AV-Warnmeldung (HEUR/HTML.Malware) bei Nutzung IE
 

Hallo Ihr Lieben,
ich hoffe ihr könnt mir helfen. Seit gestern bekomme ich bei jeder Internetseite die ich öffne eine Avirameldung:
In der Datei 'C:\Dokumente und Einstellungen\AllUser\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8JU623XG\predictadme[1].js' wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.
Eine Systemprüfung verlief ohne Ergebnis, nichts gefunden. Der Ort der in der Meldung angezeigt wird existiert gar nicht, auch nicht bei den versteckten Ordnern. Dann hab ich den Explorer und das Avira komplett deinstalliert, neu gedownloadet und neu installiert. Hat auch nix gebracht.
Schließlich habe ich Malwarebytes gefunden und das hat 20 infizierte Objekte gefunden. Diese sind jetzt dort in Quarantäne und ich weiß nicht was ich jetzt damit machen soll. Ich hab leider nicht so viel Ahnung von diesen Problemen. Es wäre schön wenn Ihr es mir "für Dumme" erklären könntet.....
Zumindest habe ich soviel kapiert, dass Ihr das Log von Malwarebytes braucht. Hier ist es also:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4298

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

10.07.2010 00:21:10
mbam-log-2010-07-10 (00-21-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 232402
Laufzeit: 1 Stunde(n), 27 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 15
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 14

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\ACM.dll (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\adtools, inc. (Adware.AdTools) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Give4Free Plugin (Adware.Give4free) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Registry Helper (Rogue.RegistryHelper) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.WebMedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenU) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07aa283a-43d7-4cbe-a064-32a21112d94d} (Adware.Zango) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Give4Free Plugin (Adware.Softomate) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Ela\Desktop\Neuer Ordner\Eigene Dateien\Meine empfangenen Programme\Cryptload\CryptLoad_1.1.6\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ela\Desktop\Neuer Ordner\Eigene Dateien\Meine empfangenen Programme\Cryptload\CryptLoad_1.1.6\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Meine empfangenen Programme\Cryptload\CryptLoad_1.1.6\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Meine empfangenen Programme\Cryptload\CryptLoad_1.1.6\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP856\A0250430.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP856\A0250651.exe (Joke.Winshoot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP856\A0250992.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\NDNuninstall6_38.exe (Adware.Agent) -> Quarantined and deleted successfully.
D:\Skripte\Meine Scripte\pearlcats Script\Kopie von brator-script\brator-script.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Skripte\Original-Scripte\!!!Bandy-Script!!!\Spiele\Gun.exe (Joke.Winshoot) -> Quarantined and deleted successfully.
D:\Skripte\Original-Scripte\Brator-Scripte\brator-script\brator-script.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\Give4Free Plugin\data (Adware.Softomate) -> Quarantined and deleted successfully.
C:\WINDOWS\system32:firefoxS.dll (Rootkit.ADS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32:windowscopy (Rootkit.ADS) -> Quarantined and deleted successfully.

Vielen Dank schon mal für Eure Mühe

Hab jetzt auch mitgekriegt, dass Ihr die Logfiles von OTL braucht, hier sind sie also:

OTL Logfile:
--- --- ---


OTL Logfile:
--- --- ---

Hab jetzt auch mitgekriegt, dass Ihr die Logfiles von OTL braucht, hier sind sie also:

OTL Logfile:
--- --- ---



OTL Logfile:
--- --- ---

diesen fund von avira habe ich bereits in nem andern thread an avira senden lassen, wir warten da noch auf antwort.

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Oh, ok.... wenn da eine Rückmeldung kommt, wäre es toll, wenn Du Dich noch mal meldest. Ich bin ganz neu hier und hab angst, dass ich die Antwort von Avira sonst nicht mitkriege....
Liebe Grüße

das combofix log hätte ich gern noch.

Ich hab mir eben die Anleitung von Combofix durchgelesen. Da steht, dass man vorher alle Daten sichern soll... Das macht mir etwas Angst.... Kann es passieren dass hinterher gar nichts mehr am PC geht??? Weil ich hab echt nicht viel Ahnung und wäre in diesem Fall echt völlig hilflos.... Kann das Programm denn etwas löschen, dass "lebenswichtig" für den PC ist? Ich hab voll schiss das Programm durchlaufen zu lassen....

theoretisch könnte so was passieren. ist aber äußerst selten. speichere all deine wichtigen daten ab, so dass du sie zur hand hast.
außerdem instaliert combofix eine sogenannte recovery konsole über die wir enderungen rückgängig machen können

