Mögliche Verseuchung meines Labtops, kann jemand helfen?

Status
Not open for further replies.
H

hubi12

New member
Hallo,
ich habe seit ca. 1 Woche ein Problem mit meinem Labtop!

Nach einiger Zeit in der ich öfters auf unseriösen Seiten gesurft und hatte nun mehrere Virenwarnungen (Antivir). Anstatt die gefährlichen Dateien im Quarantänebereich abzulegen (dort ist nur der letzte Fund abgelegt: TR/Agent.6144.11), habe ich ca. 4-5 solcher Dateien einfach gelöscht. Ein anderer Fund war: TR/Dldr.Femad.C.1 (schon gelöscht)

Leider war ich mir der Gefahren im Net nicht bewußt und habe mich einfach auf meine Antivir-Classic Software verlassen (die mir zuvor keine Meldungen machte). Spybot benutze ich erst seit kurzem.

Es kommt nach jedem Neustart meines Labtops immer zu einer Meldung von Services.exe!
Problemsignatur:
szAppName : services.exe szAppVer : 5.1.2600.2180 szModName : ntdll.dll
szModVer : 5.1.2600.2180 offset : 00011e58

Dateien im Problembericht:
C:\DOKUME~1\Hubert\LOKALE~1\Temp\WERba3e.dir00\services.exe.mdmp
C:\DOKUME~1\Hubert\LOKALE~1\Temp\WERba3e.dir00\appcompat.txt


Spybot meldet nach jedem Suchlauf:
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2723074007-2535646408-772810209-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
--- Spybot - Search && Destroy version: 1.3 ---
2004-05-12 Includes\Cookies.sbi
2004-05-12 Includes\Dialer.sbi
2004-05-12 Includes\Hijackers.sbi
2004-05-12 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-05-12 Includes\Malware.sbi
2004-05-12 Includes\Revision.sbi
2004-05-12 Includes\Security.sbi
2004-05-12 Includes\Spybots.sbi
2004-05-12 Includes\Tracks.uti
2004-05-12 Includes\Trojans.sbi

Nach jeder Problembereinigung erscheint diese Meldung wieder!

Auch habe ich den Verdacht, dass seit einigen Tagen sich mein Downloadvolumen vergrößert ohne dass ich mehr im Net bin!

Ich weiß, dass meine Angaben sehr dürftig sind. Ich bin aber mit der derzeitigen Situation überfordert und hoffe, dass mir jemand helfen kann.

Wie kann ich mein System wieder sicher machen?
Vielen Dank!!!


Liebe Grüße
und ein glückliches neues Jahr

Hubert
 
Vielen Dank für die prompte Antwort!

Hallo,

ich habe Spybot neu installiert und sofort gestartet.
Hier ist das Ergebnis:

Tradedoubler: Verfolgender Cookie (Internet Explorer: Hubert) (Cookie, nothing done)
--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---
2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-12-30 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-12-29 Includes\Cookies.sbi (*)
2006-12-08 Includes\Dialer.sbi (*)
2006-12-29 Includes\DialerC.sbi (*)
2006-11-24 Includes\Hijackers.sbi (*)
2006-12-29 Includes\HijackersC.sbi (*)
2006-10-27 Includes\Keyloggers.sbi (*)
2006-12-29 Includes\KeyloggersC.sbi (*)
2006-12-22 Includes\Malware.sbi (*)
2006-12-29 Includes\MalwareC.sbi (*)
2006-10-20 Includes\PUPS.sbi (*)
2006-12-29 Includes\PUPSC.sbi (*)
2006-12-29 Includes\Revision.sbi (*)
2006-12-08 Includes\Security.sbi (*)
2006-12-29 Includes\SecurityC.sbi (*)
2006-10-13 Includes\Spybots.sbi (*)
2006-12-29 Includes\SpybotsC.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-12-08 Includes\Trojans.sbi (*)
2006-12-29 Includes\TrojansC.sbi (*)

Im 2. Suchlauf war alles behoben!

