Sie sind nicht angemeldet.

Paule bei Facebook & Twitter

Google-Anzeigen

Empfehlung

Lieber Besucher, herzlich willkommen bei: Paules-PC-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

einvirenopfer1

unregistriert

1

Sonntag, 10. Januar 2010, 00:07

Befall ist/war Malware [GELÖST]

Liebe Team,
danke für Euer Forum!!! Ich bin schon vielen Anleitungen gefolgt. Hier meine Story:
Quelle der trojaner:
surfthechannel.com (beim laden des Jackie Chan Police story 2 --> also host war entweder was chinesischer oder mega video; ich bin vom surfthechanncel.com verlinkt worden) (ich dachte beim online video kann ich mir keine viren etc holen...)

Symptome:
PopUps, Malware defense im Security Center, Antivir deaktiviert, ... chaos

Reaktion:
Panik, google suche und download von hijack, malwarebyte, (dummes) spyhunter, ccleaner, tdsskiller und neuste antivir (hardkodierte einstellungen wie vom forum empfohlen
(offline gegangen)

Ich hab dann mit malwarebyte rumgedoktert und mit antivir und immer immer wieder was gefunden. Jetzt gerade läuft der neue Antivir (9 version) und es gibt schon wieder 5 Funde :(((
ich weiss mir nicht mehr recht zu helfen. Sobald der Antivir durch ist, lasse ich nochmal hijackthis laufen und poste das Protokoll.

Vielen, vielen Dank für die kommende Hilfe!!


einvirenopfer1

unregistriert

2

Sonntag, 10. Januar 2010, 00:38

logs:

Ich muss noch ein paar Sachen hinzufügen:
1. ich habe einen online scan mit f-secure gemacht (ich denke, einige Dateien davon erkennt antivir als virus)
2. tdsskiller wird auch als virus erkannt (hab ich installiert gehabt und hat 0 infizierte Dateien ausgegeben)
3. Stata10 (stdemo.exe) ist eine Statistiksoftware auf dem laufwerk d:\ kann da ein trojanisches Pferd sitzen?

Antivir log:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 9. Januar 2010 23:57

Es wird nach 1512108 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : CPM

Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 22:52:14
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 22:52:14
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 22:52:14
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 22:52:14
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 22:52:14
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 22:52:14
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 22:52:15
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 22:52:15
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 22:52:15
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 22:52:15
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 22:52:15
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 22:52:15
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 22:52:16
VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 22:52:17
VBASE015.VDF : 7.10.1.178 195584 Bytes 07.12.2009 22:52:18
VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 22:52:19
VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 22:52:20
VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 22:52:22
VBASE019.VDF : 7.10.2.63 187392 Bytes 24.12.2009 22:52:23
VBASE020.VDF : 7.10.2.93 195072 Bytes 29.12.2009 22:52:24
VBASE021.VDF : 7.10.2.131 201216 Bytes 07.01.2010 22:52:25
VBASE022.VDF : 7.10.2.132 2048 Bytes 07.01.2010 22:52:25
VBASE023.VDF : 7.10.2.133 2048 Bytes 07.01.2010 22:52:25
VBASE024.VDF : 7.10.2.134 2048 Bytes 07.01.2010 22:52:25
VBASE025.VDF : 7.10.2.135 2048 Bytes 07.01.2010 22:52:25
VBASE026.VDF : 7.10.2.136 2048 Bytes 07.01.2010 22:52:25
VBASE027.VDF : 7.10.2.137 2048 Bytes 07.01.2010 22:52:25
VBASE028.VDF : 7.10.2.138 2048 Bytes 07.01.2010 22:52:26
VBASE029.VDF : 7.10.2.139 2048 Bytes 07.01.2010 22:52:26
VBASE030.VDF : 7.10.2.140 2048 Bytes 07.01.2010 22:52:26
VBASE031.VDF : 7.10.2.151 146944 Bytes 08.01.2010 22:52:27
Engineversion : 8.2.1.134
AEVDF.DLL : 8.1.1.2 106867 Bytes 08.11.2009 06:38:52
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 09.01.2010 22:52:39
AESCN.DLL : 8.1.3.0 127348 Bytes 09.01.2010 22:52:37
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 09.01.2010 22:52:37
AEPACK.DLL : 8.2.0.4 422263 Bytes 09.01.2010 22:52:36
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.194 2228599 Bytes 09.01.2010 22:52:34
AEHELP.DLL : 8.1.9.0 237943 Bytes 09.01.2010 22:52:29
AEGEN.DLL : 8.1.1.83 369014 Bytes 09.01.2010 22:52:28
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.9.1 180598 Bytes 09.01.2010 22:52:27
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: umbenennen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 9. Januar 2010 23:57

