Avira AntiVir

Hallo

ich habe irgendein Problem und zwar wenn ich mit AntiVir meinen Pc durchsuche dann bleibt er immer bei ca. 30% stehen und zwar bei folgender Datei: C:/ System Volume Information/.........exe! Wenn ich im explorer diese bestimmte Datei suchen will find ich sie nicht.
Könnte sich hinter dem ein Virus verstecken oder so was?
Was soll ich tun?


Vielen Dank im Vorraus

[Rolf]

Hallo, du solltest dein System auf Malware prüfen
dazu bitte diese Seite abarbeiten
http://www.paules-pc-forum.de/phpBB2/topic,98281.html

Gruß
Rolf

DRWEB:

dcsm.exe\data002 C:\Programme\Gemeinsame Dateien\DriveCleaner Freeware\dcsm.exe Trojan.DownLoader.32655
dcsm.exe C:\Programme\Gemeinsame Dateien\DriveCleaner Freeware Archiv enthält infizierte Objekte Verschoben.
A0009609.exe C:\System Volume Information\_restore{9E680683-6EBB-4787-994F-A1945D49D1B7}\RP126 Trojan.DownLoader.origin Nicht desinfizierbar.Verschoben.
A0010306.exe C:\System Volume Information\_restore{9E680683-6EBB-4787-994F-A1945D49D1B7}\RP128 Tool.Prockill
A0010385.exe C:\System Volume Information\_restore{9E680683-6EBB-4787-994F-A1945D49D1B7}\RP128 Tool.Prockill
A0011112.exe\data002 C:\System Volume Information\_restore{9E680683-6EBB-4787-994F-A1945D49D1B7}\RP128\A0011112.exe Trojan.DownLoader.32655
A0011112.exe C:\System Volume Information\_restore{9E680683-6EBB-4787-994F-A1945D49D1B7}\RP128 Archiv enthält infizierte Objekte Verschoben.

AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 20:36:02 24.01.2008

+ Scan-Ergebnis:



C:\System Volume Information\_restore{9E680683-6EBB-4787-994F-A1945D49D1B7}\RP128\A0010302.exe -> Downloader.Small : Keine Aktion durchgeführt.
D:\System Volume Information\_restore{9E680683-6EBB-4787-994F-A1945D49D1B7}\RP126\A0009663.exe -> Not-A-Virus.Adware.TrafficSol : Keine Aktion durchgeführt.
D:\System Volume Information\_restore{9E680683-6EBB-4787-994F-A1945D49D1B7}\RP128\A0010737.exe -> Not-A-Virus.Adware.TrafficSol : Keine Aktion durchgeführt.
:mozilla.18:C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Mozilla\Firefox\Profiles\bfdpbg6n.defaul t\cookies.txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
:mozilla.16:C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Mozilla\Firefox\Profiles\bfdpbg6n.defaul t\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.17:C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Mozilla\Firefox\Profiles\bfdpbg6n.defaul t\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.7:C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Mozilla\Firefox\Profiles\bfdpbg6n.defaul t\cookies.txt -> TrackingCookie.Netflame : Keine Aktion durchgeführt.


::Berichtende

PPF

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

24.01.2008 WindowsUpdate.log 21 32:1.167.010
24.01.2008 wiadebug.log 17 18:159
24.01.2008 wiaservc.log 17 17:50
24.01.2008 bootstat.dat 17 17:2.048
24.01.2008 SchedLgU.Txt 17 13:32.618
22.01.2008 Thumbs.db 21 34:3.584
28.12.2007 NeroDigital.ini 12 55:116
24.12.2007 Iedit.INI 12 33:30
22.12.2007 win.ini 16 40:621
09.12.2007 vbaddin.ini 20 08:87
09.12.2007 CD_Start.INI 15 11:32
11.11.2007 Rechblat.INI 17 06:0
11.11.2007 FUNKPLOT.INI 17 05:0
08.11.2007 cdplayer.ini 20 28:100
09.09.2007 mozver.dat 10 30:1.546
20.08.2007 d3dx.dat 22 24:4.096
DX5000EFDG.ini 03.08.2007 CDE 12 32:25
02.08.2007 nsreg.dat 22 18:0
02.08.2007 WMSysPr9.prx 09 17:316.640
02.08.2007 ODBC.INI 08 04:400
01.08.2007 Sti_Trace.log 13 04:0
01.08.2007 system.ini 13 02:231
01.08.2007 HideWin.exe 11 30:315.392
01.08.2007 REGLOCS.OLD 11 16:8.192
01.08.2007 control.ini 11 13:0
01.08.2007 ODBCINST.INI 11 12:4.161
01.08.2007 WindowsShell.Manifest 11 12:749


