIME - - OK (eingebettete Archive NICHT geprüft)

D:\f-prot\F-Prot_win (licensed)\Ver3\F-Prot Antivirus Purchase Information.eml » MIME - - OK (eingebettete Archive NICHT geprüft)

D:\f-prot\F-Prot_win (licensed)\Ver3\FPCMD Commandline Options.eml » MIME - - OK (eingebettete Archive NICHT geprüft)

D:\f-prot\F-Prot_win (licensed)\Ver3\Regarding your cusotmer number for F-Prot.eml » MIME - - OK (eingebettete Archive NICHT geprüft)

D:\f-prot\F-Prot_win (licensed)\Ver3\Your F-Prot Antivirus Invoice.eml » MIME - - OK (eingebettete Archive NICHT geprüft)

D:\f-prot\F-Prot_win (licensed)\Ver6\Your F-PROT Antivirus Invoice.eml » MIME - - OK (eingebettete Archive NICHT geprüft)

Geprüfte Objekte: 43193

Erkannte Bedrohungen: 0

Abgeschlossen: 18:39:41  Benötigte Zeit: 148 Sek. (00:02:28)
 

Hinweise:

[4] Objekt kann nicht geöffnet werden. Möglicherweise in Benutzung durch eine andere Anwendung oder das Betriebssystem.

filelist

Code:

----- Root ----------------------------- 

 Datentr„ger in Laufwerk D: ist Data

 Volumeseriennummer: 58C1-CE93
 

 Verzeichnis von D:\back up\Desktop
 

17.10.2009  18:43               278 install.txt

17.10.2009  18:42             1.430 CCleaner.lnk

17.10.2009  18:42         1.066.456 ccsetup224_slim.exe

17.10.2009  18:41               549 filelist.zip

17.10.2009  18:40             1.572 Nod 32 Log.txt

17.10.2009  18:35               505 Fehlermeldung.txt

17.10.2009  18:31        34.859.520 eav_nt32_deu.msi

17.10.2009  18:28             1.113 mbam-log-2009-10-17 (18-28-14).txt

17.10.2009  18:23         4.045.528 mbam-setup.exe

17.10.2009  18:22               195 mbr.log

17.10.2009  18:22            71.680 mbr.exe

17.10.2009  18:20                 0 GMR LOG.txt

17.10.2009  18:15           291.328 9nx23nk7.exe
 

----- Windows -------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: B8B2-C721
 

