Ergebnis 1 bis 9 von 9

Thema: Virus!?

  1. 19.04.2009, 19:13 #1
    Gini Gini ist offline

    Virus!?

    Hallo,

    Seit kurzen ist mein PC merklich langsamer geworden, was den Verbindungsaufbau mit dem Internet angeht.

    Bei einer Systemprüfung hat AntiVir den Trojaner "TR/MalPacked" bei mir gefunden. Ich habe den Namen schon gegoogelt, aber es wurde so gut wie nichts darüber gefunden. Was kann ich machen?

    Hijack This hat Folgendes ausgespuckt:


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:02:17, on 19.04.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\Home Cinema\PowerCinema\PCMService.exe
    C:\WINDOWS\system32\CmUCReye.exe
    C:\Programme\Medion Info Display\MdionLCM.exe
    C:\WINDOWS\mHotkey.exe
    C:\WINDOWS\CNYHKey.exe
    C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\Programme\ICQ6.5\ICQ.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
    C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Viewpoint\Common\ViewpointService.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
    C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ.com Suche
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = SPIEGEL ONLINE - Nachrichten
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Baby Got Bible and other Videos on StupidVideos.com
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
    O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
    O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
    O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
    O4 - HKLM\..\Run: [Showwnd] showwnd.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - MEDIONshop Deutschland (file missing) (HKCU)
    O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1128778405937
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1141142460296
    O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.196.35.90/activex/AxisCamControl.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

    --
    End of file - 9299 bytes



    lg Gini
  2. Anzeige

    Virus!?

    Schau dir mal diesen Bereich an. Dort ist für jeden was dabei!
  3. 19.04.2009, 19:56 #2
    bLacK_dRaSanG bLacK_dRaSanG ist offline
    Avatar von bLacK_dRaSanG

    AW: Virus!?

    Hi ,

    könntest du noch den Bericht von AntiVir posten, indem der Fund vermerkt wurde?

    Fixe:
    Code:
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Baby Got Bible and other Videos on StupidVideos.com
    Man fixt, indem man Hijackthis startet und auf "Do a system scan only klickt.
    Nun sucht man den oben angegebende Eintrag und markiert, das leere weiße Kästchen mit einen Haken, neben den entsprechenden Eintrag.
    Schließlich klickt man auf "Fix checked

    Lasse mal Combofix und Malwarebytes durchlaufen. Anleitung und Download findest du im Link .


    Bei Malwarebytes das Updaten nicht vergessen .
    Und poste die Logfiles von beiden Programmen und den Bericht von Antivir.

    mfg
    bLacK_dRaSanG
  4. 19.04.2009, 21:55 #3
    Gini Gini ist offline

    AW: Virus!?

    Hier die Malwarebytes Logfile, es wurde nix gefunden:

    Malwarebytes' Anti-Malware 1.36
    Datenbank Version: 2009
    Windows 5.1.2600 Service Pack 3

    19.04.2009 21:04:35
    mbam-log-2009-04-19 (21-04-35).txt

    Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
    Durchsuchte Objekte: 157549
    Laufzeit: 32 minute(s), 57 second(s)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 0

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien:
    (Keine bösartigen Objekte gefunden)




    und hier der Bericht von Antivir:

    Avira AntiVir Personal
    Erstellungsdatum der Reportdatei: Sonntag, 19. April 2009 17:43

    Es wird nach 1356201 Virenstämmen gesucht.

    Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
    Seriennummer : 0000149996-ADJIE-0000001
    Plattform : Windows XP
    Windowsversion : (Service Pack 3) [5.1.2600]
    Boot Modus : Normal gebootet
    Benutzername : SYSTEM
    Computername : R###

