Trojanerbefall und anderes

[Pipella]

Hallo zusammen

Trojaner haben meinen Compi befallen. Avira hat diese gefunden und repariert. Am nächsten Tag waren die alle wieder da. Habe also mal die Systemwiederherstellung deaktiviert. Heute morgen hat dann Avira nichts mehr gefunden. Gestern habe ich mir Glary Utilities runtergeladen und durchlaufen lassen.

Nach dem Trojanerbefall sind die lokalen Einstellungen verschwunden und ich kann sie nicht mehr sichtbar machen, auch nicht, wenn ich die beiden Häckchen bei Extras, Ordneroptionen, Ansicht rausnehme. Es wird einfach nicht übernommen.

Auch kann ich nicht mehr über Arbeitsplatz, System C auf meine Ordner zugreifen. Es steht dort: Wählen Sie das Programm... und es zeigt an viele Programme an.

Liebe Forumteilnehmende, wie ihr sicher bemerkt, bin ich keine Heldin in Computersachen und deshalb dringend auf eure Hilfe angewiesen.

Ich sende liebe Grüsse aus Paraguay und warte gespannt auf Antworten von euch.

Pipella

 

[Swisstreasure]

Hallo Pipella und herzlich Willkomen im PC-Tipp Forum

Arbeite folgendes genau nach ANleitung durch und poste die Logs:

>>
Lösche die temp Dateien mit CCleaner:
Download

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/too...warebytes.html

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel.../combofix.html

>>
Erstelle ein HiJACKThis Log und poste es hier:
Anleitung

Gruss Swiss

 

[Pipella]

Was ist posten?

Hallo Swiss

Danke für deine Antwort. Wie ich bereits geschrieben habe, komme ich beim Compi nicht draus. Was ist posten?

Gruss von

Pipella

 

[Dragonlord]

Posten

Posten bedeutet, dass Du nachher die Reports die Du erhälst beim ausführen der Programme/Tools hier im Forum veröffentlichen sollst.

lg Roger

 

[Swisstreasure]

Einfach genau ein Schritt nach dem anderen abarbeiten. Ist jeweils im Link genau beschrieben?

Wenns dennoch nicht klappt dan meled Dich per Privat Nachricht,

Gruss Swiss

 

[Pipella]

Geposted Malewarebytes und Hijack

Hallo Swiss

Hier das Logfile von Malewarebytes

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2185
Windows 5.1.2600 Service Pack 3

27.05.2009 11:23:47
mbam-log-2009-05-27 (11-23-47).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 124169
Laufzeit: 37 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\smdat32a.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\Windows\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.



Und hier das letzte Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:49:03, on 27.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Hotkey 1.0.4\FuncKey.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avmailc.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.losstarten.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [FuncKey] "C:\Programme\Hotkey 1.0.4\FuncKey.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Uninstall DeepBurner.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1225401705953
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D28197F-D688-40AD-8517-674C3358BE52}: NameServer = 200.85.55.202,200.85.32.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5245 bytes

Gruss Pipella

 

[Pipella]

Logfile von Combofix

Hallo Swiss

Hier das Logfile von Combofix:

Hier die Logdatei von Combofix

ComboFix 09-05-26.05 - Brigitte 27.05.2009 11:41.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.446.162 [GMT -4:00]
ausgeführt von:: c:\dokumente und einstellungen\Brigitte\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\windows\system32\mdm.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-04-27 bis 2009-05-27 ))))))))))))))))))))))))))))))
.

