2*Winlogon.exe, eine mit 50%CPUAuslastung! Virus?
 

Vorweg schonmal Danke, falls irgendjemand sich die Zeit nimmt, sonem PC-Legastheniker wie mir zu helfen :).
Ich habe folgendes Problem :
Seit ca. 2 Tagen ist mein PC extrem langsam geworden. Mir ist aufgefallen, dass ich 2 mal die Winlogon.exe laufen habe, wovon eine vom System, aber eine von mir selber stammt, laut Task-Manager. Die, die von mir stammt macht dauerhaft 50% CPU Auslastung, weshalb der PC wohl so langsam ist. Sieht wohl ganz nach einem Virus aus oder :/? Über Google habe ich zwar gefunden, dass der Prozess gerne von Trojanern attackiert wird, jedoch habe ich keine Lösung gefunden.
Zur Info: WIN XP, SP 2
Installiert : Ad-Aware, Antivir. Die haben mir beide so nichts angezeigt. Wie gehe ich nun am besten vor? Benötigt ihr einen Hijack-Logfile? Das hab ich eben gelesen, falls ja sagt bescheid:).
Danke nochmals.

So hier mal das Hijackthis Log, vllt hilft das ja weiter :

HiJackthis Logfile:
--- --- ---

download malwarebytes:
Malwarebytes
instalieren, registerkarte aktualisierung, programm updaten.
dann, schalte alle laufenden programme ab, auch den avir guard.
bitte trenne außerdem die internetverbindung, in dem du das netzwerkkabel ziehst, bzw wlan abschaltest.
malwarebytes, registerkarte scanner, komplett scan, funde löschen, avira und internet ein, log posten.

ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste die beiden.

So hab alles durchlaufen lassen :

Malwarebytes :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4305

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

12.07.2010 19:50:27
mbam-log-2010-07-12 (19-50-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 190643
Laufzeit: 36 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Kotzkrücke\Lokale Einstellungen\.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Kotzkrücke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0QNMOCC2\0d895582[1].exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Kotzkrücke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NEVR60VM\java[1].exe (Worm.Palevo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0020575.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0031636.exe (Backdoor.EggDrop) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0031639.sys (Rootkit.HackTool) -> Quarantined and deleted successfully.


OTL.Txt :
OTL Logfile:
--- --- ---

Extras.Txt :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4305

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

12.07.2010 19:50:27
mbam-log-2010-07-12 (19-50-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 190643
Laufzeit: 36 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Kotzkrücke\Lokale Einstellungen\.exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Kotzkrücke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0QNMOCC2\0d895582[1].exe (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Kotzkrücke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NEVR60VM\java[1].exe (Worm.Palevo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0020575.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0031636.exe (Backdoor.EggDrop) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0031639.sys (Rootkit.HackTool) -> Quarantined and deleted successfully.

CD-Emulatoren mit DeFogger deaktivieren

Du hast CD-Emulatoren wie Alcohol, DaemonTools oder ähnliche auf diesem Computer installiert. Da diese Emulatoren mit Rootkit-Technik arbeiten, können sie die Fahndung nach bösartigen Rootkits verfälschen und erschweren. Aus diesem Grund bitte entweder das folgende Tool zum Deaktivieren
laufen lassen oder die Software über Systemsteuerung => Software/Programme deinstallieren.
Berichte mir, für welche Variante Du Dich entschieden hast. Die Deaktivierung können wir nach der
Bereinigung rückgängig machen.

Lade
http://filepony.de/download-defogger/
herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.

• Es öffnet sich das Programm-Fenster des Tools.
• Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
• Klicke Ja, um fortzufahren.
• Wenn die Nachricht 'Finished!' erscheint,
• klicke OK.
• DeFogger wird nun einen Reboot erfragen - klicke OK
• Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird.




Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun das Folgende in die Textbox.

:OTL
SRV - (norwgad) -- C:\WINXP\System32\ulhiom.dll File not found
SRV - (dvclbwx) -- C:\WINXP\System32\ulhiom.dll File not found
SRV - (avjadea) -- C:\WINXP\System32\ulhiom.dll File not found
O4 - Startup: C:\Dokumente und Einstellungen\Kotzkrücke\Startmenü\Programme\Autostart\wwwxbv32.exe ()
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
[2010.07.12 20:09:04 | 000,000,008 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\vdnxlf.dat
[2010.07.12 18:33:14 | 000,000,100 | --S- | C] () -- C:\WINXP\System32\3860427456.dat
:Files
C:\Dokumente und Einstellungen\Kotzkrücke\Startmenü\Programme\Autostart\wwwxbv32.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten

nutze den ccleaner, bereinige dateien + registry:
http://www.trojaner-board.de/51464-a...-ccleaner.html