    Versionsinformationen:
    BUILD.DAT : 9.0.0.387 17962 Bytes 24.03.2009 11:03:00
    AVSCAN.EXE : 9.0.3.3 464641 Bytes 24.02.2009 10:13:22
    AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10
    LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44
    LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59
    ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:36
    ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:33:26
    ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 16.04.2009 09:49:21
    ANTIVIR3.VDF : 7.1.3.73 25088 Bytes 18.04.2009 09:49:21
    Engineversion : 8.2.0.148
    AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 15:36:42
    AESCRIPT.DLL : 8.1.1.75 373113 Bytes 19.04.2009 09:49:24
    AESCN.DLL : 8.1.1.10 127348 Bytes 19.04.2009 09:49:24
    AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 16:24:41
    AEPACK.DLL : 8.1.3.14 397685 Bytes 19.04.2009 09:49:23
    AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 18:01:56
    AEHEUR.DLL : 8.1.0.119 1724791 Bytes 19.04.2009 09:49:23
    AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 18:01:56
    AEGEN.DLL : 8.1.1.36 340341 Bytes 19.04.2009 09:49:22
    AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40
    AECORE.DLL : 8.1.6.9 176500 Bytes 19.04.2009 09:49:22
    AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
    AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56
    AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:55
    AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 1228
    AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04
    AVARKT.DLL : 9.0.0.1 292609 Bytes 09.02.2009 05:52:20
    AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04
    SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49
    SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28
    NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21
    RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 09:41:16
    RCTEXT.DLL : 9.0.35.0 87809 Bytes 11.03.2009 13:50:50

    Konfiguration für den aktuellen Suchlauf:
    Job Name..............................: Vollständige Systemprüfung
    Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
    Protokollierung.......................: niedrig
    Primäre Aktion........................: interaktiv
    Sekundäre Aktion......................: ignorieren
    Durchsuche Masterbootsektoren.........: ein
    Durchsuche Bootsektoren...............: ein
    Bootsektoren..........................: C:, D:, E:,
    Durchsuche aktive Programme...........: ein
    Durchsuche Registrierung..............: ein
    Suche nach Rootkits...................: ein
    Integritätsprüfung von Systemdateien..: aus
    Datei Suchmodus.......................: Alle Dateien
    Durchsuche Archive....................: ein
    Rekursionstiefe einschränken..........: 20
    Archiv Smart Extensions...............: ein
    Makrovirenheuristik...................: ein
    Dateiheuristik........................: mittel

    Beginn des Suchlaufs: Sonntag, 19. April 2009 17:43

    Der Suchlauf nach versteckten Objekten wird begonnen.
    Es wurden '53456' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

    Der Suchlauf über gestartete Prozesse wird begonnen:
    Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'ViewMgr.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'ViewpointService.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'CNYHKey.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'mHotkey.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'MdionLCM.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'CmUCREye.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
    Es wurden '43' Prozesse mit '43' Modulen durchsucht

    Der Suchlauf über die Masterbootsektoren wird begonnen:

    Der Suchlauf über die Bootsektoren wird begonnen:

    Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
    Die Registry wurde durchsucht ( '70' Dateien ).


    Der Suchlauf über die ausgewählten Dateien wird begonnen:

    Beginne mit der Suche in 'C:\' <BOOT>
    C:\hiberfil.sys
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
    C:\pagefile.sys
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
    Beginne mit der Suche in 'D:\' <BACKUP>
    D:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP748\A0046959.exe
    [FUND] Ist das Trojanische Pferd TR/MalPacked
    D:\TOOLS\eTrust AV\eTrustAntivirusOEM\Bin\eAV_S.Win\webpkg.exe
    [0] Archivtyp: RSRC
    --> Object
    [1] Archivtyp: CAB (Microsoft)
    --> inoweb.exe
    [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    Beginne mit der Suche in 'E:\' <RECOVER>

    Beginne mit der Desinfektion:
    D:\System Volume Information\_restore{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP748\A0046959.exe
    [FUND] Ist das Trojanische Pferd TR/MalPacked
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1b565f.qua' verschoben!


    Ende des Suchlaufs: Sonntag, 19. April 2009 18:49
    Benötigte Zeit: 37:36 Minute(n)

    Der Suchlauf wurde vollständig durchgeführt.

    7645 Verzeichnisse wurden überprüft
    302360 Dateien wurden geprüft
    1 Viren bzw. unerwünschte Programme wurden gefunden
    0 Dateien wurden als verdächtig eingestuft
    0 Dateien wurden gelöscht
    0 Viren bzw. unerwünschte Programme wurden repariert
    1 Dateien wurden in die Quarantäne verschoben
    0 Dateien wurden umbenannt
    2 Dateien konnten nicht durchsucht werden
    302357 Dateien ohne Befall
    8212 Archive wurden durchsucht
    4 Warnungen
    3 Hinweise
    53456 Objekte wurden beim Rootkitscan durchsucht
    0 Versteckte Objekte wurden gefunden


    Ist das ok so?
    Combofix muss ich dann morgen noch laufen lassen...

    lg Gini
  5. 19.04.2009, 22:11 #4
    bLacK_dRaSanG bLacK_dRaSanG ist offline
    Avatar von bLacK_dRaSanG

    AW: Virus!?