2009-05-27 14:39 . 2009-05-27 14:39 -------- d-----w c:\dokumente und einstellungen\Brigitte\Anwendungsdaten\Malwarebytes
2009-05-27 14:39 . 2009-05-26 17:20 40160 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-27 14:39 . 2009-05-27 14:39 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-27 14:39 . 2009-05-26 17:19 19096 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-27 14:39 . 2009-05-27 14:39 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-27 14:28 . 2009-05-27 14:28 -------- d-sh--w c:\dokumente und einstellungen\Brigitte\IECompatCache
2009-05-27 14:22 . 2009-05-27 14:22 -------- d-----w c:\programme\CCleaner
2009-05-26 19:36 . 2009-05-26 19:46 -------- d-----w c:\dokumente und einstellungen\Brigitte\Anwendungsdaten\GlarySoft
2009-05-26 19:30 . 2009-05-26 19:30 -------- d-----w c:\programme\Glary Utilities
2009-05-26 19:28 . 2009-05-26 19:29 5649472 ----a-w c:\programme\gusetupnew.exe
2009-05-25 12:11 . 2009-05-25 12:11 -------- d-sh--w c:\dokumente und einstellungen\Brigitte\PrivacIE
2009-05-24 22:10 . 2009-05-25 17:00 -------- d-----w c:\dokumente und einstellungen\Brigitte\Anwendungsdaten\vlc
2009-05-24 22:08 . 2009-05-24 22:08 -------- d-----w c:\programme\VideoLAN
2009-05-24 21:59 . 2009-05-24 22:08 16742799 ----a-w c:\programme\vlc-0.9.9-win32.exe
2009-05-24 21:31 . 2009-05-24 21:31 -------- d-----w c:\dokumente und einstellungen\Brigitte\Anwendungsdaten\Avira
2009-05-24 20:10 . 2009-03-30 14:33 96104 ----a-w c:\windows\system32\drivers\avipbb.sys
2009-05-24 20:10 . 2009-02-13 16:29 22360 ----a-w c:\windows\system32\drivers\avgntmgr.sys
2009-05-24 20:10 . 2009-02-13 16:17 45416 ----a-w c:\windows\system32\drivers\avgntdd.sys
2009-05-24 20:10 . 2009-05-25 17:02 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-05-24 19:56 . 2009-05-24 20:06 31891256 ----a-w c:\programme\avira_antivir_premium_de.exe
2009-05-24 19:51 . 2009-05-25 17:02 -------- d-----w c:\programme\eMule
2009-05-24 19:13 . 2009-05-25 15:27 -------- d-----w c:\windows\system32\NtmsData
2009-05-24 18:58 . 2009-05-24 18:58 -------- d-----r c:\dokumente und einstellungen\LocalService\Favoriten
2009-05-24 18:57 . 2009-05-24 18:57 -------- d-sh--w c:\dokumente und einstellungen\LocalService\IETldCache
2009-05-24 17:38 . 2009-05-24 17:38 -------- d-----w c:\programme\Avira
2009-05-23 16:12 . 2009-05-23 16:23 -------- d-----w C:\CATALOGO
2009-05-21 10:21 . 2009-05-21 10:21 -------- d-sh--w c:\dokumente und einstellungen\Brigitte\IETldCache
2009-05-21 10:20 . 2009-05-21 10:20 -------- d-----w c:\windows\ie8updates
2009-05-21 10:19 . 2009-04-25 05:30 102400 ------w c:\windows\system32\dllcache\iecompat.dll
2009-05-21 10:16 . 2009-05-21 10:19 -------- dc-h--w c:\windows\ie8
2009-05-19 11:21 . 2009-05-19 19:55 -------- d-----w C:\Musik von Mexiko
2009-05-17 13:25 . 2009-05-17 13:25 -------- d-----w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-05-16 12:23 . 2009-05-19 21:33 -------- d-----w c:\dokumente und einstellungen\Brigitte\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2009-05-05 10:52 . 2009-05-05 12:24 -------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-05-05 10:36 . 2009-05-05 10:51 23976504 ----a-w c:\programme\sdasetup.exe
2009-05-01 18:30 . 2009-05-01 18:30 3366912 ----a-w c:\windows\system32\GPhotos.scr
2009-04-29 15:04 . 2009-02-06 10:10 227840 ------w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-29 15:04 . 2009-03-06 14:19 286720 ------w c:\windows\system32\dllcache\pdh.dll
2009-04-29 15:04 . 2009-02-09 11:21 111104 ------w c:\windows\system32\dllcache\services.exe
2009-04-29 15:04 . 2009-02-09 10:51 401408 ------w c:\windows\system32\dllcache\rpcss.dll
2009-04-29 15:03 . 2009-02-09 10:51 473600 ------w c:\windows\system32\dllcache\fastprox.dll
2009-04-29 15:03 . 2009-02-09 10:51 678400 ------w c:\windows\system32\dllcache\advapi32.dll
2009-04-29 15:03 . 2009-02-09 10:51 736768 ------w c:\windows\system32\dllcache\lsasrv.dll