Hey ich will Dich echt nich nerven aber ich hab eben das hier im net gefunden:
Combofix ist ein sehr gutes und mächtiges Tool, um Schädlinge vom Rechner zu entfernen. Allerdings sollte es unter keinen Umständen ohne Unterweisung eines darin ausgebildeten Helfers angewendet werden, da es bei falscher Anwendung dazu führen kann, dass das System Schaden nimmt! Daher gilt nach wie vor:

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Und ich hab ja nun absolut keine Ahnung..... Muss es unbedingt ein Log von Combofix sein, oder würde Highjack This auch gehen?

nein, da du evtl. ein rootkit laut mbam hast, muss es combofix sein, folge einfach den anweisungen, die du in dem thread bekommen hast, bzw denen die dir combofix anzeigen wird.

Ok, am Wochenende kommt ein Bekannter von mir, auf dessen externer Festplatte ich alle meine wichtigen Daten speichern kann. Danach lass ich Combofix laufen und poste Dir das Log.... falls mein PC das überlebt... ;) Habe leider nix was genug Kapazität hat um meine Daten zu sichern, deshalb muss ich bis zum Wochenende warten. Danke nochmal für Deine Geduld mit Null-Ahnung-Leuten :)

also es überleben wirklich 99,99 % aller pcs.
du solltest, eigendlich musst sogar, dringend über die anschaffung ner externen festplatte nachdenken. was machst du, wenn deine festplatte mal n totalschaden hat? ne reparatur kostet n paar hundert oder tausend € für ne festplatte.
desweiteren sollte man auch true image nutzen, um backups seines systems zu erstellen.
ok in dem andern thread hab ich keine rückmeldung.
rechgtsklick avira guard, deaktiviren, öffne dann avira, cverwaltung, quarantäne, dort suche einen dieser heur-funde, wiederherstellen in, desktop.
Submit your sample
hier die datei mit verdacht auf fehlalarm hochladen
VirusTotal - Free Online Virus and Malware Scan
hier die datei scannen, ergebniss posten.
dann datei löschen, papierkorb leeren, avira einschalten.

Seit gestern Avira neue Virendefinitionen geladen hatte bekomme ich nun eine andere Meldung und auch nicht mehr so oft.
Datei ist das Trojanische Pferd TR/Trash.Gen
Die Datei soll einmal in System Volume Information sein und einmal in Dokumente und Einstellungen.
Die Malware Meldung kommt gar nicht mehr.
Soll ich sie trotzdem bei submit your sample hochladen? Bei dem Scanner geht gar nix. Wenn ich auf senden gehe kommt ne weiße Seite mit dieser Meldung:
0 bytes size received / Se ha recibido un archivo vacio

Und wie krieg ich die Datei wieder vom Desktop? Sie läßt sich nicht löschen. Kommt ne Meldung : Kann nicht gelöscht werden, wird von einem anderem Programm verwendet

Hab mich geirrt. Jetzt kommt die Malware Warnung wieder ständig. Aber die ist nicht in Quarantäne. Bei der Meldung steht immer Zugriff verweigert. Und sie ist nur unter Ereignisse bei Avira zu finden

versuchs mal nach neustart bitte.
ok dann wurde der fehlalarm behoben, ich brauche mal die neuen meldungen von avira, und zwar komplett.

Typ: Datei
Quelle: C:\Dokumente und Einstellungen\Ela\Desktop\A0251605.exe
Status: Infiziert
Quarantäne-Objekt: 562585f3.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.10
Virendefinitionsdatei: 7.10.09.77
Meldung: Ist das Trojanische Pferd TR/Trash.Gen
Datum/Uhrzeit: 14.07.2010, 20:43

Typ: Datei
Quelle: C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP858\A0251605.exe
Status: Infiziert
Quarantäne-Objekt: 4ead7293.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.10
Virendefinitionsdatei: 7.10.09.77
Meldung: Ist das Trojanische Pferd TR/Trash.Gen
Datum/Uhrzeit: 14.07.2010, 17:12