    Hi, dieser Trojaner befindet sich nur in der Systemwiederherstellung, wahrscheinlich ein Fehlalarm oder ein Rest einer Infektion, welche Windows mitgesichert hatte .
    Nach Combofix, sollten wir aber auch noch verstärkt nach Rootkits suchen, sie werden ja leider immer öfters benutzt.

    Dazu benutze folgende Programme und poste später auch dessen Logfile:


    Es reicht wenn du die bestehende Systemwiederherstellungspunkte löschst.
    Dazu gibt es dort eine Anleitung:
    Windows XP Systemwiederherstellungspunkte löschen | Dirks-Computerecke

    Combofix hätte ich trotzdem noch gerne .
  6. 21.04.2009, 19:52 #5
    Gini Gini ist offline

    AW: Virus!?

    so, das hier hat combofix erstellt:


    ComboFix 09-04-21.A8 - R### 21.04.2009 19:45.1 - NTFSx86
    Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1022.573 [GMT 2:00]
    ausgeführt von:: c:\dokumente und einstellungen\R###\Desktop\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated)
    * Neuer Wiederherstellungspunkt wurde erstellt

    Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
    .

    ((((((((((((((((((((((( Dateien erstellt von 2009-03-21 bis 2009-04-21 ))))))))))))))))))))))))))))))
    .

    2009-04-19 18:13 . 2009-04-19 18:13 -------- d-----w c:\dokumente und einstellungen\R###\Anwendungsdaten\Malwarebytes
    2009-04-19 18:13 . 2009-04-19 18:13 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
    2009-04-19 16:56 . 2009-04-19 16:56 -------- d-----w c:\programme\Trend Micro
    2009-04-19 10:40 . 2009-04-19 11:01 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
    2009-04-19 10:40 . 2009-04-19 10:40 -------- d-----w c:\programme\Spybot - Search & Destroy
    2009-04-19 10:26 . 2009-04-19 10:26 -------- d-sh--w c:\dokumente und einstellungen\LocalService\IETldCache
    2009-04-19 09:41 . 2009-02-13 09:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
    2009-04-19 09:41 . 2009-04-19 09:41 -------- d-----w c:\programme\Avira
    2009-04-19 09:41 . 2009-04-19 09:41 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
    2009-04-19 09:38 . 2009-04-19 09:39 30143040 ----a-w C:\avira_antivir_personal_de.exe
    2009-04-19 08:57 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
    2009-04-19 08:57 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
    2009-04-19 08:57 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
    2009-04-19 08:57 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
    2009-04-19 08:57 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
    2009-04-19 08:57 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
    2009-04-19 08:57 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
    2009-04-19 08:57 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
    2009-04-19 08:57 . 2009-03-27 06:49 1203922 -c----w c:\windows\system32\dllcache\sysmain.sdb
    2009-04-19 08:57 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe
    2009-04-07 15:13 . 2009-04-07 15:13 -------- d-----r c:\dokumente und einstellungen\LocalService\Favoriten
    2009-04-04 09:22 . 2009-04-04 09:22 -------- d-sh--w c:\dokumente und einstellungen\R###\IECompatCache
    2009-04-04 09:21 . 2009-04-04 09:21 -------- d-sh--w c:\dokumente und einstellungen\R###\PrivacIE
    2009-04-04 09:20 . 2009-04-04 09:20 -------- d-sh--w c:\dokumente und einstellungen\NetworkService\IETldCache
    2009-04-04 09:19 . 2009-04-04 09:19 -------- d-sh--w c:\dokumente und einstellungen\R###\IETldCache
    2009-04-04 09:18 . 2009-04-04 09:18 -------- d-----w c:\windows\ie8updates
    2009-04-04 09:16 . 2009-04-04 09:17 -------- dc-h--w c:\windows\ie8
    2009-04-04 09:14 . 2009-02-28 04:55 105984 -c----w c:\windows\system32\dllcache\iecompat.dll