2009-04-29 15:03 . 2009-02-09 10:51 453120 ------w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-29 15:03 . 2009-02-09 10:51 740352 ------w c:\windows\system32\dllcache\ntdll.dll
2009-04-29 14:50 . 2008-04-21 21:13 217600 ------w c:\windows\system32\dllcache\wordpad.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-25 17:00 . 2008-05-14 10:53 -------- d-----w c:\dokumente und einstellungen\Brigitte\Anwendungsdaten\dvdcss
2009-05-24 14:47 . 2006-03-02 11:49 64848 ----a-w c:\windows\system32\perfc007.dat
2009-05-24 14:47 . 2006-03-02 11:49 393086 ----a-w c:\windows\system32\perfh007.dat
2009-05-20 12:47 . 2007-07-30 13:49 -------- d-----w c:\programme\ZKB Onba
2009-05-19 14:56 . 2008-12-29 17:07 -------- d-----w c:\programme\Kalenderchen
2009-05-18 15:15 . 2008-07-23 15:21 -------- d-----w c:\programme\Sudoku XP
2009-05-17 13:25 . 2008-08-04 16:12 -------- d-----w c:\programme\Picasa2
2009-05-16 20:23 . 2008-08-17 15:23 -------- d-----w c:\dokumente und einstellungen\Brigitte\Anwendungsdaten\Vso
2009-04-29 14:55 . 2009-01-09 09:09 410984 ----a-w c:\windows\system32\deploytk.dll
2009-04-29 14:55 . 2007-07-26 15:05 -------- d-----w c:\programme\Java
2009-04-29 14:55 . 2009-03-31 17:38 152576 ----a-w c:\dokumente und einstellungen\Brigitte\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-02 18:24 . 2009-04-02 18:24 -------- d-----w c:\programme\Trend Micro
2009-04-02 18:23 . 2009-04-02 18:23 812344 ----a-w c:\programme\HJTInstall202.exe
2009-03-24 20:08 . 2009-03-31 17:30 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-03-08 08:34 . 2006-03-02 11:49 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 08:34 . 2006-03-02 11:48 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 08:33 . 2006-03-02 11:48 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 08:33 . 2006-03-02 11:49 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 08:32 . 2006-03-02 11:48 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 08:32 . 2006-03-02 11:48 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 08:31 . 2006-03-02 11:48 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 08:31 . 2006-03-02 11:49 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 08:31 . 2006-03-02 11:49 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 08:22 . 2006-03-02 11:49 156160 ----a-w c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2006-03-02 11:49 286720 ----a-w c:\windows\system32\pdh.dll
2008-12-29 17:06 . 2008-12-29 17:06 1001352 ----a-w c:\programme\Kalenderchen4.exe
2008-08-17 14:35 . 2008-08-17 14:14 15915008 ----a-w c:\programme\vsoConvertXtoDVD3_setup.exe
2008-08-04 16:12 . 2008-08-04 16:06 6104632 ----a-w c:\programme\picasaweb-current-setup.exe
2008-04-22 23:52 . 2008-04-22 23:51 2782994 ----a-w c:\programme\DeepBurner19.exe
2008-03-17 13:53 . 2008-03-17 13:53 3400299 ----a-w c:\programme\banana500_install_ger.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2005-04-16 172032]
"FuncKey"="c:\programme\Hotkey 1.0.4\FuncKey.exe" [2006-07-27 122880]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"Samsung Common SM"="c:\windows\Samsung\ComSMMgr\ssmmgr.exe" [2004-05-17 360448]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-29 148888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2006-08-03 53248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Windows\\system32\\dpvsetup.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [24.05.2009 16:10 194817]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.05.2009 16:10 108289]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [24.05.2009 16:10 432897]
R3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [26.07.2007 18:39 659456]
S3 AVPsys;AVPsys;c:\windows\system32\drivers\cdaudio.sys [02.03.2006 07:49 18688]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-05-27 c:\windows\Tasks\GlaryInitialize.job
- c:\programme\Glary Utilities\initialize.exe [2009-05-26 13:49]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-procexp90.Sys