14.07.2010 21:33 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\Ela\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\0ZZ5SIKI\predictadme[1].js'
wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

ja die sollte auf den destkop und an avira:
C:\Dokumente und Einstellungen\Ela\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\0ZZ5SIKI\predictadme[1].js

aber die ist nicht in quarantäne, nur in ereignisse. der zugriff wird ja verweigert

dann wähle, falls es noch mal auftritt quarantäne

das geht ja eben nicht!!!! es geht nur entfernen oder detail. es kommt kein anderer button

avira

avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

habe avira 10 runtergeladen, das alte avira deinstalliert, das neue installiert und genau nach anleitung konfiguriert, ein update gemacht und eine systemprüfung. Jetzt hat er nur verdächtige dateien gefunden. Alle diese dateien sind in meinen scripten und die hab ich schon 8 jahre immer auf meinen pc`s gehabt. die hat er jetzt angezeigt, weil ich ja die erkennung oder sicherheit auf hoch stellen sollte. hat er früher nie angezeigt. den trojaner von vorhin findet er nicht mehr und die malware meldung kommt immernoch ohne dass ich einen anderen button als entfernen oder details habe! ist immernoch nur in ereignisse drin. so und hier das log:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 14. Juli 2010 22:52

Es wird nach 2346510 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Ela
Computername : GIESBERT

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 20:32:19
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 20:32:23
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 20:32:23
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 20:32:23
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 20:32:23
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 20:32:23
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 20:32:23
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 20:32:23
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 20:32:24
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 20:32:24
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 20:32:24
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 20:32:25
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 20:32:26
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 20:32:26
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 20:32:26
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 20:32:26
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 20:32:27
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 20:32:27
VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 20:32:28
VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 20:32:28
VBASE025.VDF : 7.10.9.80 2048 Bytes 13.07.2010 20:32:28
VBASE026.VDF : 7.10.9.81 2048 Bytes 13.07.2010 20:32:28
VBASE027.VDF : 7.10.9.82 2048 Bytes 13.07.2010 20:32:28
VBASE028.VDF : 7.10.9.83 2048 Bytes 13.07.2010 20:32:28
VBASE029.VDF : 7.10.9.84 2048 Bytes 13.07.2010 20:32:28
VBASE030.VDF : 7.10.9.85 2048 Bytes 13.07.2010 20:32:28
VBASE031.VDF : 7.10.9.90 95744 Bytes 14.07.2010 20:32:28
Engineversion : 8.2.4.10
AEVDF.DLL : 8.1.2.0 106868 Bytes 14.07.2010 20:32:36
AESCRIPT.DLL : 8.1.3.39 1335674 Bytes 14.07.2010 20:32:36
AESCN.DLL : 8.1.6.1 127347 Bytes 14.07.2010 20:32:35
AESBX.DLL : 8.1.3.1 254324 Bytes 14.07.2010 20:32:37
AERDL.DLL : 8.1.4.6 541043 Bytes 14.07.2010 20:32:35
AEPACK.DLL : 8.2.2.5 430453 Bytes 14.07.2010 20:32:35
AEOFFICE.DLL : 8.1.1.6 201081 Bytes 14.07.2010 20:32:34
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 14.07.2010 20:32:34
AEHELP.DLL : 8.1.11.6 242038 Bytes 14.07.2010 20:32:31
AEGEN.DLL : 8.1.3.13 381300 Bytes 14.07.2010 20:32:30
AEEMU.DLL : 8.1.2.0 393588 Bytes 14.07.2010 20:32:30
AECORE.DLL : 8.1.15.3 192886 Bytes 14.07.2010 20:32:29
AEBB.DLL : 8.1.1.0 53618 Bytes 14.07.2010 20:32:29
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldiscs.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: aus
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Mittwoch, 14. Juli 2010 22:52

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'Clusterz.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqimzone.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SweetIM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpgs2wnf.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FABS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpgs2wnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'INSTAN~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '554' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Cat-Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
C:\Cat-Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
C:\Dokumente und Einstellungen\Ela\Desktop\Neuer Ordner\Programme\Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
C:\Dokumente und Einstellungen\Ela\Desktop\Neuer Ordner\Programme\Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
C:\Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
C:\Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
Beginne mit der Suche in 'D:\' <Sichern>
D:\Skripte\Meine Scripte\Cat-Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Meine Scripte\Cat-Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Meine Scripte\pearlcats Script\Kopie von brator-script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Meine Scripte\pearlcats Script\Kopie von brator-script\SOUNDS\SOUNDS.INI
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Meine Scripte\Punk-Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Meine Scripte\Punk-Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Meine Scripte\Voodoo-Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Meine Scripte\Voodoo-Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Meine Scripte\voodoo-scriptneu2\Voodoo-Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Meine Scripte\voodoo-scriptneu2\Voodoo-Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Meine Scripte\Voodoo-Scriptneuursprungneu\Voodoo-Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Meine Scripte\Voodoo-Scriptneuursprungneu\Voodoo-Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Original-Scripte\!!!ArMaGeDDoN!!!\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Original-Scripte\!!!Bandy-Script!!!\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Original-Scripte\Brator-Scripte\brator-script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Original-Scripte\Brator-Scripte\brator-script\SOUNDS\SOUNDS.INI
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Scriptzubehör\ScriptDateien\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Sicherungskopien\Sicherungskopie vom letzen Script 23.01\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Sicherungskopien\Sicherungskopie vom letzen Script 23.01\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Sicherungskopien\Sicherungskopie vom voll funktionsfähigem Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
D:\Skripte\Sicherungskopien\Sicherungskopie vom voll funktionsfähigem Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript

Beginne mit der Desinfektion:
D:\Skripte\Sicherungskopien\Sicherungskopie vom voll funktionsfähigem Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fa296a3.qua' verschoben!
D:\Skripte\Sicherungskopien\Sicherungskopie vom voll funktionsfähigem Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '572cb904.qua' verschoben!
D:\Skripte\Sicherungskopien\Sicherungskopie vom letzen Script 23.01\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '056ae3ed.qua' verschoben!
D:\Skripte\Sicherungskopien\Sicherungskopie vom letzen Script 23.01\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6344ac2f.qua' verschoben!
D:\Skripte\Scriptzubehör\ScriptDateien\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '26c08111.qua' verschoben!
D:\Skripte\Original-Scripte\Brator-Scripte\brator-script\SOUNDS\SOUNDS.INI
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '59e2b350.qua' verschoben!
D:\Skripte\Original-Scripte\Brator-Scripte\brator-script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '15639f3a.qua' verschoben!
D:\Skripte\Original-Scripte\!!!Bandy-Script!!!\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6962df6a.qua' verschoben!
D:\Skripte\Original-Scripte\!!!ArMaGeDDoN!!!\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4438f027.qua' verschoben!
D:\Skripte\Meine Scripte\Voodoo-Scriptneuursprungneu\Voodoo-Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d50cbbd.qua' verschoben!
D:\Skripte\Meine Scripte\Voodoo-Scriptneuursprungneu\Voodoo-Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3115e78d.qua' verschoben!
D:\Skripte\Meine Scripte\voodoo-scriptneu2\Voodoo-Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '40b5de18.qua' verschoben!
D:\Skripte\Meine Scripte\voodoo-scriptneu2\Voodoo-Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4eb6eedf.qua' verschoben!
D:\Skripte\Meine Scripte\Voodoo-Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0b86979d.qua' verschoben!
D:\Skripte\Meine Scripte\Voodoo-Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '02949336.qua' verschoben!
D:\Skripte\Meine Scripte\Punk-Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5acc8a5f.qua' verschoben!
D:\Skripte\Meine Scripte\Punk-Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7621f393.qua' verschoben!
D:\Skripte\Meine Scripte\pearlcats Script\Kopie von brator-script\SOUNDS\SOUNDS.INI
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e69369.qua' verschoben!
D:\Skripte\Meine Scripte\pearlcats Script\Kopie von brator-script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2bd1b83a.qua' verschoben!
D:\Skripte\Meine Scripte\Cat-Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0d00f827.qua' verschoben!
D:\Skripte\Meine Scripte\Cat-Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3f8d8382.qua' verschoben!
C:\Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '35d1a8ff.qua' verschoben!
C:\Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0a9bccba.qua' verschoben!
C:\Dokumente und Einstellungen\Ela\Desktop\Neuer Ordner\Programme\Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '74aec09d.qua' verschoben!
C:\Dokumente und Einstellungen\Ela\Desktop\Neuer Ordner\Programme\Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '21cfc456.qua' verschoben!
C:\Cat-Script\sounds\sounds.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2c40b57e.qua' verschoben!
C:\Cat-Script\colortype.ini
[FUND] Enthält verdächtigen Code: HEUR/Worm.IRCScript
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3004a177.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 14. Juli 2010 23:53
Benötigte Zeit: 1:00:10 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

13080 Verzeichnisse wurden überprüft
101319 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
27 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
27 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
101292 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
27 Hinweise
76372 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

hatte die malware datei doch in quarantäne, hab sie online gescannt. hier das log. und bei avira lade ich sie jetzt auch hoch!