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

So hier schonmal das debugger Log :
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 14:07 on 13/07/2008 (Kotzkrücke)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-

hier dann das OTL Dokument :

All processes killed
========== OTL ==========
Service norwgad stopped successfully!
Service norwgad deleted successfully!
File C:\WINXP\System32\ulhiom.dll File not found not found.
Service dvclbwx stopped successfully!
Service dvclbwx deleted successfully!
File C:\WINXP\System32\ulhiom.dll File not found not found.
Service avjadea stopped successfully!
Service avjadea deleted successfully!
File C:\WINXP\System32\ulhiom.dll File not found not found.
File C:\Dokumente und Einstellungen\Kotzkrücke\Startmenü\Programme\Autostart\wwwxbv32.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:autocheck autochk * deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\vdnxlf.dat moved successfully.
File move failed. C:\WINXP\system32\3860427456.dat scheduled to be moved on reboot.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\Kotzkrücke\Startmenü\Programme\Autostart\wwwxbv32.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default User

User: Kotzkrücke

User: Kotzkrücke
->Flash cache emptied: 117466 bytes

User: LocalService

User: NetworkService
->Flash cache emptied: 777 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Kotzkrücke

User: Kotzkrücke
->Temp folder emptied: 562466239 bytes
->Temporary Internet Files folder emptied: 62881411 bytes
->Java cache emptied: 4123446 bytes
->FireFox cache emptied: 4884090 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2346366 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114764 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 136471419 bytes
RecycleBin emptied: 850667970 bytes

Total Files Cleaned = 1.551,00 mb


OTL by OldTimer - Version 3.2.9.0 log created on 07132008_141357

Files\Folders moved on Reboot...
C:\WINXP\system32\3860427456.dat moved successfully.

Registry entries deleted on Reboot...

ok dann weiter mit ccleaner und combofix

hab beides gemacht, hier die combofix Log :

Combofix Logfile:
--- --- ---

Start programme zubehör, editor, kopiere rein:

stepdel::
Killall::
Rootkit::
c:\winxp\system32\3860427456.dat
c:\dokumente und einstellungen\Kotzkrücke\Anwendungsdaten\lsasss.exe
C:\Dokumente und Einstellungen\Kotzkrücke\Anwendungsdaten\winlogon.exe
c:\winxp\system32\drivers\cmlcawoz.sys
c:\dokumente und einstellungen\Kotzkrücke\Startmenü\Programme\Autostart\ntuser_mssec.exe
Driver::
cmlcawoz

datei speichern unter, typ, alle dateien, name
cfscript.txt
speicherort, dort wo sich combofix.exe befindet, ziehe cfscript auf combofix, programm startet, log posten.

Ok habs durchlaufen lassen hier die ComboFix log :

Combofix Logfile:
--- --- ---

nutze den kaspersky tdss killer:
Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
ergebniss posten + berichte, wie der pc läuft.

Hier das Ergebnis vom Tdss Killer Log :

17:00:43:500 2696 TDSS rootkit removing tool 2.3.2.2 Jun 30 2010 17:23:49
17:00:43:500 2696 ================================================================================
17:00:43:500 2696 SystemInfo:

17:00:43:500 2696 OS Version: 5.1.2600 ServicePack: 2.0
17:00:43:500 2696 Product type: Workstation
17:00:43:500 2696 ComputerName: BIE
17:00:43:500 2696 UserName: Kotzkrücke
17:00:43:500 2696 Windows directory: C:\WINXP
17:00:43:500 2696 System windows directory: C:\WINXP
17:00:43:500 2696 Processor architecture: Intel x86
17:00:43:500 2696 Number of processors: 2
17:00:43:500 2696 Page size: 0x1000
17:00:43:500 2696 Boot type: Normal boot
17:00:43:500 2696 ================================================================================
17:00:43:812 2696 Initialize success
17:00:43:812 2696
17:00:43:812 2696 Scanning Services ...
17:00:44:312 2696 Raw services enum returned 332 services
17:00:44:328 2696
17:00:44:328 2696 Scanning Drivers ...
17:00:45:203 2696 ACPI (94b4741d2cf9ed38140b831293d1601a) C:\WINXP\system32\DRIVERS\ACPI.sys
17:00:45:250 2696 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINXP\system32\drivers\ACPIEC.sys
17:00:45:296 2696 aec (841f385c6cfaf66b58fbd898722bb4f0) C:\WINXP\system32\drivers\aec.sys
17:00:45:328 2696 AFD (5ac495f4cb807b2b98ad2ad591e6d92e) C:\WINXP\System32\drivers\afd.sys
17:00:45:390 2696 Arp1394 (f0d692b0bffb46e30eb3cea168bbc49f) C:\WINXP\system32\DRIVERS\arp1394.sys
17:00:45:453 2696 AsyncMac (02000abf34af4c218c35d257024807d6) C:\WINXP\system32\DRIVERS\asyncmac.sys
17:00:45:484 2696 atapi (cdfe4411a69c224bd1d11b2da92dac51) C:\WINXP\system32\DRIVERS\atapi.sys
17:00:45:515 2696 Atmarpc (ec88da854ab7d7752ec8be11a741bb7f) C:\WINXP\system32\DRIVERS\atmarpc.sys
17:00:45:578 2696 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINXP\system32\DRIVERS\audstub.sys
17:00:45:656 2696 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
17:00:45:718 2696 avgntflt (14fe36d8f2c6a2435275338d061a0b66) C:\WINXP\system32\DRIVERS\avgntflt.sys
17:00:45:765 2696 avipbb (6d52060b59e7d79cd2a044b6add1f1ef) C:\WINXP\system32\DRIVERS\avipbb.sys
17:00:45:796 2696 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINXP\system32\drivers\Beep.sys
17:00:45:875 2696 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINXP\system32\drivers\cbidf2k.sys
17:00:45:921 2696 CCDECODE (6163ed60b684bab19d3352ab22fc48b2) C:\WINXP\system32\DRIVERS\CCDECODE.sys
17:00:45:953 2696 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINXP\system32\drivers\Cdaudio.sys
17:00:45:968 2696 Cdfs (cd7d5152df32b47f4e36f710b35aae02) C:\WINXP\system32\drivers\Cdfs.sys
17:00:46:000 2696 Cdrom (af9c19b3100fe010496b1a27181fbf72) C:\WINXP\system32\DRIVERS\cdrom.sys
17:00:46:046 2696 CT20XUT (134cdd242af1ae9961f065fba3508a7b) C:\WINXP\system32\drivers\CT20XUT.SYS
17:00:46:062 2696 CT20XUT.SYS (134cdd242af1ae9961f065fba3508a7b) C:\WINXP\System32\drivers\CT20XUT.SYS
17:00:46:093 2696 ctac32k (93439baf09ce3c6d4ce55da5b07d1b6a) C:\WINXP\system32\drivers\ctac32k.sys
17:00:46:156 2696 ctaud2k (6ab74512f09d673452d63ddec9014db5) C:\WINXP\system32\drivers\ctaud2k.sys
17:00:46:203 2696 ctdvda2k (788db5d99b2ca44ff61d8ed7b3c67c2e) C:\WINXP\system32\drivers\ctdvda2k.sys
17:00:46:265 2696 CTEXFIFX (3a9ad039d94be8d955ad0b2cb207378d) C:\WINXP\system32\drivers\CTEXFIFX.SYS
17:00:46:312 2696 CTEXFIFX.SYS (3a9ad039d94be8d955ad0b2cb207378d) C:\WINXP\System32\drivers\CTEXFIFX.SYS
17:00:46:359 2696 CTHWIUT (4602ad8c8e1b285e1a23a957f487da86) C:\WINXP\system32\drivers\CTHWIUT.SYS
17:00:46:375 2696 CTHWIUT.SYS (4602ad8c8e1b285e1a23a957f487da86) C:\WINXP\System32\drivers\CTHWIUT.SYS
17:00:46:406 2696 ctprxy2k (d42b84671f2193330215d3c375a2e948) C:\WINXP\system32\drivers\ctprxy2k.sys