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.losstarten.de/
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: {1D28197F-D688-40AD-8517-674C3358BE52} = 200.85.55.202,200.85.32.2
FF - ProfilePath - c:\dokumente und einstellungen\Brigitte\Anwendungsdaten\Mozilla\Firefox\Profiles\wtfjm6fk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.ch/
FF - plugin: c:\programme\Picasa2\npPicasa3.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-27 11:42
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(868)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2009-05-27 11:44
ComboFix-quarantined-files.txt 2009-05-27 15:44

Vor Suchlauf: 22 Verzeichnis(se), 17'352'437'760 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 18'496'057'344 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

173 --- E O F --- 2009-05-21 10:20

 

[Pipella]

Viiiiieeeellllleeennnn Dank

Hallo Swiss

Alles funktioniert jetzt wieder. Bin dir unendlich dankbar!

Sag mal, soll man in gewissen Abständen den Cleaner und Malewarebytes durchlaufen lassen oder genügt Avira Premium?

Grüsse von

Pipella

 

[Swisstreasure]

>>
Ist noch nicht alles :)

1.
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

2.
Lasse folgende Datei bei VIRUSTOTAL prüfen und poste das Ergebnis:

c:\programme\gusetupnew.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

3.
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.losstarten.de/

und wähle fix checked.

Starte den Rechner neu.

4.
Wende GMER an und poste das Log:
http://virus-protect.org/artikel/tools/gmer.html

5.
Deine Internetverbindung geht hierhin:

200.85.55.202
address: Zavala Cue y Artiller� n/d, n/d
address: 0000 - Fernando de La Mora - Zona Sur -
address: Zavala Cue y Artilleria, n/d, n/d
address: 0000 - Fernando de La Mora - Zona Sur - -
address: Zavala Cue y Artilleria, n/d, n/d
address: 0000 - Fernando de La Mora - Zona Sur -

Passt das zu deinem Internetprovider in Paraguay?

6.
Welche Avira Version hast Du?

Gruss Swiss

 

[Pipella]

Hallo Swiss

Hier das erste Resultat:


Die Datei wurde bereits analysiert:
MD5: df7c0f2b0704653355f1051ba5f34935
First received: 2009.03.23 13:07:35 UTC
Datum 2009.05.14 16:32:29 UTC [>13D]
Ergebnisse 0/39
Permalink: analisis/452b3580fbc61415c16d6b8cbc5878cf7f07df845d3f4a53c1e0aa66f1f5f259-1242318749

Hallo Swiss

Hier das Logfile. Muss jetzt weg, komme aber nachher nochmals.