Datei predictadme_1_.js empfangen 2010.07.14 22:19:01 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 1/42 (2.39%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 50 und 71 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 5.0.0.31 2010.07.14 -
AhnLab-V3 2010.07.15.00 2010.07.14 -
AntiVir 8.2.4.10 2010.07.14 HEUR/HTML.Malware
Antiy-AVL 2.0.3.7 2010.07.14 -
Authentium 5.2.0.5 2010.07.14 -
Avast 4.8.1351.0 2010.07.14 -
Avast5 5.0.332.0 2010.07.15 -
AVG 9.0.0.836 2010.07.14 -
BitDefender 7.2 2010.07.14 -
CAT-QuickHeal 11.00 2010.07.14 -
ClamAV 0.96.0.3-git 2010.07.15 -
Comodo 5429 2010.07.14 -
DrWeb 5.0.2.03300 2010.07.14 -
eSafe 7.0.17.0 2010.07.14 -
eTrust-Vet 36.1.7706 2010.07.14 -
F-Prot 4.6.1.107 2010.07.14 -
F-Secure 9.0.15370.0 2010.07.15 -
Fortinet 4.1.143.0 2010.07.14 -
GData 21 2010.07.15 -
Ikarus T3.1.1.84.0 2010.07.14 -
Jiangmin 13.0.900 2010.07.14 -
Kaspersky 7.0.0.125 2010.07.14 -
McAfee 5.400.0.1158 2010.07.14 -
McAfee-GW-Edition 2010.1 2010.07.14 -
Microsoft 1.5902 2010.07.14 -
NOD32 5278 2010.07.14 -
Norman 6.05.11 2010.07.14 -
nProtect 2010-07-14.01 2010.07.14 -
Panda 10.0.2.7 2010.07.14 -
PCTools 7.0.3.5 2010.07.14 -
Prevx 3.0 2010.07.15 -
Rising 22.56.02.04 2010.07.14 -
Sophos 4.55.0 2010.07.14 -
Sunbelt 6582 2010.07.14 -
SUPERAntiSpyware 4.40.0.1006 2010.07.14 -
Symantec 20101.1.1.7 2010.07.14 -
TheHacker 6.5.2.1.313 2010.07.13 -
TrendMicro 9.120.0.1004 2010.07.14 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.14 -
VBA32 3.12.12.6 2010.07.14 -
ViRobot 2010.7.12.3932 2010.07.14 -
VirusBuster 5.0.27.0 2010.07.14 -
weitere Informationen
File size: 5628 bytes
MD5...: 7bfd9a7f4a13e6f3082e4f5e3f375344
SHA1..: ca730c741c0521b03e720964f4cc0241bac93273
SHA256: 4f466994e175caa26e5b179aeb7c6d2596e0434e5d381f570cb7c00ab652f0c5
ssdeep: 96:Dg+MjIYMhb9PDKWK5RcQrQy0CVKtCdx7JcqNknFqNpMn6XJd/WKUdZl7ZExPH
0VJ:DgTdwxrD4RcQrQy0UKtCHJA2Mcd/WKAf

PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Text - UTF-8 encoded (100.0%)
packers (F-Prot): UTF-8
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

ok wunderbar.

Habe Nachricht von Avira wegen der malware-meldung:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
25804580 predictadme[1].js 5.5 KB FALSE POSITIVE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

Dateiname Ergebnis
predictadme[1].js FALSE POSITIVE

Die Datei 'predictadme[1].js' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

Sag mal... wenn ich diesen trojaner-fund aus der quarantäne lösche ist der dann weg oder immernoch auf meinem pc??? Also dieses trash/gen

das sieht doch gut aus, ein false positive heißt ein fehlalarm :-)
wenn du die quarantäne leerst ist der trojaner weg, auch in der quarantäne selbst, macht er keine probleme.
bitte nutze mal den kaspersky online scanner mit dem internetexplorer aber
Kaspersky Online Scanner

der scanner geht nicht. er installliert zwar den scanner aber dann kommt immer ein fenster mit: lizenz kaspersky onlinescanner und wenn ich auf ok gehe, kommt: initialisierung fehlgeschlagen.

hast du es mit dem internetexplorer gemacht?

ja, habe ich mit IE gemacht!
So mein PC und ich haben combofix schadlos überstanden!!! Hier das Log!!!