    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-04-19 15:20 . 2005-10-09 05:46 75492 ----a-w c:\windows\system32\perfc007.dat
    2009-04-19 15:20 . 2005-10-09 05:46 416676 ----a-w c:\windows\system32\perfh007.dat
    2009-04-19 09:48 . 2006-02-28 13:59 -------- d-----w c:\programme\CA
    2009-03-21 11:02 . 2006-05-07 16:49 41070 ----a-w c:\dokumente und einstellungen\R###\Anwendungsdaten\wklnhst.dat
    2009-03-21 10:16 . 2009-03-20 16:40 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
    2009-03-21 10:16 . 2009-03-20 16:40 -------- d-----w c:\programme\NOS
    2009-03-20 16:43 . 2008-06-19 18:42 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
    2009-03-18 08:58 . 2009-03-18 08:54 -------- d-----w c:\programme\ICQ6.5
    2009-03-18 08:55 . 2008-03-02 08:25 -------- d-----w c:\programme\ICQ6
    2009-03-16 11:37 . 2009-03-16 11:37 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Messenger Plus!
    2009-03-12 17:15 . 2009-03-12 17:15 -------- d-----w c:\programme\Messenger Plus! Live
    2009-03-08 02:34 . 2005-10-09 05:46 914944 ----a-w c:\windows\system32\wininet.dll
    2009-03-08 02:34 . 2005-10-09 05:46 43008 ----a-w c:\windows\system32\licmgr10.dll
    2009-03-08 02:33 . 2005-10-09 05:46 18944 ----a-w c:\windows\system32\corpol.dll
    2009-03-08 02:33 . 2005-10-09 05:46 420352 ----a-w c:\windows\system32\vbscript.dll
    2009-03-08 02:32 . 2005-10-09 05:46 72704 ----a-w c:\windows\system32\admparse.dll
    2009-03-08 02:32 . 2005-10-09 05:46 71680 ----a-w c:\windows\system32\iesetup.dll
    2009-03-08 02:31 . 2005-10-09 05:46 34816 ----a-w c:\windows\system32\imgutil.dll
    2009-03-08 02:31 . 2005-10-09 05:46 48128 ----a-w c:\windows\system32\mshtmler.dll
    2009-03-08 02:31 . 2005-10-09 05:46 45568 ----a-w c:\windows\system32\mshta.exe
    2009-03-08 02:22 . 2005-10-09 05:46 156160 ----a-w c:\windows\system32\msls31.dll
    2009-03-06 14:19 . 2005-10-09 05:46 286720 ----a-w c:\windows\system32\pdh.dll
    2009-03-03 20:47 . 2006-04-13 08:43 87296 ----a-w c:\dokumente und einstellungen\R###\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
    2009-03-03 20:46 . 2009-03-03 20:46 -------- d-----w c:\programme\Microsoft
    2009-03-03 20:46 . 2009-03-03 20:46 -------- d-----w c:\programme\Windows Live SkyDrive
    2009-03-03 20:46 . 2008-01-19 14:03 -------- d-----w c:\programme\Windows Live
    2009-03-03 20:43 . 2009-03-03 20:43 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live
    2009-03-03 20:37 . 2008-06-24 13:57 244 ---ha-w C:\sqmnoopt13.sqm
    2009-03-03 20:37 . 2008-06-24 13:57 232 ---ha-w C:\sqmdata13.sqm
    2009-03-03 20:37 . 2008-06-19 18:56 244 ---ha-w C:\sqmnoopt12.sqm
    2009-03-03 20:37 . 2008-06-19 18:56 232 ---ha-w C:\sqmdata12.sqm
    2009-03-03 19:11 . 2008-06-19 18:54 244 ---ha-w C:\sqmnoopt11.sqm
    2009-03-03 19:11 . 2008-06-19 18:54 232 ---ha-w C:\sqmdata11.sqm
    2009-02-27 18:56 . 2005-10-09 10:25 -------- d-----w c:\programme\Google
    2009-02-27 18:00 . 2008-06-19 18:54 244 ---ha-w C:\sqmnoopt10.sqm
    2009-02-27 18:00 . 2008-06-19 18:54 232 ---ha-w C:\sqmdata10.sqm
    2009-02-24 15:53 . 2008-06-19 18:23 244 ---ha-w C:\sqmnoopt09.sqm
    2009-02-24 15:53 . 2008-06-19 18:23 232 ---ha-w C:\sqmdata09.sqm
    2009-02-22 14:34 . 2008-06-19 07:01 244 ---ha-w C:\sqmnoopt08.sqm
    2009-02-22 14:34 . 2008-06-19 07:01 232 ---ha-w C:\sqmdata08.sqm
    2009-02-09 14:04 . 2005-10-09 05:46 1846912 ----a-w c:\windows\system32\win32k.sys
    2009-02-09 11:21 . 2004-08-04 00:50 2026496 ----a-w c:\windows\system32\ntkrnlpa.exe
    2009-02-09 11:21 . 2004-08-04 00:50 2147840 ----a-w c:\windows\system32\ntoskrnl.exe
    2009-02-09 11:21 . 2005-10-09 05:46 111104 ----a-w c:\windows\system32\services.exe
    2009-02-09 10:51 . 2005-10-09 05:46 401408 ----a-w c:\windows\system32\rpcss.dll
    2009-02-09 10:51 . 2005-10-09 05:46 736768 ----a-w c:\windows\system32\lsasrv.dll
    2009-02-09 10:51 . 2005-10-09 05:46 678400 ----a-w c:\windows\system32\advapi32.dll
    2009-02-09 10:51 . 2005-10-09 05:46 740352 ----a-w c:\windows\system32\ntdll.dll
    2009-02-06 17:52 . 2009-02-06 17:52 49504 ----a-w c:\windows\system32\sirenacm.dll
    2009-02-06 10:39 . 2005-10-09 05:46 35328 ----a-w c:\windows\system32\sc.exe
    2009-02-04 15:33 . 2008-06-18 19:41 244 ---ha-w C:\sqmnoopt07.sqm
    2009-02-04 15:33 . 2008-06-18 19:41 232 ---ha-w C:\sqmdata07.sqm
    2009-02-03 19:57 . 2005-10-09 05:46 56832 ----a-w c:\windows\system32\secur32.dll
    2009-02-03 16:15 . 2008-06-01 16:00 244 ---ha-w C:\sqmnoopt06.sqm
    2009-02-03 16:15 . 2008-06-01 16:00 232 ---ha-w C:\sqmdata06.sqm
    2009-02-03 14:48 . 2008-06-01 15:59 244 ---ha-w C:\sqmnoopt05.sqm
    2009-02-03 14:48 . 2008-06-01 15:59 232 ---ha-w C:\sqmdata05.sqm
    2009-02-02 16:30 . 2008-05-30 05:36 244 ---ha-w C:\sqmnoopt04.sqm
    2009-02-02 16:30 . 2008-05-30 05:36 232 ---ha-w C:\sqmdata04.sqm
    2009-01-29 18:36 . 2008-05-29 18:38 244 ---ha-w C:\sqmnoopt03.sqm
    2009-01-29 18:36 . 2008-05-29 18:38 232 ---ha-w C:\sqmdata03.sqm
    2009-01-26 16:46 . 2008-05-29 06:01 244 ---ha-w C:\sqmnoopt02.sqm
    2009-01-26 16:46 . 2008-05-29 06:01 232 ---ha-w C:\sqmdata02.sqm
    2009-01-26 16:41 . 2008-05-29 06:01 244 ---ha-w C:\sqmnoopt01.sqm
    2009-01-26 16:41 . 2008-05-29 06:01 232 ---ha-w C:\sqmdata01.sqm
    2008-12-04 20:02 . 2006-06-05 17:39 86712 ----a-w c:\dokumente und einstellungen\R###\Anwendungsdaten\GDIPFONTCACHEV1.DAT
    2007-10-01 13:25 . 2006-04-13 08:43 137 ----a-w c:\dokumente und einstellungen\R###\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
    2005-10-09 10:25 . 2005-10-09 10:25 8 --sh--r c:\windows\system32\A3DA537E26.sys
    2005-10-09 10:25 . 2005-10-09 10:25 4704 --sha-w c:\windows\system32\KGyGaAvL.sys
    .