Gruss

Pipella

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-28 08:39:48
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT F7BC51AE ZwCreateKey
SSDT F7BC51A4 ZwCreateThread
SSDT F7BC51B3 ZwDeleteKey
SSDT F7BC51BD ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xF73EA84C]
SSDT sptd.sys ZwEnumerateValueKey [0xF73EABEC]
SSDT F7BC51C2 ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xF73E5090]
SSDT F7BC5190 ZwOpenProcess
SSDT F7BC5195 ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF73EACC4]
SSDT sptd.sys ZwQueryValueKey [0xF73EAB44]
SSDT F7BC51CC ZwReplaceKey
SSDT F7BC51C7 ZwRestoreKey
SSDT F7BC51B8 ZwSetValueKey
SSDT F7BC519F ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F66C28AC 5 Bytes JMP 846A71B8

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F73E5ABA] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F73E5C00] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73E5B82] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F73E672E] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73E6604] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F73F8B9A] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 847531D8
Device \Driver\NetBT \Device\NetBT_Tcpip_{1D28197F-D688-40AD-8517-674C3358BE52} 844BC980
Device \Driver\usbuhci \Device\USBPDO-0 846A61D8
Device \Driver\usbuhci \Device\USBPDO-1 846A61D8
Device \Driver\usbuhci \Device\USBPDO-2 846A61D8
Device \Driver\usbuhci \Device\USBPDO-3 846A61D8
Device \Driver\usbehci \Device\USBPDO-4 8469D980
Device \Driver\Ftdisk \Device\HarddiskVolume1 847D81D8
Device \Driver\Cdrom \Device\CdRom0 846A0980
Device \Driver\NetBT \Device\NetBt_Wins_Export 844BC980
Device \FileSystem\Cdfs \Cdfs 84264980

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -1664882165
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 209282192

---- EOF - GMER 1.0.15 ----

 

[Swisstreasure]

Die Datei wurde bereits analysiert:

Dann wähle bei Virustotal: erneut analysieren und poste das Log.

>>
Was meinst Du zu deinem Provider? trifft der Eintrag zu?

>>
Stelle Dein Avira Antivir so ein wie hier beschrieben. Zusätzlich Rootkitsuche anwählen. UPDATE dein Antivir und scanne all deine Festplatten, funde in Quarantäne verschieben lassen. Poste das Log.
(Nach dem scanen, Einstellungen wieder zurücksetzen)
http://board.protecus.de/t23979.htm

Gruss Swiss

 

[Pipella]

Virustotal

Hallo Swiss

Also, ich denke das mit dem Provider trifft zu. Meintest du das mit dem Logfile von Virustotal:

Datei gusetupnew.exe empfangen 2009.05.14 16:32:29 (UTC)
Status: Beendet
Ergebnis: 0/39 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.14 -
AhnLab-V3 5.0.0.2 2009.05.14 -
AntiVir 7.9.0.166 2009.05.14 -
Antiy-AVL 2.0.3.1 2009.05.14 -
Authentium 5.1.2.4 2009.05.13 -
Avast 4.8.1335.0 2009.05.13 -
AVG 8.5.0.327 2009.05.14 -
BitDefender 7.2 2009.05.14 -
CAT-QuickHeal 10.00 2009.05.14 -
ClamAV 0.94.1 2009.05.14 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.14 -
eSafe 7.0.17.0 2009.05.14 -
eTrust-Vet 31.6.6505 2009.05.14 -
F-Prot 4.4.4.56 2009.05.13 -
F-Secure 8.0.14470.0 2009.05.14 -
Fortinet 3.117.0.0 2009.05.14 -
GData 19 2009.05.14 -
Ikarus T3.1.1.49.0 2009.05.14 -
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.14 -
McAfee 5614 2009.05.13 -
McAfee+Artemis 5614 2009.05.13 -
McAfee-GW-Edition 6.7.6 2009.05.14 -
Microsoft 1.4602 2009.05.14 -
NOD32 4076 2009.05.14 -
Norman 6.01.05 2009.05.14 -
nProtect 2009.1.8.0 2009.05.14 -
Panda 10.0.0.14 2009.05.13 -
PCTools 4.4.2.0 2009.05.13 -
Prevx 3.0 2009.05.14 -
Rising 21.29.34.00 2009.05.14 -
Sophos 4.41.0 2009.05.14 -
Sunbelt 3.2.1858.2 2009.05.14 -
Symantec 1.4.4.12 2009.05.14 -
TheHacker 6.3.4.1.325 2009.05.13 -
TrendMicro 8.950.0.1092 2009.05.14 -
VBA32 3.12.10.5 2009.05.14 -
ViRobot 2009.5.14.1735 2009.05.14 -
weitere Informationen
File size: 5649472 bytes
MD5 : df7c0f2b0704653355f1051ba5f34935
SHA1 : 1247b3bec397bbea0f212b41224323c6861d7e0c
SHA256: 452b3580fbc61415c16d6b8cbc5878cf7f07df845d3f4a53c1e0aa66f1f5f259
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x991C
timedatestamp.....: 0x2A425E19 (Sat Jun 20 00:22:17 1992)
machinetype.......: 0x14C (Intel I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x9040 0x9200 6.54 3fc23a57f6f12a4277db04cb09d7c497
DATA 0xB000 0x248 0x400 2.71 9981120c17987c8a6e66ed14ebd1c6dd
BSS 0xC000 0xE34 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xD000 0x950 0xA00 4.43 bb5485bf968b970e5ea81292af2acdba
.tls 0xE000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xF000 0x18 0x200 0.20 9ba824905bf9c7922b6fc87a38b74366
.reloc 0x10000 0x8A4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x11000 0x2800 0x2800 4.47 201a284aa76916a8a3e205f3d3ed51fc