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '25404' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpKmapMn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpyHunter3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FreePDFA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpKmapMn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpKmapMn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TaskSwitch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpScrex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPONSCR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpKmpSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHKMGR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMax4PNP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tp4mon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '47' Prozesse mit '47' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Me\Desktop\tdsskiller.zip
[0] Archivtyp: ZIP
--> TDSSKiller.exe
[1] Archivtyp: RSRC
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bbc0aa4.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde nach 'tdsskiller.zip.VIR' umbenannt!
C:\Dokumente und Einstellungen\Me\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cache\f_000cce
[0] Archivtyp: ZIP
--> TDSSKiller.exe
[1] Archivtyp: RSRC
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b790ac8.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde nach 'f_000cce.VIR' umbenannt!
C:\Dokumente und Einstellungen\Me\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.cvd
[FUND] Enthält Erkennungsmuster des Trivial-28 (A)-Virus
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4baa0b0d.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde nach 'cran.cvd.VIR' umbenannt!
C:\Dokumente und Einstellungen\Me\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\cran.ivd
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a25c79e.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde nach 'cran.ivd.VIR' umbenannt!
C:\Dokumente und Einstellungen\Me\Lokale Einstellungen\Temp\OnlineScanner\updates\aquawin32\jpeg.xmd
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bae0b15.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde nach 'jpeg.xmd.VIR' umbenannt!
Beginne mit der Suche in 'D:\'
D:\Stata 10 Perfect! (With Serials & Update).rar
[0] Archivtyp: RAR
--> Stata 10\StatTransfer9\stdemo.exe
[1] Archivtyp: NSIS
--> Settings/SetACL.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ACLSet
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4baa0de3.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde nach 'Stata 10 Perfect! (With Serials & Update).rar.VIR' umbenannt!
D:\Programme\TDSS\TDSSKiller.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b9c0fa7.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde nach 'TDSSKiller.exe.VIR' umbenannt!
D:\Stata 10\StatTransfer9\stdemo.exe
[0] Archivtyp: NSIS
--> Settings/SetACL.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ACLSet
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4bad0fde.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde nach 'stdemo.exe.VIR' umbenannt!
D:\System Volume Information\_restore{B932ADF8-8B72-4E69-81D4-D1AEC4FA202A}\RP119\A0044056.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b790fc4.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde nach 'A0044056.exe.VIR' umbenannt!
D:\System Volume Information\_restore{B932ADF8-8B72-4E69-81D4-D1AEC4FA202A}\RP119\A0044057.exe
[0] Archivtyp: NSIS
--> Settings/SetACL.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ACLSet
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b790fc7.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde nach 'A0044057.exe.VIR' umbenannt!
Beginne mit der Suche in 'E:\'