17:00:46:421 2696 ctsfm2k (974cfcbe3206367bec1d527d9dade998) C:\WINXP\system32\drivers\ctsfm2k.sys
17:00:46:484 2696 Disk (00ca44e4534865f8a3b64f7c0984bff0) C:\WINXP\system32\DRIVERS\disk.sys
17:00:46:531 2696 dmboot (5789b83ba87fc84c3568cf86cacef8ce) C:\WINXP\system32\drivers\dmboot.sys
17:00:46:609 2696 dmio (084eb0a50a4f7b4705c8a57f234e5291) C:\WINXP\system32\drivers\dmio.sys
17:00:46:656 2696 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINXP\system32\drivers\dmload.sys
17:00:46:687 2696 DMusic (a6f881284ac1150e37d9ae47ff601267) C:\WINXP\system32\drivers\DMusic.sys
17:00:46:718 2696 drmkaud (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINXP\system32\drivers\drmkaud.sys
17:00:46:750 2696 emupia (04afe5c11777e33178ec11e1fac47b07) C:\WINXP\system32\drivers\emupia2k.sys
17:00:46:765 2696 Fastfat (3117f595e9615e04f05a54fc15a03b20) C:\WINXP\system32\drivers\Fastfat.sys
17:00:46:781 2696 Fdc (ced2e8396a8838e59d8fd529c680e02c) C:\WINXP\system32\DRIVERS\fdc.sys
17:00:46:828 2696 Fips (9e9af89f9b14aa6249065c309ce73bd8) C:\WINXP\system32\drivers\Fips.sys
17:00:46:843 2696 Flpydisk (0dd1de43115b93f4d85e889d7a86f548) C:\WINXP\system32\DRIVERS\flpydisk.sys
17:00:46:906 2696 FltMgr (5a85cd3d07273e3f6fe72ee9c6431632) C:\WINXP\system32\DRIVERS\fltMgr.sys
17:00:46:937 2696 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINXP\system32\drivers\Fs_Rec.sys
17:00:46:984 2696 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINXP\system32\DRIVERS\ftdisk.sys
17:00:47:015 2696 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINXP\system32\DRIVERS\GEARAspiWDM.sys
17:00:47:046 2696 Gpc (c0f1d4a21de5a415df8170616703debf) C:\WINXP\system32\DRIVERS\msgpc.sys
17:00:47:125 2696 ha20x2k (41fce1833d8f659acc56cb0ee43b2ced) C:\WINXP\system32\drivers\ha20x2k.sys
17:00:47:156 2696 HidUsb (1de6783b918f540149aa69943bdfeba8) C:\WINXP\system32\DRIVERS\hidusb.sys
17:00:47:203 2696 HTTP (909d110c9634b0f1487eaaea837317d9) C:\WINXP\system32\Drivers\HTTP.sys
17:00:47:265 2696 i8042prt (7c575018d0413440d75432a78b88c899) C:\WINXP\system32\DRIVERS\i8042prt.sys
17:00:47:296 2696 Imapi (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINXP\system32\DRIVERS\imapi.sys
17:00:47:343 2696 intelppm (c1c2cc1da79c5ee10457ef0a3b8568c7) C:\WINXP\system32\DRIVERS\intelppm.sys
17:00:47:359 2696 Ip6Fw (4448006b6bc60e6c027932cfc38d6855) C:\WINXP\system32\DRIVERS\Ip6Fw.sys
17:00:47:390 2696 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINXP\system32\DRIVERS\ipfltdrv.sys
17:00:47:390 2696 IpInIp (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINXP\system32\DRIVERS\ipinip.sys
17:00:47:421 2696 IpNat (5191673215c91ff13ceaa83ef8e9653f) C:\WINXP\system32\DRIVERS\ipnat.sys
17:00:47:468 2696 IPSec (64537aa5c003a6afeee1df819062d0d1) C:\WINXP\system32\DRIVERS\ipsec.sys
17:00:47:484 2696 IRENUM (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINXP\system32\DRIVERS\irenum.sys
17:00:47:515 2696 isapnp (ce9b7afdf0a3d7dd8d1487262316b959) C:\WINXP\system32\DRIVERS\isapnp.sys
17:00:47:562 2696 Kbdclass (b128fc0a5cd83f669d5de4b58f77c7d6) C:\WINXP\system32\DRIVERS\kbdclass.sys
17:00:47:593 2696 klmd23 (316353165feba3d0538eaa9c2f60c5b7) C:\WINXP\system32\drivers\klmd.sys
17:00:47:671 2696 kmixer (d93cad07c5683db066b0b2d2d3790ead) C:\WINXP\system32\drivers\kmixer.sys
17:00:47:703 2696 KSecDD (eb7ffe87fd367ea8fca0506f74a87fbb) C:\WINXP\system32\drivers\KSecDD.sys
17:00:47:750 2696 Lbd (b7c19ec8b0dd7efa58ad41ffeb8b8cda) C:\WINXP\system32\DRIVERS\Lbd.sys
