Bei Internetverbindung lastet svchost.exe den CPU 100 % aus
 

Hallo zusammen,

habe folgendes Problem.Mein PC läuft extrem langsam.Im Taskmanager wird
angezeigt das die svchost.exe 100% ausgelastet ist .(Nur bei Internetver-
bindung)Habe die Automatischen Updates ausgeschaltet aber ohne Erfolg.
Vor kurzem hatte ich einen Virus befall. TR/Agent.GX.348 in der Datei
C:\windows\temp\d1.exe .Ich denke es hängt damit zusammen. Bin für
jede Hilfe dankbar.

Hier der HJ Report:

Ich hoffe Ihr könnt mir weiterhelfen ...

ist dein true image nur zur zierde oder machst du damit aktuelle images? wenn ja, setze doch einfach zurück, endere dann alle passwörter.

Danke für die schnelle Antwort.

Habe die True Image Testversion runtergeladen.Ist jetzt aber abgelaufen,
habe sie noch nicht deinstalliert.

ok, man sollte über den erwerb eines image programms nachdenken, ist sehr nützlich, du hättest jetzt innerhalb weniger minuten ein sauberes image zurückspielen können.
bis zum ende der reinigung deinstaliere spybot, das kann die ergebnisse verfälschen.

ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "run Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
eventuell musst du sie aufteilen.

Hier die zwei Reporte: Nr.1 - OTL

OTL Logfile:
--- --- ---

Nr.2 - Extras

OTL EXTRAS Logfile:
--- --- ---

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - Startup: C:\Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\sisytj32.exe ()
[2010.06.14 16:15:17 | 000,000,235 | --S- | M] () -- C:\WINDOWS\System32\2919554217.dat
[2010.06.11 17:00:36 | 000,000,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\avdrn.dat
:Files
C:\Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\sisytj32.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten

Hallo Markus,

ich weiß zwar nicht wie Du das gemacht hast,aber es Funktioniert.
Die CPU auslastung ist quasi 0%.

Vielen,vielen Dank

P.S.: Ich würde schon gerne wissen wo genau der Fehler lag ?

Hier der Report:

All processes killed
========== OTL ==========
File move failed. C:\Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\sisytj32.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\2919554217.dat scheduled to be moved on reboot.
C:\Dokumente und Einstellungen\Claudio\Anwendungsdaten\avdrn.dat moved successfully.
========== FILES ==========
File move failed. C:\Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\sisytj32.exe scheduled to be moved on reboot.
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator

User: All Users

User: Claudio
->Flash cache emptied: 1425 bytes

User: Default User

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Claudio
->Temp folder emptied: 645313 bytes
->Temporary Internet Files folder emptied: 1181508 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 38593271 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1024447 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 66019 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 42,00 mb


OTL by OldTimer - Version 3.2.6.0 log created on 06142010_212819

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\sisytj32.exe moved successfully.
File move failed. C:\WINDOWS\system32\2919554217.dat scheduled to be moved on reboot.

Registry entries deleted on Reboot...

P.S.S.: Was ist mit den Passwörtern? Muß ich sie abändern?

an dieser datei:
C:\Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\sisytj32.exe
wir müssen aber noch weiter prüfen.
passwörter endern wir am ende.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Ich dachte wir wären schon fertig...

Hier der Combo Fix log:

Combofix Logfile:
--- --- ---

falsch gedacht :-)
bis wir fertig sind, deinstaliere spybot, das kann sonst probleme geben, neustart.

Start, programme, zubehör, editor, kopiere rein:

File::
c:\windows\system32\config\systemprofile\Anwendungsdaten\dhxiuw.dat
Folder::
c:\dokumente und einstellungen\Claudio\Anwendungsdaten\PriceGong



Datei speichern unter, typ alle, name cfscript.txt
speicherort, dort wo sich combofix.exe befindet.
ziehe ccfscript auf combofix, programm startet, log posten.

Hier der Logfile:

Combofix Logfile:
--- --- ---

rechtsklick avira schirm, guard deaktivieren.
öffne arbeitsplatz, c:
dort suche qoobox, rechtsklick und zu qoobox.rar oder zip hinzufügen, die an uns hochladen wie unter punkt2.

http://www.trojaner-board.de/54791-a...ner-board.html
gib bescheid wenn fertig.
download malwarebytes:
Malwarebytes
instaliren, öffnen, registerkarte aktualisierung, programm updaten.
dann scanner, komplett scan, funde löschen, log posten.
den guard nun wieder einschalten.

Habe die Datei hochgeladen.

Hier der Malwarebytes Log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4201

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.06.2010 22:39:47
mbam-log-2010-06-15 (22-39-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 186968
Laufzeit: 19 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\ntuser_mssec.exe (Trojan.VirTool) -> Quarantined and deleted successfully.

avira

avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log
posten.