 Verzeichnis von C:\WINDOWS
 

17.10.2009  18:41           794.414 WindowsUpdate.log

17.10.2009  18:36           205.076 setupapi.log

17.10.2009  18:23             6.285 KB952954.log

17.10.2009  18:23             6.189 KB960859.log

17.10.2009  18:23             6.474 KB974455.log

17.10.2009  18:22             5.991 KB969059.log

17.10.2009  18:22             5.973 KB961371-v2.log

17.10.2009  18:22             5.793 KB950974.log

17.10.2009  18:22             5.695 KB971657.log

17.10.2009  18:22             5.592 KB971557.log

17.10.2009  18:22             5.494 KB960225.log

17.10.2009  18:22             5.398 KB974112.log

17.10.2009  18:22             5.299 KB959426.log

17.10.2009  18:22             5.211 KB951978.log

17.10.2009  18:22             3.625 KB968389.log

17.10.2009  18:22             5.103 KB961501.log

17.10.2009  18:22             5.009 KB971633.log

17.10.2009  18:22             4.903 KB975025.log

17.10.2009  18:22             4.814 KB952004.log

17.10.2009  18:22             4.702 KB974571.log

17.10.2009  18:22             4.602 KB973507.log

17.10.2009  18:22             4.516 KB967715.log

17.10.2009  18:22             4.412 KB954459.log

17.10.2009  18:22             4.314 KB951748.log

17.10.2009  18:22             4.210 KB970238.log

17.10.2009  18:22             4.107 KB960803.log

17.10.2009  18:22             4.012 KB973815.log

17.10.2009  18:22             3.919 KB968537.log

17.10.2009  18:22             3.813 KB956802.log

17.10.2009  18:22             3.713 KB975467.log

17.10.2009  18:11                 0 0.log

17.10.2009  18:11             2.048 bootstat.dat

17.10.2009  18:10             1.100 SchedLgU.Txt

17.10.2009  18:10             1.563 tabletoc.log

17.10.2009  18:10            17.660 comsetup.log

17.10.2009  18:10             1.227 ocmsn.log

17.10.2009  18:10            13.631 tsoc.log

17.10.2009  18:10             9.095 ntdtcsetup.log

17.10.2009  18:10             1.393 imsins.log

17.10.2009  18:10            56.097 iis6.log

17.10.2009  18:10             7.002 KB898461.log

17.10.2009  18:10            17.728 ocgen.log

17.10.2009  18:10             1.180 msgsocm.log

17.10.2009  18:10             3.873 netfxocm.log

17.10.2009  18:10             1.912 MedCtrOC.log

17.10.2009  18:10            17.721 FaxSetup.log

17.10.2009  18:10            12.172 msmqinst.log

17.10.2009  17:55                50 wiaservc.log

17.10.2009  17:55               509 wiadebug.log

17.10.2009  17:55                 0 Sti_Trace.log

17.10.2009  17:26               180 atcl01setup.log

17.10.2009  17:24            15.834 Ascd_tmp.ini

17.10.2009  17:16               829 OEWABLog.txt

17.10.2009  17:16               936 wmsetup.log

17.10.2009  17:15           823.853 setuplog.txt

17.10.2009  17:14             8.192 REGLOCS.OLD

17.10.2009  17:10             4.438 imsins.BAK

17.10.2009  17:10           192.547 setupact.log

17.10.2009  17:08                 0 control.ini

17.10.2009  17:08               477 win.ini

17.10.2009  17:08           316.640 WMSysPr9.prx

17.10.2009  17:08             4.161 ODBCINST.INI

17.10.2009  17:07               749 WindowsShell.Manifest

17.10.2009  17:06             1.023 sessmgr.setup.log

17.10.2009  17:06                36 vb.ini

17.10.2009  17:06                37 vbaddin.ini

17.10.2009  17:05               130 DtcInstall.log

17.10.2009  17:03               200 cmsetacl.log

17.10.2009  15:39             1.348 regopt.log

17.10.2009  15:39               231 system.ini

17.10.2009  15:37                 0 setuperr.log
 

----- System 32 (Achtung: Zeitfenster beachten!) --- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: B8B2-C721
 

 Verzeichnis von C:\WINDOWS\system32
 

17.10.2009  18:02                 0 h323log.txt

17.10.2009  17:16            40.128 perfc009.dat

17.10.2009  17:16           311.740 perfh009.dat

17.10.2009  17:16           316.924 perfh007.dat

17.10.2009  17:16            48.354 perfc007.dat

17.10.2009  17:16           723.744 PerfStringBackup.INI

17.10.2009  17:15             2.206 wpa.dbl

17.10.2009  17:14            90.296 FNTCACHE.DAT

17.10.2009  17:10               514 $winnt$.inf

17.10.2009  17:08             2.951 CONFIG.NT

17.10.2009  17:08            16.832 amcompat.tlb

17.10.2009  17:08            23.392 nscompat.tlb

17.10.2009  17:07               488 logonui.exe.manifest

17.10.2009  17:07               488 WindowsLogon.manifest

17.10.2009  17:07               749 sapi.cpl.manifest

17.10.2009  17:07               749 wuaucpl.cpl.manifest

17.10.2009  17:07               749 ncpa.cpl.manifest

17.10.2009  17:07               749 nwc.cpl.manifest

17.10.2009  17:07               749 cdplayer.exe.manifest

17.10.2009  17:06            21.740 emptyregdb.dat

17.10.2009  15:39             4.444 pid.PNF
 

----- Prefetch ------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: B8B2-C721
 

 Verzeichnis von C:\WINDOWS\Prefetch
 

17.10.2009  18:12           801.322 NTOSBOOT-B00DFAAD.pf

               1 Datei(en)        801.322 Bytes

               0 Verzeichnis(se), 74.436.370.432 Bytes frei
 

----- Tasks ---------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: B8B2-C721
 

 Verzeichnis von C:\WINDOWS\tasks
 

17.10.2009  18:11                 6 SA.DAT
 

----- Temp ----------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: B8B2-C721
 

 Verzeichnis von C:\DOKUME~1\Me!\LOKALE~1\Temp
 

17.10.2009  18:36               650 MSI2f26b.LOG

17.10.2009  17:26               331 _isdelet.ini

CCleaner install.txt:

Code:

Attansic Ethernet Utility

Attansic L1 Gigabit Ethernet Driver

CCleaner (remove only)

ESET NOD32 Antivirus

Malwarebytes' Anti-Malware

Noch etwas im Anschluss:

Ich hatte das System erneut geplättet und F-Prot direkt nach dem ersten WIndows Startup installiert, dann neu gebootet. Es kam kein forced reboot, und nach erneutem Neustart war F-Prot nochimmer da. Als ich jedoch upgedated habe kam die Meldung hoch, dass F-Prot nicht aktuell sei (nach dem update wohlgemerkt). Als ich dann F-Prot beendet habe ist es vor meinen augen aus der Systemtray und vom Desktop verschwunden, ohne reboot diesmal. Seltsamer Mist...

*Schieb*

Ich erwarte ja nicht dass jemand dahinter kommt wie ich das Problem löse, aber wäre immerhin toll wenn mir jemand sagen könnte, ob die Logfiles irgendwas ungewöhnliches aussagen!

hi

Punkt 4. -> http://www.trojaner-board.de/78498-v...tml#post474165

ich meinte nicht Nod32 Antivirus zu installieren, sondern der Online-Dienst von Eset nutzen und dein System damit NUR ONLINE scannen!
- "ESET Online Scanner "

wegen F-Prot glaube, Du bist besser aufgehoben auf die Support Seite von F-Prot:-> http://www.fprot.org/fr_impressum.php