    (((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run]
    "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]
    "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run]
    "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
    "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.ex e" [2004-08-04 59392]
    "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP. EXE" [2004-08-04 455168]
    "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP. EXE" [2004-08-04 455168]
    "PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2006-02-22 143360]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
    "CmUCRRun"="c:\windows\system32\CmUCReye.exe" [2005-10-12 241664]
    "MedionVFD"="c:\programme\Medion Info Display\MdionLCM.exe" [2006-01-27 176128]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "InstantOn"="c:\programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-22 93640]
    "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-02-28 155648]
    "HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
    "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
    "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
    "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-01-11 15961088]
    "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-10-10 1519616]
    "CHotkey"="mHotkey.exe" - c:\windows\mHotkey.exe [2004-12-08 550912]
    "ledpointer"="CNYHKey.exe" - c:\windows\CNYHKey.exe [2005-11-10 5585408]
    "Showwnd"="showwnd.exe" - c:\windows\ShowWnd.exe [2003-09-18 36864]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersio n\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
    HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\stand ardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%ProgramFiles%\\AOL 9.0\\AOL.exe"=
    "%WinDir%\\system32\\fxsclnt.exe"=
    "%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
    "%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
    "%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
    "c:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
    "c:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
    "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
    "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
    "c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
    "c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
    "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
    "c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
    "c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
    "c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
    "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
    "c:\\Programme\\Skype\\Phone\\Skype.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Programme\\Messenger\\msmsgs.exe"=
    "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Programme\\ICQ6.5\\ICQ.exe"=