( 5 imports )

> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges
> comctl32.dll: InitCommonControls
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, WideCharToMultiByte, TlsSetValue, TlsGetValue, MultiByteToWideChar, GetModuleHandleA, GetLastError, GetCommandLineA, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetSystemTime, GetFileType, ExitProcess, CreateFileA, CloseHandle, WriteFile, VirtualQuery, VirtualProtect, VirtualFree, VirtualAlloc, Sleep, SizeofResource, SetLastError, SetFilePointer, SetErrorMode, SetEndOfFile, RemoveDirectoryA, ReadFile, LockResource, LoadResource, LoadLibraryA, IsDBCSLeadByte, GetWindowsDirectoryA, GetVersionExA, GetUserDefaultLangID, GetSystemInfo, GetSystemDefaultLCID, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetCurrentProcess, GetCommandLineA, GetACP, InterlockedExchange, FormatMessageA, FindResourceA, DeleteFileA, CreateProcessA, CreateFileA, CreateDirectoryA, CloseHandle
> oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysAllocStringLen
> user32.dll: MessageBoxA, TranslateMessage, SetWindowLongA, PeekMessageA, MsgWaitForMultipleObjects, MessageBoxA, LoadStringA, ExitWindowsEx, DispatchMessageA, DestroyWindow, CreateWindowExA, CallWindowProcA, CharPrevA

( 0 exports )
TrID : File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
ssdeep: 98304:Kn/7EWLegTmULOmEJxBC+06sxKuJdpz7NfhVfARXVkLptTTRacATtws0CWkqsh:i/7weLNEJxBCB6sYYZZ+V6pldaJTtwp6
PEiD : -
packers (Kaspersky): PE_Patch, PE_Patch, PE_Patch, PE_Patch, PE_Patch, PE_Patch, PE_Patch, PE_Patch, PE_Patch, PE_Patch, PE_Patch, PE_Patch, PE_Patch, PE_Patch, PE_Patch
RDS : NSRL Reference Data Set

 

[Pipella]

Avira

Hallo Swiss

Ich finde die Einstellungen nicht bei Avira Premium. Wo sind die denn?

Gruss

Pipella

 

[Swisstreasure]

Hast du du Version 9?

 

[Pipella]

Avira Version

Hallo Swiss

Ich weiss nicht, welche Version es ist, habe sie am letzten Sonntag gekauft. Gehe also davon aus, dass es die neuste Version ist.

Sag mal, kann ich dass germ.exe löschen?

Sorry Swiss, aber wie gesagt, bin ich ein Compi-Depp.