Combofix Logfile:
--- --- ---

Ich hoffe Du bist jetzt stolz auf mich ;)

ja und wie, kann mich kaum noch halten :d
gabs denn noch mal probleme mit dem pc?

nein, jetzt läuft alles wieder gut. es kommen keine komischen avira-meldungen mehr. combofix hat ja was gelöscht, soviel konnte ich im log auch sehen. aber bis jetzt scheint alles zu funktionieren. also ist wohl nix für den pc wichtiges gelöscht worden... meinste jetzt ist der alte giesbert wieder gesund und munter? :) ich hoffe es doch.....

nun besuchst du erst mal die windows update seite, und hohlst dir den ie 8 und das servicepack 3

also den ie8 hab ich schon drauf und das service pack 3 installiert er nicht. es kommt ein fenster und da steht: die funktion die sie verwenden möchten befindet sich auf einer cd rom oder einem wechselbaren datenträger der nicht zur verfügung steht. legen sie den datenträger xp professional mit frontpage ein und klicken sie auf ok.
ich weiß nicht was ich jetzt machen soll... das ist ein dell pc und das betriebssystem war vorinstalliert. dazu habe ich eine cd wo drauf steht: betriebssystem microsoft windows xp media center version 2005 with update rolup 2. und dann steht da noch: die software ist bereits auf ihrem computer installiert. verwenden sie diese cd nur zur erneuten installation des betriebssystems auf einem dell computersystem. dann hab ich noch eine cd da steht drauf: drivers and utilities.
ich hab schiss dass wenn ich die windows cd reinlege der pc denkt ich will ihn plattmachen oder so. hab sowas noch nie gemacht und keine ahnung. nachher fragt er mich was und ich weiß nicht was ich drücken soll...

hast du das windows update direkt über die microsoft update funktion aufgerufen? also start und dann auf windows update?

und du hast auch windows update aufgerufen? direkt über klick auf start, und dann windows update?

zuerst hab ich das automatische update-symbol angeklickt JETZT hab ichs über start und update probiert, also direkt auf der windows seite. da kommt dann nach dem installationsversuch die meldung: update fehlgeschlagen. andere updates macht er übrigens von windows nur das service pack 3 will er nicht.

hab die meldung noch nie gesehen.
lad dir das sp3 mal runter:
Windows XP - Service Pack 3 - Download - CHIP Online
starte den pc dann im abgesicherten modus, f8 beim systemstart sollte es sein, und versuche es von dort zu instaliern

und wie krieg ich den abgesicherten modus dann wieder weg? neu starten?

ganz genau

hab das runtergeladen und erstmal normal versucht es zu installieren. da kam folgende meldung:
die zum starten des computers verwendete systemdatei (kernel) ist keine microsoft windows datei. das service pack 3 wird nicht installiert. weitere informationen finden sie in der knowledge base, artikel Q327101 unter hxxp://support. microsoft.com
Also wirds wohl im abgesicherten modus auch nicht gehen oder?

lies das hier mal bitte und sag mir was du davon hälst.
Tipparchiv - Systemdatei (Kernel) ist keine Microsoft Windows-Datei - WinTotal.demist ich wolte dir den link schicken xxhxxp://www.wintotal.de/tipparchiv/?TID=1049

das ist dein blödes tuneup. du hast das startbild geendert nehme ich an?
start ausführen, boot.ini
enter
poste den inhalt

du wirst es nicht glauben.... noch bevor ich deinen threat gelesen hatte, habe ich die letzte fehlermeldung bei google eingegeben und dort eine seite gefunden auf der stand, dass diese fehlermeldung kommt wenn man den boot-screen verändert. ok, ich also den screen deinstalliert, neu gestartet und das servicepack 3 von chip online angeklickt. und du glaubst es nicht, giesbert hat das servicepack installiert!!! er hat 25 minuten gebraucht dazu! anschließend hab ich auf das symbol für automatische updates im startmenü geklickt und er hat 45 windows updates und sicherheitsupdates gemacht. darunter war auch wieder servicepack 3 und es ist wieder fehlgeschlagen! jetzt weiß ich natürlich nicht ob es fehlgeschlagen ist weil es schon installiert war oder ob der automatische updater einfach zu doof ist....auf jeden fall ist alles auf dem neuesten stand. kann das jetzt so bleiben?

downloade mal hijackthis.
HijackThis Logfileauswertung
instalieren, scan and safe log nach öffnen des programms klicken und dieses hier posten bitte.