Ende des Suchlaufs: Sonntag, 10. Januar 2010 00:24
Benötigte Zeit: 27:28 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3681 Verzeichnisse wurden überprüft
148286 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
10 Dateien wurden in die Quarantäne verschoben
10 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
148274 Dateien ohne Befall
1719 Archive wurden durchsucht
2 Warnungen
12 Hinweise
25404 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Und Hijackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:36:51, on 10.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\tp4mon.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\Dokumente und Einstellungen\Me\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Dokumente und Einstellungen\Me\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Me\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Me\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Me\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Me\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [BLOG] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Me\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://vpn.se.lawson.com/iNotes6W.cab
O16 - DPF: {41EF3CD2-D8CC-4438-84B1-280BB4E77C8E} (F5 Networks Dynamic Application Tunnel Control) - https://vpn.se.lawson.com/vdesk/terminal…00,0,61017,0707
O16 - DPF: {45B69029-F3AB-4204-92DE-D5140C3E8E74} (F5 Networks Auto Update) - https://vpn.se.lawson.com/vdesk/terminal…llerControl.cab
O16 - DPF: {57C76689-F052-487B-A19F-855AFDDF28EE} (F5 Networks Policy Agent Host Class) - https://vpn.se.lawson.com/vdesk/terminal…,2007,0223,0317
O16 - DPF: {7E73BE8F-FD87-44EC-8E22-023D5FF960FF} (F5 Virtual Sandbox Class) - https://vpn.se.lawson.com/vdesk/terminal…00,0,61229,1858
O16 - DPF: {CC85ACDF-B277-486F-8C70-2C9B2ED2A4E7} (F5 Networks SuperHost Class) - https://vpn.se.lawson.com/vdesk/terminal…00,0,61017,0703
O16 - DPF: {E0FF21FA-B857-45C5-8621-F120A0C17FF2} (F5 Networks Host Control) - https://vpn.se.lawson.com/vdesk/terminal…00,0,61228,0050
O16 - DPF: {E615C9EA-AD69-4AE9-83C9-9D906A0ACA6D} (F5 Networks OS Policy Agent) - https://vpn.se.lawson.com/policy/downloa…,2007,0223,0322
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 7662 bytes


Was darf ich löschen/was soll ich tun?
Kriegen wir mich wieder sicher?

einvirenopfer1

unregistriert

3

Sonntag, 10. Januar 2010, 01:15

f-secure online scanner =??

Zusätzliche Frage:
Als ich den f-secure online scanner laufen ließ, hieß es, einige Dateien werden runtergeladen:
andelt es sich dabei um diesen Pfad???

C:\Dokumente und Einstellungen\Me\Lokale Einstellungen\Temp\OnlineScanner

Was ist das? Es ist 323 MB groß! Ein online scanner ist doch online und nicht offline auf meinem PC? Kann ich das alles löschen? In diesem Pfad weist antivir ja auch auf Viren hin? Ich raff das nicht.
Danke für Aufklärung

WhiteKnight

Super Moderator

Beiträge: 7 021

Registriert: 19. Januar 2005

Wohnort: Mainz

  • Nachricht senden

4

Sonntag, 10. Januar 2010, 10:15

Hallo

In dieser Reihenfolge ausführen:

Die XP Systemwiederherstellung
zuerst deaktivieren, warte ein paar Sekunden, dann wieder aktivieren

CCleaner anwenden

Lade dir a-squared Free, installieren, update, PC scannen-->Detail Scan --> SCAN
Funde in Quarantäne schieben, Report posten.
Bei a-squared Newsletter Meldung drücke auf abbrechen, wenn du das nicht haben willst.

einvirenopfer1

unregistriert

5

Sonntag, 10. Januar 2010, 15:24

vorgegangen wie angegeben

Habe die Schritte ausgeführt. Ich möchte noch erwähnen, dass Antivir ein paar Sachen in Quarantäne gestellt hat. Ich möchte wissen, ob ich diesen ...\OnlineScanner löschen kann? (ist das f-secure?) ich habe zwischenzeitlich spyhunter deinstalliert.

Hier der log von a-squared

a-squared Free - Version 4.5
Letztes Update: 10.01.2010 14:36:21

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\
Archiv Scan: An
Heuristik: Aus
ADS Scan: An

Scan Beginn: 10.01.2010 14:37:04

c:\programme\enigma software group gefunden: Trace.Directory.SpyHunter!A2
c:\programme\enigma software group\spyhunter\hosts.bak gefunden: Trace.File.SpyHunter!A2
c:\programme\enigma software group\spyhunter\scan.log gefunden: Trace.File.SpyHunter!A2
c:\programme\enigma software group\spyhunter\spyhunter.log gefunden: Trace.File.SpyHunter!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\EnigmaSoftwareGroup\SpyHunter\SpyHunterConfig --> Hosts_flags gefunden: Trace.Registry.SpyHunter!A2
Key: HKEY_LOCAL_MACHINE\software\AntiMalware gefunden: Trace.Registry.AntiMalware!A2
E:\CPM-old\cpm_SCSI_102004\emuleauslagerung\Clone DVD + *** DVD+ crack+serial.zip/******.exe gefunden: Riskware.Hacktool.Keygen.******!IK
E:\CPM-old\cpm_SCSI_102004\emuleauslagerung\Clone DVD + *** DVD+ crack+serial.zip/Install-Englich.txt gefunden: Riskware.Hacktool.Keygen.******!IK
E:\CPM-old\cpm_SCSI_102004\emuleauslagerung\Clone DVD + *** DVD+ crack+serial.zip/Keygen-CloneDVD.exe gefunden: Riskware.Keygen.CloneDVD!IK