    R0 rseb;rseb; [x]
    S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]
    S2 Viewpoint Manager Service;Viewpoint Manager Service;c:\programme\Viewpoint\Common\ViewpointService.exe [2007-01-04 24652]
    S3 3xHybrid;3xHybrid service;c:\windows\system32\DRIVERS\3xHybrid.sys [2005-12-06 826752]
    S3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;c:\windows\system32\DRIVERS\cmiucr.SYS [2005-10-04 72320]


    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
    "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
    .
    .
    ------- Zusätzlicher Suchlauf -------
    .
    uStart Page = hxxp://www.spiegel.de/
    uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
    uInternet Connection Wizard,ShellNext = hxxp://www.stupidvideos.com/video/song_dance/stupid_rap/?c=&p=25&y=340
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    .

    ************************************************************ **************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-04-21 19:47
    Windows 5.1.2600 Service Pack 3 NTFS

    Scanne versteckte Prozesse...

    Scanne versteckte Autostarteinträge...

    Scanne versteckte Dateien...

    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0

    ************************************************************ **************
    .
    --------------------- Durch laufende Prozesse gestartete DLLs ---------------------

    - - - - - - - > 'explorer.exe'(3504)
    c:\windows\system32\ieframe.dll
    c:\windows\system32\webcheck.dll
    .
    Zeit der Fertigstellung: 2009-04-21 19:49
    ComboFix-quarantined-files.txt 2009-04-21 17:49

    Vor Suchlauf: 12 Verzeichnis(se), 94.994.456.576 Bytes frei
    Nach Suchlauf: 11 Verzeichnis(se), 95.042.494.464 Bytes frei

    WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

    207 --- E O F --- 2009-04-19 11:05


    ist das ok so?

    lg gini
  7. 21.04.2009, 21:35 #6
    bLacK_dRaSanG bLacK_dRaSanG ist offline
    Avatar von bLacK_dRaSanG

    AW: Virus!?

    Hi,

    lasse bitte noch die Rootkitscanner durchlaufen .

    Was mich stört sind die vielen Dateien, die doppelt vorkommen und zwar im Ordner, indem sie normalerweise nicht aufzufinden sind. Diese Dateien sind höchst wahrscheinlich schädlich...

    Suche sie auf. Ändere vorher folgende Einstellungen, sonst wirst du sie wahrscheinlich nicht sehen können:
    Start --> Systemsteurung (klassische Ansicht) --> Ordneroption --> Reiter "Ansicht"

    prüfe ob folgende Einträge markiert oder gegebenfalls nicht markiert sind:

    markierte Einträge:

    • Inhalte von Systemordnern anzeigen
    • Alle Dateien und Ordnern anzeigen



    nicht markierte Einträge:

    • Erweiterung bei bekannten Dateitypen ausblenden
    • Geschützte Systemdateien ausblenden (empfohlen)



    Lade diese Datei mal auf Virustotal hoch und poste das vollständige Ergebnis

    Die Dateien:
    Code:
    c:\windows\system32\dllcache\services.exe
c:\windows\system32\dllcache\iecompat.dll
c:\windows\system32\dllcache\pdh.dll
c:\windows\system32\dllcache\rpcss.dll
c:\windows\system32\dllcache\fastprox.dll
c:\windows\system32\dllcache\lsasrv.dll
c:\windows\system32\dllcache\advapi32.dll
c:\windows\system32\dllcache\ntdll.dll
c:\windows\system32\dllcache\wmiprvsd.dll
c:\windows\system32\dllcache\sysmain.sdb
c:\windows\system32\dllcache\wordpad.exe
    Ich weiß es sind ne Menge .
    Aber anscheinend längst nicht alle...