17:00:47:796 2696 MBAMSwissArmy (c7dd7d9739785bd3a6b8499eec1dee7e) C:\WINXP\system32\drivers\mbamswissarmy.sys
17:00:47:828 2696 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINXP\system32\drivers\mnmdd.sys
17:00:47:875 2696 Modem (91a3da4b12f6f1d760463a7f7857f748) C:\WINXP\system32\drivers\Modem.sys
17:00:47:906 2696 Mouclass (71e15ca47fd947552054afb28536268f) C:\WINXP\system32\DRIVERS\mouclass.sys
17:00:47:953 2696 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINXP\system32\DRIVERS\mouhid.sys
17:00:47:968 2696 MountMgr (65653f3b4477f3c63e68a9659f85ee2e) C:\WINXP\system32\drivers\MountMgr.sys
17:00:47:984 2696 MRxDAV (46edcc8f2db2f322c24f48785cb46366) C:\WINXP\system32\DRIVERS\mrxdav.sys
17:00:48:062 2696 MRxSmb (7412ce77c6fd823f8889b4df420c680b) C:\WINXP\system32\DRIVERS\mrxsmb.sys
17:00:48:093 2696 Msfs (561b3a4333ca2dbdba28b5b956822519) C:\WINXP\system32\drivers\Msfs.sys
17:00:48:125 2696 MSKSSRV (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINXP\system32\drivers\MSKSSRV.sys
17:00:48:156 2696 MSPCLOCK (13e75fef9dfeb08eeded9d0246e1f448) C:\WINXP\system32\drivers\MSPCLOCK.sys
17:00:48:171 2696 MSPQM (1988a33ff19242576c3d0ef9ce785da7) C:\WINXP\system32\drivers\MSPQM.sys
17:00:48:203 2696 mssmbios (469541f8bfd2b32659d5d463a6714bce) C:\WINXP\system32\DRIVERS\mssmbios.sys
17:00:48:234 2696 MSTEE (bf13612142995096ab084f2db7f40f77) C:\WINXP\system32\drivers\MSTEE.sys
17:00:48:250 2696 Mup (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINXP\system32\drivers\Mup.sys
17:00:48:265 2696 NABTSFEC (5c8dc6429c43dc6177c1fa5b76290d1a) C:\WINXP\system32\DRIVERS\NABTSFEC.sys
17:00:48:281 2696 NDIS (558635d3af1c7546d26067d5d9b6959e) C:\WINXP\system32\drivers\NDIS.sys
17:00:48:296 2696 NdisIP (520ce427a8b298f54112857bcf6bde15) C:\WINXP\system32\DRIVERS\NdisIP.sys
17:00:48:328 2696 NdisTapi (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINXP\system32\DRIVERS\ndistapi.sys
17:00:48:375 2696 Ndisuio (8d3ce6b579cde8d37acc690b67dc2106) C:\WINXP\system32\DRIVERS\ndisuio.sys
17:00:48:390 2696 NdisWan (0b90e255a9490166ab368cd55a529893) C:\WINXP\system32\DRIVERS\ndiswan.sys
17:00:48:406 2696 NDProxy (59fc3fb44d2669bc144fd87826bb571f) C:\WINXP\system32\drivers\NDProxy.sys
17:00:48:453 2696 NetBIOS (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINXP\system32\DRIVERS\netbios.sys
17:00:48:500 2696 NetBT (0c80e410cd2f47134407ee7dd19cc86b) C:\WINXP\system32\DRIVERS\netbt.sys
17:00:48:562 2696 NIC1394 (5c5c53db4fef16cf87b9911c7e8c6fbc) C:\WINXP\system32\DRIVERS\nic1394.sys
17:00:48:671 2696 Npfs (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINXP\system32\drivers\Npfs.sys
17:00:48:875 2696 Ntfs (05ab81909514bfd69cbb1f2c147cf6b9) C:\WINXP\system32\drivers\Ntfs.sys
17:00:48:921 2696 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINXP\system32\drivers\Null.sys
17:00:49:218 2696 nv (4c3696c1ed1a36629ebb348bf745a328) C:\WINXP\system32\DRIVERS\nv4_mini.sys
17:00:49:484 2696 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINXP\system32\DRIVERS\nwlnkflt.sys
17:00:49:500 2696 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINXP\system32\DRIVERS\nwlnkfwd.sys
17:00:49:546 2696 ohci1394 (0951db8e5823ea366b0e408d71e1ba2a) C:\WINXP\system32\DRIVERS\ohci1394.sys
17:00:49:593 2696 ossrv (11b3328d84ed6c11baf4f4f115459ab6) C:\WINXP\system32\drivers\ctoss2k.sys
17:00:49:640 2696 ovt519 (4cdadec3dc1300ee1d313ea5494e6472) C:\WINXP\system32\Drivers\ov519vid.sys
17:00:49:687 2696 Parport (b2f17a2edb5450e61973a037f63a595b) C:\WINXP\system32\DRIVERS\parport.sys