Gescannt

Dateien: 54516
Traces: 650735
Cookies: 0
Prozesse: 41

Gefunden

Dateien: 4
Traces: 6
Cookies: 0
Prozesse: 0
Registry Keys: 0

Scan Ende: 10.01.2010 15:18:28
Scan Zeit: 0:41:24

E:\CPM-old\cpm_SCSI_102004\emuleauslagerung\Clone DVD + *** DVD+ crack+serial.zip/Keygen-CloneDVD.exe Quarantäne Riskware.Keygen.CloneDVD!IK
c:\programme\enigma software group\spyhunter\hosts.bak Quarantäne Trace.File.SpyHunter!A2
c:\programme\enigma software group\spyhunter\scan.log Quarantäne Trace.File.SpyHunter!A2
c:\programme\enigma software group\spyhunter\spyhunter.log Quarantäne Trace.File.SpyHunter!A2
c:\programme\enigma software group Quarantäne Trace.Directory.SpyHunter!A2

Quarantäne

Dateien: 3
Traces: 6
Cookies: 0


Bitte nochmals, die logs von antivir anzuschauen.
Ich warte auf weitere Instruktionen :)
Vielen Dank!!!

einvirenopfer1

unregistriert

6

Sonntag, 10. Januar 2010, 15:29

objekte in Antivir Quarantäne

Kann es sein, dass a-squared, die Objekte, welche sich bei antivir in Qurantäne befinden, nicht scannen kann? Ich hatte beim Scan mehrfach ein Pop-Up von Antivir, in dem ich "den Zugriff auf ein Objekt verweigert habe".
War das okay?

markusg

Premium-Mitglied

Beiträge: 8 322

Registriert: 30. März 2008

  • Nachricht senden

7

Sonntag, 10. Januar 2010, 15:45

hi, es ist immer besser, wenn man avira abschaltet, während ein anderer scanner läuft.
hast du schon combofix ausgeführt? wenn nein, tu dies bitte und poste das log.
@WhiteKnight
wird dann weiter machen, spyhunter ist nicht grad ein vertrauenserweckendes programm, weg damit.

WhiteKnight

Super Moderator

Beiträge: 7 021

Registriert: 19. Januar 2005

Wohnort: Mainz

  • Nachricht senden

8

Sonntag, 10. Januar 2010, 17:08

Lade dir nun bitte
Combofix
ComboFix.exe Version /auf dem >>Desktop<< speichern und ausführen (vor dem Ausführen aber unbedingt dein Antivirenprogramm ANTIVIR beenden!), klicke die Hardware Warnmeldung weg (keine Angst das Prog. ist sicher trotz der Meldung)
nichts machen, keine Mausbewegung, abwarten und das Log dann posten

einvirenopfer1

unregistriert

9

Sonntag, 10. Januar 2010, 20:35

logs combfix

hier, der log. ich bitte auch um antwort wegen onlinescanner und quarantäne sachen.
danke!!
teil1

ComboFix 10-01-04.01 - Me 10.01.2010 20:05:58.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.745 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Me\Desktop\123.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\msgsvc.dll . . . ist infiziert!!

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-10 bis 2010-01-10 ))))))))))))))))))))))))))))))
.