    Alternativ kannst du eine Kopie (!) von jeden der Dateien erstellen und alle in einem Zip-Archiv packen. Falls du dich dafür entscheidest, werde ich dir noch meine E-Mail-Adresse mitteilen, damit du es mir senden kannst .

    mfg
    bLacK_dRaSanG
  8. 22.04.2009, 08:56 #7
    Gini Gini ist offline

    AW: Virus!?

    hier erstmal die rootkitscanner:

    gmer:

    GMER 1.0.15.14966 - http://www.gmer.net
    Rootkit scan 2009-04-22 08:44:59
    Windows 5.1.2600 Service Pack 3


    ---- System - GMER 1.0.15 ----

    SSDT F7BE8A86 ZwCreateKey
    SSDT F7BE8A7C ZwCreateThread
    SSDT F7BE8A8B ZwDeleteKey
    SSDT F7BE8A95 ZwDeleteValueKey
    SSDT F7BE8A9A ZwLoadKey
    SSDT F7BE8A68 ZwOpenProcess
    SSDT F7BE8A6D ZwOpenThread
    SSDT F7BE8AA4 ZwReplaceKey
    SSDT F7BE8A9F ZwRestoreKey
    SSDT F7BE8A90 ZwSetValueKey
    SSDT F7BE8A77 ZwTerminateProcess

    ---- User code sections - GMER 1.0.15 ----

    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!LoadResource 7C80A055 7 Bytes JMP 28001E20 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!FindResourceExW 7C80AD28 7 Bytes JMP 28001C60 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!FindResourceW 7C80BC6E 7 Bytes JMP 28001BE0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!SizeofResource 7C80BD09 7 Bytes JMP 28001EE0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!FindResourceA 7C80BF29 7 Bytes JMP 28001CF0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!LockResource 7C80CD37 5 Bytes JMP 28001F50 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!CreateEventA 7C8308B5 5 Bytes JMP 28001840 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] kernel32.dll!FindResourceExA 7C835FA8 7 Bytes JMP 28001D80 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] ADVAPI32.dll!CryptDeriveKey 77DB9FFD 7 Bytes JMP 28001000 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 28001060 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!GetWindowLongW 7E3688A6 7 Bytes JMP 28006A20 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!PeekMessageW 7E36929B 5 Bytes JMP 280045E0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!SetWindowPlacement 7E36DE46 5 Bytes JMP 28005DC0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!CreateDialogParamW 7E36EA3B 5 Bytes JMP 28006040 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!LoadImageW 7E377B97 5 Bytes JMP 28006690 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 28003CA0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!SetWindowRgn 7E37E528 7 Bytes JMP 28005F00 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!LoadIconW 7E37E8BC 5 Bytes JMP 28006880 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 28006230 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] USER32.dll!TrackPopupMenuEx 7E3BCF62 5 Bytes JMP 28004EC0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 2800BC20 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WS2_32.dll!send 71A14C27 5 Bytes JMP 2800B800 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 2800B5E0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WS2_32.dll!recv 71A1676F 5 Bytes JMP 2800B440 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 2800B9E0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] SHELL32.dll!Shell_NotifyIconW 7E6DA5BF 5 Bytes JMP 28003400 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] ole32.dll!CoInitializeEx 774CEF7B 5 Bytes JMP 28002260 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 28002600 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] ole32.dll!CoRegisterClassObject 774E7E90 5 Bytes JMP 28002360 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WININET.dll!HttpOpenRequestA 630187BC 1 Byte [E9]
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WININET.dll!HttpOpenRequestA 630187BC 5 Bytes JMP 2800A2C0 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WININET.dll!InternetReadFile 6301AC9D 5 Bytes JMP 2800A450 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WININET.dll!InternetCloseHandle 63020A61 5 Bytes JMP 2800A600 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
    .text C:\Programme\Windows Live\Messenger\msnmsgr.exe[3160] WININET.dll!HttpSendRequestA 6302E822 5 Bytes JMP 2800A530 C:\Programme\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