Gratulation!: Es wurden keine Spione gefunden. ()
--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---
2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-12-30 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-12-29 Includes\Cookies.sbi (*)
2006-12-08 Includes\Dialer.sbi (*)
2006-12-29 Includes\DialerC.sbi (*)
2006-11-24 Includes\Hijackers.sbi (*)
2006-12-29 Includes\HijackersC.sbi (*)
2006-10-27 Includes\Keyloggers.sbi (*)
2006-12-29 Includes\KeyloggersC.sbi (*)
2006-12-22 Includes\Malware.sbi (*)
2006-12-29 Includes\MalwareC.sbi (*)
2006-10-20 Includes\PUPS.sbi (*)
2006-12-29 Includes\PUPSC.sbi (*)
2006-12-29 Includes\Revision.sbi (*)
2006-12-08 Includes\Security.sbi (*)
2006-12-29 Includes\SecurityC.sbi (*)
2006-10-13 Includes\Spybots.sbi (*)
2006-12-29 Includes\SpybotsC.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-12-08 Includes\Trojans.sbi (*)
2006-12-29 Includes\TrojansC.sbi (*)

-------------------------------------------------

Anschließend habe ich mit HijackThis den 1. Logfile erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 13:35:55, on 30.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Utimaco\SafeGuard PrivateDisk\pdservice.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Sony\SonicStage Mastering Studio\Audio Filter\SSMSFilter.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.wikipedia.org/wiki/Portal:Österreich
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com/de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [PDService.exe] C:\Programme\Utimaco\SafeGuard PrivateDisk\pdservice.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Audio Filter.lnk = C:\Programme\Sony\SonicStage Mastering Studio\Audio Filter\SSMSFilter.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/de/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VAIO Entertainment Aggregation and Control Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
O23 - Service: VAIO Entertainment Task Scheduler - Sony Corporation - C:\Programme\Sony\VAIO Entertainment\VzTaskScheduler.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\IntegratedServer\HTTP (file missing)
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobile\Gateway" /DisplayName="VAIO Media Gateway Server (file missing)
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

---------------------------------------------------

Seit gestern bekomme ich beim Starten meines Labtops immer eine weitere Fehlermeldung. Vielleicht ist das auch hilfreich!

Acrobat IEHelper: iexplore.exe - Fehler in Anwendung
Die Anweisung in "0xl0094c3b" verweist auf Speicher in "0x00ce04e8". Der Vorgang "read" konnte nicht auf dem Speicher durchgeführt werden.
Klicken Sie auf "OK", um das Programm zu beenden.

----------------------------------------------------


Zunächst nochmal, vielen herzlichen Dank für die Hilfe!!!!
Ich wüsste nicht, was ich sonst täte!

Liebe Grüße
Hubert
 
Das sieht eigentlich ganz gut aus. Nutze bitte einmal die Datentraegerbereinigung(ohne Dateien komprimieren): http://support.microsoft.com/default.aspx?scid=kb;de;315246

Dann stelle Antivir wie folgt ein und scanne deinen PC Erneut. Funde bitte erstmal ignorieren und den Report, sofern was gefunden wird auch hier einstellen: http://board.protecus.de/t23979.htm

Ein KOntrollscan kannst du noch mit Cureit: http://www.drweb-online.com/de/cure_it.asp?rpid=
und/oder Ewido micro machen: http://downloads.ewido.net/ewido_micro.exe . Einfach starten, Signaturen werden dann heruntergeladen, start scan druecken und los gehts.

Melde dich, wenn etwas, oder wenn auch nichts gefunden wurde. DIe Acrobatmeldung hoert sich fuer mich eher nach Speicherproblem an, bzw du solltest die neuste Version (8) einsetzen oder Foxit Reader.
 
ewido wurde fündig!

Hallo,

ich bin froh und dankbar, jemanden gefunden zu haben, der mir so großartige Hilfe leistet!

Die Einstellungen bei Antivir habe ich durchgeführt und einen Suchlauf gestartet. Da kam es zu keinem Fund!




AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 30. Dezember 2006 19:58

Es wird nach 610555 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Hubert
Computername: NAME-90360D0545

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.4 208936 Bytes 20.12.2006 18:44:58
AVSCAN.DLL : 7.0.3.0 35880 Bytes 12.12.2006 20:15:47
LUKE.DLL : 7.0.3.2 143400 Bytes 12.12.2006 20:15:50
LUKERES.DLL : 7.0.2.0 9256 Bytes 12.12.2006 20:15:50
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 20:04:47
ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14.11.2006 20:11:24
ANTIVIR2.VDF : 6.37.0.56 688128 Bytes 22.12.2006 18:47:16
ANTIVIR3.VDF : 6.37.0.88 96256 Bytes 30.12.2006 12:05:08
AVEWIN32.DLL : 7.3.0.21 1999360 Bytes 22.12.2006 18:47:16
AVPREF.DLL : 7.0.2.0 23592 Bytes 12.12.2006 20:15:47
AVREP.DLL : 6.37.0.5 1007656 Bytes 14.12.2006 20:13:48
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 05.05.2006 19:04:51
AVPACK32.DLL : 7.2.0.5 368680 Bytes 27.10.2006 18:00:21
AVREG.DLL : 7.0.1.1 30760 Bytes 12.12.2006 20:15:47
NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 07:56:48
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 12.12.2006 20:15:42
RCTEXT.DLL : 7.0.12.0 77864 Bytes 12.12.2006 20:15:42

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: BSD Mailbox, Netscape/Mozilla Mailbox, Eudora Mailbox, Squid cache, Pegasus Mailbox, MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 30. Dezember 2006 19:58

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'OSE.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'hpqgalry.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SSMSFilter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'hpcmpmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'pdservice.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ISBMgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SPMgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ico.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'VzFw.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'VzCdbSvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'VCSW.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'VESMgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '51' Prozesse mit '51' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 27 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <VAIO>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <VAIO>


Ende des Suchlaufs: Samstag, 30. Dezember 2006 20:27
Benötigte Zeit: 29:28 min

Der Suchlauf wurde vollständig durchgeführt.

4896 Verzeichnisse wurden überprüft
274382 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
274382 Dateien ohne Befall
7078 Archive wurden durchsucht
2 Warnungen
15 Hinweise

-------------------------------------------

Anschließend habe ich mich entschlossen, mit ewido einen Kontrollscan zu machen. Hier gab es gleich 53 Funde, wobei dieser Trojaner "Trojan.Agent.zq" schon zuletzt einige Funde bei Antivir auslöste!


__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Trojan.Agent.zq
Path: [872] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [948] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1040] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1080] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1180] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1240] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1400] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1528] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1704] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1716] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1768] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1876] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1976] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [2000] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [2040] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [312] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [384] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [456] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1316] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1600] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1624] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1848] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1856] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1764] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1552] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1900] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1936] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1968] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [2072] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [2108] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [2144] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [2160] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [2168] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [2344] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [2724] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [2788] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [2888] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [3540] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1448] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [1408] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [3812] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [3824] VM_13140000
Risk: High

Name: Trojan.Agent.zq
Path: [3840] VM_13140000
Risk: High

Name: TrackingCookie.Oewabox
Path: C:\Dokumente und Einstellungen\Rosi\Cookies\rosi@aon.oewabox[1].txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: C:\Dokumente und Einstellungen\Rosi\Cookies\rosi@as-eu.falkag[2].txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: C:\Dokumente und Einstellungen\Rosi\Cookies\rosi@as1.falkag[2].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Rosi\Cookies\rosi@ivwbox[2].txt
Risk: Medium

Name: TrackingCookie.Oewabox
Path: C:\Dokumente und Einstellungen\Rosi\Cookies\rosi@oewabox[2].txt
Risk: Medium

Name: TrackingCookie.Popularix
Path: C:\Dokumente und Einstellungen\Rosi\Cookies\rosi@ppms.popularix[1].txt
Risk: Medium