2010-01-09 22:49 . 2010-01-09 22:49 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2010-01-09 22:49 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-09 22:49 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-09 22:49 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-01-09 22:49 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-01-09 22:49 . 2010-01-09 22:49 -------- d-----w- c:\programme\Avira
2010-01-09 22:49 . 2010-01-09 22:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-01-09 22:08 . 2010-01-09 22:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\F-Secure
2010-01-09 18:43 . 2010-01-09 18:43 -------- d-----w- c:\dokumente und einstellungen\Me\Anwendungsdaten\Malwarebytes
2010-01-09 18:20 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-09 18:20 . 2010-01-09 18:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-09 18:20 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-09 16:18 . 2008-05-10 12:14 -------- d-----w- c:\dokumente und einstellungen\Me\Anwendungsdaten\Skype
2010-01-09 16:09 . 2008-05-10 12:15 -------- d-----w- c:\dokumente und einstellungen\Me\Anwendungsdaten\skypePM
2009-12-08 01:48 . 2008-06-24 09:41 -------- d-----w- c:\programme\FreePDF
2009-12-06 19:02 . 2009-10-17 21:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-12-06 16:28 . 2009-12-06 16:28 -------- d-----w- c:\programme\SecureW2
2009-10-25 14:38 . 2002-12-31 11:00 48552 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 14:38 . 2002-12-31 11:00 317168 ----a-w- c:\windows\system32\perfh007.dat
2009-10-18 07:42 . 2008-05-09 18:57 44600 ----a-w- c:\dokumente und einstellungen\Me\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

einvirenopfer1

unregistriert

10

Sonntag, 10. Januar 2010, 20:36

teil 2

.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPKMAPMN"="c:\programme\ThinkPad\Utilities\TpKmapMn.exe" [2007-09-21 49152]
"Google Update"="c:\dokumente und einstellungen\Me\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrackPointSrv"="tp4mon.exe" [2004-08-03 82432]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2005-04-19 110592]
"BMMLREF"="c:\programme\ThinkPad\Utilities\BMMLREF.EXE" [2005-04-19 20480]
"BMMMONWND"="c:\progra~1\ThinkPad\UTILIT~1\BatInfEx.dll" [2005-04-19 396288]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2005-04-19 208896]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2007-02-06 344064]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2007-01-09 868352]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-27 88363]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-10-02 94208]
"CoolSwitch"="c:\windows\system32\taskswitch.exe" [2002-03-19 45632]
"FreePDFAssistent"="c:\programme\FreePDF\FreePDFA.exe" [2003-12-24 150528]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2002-12-31 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 01000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 21:45 28672 ----a-w- c:\windows\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 18:16 24576 ----a-w- c:\windows\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [09.05.2008 18:18 16384]
R2 a2free;a-squared Free Service;d:\programme\a-squared Free\a2service.exe [10.01.2010 14:32 1858144]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [09.01.2010 23:49 108289]
.
Inhalt des "geplante Tasks" Ordners

2009-01-20 c:\windows\Tasks\BMMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2008-05-09 23:38]

2009-11-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1078081533-1580818891-854245398-1003Core1ca5b8edd265e0.job
- c:\dokumente und einstellungen\Me\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 13:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Me\Anwendungsdaten\Mozilla\Firefox\Profiles\401wosdq.default\
FF - plugin: c:\dokumente und einstellungen\Me\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: d:\programme\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-01-10 20:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(692)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\tphklock.dll

- - - - - - - > 'explorer.exe'(2352)
c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\S24EvMon.exe
d:\programme\Lavasoft\Ad-Aware\aawservice.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\RegSrvc.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\TpKmpSVC.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\tp4mon.exe
c:\windows\system32\RunDll32.exe
c:\windows\AGRSMMSG.exe
c:\programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-10 20:13:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-10 19:13

Vor Suchlauf: 3.903.008.768 Bytes frei
Nach Suchlauf: 4.351.102.976 Bytes frei

- - End Of File - - CAABADB4C8E9A719401A8D5761ABD5A7

markusg

Premium-Mitglied

Beiträge: 8 322

Registriert: 30. März 2008

  • Nachricht senden

11

Sonntag, 10. Januar 2010, 20:45

avira macht hier fehlalarme.
c:\windows\system32\msgsvc.dll
bei
VirusTotal - Free Online Virus and Malware Scan
prüfen,
einfach den pfad in das feld einkopieren, log posten.

virenopfer1

unregistriert

12

Sonntag, 10. Januar 2010, 20:49

combofix

warum macht avira fehlalarm? das war doch der combofix test?

markusg

Premium-Mitglied

Beiträge: 8 322

Registriert: 30. März 2008

  • Nachricht senden

13

Sonntag, 10. Januar 2010, 20:52

hi, avira hat in der tdss killer.exe einen fehlalarm, teile von f-secure erkennt es auch fälschlicher weise, warum das so ist, ich bin kein avira mitarbeiter. wenn avira und ein anderes programm zur analyse gleichzeitig laufen, wass nicht sein sollte, schlägt avira natürlich dann an, wenn das andere programm zugriff auf die datei nimmt.
so nu die datei zu virustotal.com
und ich geb an WhiteKnight
ab.