17:00:49:718 2696 PartMgr (3334430c29dc338092f79c38ef7b4cd0) C:\WINXP\system32\drivers\PartMgr.sys
17:00:49:750 2696 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINXP\system32\drivers\ParVdm.sys
17:00:49:781 2696 PCI (6fb463e5b243fbd6f3d3c83f914d94fb) C:\WINXP\system32\DRIVERS\pci.sys
17:00:49:812 2696 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINXP\system32\DRIVERS\pciide.sys
17:00:49:828 2696 Pcmcia (e2363f4c1daff89abee5f593e13d8a05) C:\WINXP\system32\drivers\Pcmcia.sys
17:00:49:906 2696 PptpMiniport (1c5cc65aac0783c344f16353e60b72ac) C:\WINXP\system32\DRIVERS\raspptp.sys
17:00:49:921 2696 PSched (48671f327553dcf1d27f6197f622a668) C:\WINXP\system32\DRIVERS\psched.sys
17:00:49:953 2696 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINXP\system32\DRIVERS\ptilink.sys
17:00:50:000 2696 PxHelp20 (153d02480a0a2f45785522e814c634b6) C:\WINXP\system32\Drivers\PxHelp20.sys
17:00:50:046 2696 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINXP\system32\DRIVERS\rasacd.sys
17:00:50:078 2696 Rasl2tp (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINXP\system32\DRIVERS\rasl2tp.sys
17:00:50:093 2696 RasPppoe (7306eeed8895454cbed4669be9f79faa) C:\WINXP\system32\DRIVERS\raspppoe.sys
17:00:50:125 2696 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINXP\system32\DRIVERS\raspti.sys
17:00:50:156 2696 Rdbss (ed375ce745c42a14f10753f7022ecd6a) C:\WINXP\system32\DRIVERS\rdbss.sys
17:00:50:203 2696 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINXP\system32\DRIVERS\RDPCDD.sys
17:00:50:218 2696 rdpdr (a2cae2c60bc37e0751ef9dda7ceaf4ad) C:\WINXP\system32\DRIVERS\rdpdr.sys
17:00:50:265 2696 RDPWD (047bea21274c8a4a233674a76c958c2c) C:\WINXP\system32\drivers\RDPWD.sys
17:00:50:296 2696 redbook (c3ae9bf74d36d911d38ef50c6ee21a02) C:\WINXP\system32\DRIVERS\redbook.sys
17:00:50:296 2696 Suspicious file (Forged): C:\WINXP\system32\DRIVERS\redbook.sys. Real md5: c3ae9bf74d36d911d38ef50c6ee21a02, Fake md5: aa56702e230860565cb8d43680f57f33
17:00:50:296 2696 File "C:\WINXP\system32\DRIVERS\redbook.sys" infected by TDSS rootkit ... 17:00:50:578 2696 Backup copy found, using it..
17:00:50:593 2696 will be cured on next reboot
17:00:50:625 2696 RTL8023xp (d6e1b1bd04fad422af17fc4b810cb9af) C:\WINXP\system32\DRIVERS\Rtenicxp.sys
17:00:50:671 2696 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINXP\system32\DRIVERS\secdrv.sys
17:00:50:703 2696 serenum (a2d868aeeff612e70e213c451a70cafb) C:\WINXP\system32\DRIVERS\serenum.sys
17:00:50:750 2696 Serial (cd5b9995afcdb466c9efc048d167e3be) C:\WINXP\system32\DRIVERS\serial.sys
17:00:50:781 2696 Sfloppy (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINXP\system32\drivers\Sfloppy.sys
17:00:50:812 2696 SLIP (5caeed86821fa2c6139e32e9e05ccdc9) C:\WINXP\system32\DRIVERS\SLIP.sys
17:00:50:859 2696 splitter (8e186b8f23295d1e42c573b82b80d548) C:\WINXP\system32\drivers\splitter.sys
17:00:50:921 2696 sptd (cdddec541bc3c96f91ecb48759673505) C:\WINXP\System32\Drivers\sptd.sys
17:00:51:000 2696 sr (e4200cb2f418d8fc4acdd7e38c419d6a) C:\WINXP\system32\DRIVERS\sr.sys
17:00:51:046 2696 Srv (5230953c21c811b5fc1ff31ae2b48097) C:\WINXP\system32\DRIVERS\srv.sys
17:00:51:078 2696 ssmdrv (5ec550b8952882ee856b862cf648522d) C:\WINXP\system32\DRIVERS\ssmdrv.sys
17:00:51:078 2696 streamip (284c57df5dc7abca656bc2b96a667afb) C:\WINXP\system32\DRIVERS\StreamIP.sys
17:00:51:109 2696 swenum (03c1bae4766e2450219d20b993d6e046) C:\WINXP\system32\DRIVERS\swenum.sys
17:00:51:125 2696 swmidi (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINXP\system32\drivers\swmidi.sys