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

24.01.2008 wpa.dbl 17 09:2.206
23.01.2008 perfh009.dat 19 54:406.024
23.01.2008 perfc009.dat 19 54:63.606
23.01.2008 perfh007.dat 19 54:421.602
23.01.2008 perfc007.dat 19 54:77.096
11.12.2007 TZLog.log 20 41:387.188
03.12.2007 MRT.exe 00 00:18.684.536
01.12.2007 PerfStringBackup.INI 13 09:940.154
14.11.2007 jscript.dll 08 18:450.560
13.11.2007 tzchange.exe 12 31:60.416
30.10.2007 mshtml.dll 10 56:3.086.848
29.10.2007 quartz.dll 23 35:1.293.312
29.10.2007 xpsp3res.dll 16 07:373.760
25.10.2007 shell32.dll 17 42:8.501.248
20.10.2007 wmasf.dll 06 01:227.328
19.10.2007 jupdate-1.6.0_03-b05.log 21 59:5.686
11.10.2007 wininet.dll 06 58:671.744
11.10.2007 urlmon.dll 06 58:620.032
11.10.2007 shlwapi.dll 06 58:474.624
11.10.2007 shdocvw.dll 06 58:1.498.112
11.10.2007 mstime.dll 06 58:532.480
11.10.2007 pngfilt.dll 06 58:39.424
11.10.2007 msrating.dll 06 58:146.432
11.10.2007 mshtmled.dll 06 58:449.024
11.10.2007 dxtmsft.dll 06 58:357.888
11.10.2007 iepeers.dll 06 58:251.904
11.10.2007 inseng.dll 06 58:96.768
11.10.2007 danim.dll 06 58:1.056.256
11.10.2007 extmgr.dll 06 58:55.808
11.10.2007 jsproxy.dll 06 58:16.384
11.10.2007 dxtrans.dll 06 58:205.824
11.10.2007 cdfview.dll 06 58:152.064
11.10.2007 browseui.dll 06 58:1.024.000
24.09.2007 javacpl.cpl 22 31:69.632
24.09.2007 javaws.exe 22 31:139.264
24.09.2007 javaw.exe 21 30:135.168
24.09.2007 java.exe 21 30:135.168
09.09.2007 jupdate-1.6.0_02-b06.log 10 29:5.214
21.08.2007 inetcomm.dll 07 25:683.520
14.08.2007 FNTCACHE.DAT 11 23:160.344
09.08.2007 rmoc3260.dll 20 24:176.167
09.08.2007 pndx5016.dll 20 24:6.656
09.08.2007 pndx5032.dll 20 24:5.632
09.08.2007 pncrt.dll 20 24:278.528
01.08.2007 h323log.txt 13 07:0
01.08.2007 BuzzingBee.wav 11 36:146.650
01.08.2007 LoopyMusic.wav 11 36:940.794