Name: TrackingCookie.Onestat
Path: C:\Dokumente und Einstellungen\Rosi\Cookies\rosi@stat.onestat[2].txt
Risk: Medium

Name: TrackingCookie.Statcounter
Path: C:\Dokumente und Einstellungen\Rosi\Cookies\rosi@statcounter[1].txt
Risk: Medium

Name: TrackingCookie.Etracker
Path: C:\Dokumente und Einstellungen\Rosi\Cookies\rosi@www.etracker[2].txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: C:\WINDOWS\system32\config\systemprofile\Cookies\system@atdmt[2].txt
Risk: Medium

----------------------------------------------

Ich habe mir vorerst nicht getraut, den Button "Remove Infections" zu drücken, um die Funde zu entfernen! Ich weiß auch nicht, ob damit mein Problem gelöst wäre?



Vorerst wieder einmal vielen Dank für die freundliche Unterstützung und Hilfe!!! :crowned:




Liebe Grüße
Hubert
 
Bei Ewido kann es sich um einen Fehlalarm handeln. Die Trojanermeldung kommt von seinem Speicherscan. Die Cookies kannst du getrost loeschen.

Um das mit Ewido auszuschliessen, koenntest du noch ein Combofix Report erstellen und posten:
http://virus-protect.org/artikel/tools/combofix.html

und nutze bitte Gmer, um ein Rootkit auszuschliessen: http://www.majorgeeks.com/GMER_d5198.html

Einfach die Datei starten, scan druecken und wenn es mit dem Scan fertig ist, einfach copy druecken und hier in eine Antwort einfuegen.
 
Probleme mit Combofix!

Hallo,

ich hoffe, du hattest einen guten Rutsch ins neue Jahr und ich wünsch dir nochmals alles Gute!

Nun, ich habe eben versucht combofix zu starten. Nach dem Download kam da das Fenster das ich mit ausführen bestätigte (zuvor hatte ich noch alle offenen Fenster geschlossen).
Es öffnete sich kurz ein kleines Fenster mit blauem Hintergrund (leer). Unmittelbar danach hat sich das Fenster aber wieder geschlossen. Übrig blieb nur mein gewohnter Desktop!
Ich hab es 2x versucht! Kann es sein, dass die Anwendung durch einen laufenden Virenscanner abgeblockt wird?

------------------------------

Ich hab auch noch eine Frage bzgl. "Gmer"!

Ist dieses Programm auch bedenkenlos zu verwenden und von welchem Server soll ich es laden?



Übrigens bekomme ich jetzt von Antivir nach fast jedem Start meines Labtops die Fundmeldung: TR/Agent.6144.11 (ich verschieb ihn jedesmal in Quarantäne)!
Mit ewido habe ich nur die Cookies gelöscht!

Danke wieder einmal im Voraus!!!


Liebe Grüße
Hubert
 
Combofix und Gmer - hier sind die Logs

Hallo,

hat zwar etwas gedauert, aber hier sind die Dateien.

Zuerst aber die Funde bei Antivir. Fast jedesmal nach dem Start kommt die Fundmeldung: TR/Agent.6144.11 (in C:\WINDOWS\System32\Systems_.exe)
Heute bekam ich auch 2mal den Fund: TR/Dldr.Femad.BD (in C:\WINDOWS\System32\wsys.dll)

--------------------------------------

Combofix:

Hubert - 07-01-02 20:06:46,84 Service Pack 2
ComboFix 06.11.27 - Running from: "C:\Dokumente und Einstellungen\Hubert\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-12-02 to 2007-01-02 ))))))))))))))))))))))))))))))))))