    ---- Devices - GMER 1.0.15 ----

    AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
    AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

    ---- EOF - GMER 1.0.15 ----

    blacklight:

    04/22/09 08:50:31 [Info]: BlackLight Engine 2.2.1092 initialized
    04/22/09 08:50:31 [Info]: OS: 5.1 build 2600 (Service Pack 3)
    04/22/09 08:50:32 [Note]: 7019 4
    04/22/09 08:50:32 [Note]: 7005 0
    04/22/09 08:50:38 [Note]: 7006 0
    04/22/09 08:50:38 [Note]: 7011 1472
    04/22/09 08:50:38 [Note]: 7035 0
    04/22/09 08:50:38 [Note]: 7026 0
    04/22/09 08:50:38 [Note]: 7026 0
    04/22/09 08:50:40 [Note]: FSRAW library version 1.7.1024
    04/22/09 08:56:21 [Note]: 7007 0

    catchme:

    catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
    http://www.gmer.net

    scanning hidden processes ...

    scanning hidden services ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0
  9. 22.04.2009, 12:55 #8
    bLacK_dRaSanG bLacK_dRaSanG ist offline
    Avatar von bLacK_dRaSanG

    AW: Virus!?

    Rootkits wurden nicht gefunden.

    Die genannten Dateien, brauchst du auch nicht mehr hochladen, ich könnte sie mittlerweile als unschädlich abstempeln.

    Dafür lade diese Dateien auf VirusTotal - Free Online Virus and Malware Scan hoch und das Ergebnis posten:
    Code:
    c:\dokumente und einstellungen\R###\Anwendungsdaten\wklnhst.dat
c:\dokumente und einstellungen\R###\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\R###\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

c:\windows\system32\A3DA537E26.sys
c:\windows\system32\KGyGaAvL.sys

C:\WINDOWS\system32\CmUCReye.exe
c:\windows\system32\DRIVERS\cmiucr.SYS

Falls du keine chinesiche/japanische Übersetzung im Internet Explorer verwendest auch hochladen:
C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE
C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe
C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE 
C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

Falls du keine Chicony-Tastatur verwendest, auch hochladen:
c:\windows\mHotkey.exe
c:\windows\CNYHKey.exe
c:\windows\ShowWnd.exe
    Die chinesiche/japanische Text Übersetzung im Internet Explorer, wird sie von dir verwendet und benutzt du eine Chicony-Tastatur?
    Diese traten häufig im Zusammenhang auf, was mach erstmal skeptisch machte.



    mfg
    bLacK_dRaSanG
  10. 27.04.2009, 18:56 #9
    Gini Gini ist offline

    AW: Virus!?

    Hi,

    Jetzt habe ich mich länger nicht gemeldet, sorry dafür.
    Ich hatte jobmäßig enorm viel zu tun.

    Ja du hast recht, ich benutze eine Chicony-Tastatur, aber die chinesisch/japanische Übersetzung benutze ich nicht, jedenfalls nicht dass ich wüsste.

    So, morgen werde ich die genannten Dateien hochladen, heute schaffe ich es nicht mehr.

    Danke nochmal für die Hilfe bis jetzt

    lg gini
« Windows XP starten nicht möglich! Boot probleme! | Gedownloadene Bildschirmschoner in XP hinzufügen ?? »

Ähnliche Themen

  1. BKA Virus?!

    BKA Virus?!: Hallo, als ich gerade mein Pc gestarten habe, öffnete sich ein Fenster, der den Hintergrund (Explorer) blockiert. Darin ist ein Text enthalten, wie...
  2. msn virus o.O

    msn virus o.O: Ich weiß nicht ob ich hier richtig bin aber ich habe einen link angecklickt bei msn den ich von einer freundin bekommen habe, jetzt schickt msn...
  3. ICQ Virus?

    ICQ Virus?: Hallo liebe User :) Ich hätte da mal eine Frage unzwar in letzter Zeit werde ich ständig von irgendwelchen ICQ Nummern aus Russland geaddet....
  4. Virus

    Virus: Hallo Ich hab im Moment ein großes Problem vermutlich mit einem Virus, da ich von viren auf der wii bisher nichts wusste hoff ich ihr könnt mir...
  5. Virus?!?!

    Virus?!?!: also es ist so... ich war im internet. dann ging ich auf google und da stand bei mir mitten in der seite ich hab einen virus drauf der mir...