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****


Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 28 K
System 4 Console 0 64 K
smss.exe 532 Console 0 72 K
csrss.exe 596 Console 0 1.800 K
winlogon.exe 624 Console 0 2.840 K
services.exe 668 Console 0 1.544 K
lsass.exe 680 Console 0 1.500 K
ati2evxx.exe 836 Console 0 212 K
svchost.exe 860 Console 0 1.544 K
svchost.exe 980 Console 0 1.348 K
svchost.exe 1060 Console 0 12.272 K
svchost.exe 1112 Console 0 992 K
ati2evxx.exe 1152 Console 0 668 K
svchost.exe 1208 Console 0 444 K
explorer.exe 1472 Console 0 7.148 K
spoolsv.exe 1528 Console 0 740 K
avguard.exe 1592 Console 0 9.432 K
adminsvcff.exe 1892 Console 0 972 K
sched.exe 1912 Console 0 2.400 K
svchost.exe 2000 Console 0 1.432 K
wdfmgr.exe 216 Console 0 72 K
alg.exe 1364 Console 0 200 K
RTHDCPL.exe 1800 Console 0 1.648 K
jusched.exe 1704 Console 0 140 K
avgnt.exe 1132 Console 0 808 K
realsched.exe 1336 Console 0 220 K
E_FATIBVE.EXE 1604 Console 0 544 K
firefox.exe 3720 Console 0 50.744 K
guard.exe 1944 Console 0 13.768 K
avgas.exe 1044 Console 0 2.632 K
NOTEPAD.EXE 2812 Console 0 3.572 K
WinRAR.exe 3300 Console 0 8.764 K
cmd.exe 3064 Console 0 2.064 K
tasklist.exe 3136 Console 0 4.312 K
wmiprvse.exe 2780 Console 0 5.692 K



Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 24.01.2008 um 22:53:48,18 ***


Logfile of HijackThis v1.99.1
Scan saved at 22:55:10, on 24.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX00.578\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/de/ý
R3 - URLSearchHook: Coolstreaming_Tool-Bar_v1.0 toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programme\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Coolstreaming_Tool-Bar_v1.0 toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programme\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll
O3 - Toolbar: Coolstreaming_Tool-Bar_v1.0 toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programme\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S90.tmp" /EF "HKCU"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/...an_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://download.sopcast.com/download/SOPCORE.CAB
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA49C7C8-14BB-482C-A7E1-33DB478D4D34}: NameServer = 213.191.74.18,213.191.74.19
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: GMX Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

Ich hoffe ihr könnt was finden!

Search Navipromo version 3.4.2 began on 24.01.2008 at 22:48:35,78

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Updated on 21.01.2008 at 14h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Done in normal mode

*** Searching for installed Software ***




*** Search folders in C:\WINDOWS ***



*** Search folders in C:\Programme ***



*** Search folders in C:\DOKUME~1\ALLUSE~1\ANWEND~1 ***




*** Search folders in "C:\Dokumente und Einstellungen\Christian\anwendungsdaten" ***



*** Search folders in "C:\Dokumente und Einstellungen\Christian\lokale einstellungen\anwendungsdaten" ***



*** Search folders in "C:\Dokumente und Einstellungen\Christian\STARTM~1\PROGRA~1" ***


*** Search folders in C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1 ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in C:\WINDOWS\system32 *

* Scan in "C:\Dokumente und Einstellungen\Christian\lokale einstellungen\anwendungsdaten" *



*** Search files ***




*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In C:\WINDOWS\system32 :


* In "C:\Dokumente und Einstellungen\Christian\lokale einstellungen\anwendungsdaten" :


3)Certificates Search :

Egroup certificate not found !

4)Search known files :



*** Search completed on 24.01.2008 at 22:51:07,54 ***

[WhiteKnight]

Hallo

öffne das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" anklicken – PC nun neustarten

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/...an_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://download.sopcast.com/download/SOPCORE.CAB
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

Nun zuerst die
Systemwiederherstellung
http://support.microsoft.com/default...d=kb;de;310405
zuerst deaktivieren, dann wieder aktivieren

Noch Probleme?

Tipp: Die Freeware von Antivir bietet keinen Schutz vor Spy- und Adware. Alternativen:
http://www.paules-pc-forum.de/phpBB2/topic,109718.html

Hi danke das ihr mir geholfen hab!

Hoch lebe Paules PC Forum und seine USER!!!!!