2007-01-02 20:03 6,144 --a------ C:\WINDOWS\system32\systems_.exe
2007-01-02 19:27 <DIR> d-------- C:\Programme\Combofix
2006-12-30 13:17 <DIR> d-------- C:\Programme\HiJackThis
2006-12-28 19:03 43,008 --a------ C:\WINDOWS\zidsrv.exe
2006-12-28 19:03 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2006-12-28 19:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2006-12-26 21:47 31,744 --a------ C:\WINDOWS\system32\wsys.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-26 21:47 507904 --a------ C:\WINDOWS\system32\winlogon.exe
2006-12-22 19:47 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-12-15 19:18 -------- d-------- C:\Programme\win2day
2006-12-12 21:15 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-12-12 21:15 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Yahoo! Pager"="C:\\Programme\\Yahoo!\\Messenger\\ypager.exe -quiet"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Apoint"="C:\\Programme\\Apoint\\Apoint.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"Mouse Suite 98 Daemon"="ICO.EXE"
"Alcmtr"="ALCMTR.EXE"
"IgfxTray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\system32\\hkcmd.exe"
"SonyPowerCfg"="C:\\Programme\\Sony\\VAIO Power Management\\SPMgr.exe"
"ISBMgr.exe"="C:\\Programme\\Sony\\ISB Utility\\ISBMgr.exe"
"VAIO Update 2"="\"C:\\Programme\\Sony\\VAIO Update 2\\VAIOUpdt.exe\" /Stationary"
"PDService.exe"="C:\\Programme\\Utimaco\\SafeGuard PrivateDisk\\pdservice.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"HP Software Update"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"HP Component Manager"="\"C:\\Programme\\HP\\hpcoretech\\hpcmpmgr.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,80,00,00,00,00,00,00,00,00,02,00,00,c2,01,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 07-01-02 20:07:51.51
C:\ComboFix.txt ... 07-01-02 20:07

----------------------------------------


Da der Text sonst zu lang wird, poste ich GMER extra!


Danke!
 
Und hier kommt noch GMER nach!

Der Text war zu lang, darum als Anhang.

Ich hoffe, es geht so!

Vielen Dank!!!! :crowned:


Liebe Grüße
Hubert
 
Gut, versuchen wir mal den einfachen Weg.

Starte den Rechner im abgesicherten Modus und lasse Antivir die gemeldeten Dateien in Quarantaene verschieben, oder umbenennen.

agesicherter Modus: http://www.heise.de/security/artikel/44133

Das naechste Problem scheint C:\WINDOWS\system32\winlogon.exe zu sein. Das Datum ist falsch und es sollte auch nicht in einem Combofix Report auftauchen.
 
Start im abgesicherten Modus und email an protecus.de

Hallo,

hier bin ich wieder.

Ich habe heute, wie du vorgeschlagen hast, den Start im abgesicherten Modus durchgeführt. Komischerweise gab es beim Suchlauf mit Antivir keine direkte Fundwarnung auf TR/Agent....., sondern nur einen Fund mit Dateinamen: systems_.exe !!!
Dieser ließ sich allerdings nicht in Quarantäne verschieben oder auch umbenennen. Es gab nur die Möglichkeiten: löschen oder ignorieren !!!
Ich hab ignorieren gewählt!


Suchlauf abgesichert:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 03. Jänner 2007 22:32

Es wird nach 613376 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Hubert
Computername: NAME-90360D0545

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.4 208936 Bytes 20.12.2006 18:44:58
AVSCAN.DLL : 7.0.3.0 35880 Bytes 12.12.2006 20:15:47
LUKE.DLL : 7.0.3.2 143400 Bytes 12.12.2006 20:15:50
LUKERES.DLL : 7.0.2.0 9256 Bytes 12.12.2006 20:15:50
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 20:04:47
ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14.11.2006 20:11:24
ANTIVIR2.VDF : 6.37.0.89 783360 Bytes 31.12.2006 19:21:31
ANTIVIR3.VDF : 6.37.0.100 29696 Bytes 03.01.2007 18:41:45
AVEWIN32.DLL : 7.3.0.21 1999360 Bytes 22.12.2006 18:47:16
AVPREF.DLL : 7.0.2.0 23592 Bytes 12.12.2006 20:15:47
AVREP.DLL : 6.37.0.5 1007656 Bytes 14.12.2006 20:13:48
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 05.05.2006 19:04:51
AVPACK32.DLL : 7.2.0.5 368680 Bytes 27.10.2006 18:00:21
AVREG.DLL : 7.0.1.1 30760 Bytes 12.12.2006 20:15:47
NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 07:56:48
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 12.12.2006 20:15:42
RCTEXT.DLL : 7.0.12.0 77864 Bytes 12.12.2006 20:15:42