In Ihrem Logfile findet sich kein aktiver Prozess, der auf eine aktive Firewall hindeutet. Mögliche Gründe:
(1.) Sie benutzen eine Firewall, die in Ihr Betriebssystem integriert und im Logfile nicht zu erkennen ist bzw. eine Hardware-Firewall.
(2.) Sie benutzen eine Firewall, die uns nicht bekannt ist.
(3.) Zur Zeit ist keine Firewall auf ihrem System aktiv oder
(4.) sie verwenden keine Firewall.
Wir empfehlen Ihnen das Benutzen einer Firewall. Laden Sie sich ggf. eine herunter oder verwenden Sie die Windows XP eigene. Aktivieren Sie ggf. Ihre Firewall. Wenn Sie eine uns unbekannte Firewall verwenden, melden Sie das bitte hier
Aktionen Meldung Art Besucherbewertung Information
Logfile of Trend Micro HijackThis v2.0.2
Ihre Version sollte aktuell sein.
Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Ihre Version sollte aktuell sein.
Boot mode: Normal
Sehr sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\WINDOWS\System32\smss.exe
Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\WINDOWS\system32\winlogon.exe
Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\WINDOWS\system32\services.exe
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\WINDOWS\system32\lsass.exe
Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\WINDOWS\system32\svchost.exe
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\WINDOWS\System32\svchost.exe
Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\WINDOWS\system32\svchost.exe
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\WINDOWS\system32\spoolsv.exe
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\Programme\Avira\AntiVir Desktop\sched.exe
Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\WINDOWS\Explorer.EXE
Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\Programme\Avira\AntiVir Desktop\avguard.exe
Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\Programme\Gemeinsame Dateien\MAGIX Shared\Database2\bin\FABS.exe

Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\magix\common\database\bin\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Magix MP3 Maker
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
Sehr sicher Sicher (4.67 / 5.00)
C:\Programme\Java\jre6\bin\jqs.exe
Sicher Dies ist ein unbekannter Prozess.
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\WINDOWS\system32\nvsvc32.exe
Sehr sicher Nicht gefährlich aber unnötig.
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\WINDOWS\system32\svchost.exe
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\WINDOWS\ehome\ehtray.exe
Sicher

C:\WINDOWS\stsystra.exe
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
Sicher
Install Shield Software Update
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE

Part of Textbridge
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
Sicher

C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
Sicher
Part of Hewlett-Packard
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
Sicher
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\java\.*\bin\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
Sehr sicher

C:\Programme\SweetIM\Messenger\SweetIM.exe
Neutral
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\macrogaming\sweetim\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Macrogaming SweetIM
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
Sicher
Nero Burning Monitor
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
Sehr sicher
Associated with GoogleToolbarNotifier from Google Inc.
C:\WINDOWS\system32\ctfmon.exe
Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqimzone.exe
Sehr sicher
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\hp\digital imaging\bin\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Hewlett-Packard
C:\WINDOWS\system32\wbem\wmiapsrv.exe
Sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\WINDOWS\System32\svchost.exe
Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\WINDOWS\system32\msiexec.exe
Sehr sicher