17:00:51:171 2696 sysaudio (650ad082d46bac0e64c9c0e0928492fd) C:\WINXP\system32\drivers\sysaudio.sys
17:00:51:203 2696 tap0901 (3b45d2674414d1f5400b9c452a7a293f) C:\WINXP\system32\DRIVERS\tap0901.sys
17:00:51:265 2696 Tcpip (64798ecfa43d78c7178375fcdd16d8c8) C:\WINXP\system32\DRIVERS\tcpip.sys
17:00:51:296 2696 TDPIPE (38d437cf2d98965f239b0abcd66dcb0f) C:\WINXP\system32\drivers\TDPIPE.sys
17:00:51:312 2696 TDTCP (ed0580af02502d00ad8c4c066b156be9) C:\WINXP\system32\drivers\TDTCP.sys
17:00:51:343 2696 TermDD (a540a99c281d933f3d69d55e48727f47) C:\WINXP\system32\DRIVERS\termdd.sys
17:00:51:390 2696 Udfs (12f70256f140cd7d52c58c7048fde657) C:\WINXP\system32\drivers\Udfs.sys
17:00:51:468 2696 Update (aff2e5045961bbc0a602bb6f95eb1345) C:\WINXP\system32\DRIVERS\update.sys
17:00:51:515 2696 usbaudio (45a0d14b26c35497ad93bce7e15c9941) C:\WINXP\system32\drivers\usbaudio.sys
17:00:51:546 2696 usbbus (9419faac6552a51542dbba02971c841c) C:\WINXP\system32\DRIVERS\lgusbbus.sys
17:00:51:562 2696 usbccgp (bffd9f120cc63bcbaa3d840f3eef9f79) C:\WINXP\system32\DRIVERS\usbccgp.sys
17:00:51:593 2696 UsbDiag (c0a466fa4ffec464320e159bc1bbdc0c) C:\WINXP\system32\DRIVERS\lgusbdiag.sys
17:00:51:640 2696 usbehci (15e993ba2f6946b2bfbbfcd30398621e) C:\WINXP\system32\DRIVERS\usbehci.sys
17:00:51:656 2696 usbhub (c72f40947f92cea56a8fb532edf025f1) C:\WINXP\system32\DRIVERS\usbhub.sys
17:00:51:671 2696 USBModem (f74a54774a9b0afeb3c40adec68aa600) C:\WINXP\system32\DRIVERS\lgusbmodem.sys
17:00:51:703 2696 usbprint (a42369b7cd8886cd7c70f33da6fcbcf5) C:\WINXP\system32\DRIVERS\usbprint.sys
17:00:51:734 2696 usbscan (a6bc71402f4f7dd5b77fd7f4a8ddba85) C:\WINXP\system32\DRIVERS\usbscan.sys
17:00:51:765 2696 USBSTOR (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINXP\system32\DRIVERS\USBSTOR.SYS
17:00:51:796 2696 usbuhci (f8fd1400092e23c8f2f31406ef06167b) C:\WINXP\system32\DRIVERS\usbuhci.sys
17:00:51:828 2696 VCAM_WDM (ad8e7964b51576a90cf706c431ea83b6) C:\WINXP\system32\DRIVERS\vcam_wdm.sys
17:00:51:843 2696 VgaSave (8a60edd72b4ea5aea8202daf0e427925) C:\WINXP\System32\drivers\vga.sys
17:00:51:890 2696 VolSnap (d6888520ff56d72a50437e371ca25fc9) C:\WINXP\system32\drivers\VolSnap.sys
17:00:51:921 2696 Wanarp (984ef0b9788abf89974cfed4bfbaacbc) C:\WINXP\system32\DRIVERS\wanarp.sys
17:00:51:968 2696 Wdf01000 (060e8cb99cc0a6751db5810c042b0d45) C:\WINXP\system32\DRIVERS\Wdf01000.sys
17:00:52:031 2696 wdmaud (2797f33ebf50466020c430ee4f037933) C:\WINXP\system32\drivers\wdmaud.sys
17:00:52:062 2696 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINXP\system32\DRIVERS\wpdusb.sys
17:00:52:093 2696 WSTCODEC (d5842484f05e12121c511aa93f6439ec) C:\WINXP\system32\DRIVERS\WSTCODEC.SYS
17:00:52:140 2696 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINXP\system32\DRIVERS\WudfPf.sys
17:00:52:171 2696 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINXP\system32\DRIVERS\wudfrd.sys
17:00:52:203 2696 Xbox360WirelessController (e98d826420994e4389bec3f77cb73220) C:\WINXP\system32\DRIVERS\x360wchm.sys
17:00:52:234 2696 xusb21 (ee9144207ee0211eb5656ba6808ac4a0) C:\WINXP\system32\DRIVERS\xusb21.sys
17:00:52:234 2696 Reboot required for cure complete..
17:00:52:609 2696 Cure on reboot scheduled successfully
17:00:52:609 2696
17:00:52:609 2696 Completed
17:00:52:609 2696
17:00:52:609 2696 Results:
17:00:52:609 2696 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
17:00:52:609 2696 File objects infected / cured / cured on reboot: 1 / 0 / 1
17:00:52:609 2696
17:00:52:625 2696 KLMD(ARK) unloaded successfully