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: BSD Mailbox, Netscape/Mozilla Mailbox, Eudora Mailbox, Squid cache, Pegasus Mailbox, MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 03. Jänner 2007 22:32

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'systems_.exe' - '1' Module wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\system32\systems_.exe'
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht

Es wurden '12' Prozesse mit '12' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( 27 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <VAIO>
\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\CONFIG.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\IO.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\MSDOS.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <VAIO>
\\?\\\?\hpqimgrc.resources.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 03. Jänner 2007 22:32
Benötigte Zeit: 00:31 min

Der Suchlauf wurde vollständig durchgeführt.

2 Verzeichnisse wurden überprüft
55 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
5 Dateien konnten nicht durchsucht werden
54 Dateien ohne Befall
0 Archive wurden durchsucht
5 Warnungen
0 Hinweise

--------------------------------------------

Die möglicherweise fehlerhafte Datei (winlogon.exe) hab ich an protecus.de gemailt. Von meinem Outlook wurde die Anlage aber als potentiell gefährlich eingestuft und geblockt, darum habe ich sie beim 2. Versuch gezipt. Ich hoffe, es hat geklappt!


Vielen Dank wieder für die prompte Hilfestellung! :crowned:


Liebe Grüße
Hubert
 
Die Winlogon.exe ist infiziert:

F-Secure Trojan.Win32.Patched.i
Fortinet suspicious
Kaspersky Trojan.Win32.Patched.i
McAfee New Win32 (virus or variant)

Es muesste noch eine weitere Datei mit Namen C:\WINDOWS\system32\main.sys wenn du diese noch findest, schicke sie bitte auch. Danach mache mit Hilfe von F-secures Onlinescanner eine ueberpruefung deines Rechners.
http://support.f-secure.com/ger/home/ols.shtml

Du kannst alles bis auf die Winlogon.exe reinigen/loeschen lassen.

Wobei ich sagen sollte, das in deinem Fall vieleicht ein Backup deiner Daten und neu aufsetzen deines Systems wahrscheinlich die sauberste Aktion ist, deinen PC wieder Malwarefrei zu bekommen.

Nebenbei, weisst du, wo es dich "erwischt" hat?
 
Naja, ich hoffe trotzdem weiter!

Hallo,

zuerst einmal wieder herzlichen Dank!

Ich hab Dir die genannte Datei (main.sys) in der email als Anlage mitgeschickt.

Jetzt bin ich gerade mit dem Online-Scan von F-Secure fertig geworden und hab alles bis auf winlogon.exe bereinigen lassen.

Seit heute habe ich bei Antivir permanente Fundmeldungen (TR/Patched.I.2), ist ganz schön lästig!

-------------------------------------------------

Hoffentlich läßt sich noch alles bereinigen!!!!



Liebe Grüße und alles Gute
Hubert
 
Fundliste bei Online-Scan mit F-Secure

Hallo,

hier der Report vom Online-Scan:

Scanning Report
Thursday, January 04, 2007 21:40:05 - 22:19:54
Computer name: NAME-90360D0545
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\


--------------------------------------------------------------------------------

Result: 4 malware found
Tracking Cookie (spyware)
System (Disinfected)
System (Submitted)
Trojan-Downloader.Win32.Femad.bd (virus)
C:\WINDOWS\SYSTEM32\WSYS.DLL (Renamed)
Trojan.Win32.Patched.i (virus)
C:\WINDOWS\SYSTEM32\WINLOGON.EXE

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 36612
System: 4569
Not scanned: 3
Actions:
Disinfected: 1
Renamed: 1
Deleted: 0
None: 2
Submitted: 1
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure Libra: 2.4.2, 2007-01-03
F-Secure AVP: 7.0.171, 2007-01-04
F-Secure Orion: 1.2.37, 2006-12-29
F-Secure Blacklight: 1.0.53, 0000-00-00
F-Secure Draco: 1.0.35, 2006-12-27
F-Secure Pegasus: 1.19.0, 2006-11-19
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
Use Advanced heuristics

------------------------------------------------------

Seit heute erscheinen auch noch permanente Fundmeldungen (ca. alle 20sec) bei Antivir: W32/Wigon in winlogon.exe!