Gruss

Pipella

 

[Swisstreasure]

Geh auf folgende Seite:
http://www.paules-pc-forum.de/forum...-avira-antivir-anleitung-zur-einrichtung.html

Scrolle etwa in die Mitte zu:
Weitere Einstellungen

Und stelle es so ein wie von da an beschrieben. Dann mache einen Scan.

Lösche noch keine Programme.

Gruss Swiss

 

[Pipella]

Logfile Avira

Hallo Swiss

Alles gemacht, was du geschrieben hast. Antivir hat keine Funde gezeigt, dafür 3 Warnungen. Wie gehts nun weiter?

vira AntiVir Premium
Erstellungsdatum der Reportdatei: Donnerstag, 28. Mai 2009 13:24

Es wird nach 1433136 Virenstämmen gesucht.

Lizenznehmer : Brigitte Reinhard
Seriennummer : 2202072662-PEPWE-0001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : FSC031217072607

Versionsinformationen:
BUILD.DAT : 9.0.0.430 21382 Bytes 17.04.2009 10:41:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 17.04.2009 13:57:24
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 17:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 16:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 15:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 01:33:26
ANTIVIR2.VDF : 7.1.4.0 2336768 Bytes 20.05.2009 20:16:35
ANTIVIR3.VDF : 7.1.4.33 293376 Bytes 28.05.2009 17:23:23
Engineversion : 8.2.0.180
AEVDF.DLL : 8.1.1.1 106868 Bytes 24.05.2009 20:17:07
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 24.05.2009 20:17:06
AESCN.DLL : 8.1.2.3 127347 Bytes 24.05.2009 20:17:03
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 23:24:41
AEPACK.DLL : 8.1.3.18 401783 Bytes 28.05.2009 10:39:46
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 01:01:56
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 24.05.2009 20:16:57
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 01:01:56
AEGEN.DLL : 8.1.1.44 348532 Bytes 24.05.2009 20:16:42
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 19:32:40
AECORE.DLL : 8.1.6.12 180599 Bytes 28.05.2009 10:39:28
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 19:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 13:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 16:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 19:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 20:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 20:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 15:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 20:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 13:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 20:41:21
RCIMAGE.DLL : 9.0.0.21 2622721 Bytes 09.02.2009 16:15:27
RCTEXT.DLL : 9.0.37.0 90881 Bytes 17.04.2009 14:41:38

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 28. Mai 2009 13:24

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '40615' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Kalenderchen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'emule.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PicasaMediaDetector.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSMMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FuncKey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '37' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '57' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Windows\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Donnerstag, 28. Mai 2009 13:59
Benötigte Zeit: 35:24 Minute

Der Suchlauf wurde vollständig durchgeführt.

3559 Verzeichnisse wurden überprüft
292594 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
292591 Dateien ohne Befall
6788 Archive wurden durchsucht
3 Warnungen
2 Hinweise
40615 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

 

[Swisstreasure]

Die Warnungen kannst du ignorieren.


>>
OTMoveIt3.exe
bleepingcomputer.com


->OTMoveIt3.exe auf dem Desktop speichern

OTMoveIt.exe klicken


1. klicken: CleanUp! button

2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!)

3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

so wird von OTMoveIt automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.

>>
Noch Probleme? Ansonsten Happy Surfing.

Gruss swiss

 

[Pipella]

Erledigt

Hoi Swiss

Gemacht. soll ich nun gmer-exe löschen? Was ich noch wissen möchte, ob ich gelegentlich den Cleaner und die Malewarebytes laufen lassen soll?

Auf jeden Fall danke ich dir ganz herzlich für deine Geduld.

Liebe Grüsse aus Paraguay

Pipella

 

[Swisstreasure]

Ja, nun kannst du die Programme wieder löschen.

Ccleaner solltest du ab und zu laufen lassen. So einmal pro Woche.

Malwarebytes so all Monate mal. Aber vorher immer Updaten.

Gruss swiss