Hier der Avira Log:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 16. Juni 2010 15:23

Es wird nach 2217923 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Claudio
Computername : CLAUDIO2010-BD1

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 10:28:18
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 10:28:22
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 10:28:22
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 10:28:22
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 10:28:22
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 10:28:22
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 10:28:22
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 10:28:23
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 10:28:23
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 10:28:23
VBASE015.VDF : 7.10.8.70 2048 Bytes 14.06.2010 10:28:23
VBASE016.VDF : 7.10.8.71 2048 Bytes 14.06.2010 10:28:23
VBASE017.VDF : 7.10.8.72 2048 Bytes 14.06.2010 10:28:23
VBASE018.VDF : 7.10.8.73 2048 Bytes 14.06.2010 10:28:24
VBASE019.VDF : 7.10.8.74 2048 Bytes 14.06.2010 10:28:24
VBASE020.VDF : 7.10.8.75 2048 Bytes 14.06.2010 10:28:24
VBASE021.VDF : 7.10.8.76 2048 Bytes 14.06.2010 10:28:24
VBASE022.VDF : 7.10.8.77 2048 Bytes 14.06.2010 10:28:24
VBASE023.VDF : 7.10.8.78 2048 Bytes 14.06.2010 10:28:24
VBASE024.VDF : 7.10.8.79 2048 Bytes 14.06.2010 10:28:24
VBASE025.VDF : 7.10.8.80 2048 Bytes 14.06.2010 10:28:24
VBASE026.VDF : 7.10.8.81 2048 Bytes 14.06.2010 10:28:24
VBASE027.VDF : 7.10.8.82 2048 Bytes 14.06.2010 10:28:24
VBASE028.VDF : 7.10.8.83 2048 Bytes 14.06.2010 10:28:24
VBASE029.VDF : 7.10.8.84 2048 Bytes 14.06.2010 10:28:24
VBASE030.VDF : 7.10.8.85 2048 Bytes 14.06.2010 10:28:24
VBASE031.VDF : 7.10.8.96 90624 Bytes 16.06.2010 10:28:24
Engineversion : 8.2.2.6
AEVDF.DLL : 8.1.2.0 106868 Bytes 16.06.2010 10:28:31
AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 16.06.2010 10:28:30
AESCN.DLL : 8.1.6.1 127347 Bytes 16.06.2010 10:28:30
AESBX.DLL : 8.1.3.1 254324 Bytes 16.06.2010 10:28:31
AERDL.DLL : 8.1.4.6 541043 Bytes 16.06.2010 10:28:29
AEPACK.DLL : 8.2.1.1 426358 Bytes 19.03.2010 11:34:51
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 16.06.2010 10:28:29
AEHEUR.DLL : 8.1.1.33 2724214 Bytes 16.06.2010 10:28:28
AEHELP.DLL : 8.1.11.5 242038 Bytes 16.06.2010 10:28:26
AEGEN.DLL : 8.1.3.10 377205 Bytes 16.06.2010 10:28:26
AEEMU.DLL : 8.1.2.0 393588 Bytes 16.06.2010 10:28:25
AECORE.DLL : 8.1.15.3 192886 Bytes 16.06.2010 10:28:25
AEBB.DLL : 8.1.1.0 53618 Bytes 16.06.2010 10:28:25
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, G:, A:, H:, I:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 16. Juni 2010 15:23

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SkypeNames2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmrtkrnl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnpstd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDUiP6700DMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'afcdpsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1781' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Volume 1>
Beginne mit der Suche in 'D:\' <Volume 2>
Beginne mit der Suche in 'E:\' <Volume 3>
Beginne mit der Suche in 'F:\' <Iomega_HDD>
Beginne mit der Suche in 'G:\' <Iomega_HDD>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\' <SONY_DVD_RECORDER_VOLUME>
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Mittwoch, 16. Juni 2010 15:51
Benötigte Zeit: 28:20 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

7018 Verzeichnisse wurden überprüft
362511 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
362511 Dateien ohne Befall
2742 Archive wurden durchsucht
0 Warnungen
0 Hinweise

warum ist die rootkit suche nicht aktiev?

Sorry,da ist mir wohl ein Fehler unterlaufen:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 16. Juni 2010 16:34

Es wird nach 2219416 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Claudio
Computername : CLAUDIO2010-BD1