Da eine fachgerechte Bereinigung meines Systems wohl wirklich sehr umfangreich ist und meine Kenntnisse und Fähigkeiten vielleicht übersteigen mag, bin ich nun doch am Überlegen, ob ich nicht doch die einfachere Methode durch neu aufsetzen oder Vaio-recovery wählen sollte.

Dazu hätte ich aber noch eine kleine Frage: Können beim Rücksetzen mit Vaio-recovery derartige Fehler, wie sie momentan bei mir auftreten übertragen werden?
Oder ist es doch besser alles neu aufzusetzen?



Ich möchte mich bei der Gelegenheit nochmals recht herzlich für außerordentlich freundliche Hilfestellung bedanken! :crowned:

Ganz sicher werde ich in Zukunft auch auf wirklich vollwertigen Schutz durch geeignete Software setzen und mir mehr gedanken machen, welche Seiten ich auch wirklich sehen und besuchen möchte!!!!



Ich wünsche dir alles Gute und eine schöne Zeit!

Liebe Grüße
Hubert
 
Durch das nutzen der Recoverycd wird die Festplatte auch formatiert und dein System im Auslieferungszustand versetzt. Sprich, die Updates muessen alle wieder installiert werden, unnuetze vorinstallierte Software muss deinstalliert werden.

Bedenke vorher deine Einstellungen und Daten(Email Dokumente usw) zu sichern, die gehen dabei auch verloren.

Es gaebe noch eine Moeglichkeit, die du auch machen kannst. Das sollte funktionieren, aber eine Garantie uebernehme ich nicht. Also vorher deine Daten auf CD u.ae sichern!:)

Lade dazu bitte killbox und entpacke es in einen Extra Ordner: http://www.bleepingcomputer.com/files/killbox.php

Dann stelle bitte die Ordneransicht wie hier beschrieben ein: http://freenet-homepage.de/rene-gad/invisible.html

Dann starte killbox, waehle "replace on reboot"(use dummy nicht anhaken!), in das obere weisse Feld kopierst du folgendes: C:\WINDOWS\system32\winlogon.exe

in das untere weisse Feld das:

C:\WINDOWS\system32\dllcache\winlogon.exe

Dann druckst du den Button mit roten Kreis(und weissen X). Bestaetige evtl. Meldungen mit Ja und lass den Rechner neu starten.

Dann schau nach dem Neustart, ob es funktioniert hat!
 
Hallo,

wenn ich es genau überlege, ist es wahrscheinlich die beste Lösung, mit dem Recoverytool von Vaio zu arbeiten. Ich hab mich auch schon in der Anleitung schlau gemacht und bereits mit der Sicherung meiner Dateien begonnen. Es ist zwar ein wenig Arbeit, aber andererseits bekomme ich den "Schrott" der sich nun bereits angesammelt hat wieder vom Rechner und ich beginne wieder ganz von neuem.

Eine kurze Frage noch: bei der Wieder-Installation von meinem MS-Office 2003 habe ich doch keine Probleme bei der Registrierung zu erwarten? Es ist eine legal erworbene Kauf-Version (eben erst 1x Installiert)!


Ich bedanke mich recht herzlich für deinen letzten Vorschlag zur Rettung meines Systems, ich denke aber, wie du mir bereits schon vorgeschlagen hast, dass dieser Weg nun doch der Sicherste ist! :crowned:


Liebe Grüße
Hubert
 
Status
Not open for further replies.
Back
Top