Rechner läuft grade so schnell wie seit einer Ewigkeit nicht mehr. ist der Rechner jetzt komplett sauber? Schonmal einen FETTEN DANK!! Wie halte ich den Rechner jetzt am besten sauber? Antivir? Kaspersky? Hauptsache der bleibt sauber.. :)

ok erst mal nen avira scan.
avira

avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Hm ist wohl doch noch lange nicht clean :) :
Antivir Log File :



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 13. Juli 2010 19:14

Es wird nach 2341386 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Kotzkrücke
Computername : BIE

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:37:10
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:37:14
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 22:30:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 09:46:09
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 16:22:08
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 17:07:32
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 17:07:33
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 17:07:33
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 17:07:33
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 17:07:33
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 17:07:33
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 17:07:33
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 17:07:34
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 17:07:34
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 17:07:34
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 17:07:34
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 17:07:34
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 17:07:34
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 17:07:34
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 17:07:34
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 17:07:35
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 17:07:35
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 17:07:35
VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 17:07:35
VBASE024.VDF : 7.10.9.61 2048 Bytes 11.07.2010 17:07:35
VBASE025.VDF : 7.10.9.62 2048 Bytes 11.07.2010 17:07:35
VBASE026.VDF : 7.10.9.63 2048 Bytes 11.07.2010 17:07:35
VBASE027.VDF : 7.10.9.64 2048 Bytes 11.07.2010 17:07:35
VBASE028.VDF : 7.10.9.65 2048 Bytes 11.07.2010 17:07:36
VBASE029.VDF : 7.10.9.66 2048 Bytes 11.07.2010 17:07:36
VBASE030.VDF : 7.10.9.67 2048 Bytes 11.07.2010 17:07:36
VBASE031.VDF : 7.10.9.77 135680 Bytes 13.07.2010 17:07:36
Engineversion : 8.2.4.10
AEVDF.DLL : 8.1.2.0 106868 Bytes 13.07.2010 17:07:39
AESCRIPT.DLL : 8.1.3.39 1335674 Bytes 13.07.2010 17:07:39
AESCN.DLL : 8.1.6.1 127347 Bytes 13.07.2010 17:07:38
AESBX.DLL : 8.1.3.1 254324 Bytes 13.07.2010 17:07:39
AERDL.DLL : 8.1.4.6 541043 Bytes 13.07.2010 17:07:38
AEPACK.DLL : 8.2.2.5 430453 Bytes 13.07.2010 17:07:38
AEOFFICE.DLL : 8.1.1.6 201081 Bytes 13.07.2010 17:07:38
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 13.07.2010 17:07:38
AEHELP.DLL : 8.1.11.6 242038 Bytes 13.07.2010 17:07:37
AEGEN.DLL : 8.1.3.13 381300 Bytes 13.07.2010 17:07:37
AEEMU.DLL : 8.1.2.0 393588 Bytes 13.07.2010 17:07:37
AECORE.DLL : 8.1.15.3 192886 Bytes 13.07.2010 17:07:37
AEBB.DLL : 8.1.1.0 53618 Bytes 13.07.2010 17:07:37
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, A:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: aus
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 13. Juli 2010 19:14

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTAudSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '406' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Programme\Veetle\plugins\Veetle.ocx
[FUND] Ist das Trojanische Pferd TR/Spy.Veetle.A
C:\Qoobox\Quarantine\C\WINXP\system32\accessp.exe.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP11\A0033826.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0031629.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Injector.334851AR-Programmes
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0031637.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Gen
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0031638.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.S
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0032649.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.bwq.1689
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0032650.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0032651.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0032652.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP9\A0032662.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
Beginne mit der Suche in 'D:\' <Backup>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP9\A0032662.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4eeb0249.qua' verschoben!
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0032652.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '567c2dee.qua' verschoben!
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0032651.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '04237706.qua' verschoben!
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0032650.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '621438c4.qua' verschoben!
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0032649.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.bwq.1689
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '279015fa.qua' verschoben!
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0031638.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.S
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '588b279b.qua' verschoben!
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0031637.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '14330bd1.qua' verschoben!
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP8\A0031629.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Injector.334851AR-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '682b4b81.qua' verschoben!
C:\System Volume Information\_restore{EB788410-2C66-4DFA-AEC5-08AF9164AC21}\RP11\A0033826.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '457164cc.qua' verschoben!
C:\Qoobox\Quarantine\C\WINXP\system32\accessp.exe.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5cea5e99.qua' verschoben!
C:\Programme\Veetle\plugins\Veetle.ocx
[FUND] Ist das Trojanische Pferd TR/Spy.Veetle.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '308872ab.qua' verschoben!


Ende des Suchlaufs: Dienstag, 13. Juli 2010 19:47
Benötigte Zeit: 20:04 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6212 Verzeichnisse wurden überprüft
61972 Dateien wurden geprüft
11 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
11 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
61961 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
11 Hinweise


Übrigens lässt sich irgendwie der AV-Guard bnicht mehr aktivieren :/.. kA warum!