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 10:28:18
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 10:28:22
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 10:28:22
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 10:28:22
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 10:28:22
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 10:28:22
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 10:28:22
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 10:28:23
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 10:28:23
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 10:28:23
VBASE015.VDF : 7.10.8.70 2048 Bytes 14.06.2010 10:28:23
VBASE016.VDF : 7.10.8.71 2048 Bytes 14.06.2010 10:28:23
VBASE017.VDF : 7.10.8.72 2048 Bytes 14.06.2010 10:28:23
VBASE018.VDF : 7.10.8.73 2048 Bytes 14.06.2010 10:28:24
VBASE019.VDF : 7.10.8.74 2048 Bytes 14.06.2010 10:28:24
VBASE020.VDF : 7.10.8.75 2048 Bytes 14.06.2010 10:28:24
VBASE021.VDF : 7.10.8.76 2048 Bytes 14.06.2010 10:28:24
VBASE022.VDF : 7.10.8.77 2048 Bytes 14.06.2010 10:28:24
VBASE023.VDF : 7.10.8.78 2048 Bytes 14.06.2010 10:28:24
VBASE024.VDF : 7.10.8.79 2048 Bytes 14.06.2010 10:28:24
VBASE025.VDF : 7.10.8.80 2048 Bytes 14.06.2010 10:28:24
VBASE026.VDF : 7.10.8.81 2048 Bytes 14.06.2010 10:28:24
VBASE027.VDF : 7.10.8.82 2048 Bytes 14.06.2010 10:28:24
VBASE028.VDF : 7.10.8.83 2048 Bytes 14.06.2010 10:28:24
VBASE029.VDF : 7.10.8.84 2048 Bytes 14.06.2010 10:28:24
VBASE030.VDF : 7.10.8.85 2048 Bytes 14.06.2010 10:28:24
VBASE031.VDF : 7.10.8.98 111616 Bytes 16.06.2010 14:01:04
Engineversion : 8.2.2.6
AEVDF.DLL : 8.1.2.0 106868 Bytes 16.06.2010 10:28:31
AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 16.06.2010 10:28:30
AESCN.DLL : 8.1.6.1 127347 Bytes 16.06.2010 10:28:30
AESBX.DLL : 8.1.3.1 254324 Bytes 16.06.2010 10:28:31
AERDL.DLL : 8.1.4.6 541043 Bytes 16.06.2010 10:28:29
AEPACK.DLL : 8.2.1.1 426358 Bytes 19.03.2010 11:34:51
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 16.06.2010 10:28:29
AEHEUR.DLL : 8.1.1.33 2724214 Bytes 16.06.2010 10:28:28
AEHELP.DLL : 8.1.11.5 242038 Bytes 16.06.2010 10:28:26
AEGEN.DLL : 8.1.3.10 377205 Bytes 16.06.2010 10:28:26
AEEMU.DLL : 8.1.2.0 393588 Bytes 16.06.2010 10:28:25
AECORE.DLL : 8.1.15.3 192886 Bytes 16.06.2010 10:28:25
AEBB.DLL : 8.1.1.0 53618 Bytes 16.06.2010 10:28:25
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, G:, A:, H:, I:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 16. Juni 2010 16:34

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avconfig.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CPMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOTEPAD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SkypeNames2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmrtkrnl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnpstd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDUiP6700DMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'afcdpsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1781' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Volume 1>
Beginne mit der Suche in 'D:\' <Volume 2>
Beginne mit der Suche in 'E:\' <Volume 3>
Beginne mit der Suche in 'F:\' <Iomega_HDD>
Beginne mit der Suche in 'G:\' <Iomega_HDD>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\' <SONY_DVD_RECORDER_VOLUME>
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Mittwoch, 16. Juni 2010 17:02
Benötigte Zeit: 28:48 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

7021 Verzeichnisse wurden überprüft
362642 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
362642 Dateien ohne Befall
2744 Archive wurden durchsucht
0 Warnungen
0 Hinweise
36504 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

nutze den eset online scanner.
Free ESET Online Antivirus Scanner
funde löschen lassen, log posten.

Und nun der Eset Log:

C:\Qoobox.rar Win32/Spy.Zbot.YW trojan deleted - quarantined
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Claudio\Anwendungsdaten\Dyoxbu\uxekg.exe.vir Win32/Spy.Zbot.YW trojan cleaned by deleting - quarantined
C:\System Volume Information\_restore{B32B2D84-4864-4679-9782-1323D3A38091}\RP176\A0032461.exe Win32/Spy.Zbot.YW trojan cleaned by deleting - quarantined
C:\_OTL\MovedFiles\06142010_212819\C_Dokumente und Einstellungen\Claudio\Startmenü\Programme\Autostart\sisytj32.exe a variant of Win32/Kryptik.EXW trojan cleaned by deleting - quarantined

erstelle noch eine otl.txt
poste die. die extra.txt brauch ich nicht noch mal.

Muß ich wieder einen Text in die Textbox Kopieren?

Bleiben die Einstellungen gleich?

nein, nichts reinkopieren.

Hier der OTL Log:

OTL Logfile:
--- --- ---

sieht gut aus.
reinige mit otcleanit:
http://oldtimer.geekstogo.com/OTM.exe
Klicke cleanup!
dein pc wird evtl. neu starten
programm löscht sich selbst, + die verwendeten tools
nutze secunia um dein system aktuell zu halten:
http://www.trojaner-board.de/83959-secunia-personal-software-inspector-psi.html
endere alle passwörter. wenn deinerseits keine probleme mehr bestehen, sind wir fertig.

Ändere alle Passwörter ist ein wenig zu allgemein.Welche Passwörter muß ich
denn dringends ändern?

was ist an dem wort alle zu allgemein?

O.K. alle! Das war ja sehr Arbeitsintensiv. Vielen Dank für
Deine Geduld und Hilfsbereitchaft. Eure Seite kann man auf
jedenfall weiterempfehlen!

Grüße

Klaus