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spiele\Clusterz\Clusterz.exe
Sicher (3.69 / 5.00)
C:\Programme\internet explorer\iexplore.exe
Sicher
Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
C:\Programme\internet explorer\iexplore.exe
Sicher
Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
Sicher Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden! Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
Sehr sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = Personalisierte Startseite
Diese Seite wurde als gut identifiziert!
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
Sicher Sollte gefixt werden, wenn kein (bekanntes) Programm in der Fehlermeldung steht. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
Sehr sicher SnagItBHO.dll - SnagIt, TechSmith | Snagit, screen capture software, home /default.asp
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
Neutral rpbrowserrecordplugin.dll - RealPlayer, SuperPass - Premium Audio & Video Programming page=404__404_index.html
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
Sicher WindowsLiveLogin.dll - Microsoft Windows_Live, hxxp://ideas.live.com/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
Neutral googletoolbar.dll, googletoolbar*.dll (* = number), googletoolbar_en_*.**-big.dll, Googletoolbar_en_*.*.**-deleon.dll. - Google toolbar, Google Toolbar
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
swg.dll - Google Toolbar Notifier, hxxp://googlesystem.blogspot.com/2006/07 /google-is-your-default-search.html
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
Sicher (3.92 / 5.00)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
Neutral jp2ssv.dll - Sun_Java, hxxp://java.sun.com/javase/downloads/ind ex.jsp browser plugin
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
Sehr sicher jqs_plugin.dll - Java Quick Starter, https://jdk6.dev.java.net/testQS.html
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
mgToolbarIE.dll - SweetIM, SweetIM - Free Emoticons, Smileys, Winks, Games and more for MSN, AIM, Yahoo and ICQ Messenger.
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
Sehr sicher SnagItIEAddin.dll - SnagIt, TechSmith | Snagit, screen capture software, home /default.asp
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
Neutral googletoolbar.dll, googletoolbar*.dll (* = digit), googlenav.dll, googlenav*.dll, googletoolbar_en_*.**-big.dll, googletoolbar_en_*.*.**-deleon.dll - Google Toolbar
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
mgToolbarIE.dll - SweetIM, SweetIM - Free Emoticons, Smileys, Winks, Games and more for MSN, AIM, Yahoo and ICQ Messenger.
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
Nicht gefährlich aber unnötig. InstallShield Update Service related; Automatically searches for and performs any updates to the software. Not required.
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
Neutral Nicht gefährlich aber unnötig. InstallShield Update Service Scheduler; automatically searches for and performs any updates to the software so you’re always working with the most current version. Not required.
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
Nicht gefährlich aber unnötig. From TextBridge Pro 9.0 OCR scanner software. Available via Start -> Programs
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
Sehr sicher Associated with "Nero Burning Rom" CD writing software. Checks for driver issues
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
Neutral Nicht gefährlich aber unnötig. "HPs exclusive Share-to-Web software makes it easy to share content with others through our affiliate Internet websites." In other words an application that allows users to upload scanned images to their personal webpages if desired. Available via Start -> Programs
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
Sehr sicher Nicht gefährlich aber unnötig. HP software updates. If a shortcut doesn't exist
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
Sicher Java von Sun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
Neutral Nicht gefährlich aber unnötig. QuickTime
O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe
Nicht gefährlich aber unnötig. vSweetIM - send fancier smiley-faces and IM graphics to friends who are using MSN Messenger. They are only able to see these advanced smiley-faces if they also have SweetIM installed
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
Sehr sicher AntiVir® PersonalEdition Classic - System Tray icon and control program
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
Sehr sicher Associated with GoogleToolbarNotifier from Google Inc.
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
Nicht gefährlich aber unnötig. HP digital imaging monitor; can apparently be launched manually.
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe
HP Scanner related
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
Sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
Sicher Der Eintrag Messenger wurde als Gut erkannt.
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
Sehr sicher Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - hxxp://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
Sehr sicher Dieser Eintrag wurde als gut identifiziert!
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - hxxp://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
Dieser Eintrag wurde als gut identifiziert!
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - hxxp://download.divx.com/player/DivXBrowserPlugin.cab?s6
Dieser Eintrag wurde als gut identifiziert!
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_si te.cab?1237028446781
Dieser Eintrag wurde als gut identifiziert!
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
Sicher Dieser Eintrag wurde als gut identifiziert!
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
Sehr sicher Dieser Dienst (sched.exe) wurde als gut identifiziert.
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
Sehr sicher Dieser Dienst (avguard.exe) wurde als gut identifiziert. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\Database2\bin\FABS.exe
Dieser Dienst (FABS.exe) wurde als gut identifiziert.
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Gemeinsame Dateien\MAGIX Shared\Database2\bin\fbserver.exe
Dieser Dienst (fbserver.exe) wurde als gut identifiziert.
O23 - Service: Google Update Service (gupdate1c98f9da5c86642) (gupdate1c98f9da5c86642) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
Sicher (3.82 / 5.00)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
Sehr sicher Dieser Dienst (GoogleUpdaterService.exe) wurde als gut identifiziert.
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
Sicher Dieser Dienst (IDriverT.exe) wurde als gut identifiziert.
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
Sehr sicher Unbekannter Dienst. (jqs.exe) Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
Sicher Dieser Dienst (NBService.exe) wurde als gut identifiziert. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Sehr sicher Dieser Dienst (nvsvc32.exe) wurde als gut identifiziert. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe



Neutral Dieser Dienst (UPnPService.exe) wurde als gut identifiziert.

du sollst bitte auf scan and safe log klicken und den text dann hier reinkopieren

achso, ok.

HiJackthis Logfile:
--- --- ---

Und nun? Alles ok?

sorry hatte wohl übersehen, gabs noch probleme?

der pc läuft so einwandfrei ohne fehlermeldungen. bei den updates hatte er ja das service pack 3 für windows gemacht. aber es gibt noch ein office xp service pack 3 , und das macht er nicht! er sagt immer: die funktion die sie verwenden möchten befindet sich auf einer cd-rom und ich soll die cd microsoft office professional mit frontpage einlegen und die habe ich aber nicht. ich habs mit der works cd, die ich von dell mitbekommen hatte versucht, aber er findet die datei nicht die er dazu braucht. die datei heißt: PROPLUS Installationsdatei (*.msi) und ist nirgends zu finden. wenn man diesen dateinamen bei google eingibt kommen lauter ergebnisse, bei denen es anderen usern genauso geht, und sie das service pack auch nicht installieren können.