virenopfer1

unregistriert

14

Sonntag, 10. Januar 2010, 20:53

was posten

ich poste mal... wenn du mehr brauchst, bitte sagen

weitere Informationen
File size: 33792 bytes
MD5...: e5215ab942c5ac5f7eb0e54871d7a27c
SHA1..: 737d69d28b94b89a3d9faf153c89693e6d8a85a1
SHA256: d1f4b56b3358d07d544a891544b0c913b1f980fd0a5a14d33fe0263d20d1d988
ssdeep: 768:O9w4wRKrAA81JZxA4jGgVVadNvdU99Ah3x:O4RFzZxA4KRGCx
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11d1
timedatestamp.....: 0x411096da (Wed Aug 04 07:57:14 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x71df 0x7200 6.59 82c27375a574321040fa0755f57931a8
.data 0x9000 0xb14 0x200 1.33 7eab45df7bf0b8e0d1496a6b1da4c9d9
.rsrc 0xa000 0x3f8 0x400 3.39 36c9d920e4682e54effe6d28d6a62e19
.reloc 0xb000 0x744 0x800 6.46 704e89f2406c9a720337a5219c284e0f

( 8 imports )
> ntdll.dll: NtQueryVirtualMemory, RtlUnwind, DbgPrint, wcsncmp, _strnicmp, wcsncpy, RtlReleaseResource, RtlAcquireResourceExclusive, RtlAcquireResourceShared, wcsstr, RtlFreeUnicodeString, NtOpenThreadToken, NtQueryInformationToken, NtClose, RtlRegisterWait, RtlInitializeCriticalSection, RtlNtStatusToDosError, NtAccessCheckAndAuditAlarm, RtlAdjustPrivilege, RtlInitUnicodeString, _itoa, wcscmp, RtlCopySid, RtlLengthSid, RtlSetSaclSecurityDescriptor, RtlSetDaclSecurityDescriptor, RtlSetGroupSecurityDescriptor, RtlSetOwnerSecurityDescriptor, RtlCreateSecurityDescriptor, RtlAddAce, RtlCreateAcl, RtlNewSecurityObject, NtOpenProcessToken, RtlDeregisterWait, strncpy, RtlUnicodeStringToOemString, RtlFreeOemString, RtlInitAnsiString, RtlInitializeResource, RtlOemStringToUnicodeString, wcslen, wcscpy
> KERNEL32.dll: WideCharToMultiByte, MultiByteToWideChar, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LocalFree, LocalAlloc, GetLastError, LeaveCriticalSection, SetEvent, EnterCriticalSection, DeleteCriticalSection, TerminateThread, CloseHandle, GetTimeFormatW, GetDateFormatW, WaitForSingleObject, CreateThread, CreateEventW, CreateMailslotA, ReadFile, Sleep, WriteFile, InterlockedExchange, CreateFileA, GetOverlappedResult, GetLocalTime, FreeLibrary, FormatMessageA, FormatMessageW, LoadLibraryExW, GetComputerNameW, GetProcAddress, LoadLibraryW, DisableThreadLibraryCalls
> ADVAPI32.dll: QueryServiceConfigW, OpenSCManagerW, OpenServiceW, CloseServiceHandle, QueryServiceStatus, SetServiceStatus, RegisterServiceCtrlHandlerExW
> USER32.dll: RegisterDeviceNotificationW, UnregisterDeviceNotification, MessageBeep, MessageBoxW
> NETAPI32.dll: I_NetNameCanonicalize, Netbios, NetApiBufferFree, NetWkstaUserEnum, I_NetNameValidate
> WS2_32.dll: -, -, -, -
> RPCRT4.dll: NdrServerCall2, RpcImpersonateClient, RpcRevertToSelf
> iphlpapi.dll: NotifyAddrChange

( 2 exports )
ServiceMain, SvchostPushServiceGlobals
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: NT Messenger Service
original name: msgsvc.dll
internal name: msgsvc.dll
file version.: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

markusg

Premium-Mitglied

Beiträge: 8 322

Registriert: 30. März 2008

  • Nachricht senden

15

Sonntag, 10. Januar 2010, 20:55

naja der ganze scan bericht wähe schon gut.
kannst du die dann auch mal hier hochladen:
File-Upload.net - Ihr kostenloser File Hoster!
poste den link.

virenopfer1

unregistriert

16

Sonntag, 10. Januar 2010, 20:56

teil 1 und 2

der obige post ist teil 3

hier teil 1:
Datei msgsvc.dll empfangen 2010.01.10 19:50:38 (UTC)
Status: Beendet
Ergebnis: 0/41 (0%)

teil 2:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.48 2010.01.10 -
AhnLab-V3 5.0.0.2 2010.01.10 -
AntiVir 7.9.1.134 2010.01.10 -
Antiy-AVL 2.0.3.7 2010.01.08 -
Authentium 5.2.0.5 2010.01.10 -
Avast 4.8.1351.0 2010.01.10 -
AVG 8.5.0.430 2010.01.04 -
BitDefender 7.2 2010.01.10 -
CAT-QuickHeal 10.00 2010.01.09 -
ClamAV 0.94.1 2010.01.09 -
Comodo 3536 2010.01.10 -
DrWeb 5.0.1.12222 2010.01.10 -
eSafe 7.0.17.0 2010.01.10 -
eTrust-Vet 35.2.7226 2010.01.08 -
F-Prot 4.5.1.85 2010.01.10 -
F-Secure 9.0.15370.0 2010.01.10 -
Fortinet 4.0.14.0 2010.01.09 -
GData 19 2010.01.10 -
Ikarus T3.1.1.80.0 2010.01.10 -
Jiangmin 13.0.900 2010.01.10 -
K7AntiVirus 7.10.943 2010.01.09 -
Kaspersky 7.0.0.125 2010.01.10 -
McAfee 5857 2010.01.10 -
McAfee+Artemis 5857 2010.01.10 -
McAfee-GW-Edition 6.8.5 2010.01.10 -
Microsoft 1.5302 2010.01.10 -
NOD32 4759 2010.01.10 -
Norman 6.04.03 None.. -
nProtect 2009.1.8.0 2010.01.10 -
Panda 10.0.2.2 2010.01.10 -
PCTools 7.0.3.5 2010.01.10 -
Prevx 3.0 2010.01.10 -
Rising 22.29.06.04 2010.01.10 -
Sophos 4.49.0 2010.01.10 -
Sunbelt 3.2.1858.2 2010.01.10 -
Symantec 20091.2.0.41 2010.01.10 -
TheHacker 6.5.0.3.145 2010.01.10 -
TrendMicro 9.120.0.1004 2010.01.10 -
VBA32 3.12.12.1 2010.01.09 -
ViRobot 2010.1.8.2128 2010.01.08 -
VirusBuster 5.0.21.0 2010.01.10 -

markusg

Premium-Mitglied

Beiträge: 8 322

Registriert: 30. März 2008

  • Nachricht senden

17

Sonntag, 10. Januar 2010, 21:00

ok lad die datei bei fileupload hoch poste den link

virenopfer1

unregistriert

18

Sonntag, 10. Januar 2010, 21:03

virustotal

sorry, wenn ich jetzt dumm bin, aber das ist eine html seite. also ich kann nicht hochladen oder?
hier der link von virustotal
Virustotal. MD5: e5215ab942c5ac5f7eb0e54871d7a27c

PS: Danke fuer deine super schnellen Antworten zu jeder Zeit!!!

markusg

Premium-Mitglied

Beiträge: 8 322

Registriert: 30. März 2008

  • Nachricht senden

19

Sonntag, 10. Januar 2010, 21:06

hi, gehe mal wieder auf seite 1.
dort habe ich einen link zu fileupload gepostet dort die bei virustotal geprüfte datei hochladen und den link posten.

virenopfer1

unregistriert

20

Sonntag, 10. Januar 2010, 21:08

sorry hatte dich missverstanden...

File-Upload.net - msgsvc.dll

das ist meine c:\windows\system32\msgsvc.dll

Zurzeit ist neben Ihnen 1 Benutzer in diesem Thema unterwegs:

1 Besucher