TR/Downloader.Gen

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von Gurpser, 09.12.2007.

  1. #1 Gurpser, 09.12.2007
    Gurpser

    Gurpser Neuer Benutzer

    Dabei seit:
    09.12.2007
    Beiträge:
    10
    Zustimmungen:
    0
    Hallo, eins muss ich vorweg schieben: Habe das ganze Thema schon ins AVIRA Forum eingestellt und dort auch entsprechend Anleitung bekommen, was ich alls analysieren kann, aber mit den Ergebnissen konnte keiner was so recht anfangen, deswegen probiere ich es hier nochmal:; Fehlermeldung AVIRA:

    In der Datei 'C:\Programme\GameSpy\Comrade\154\NetDetect.dll'
    wurde ein Virus oder unerwünschtes Programm 'TR/Downloader.Gen' [TR/Downloader.Gen] gefunden.
    Ausgeführte Aktion: Datei löschen

    Direkt danach einen Standard Scan drüber laufen lassen und wieder eine Entdeckung:

    C:\System Volume Information\_restore{B3B511E6-71C5-41D4-991A-9CE380666FCE}\RP218\A0026793.d
    ll
    [FUND] Ist das Trojanische Pferd TR/Downloader.Gen
    [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '478b2e4a.qua' verschoben!
    Beginne mit der Suche in 'D:\' <Volume>
    Beginne mit der Suche in 'E:\' <Volume>

    Diesmal habe ich die Datei in Quarantäne verschoben.

    Vollscan AVira im Anschluss:

    Versionsinformationen:
    BUILD.DAT : 308 17199 Bytes 19.09.2007 13:41:00
    AVSCAN.EXE : 7.0.6.1 290856 Bytes 06.09.2007 18:24:42
    AVSCAN.DLL : 7.0.6.0 57384 Bytes 06.09.2007 18:24:42
    LUKE.DLL : 7.0.5.3 147496 Bytes 06.09.2007 18:24:44
    LUKERES.DLL : 7.0.6.0 10792 Bytes 06.09.2007 18:24:44
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 18:23:25
    ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 19:07:34
    ANTIVIR2.VDF : 7.0.1.30 1575424 Bytes 30.11.2007 08:23:18
    ANTIVIR3.VDF : 7.0.1.60 112128 Bytes 07.12.2007 13:32:55
    AVEWIN32.DLL : 7.6.0.40 3064320 Bytes 08.12.2007 13:32:56
    AVWINLL.DLL : 1.0.0.7 14376 Bytes 24.04.2007 07:00:51
    AVPREF.DLL : 7.0.2.2 25640 Bytes 06.09.2007 18:24:42
    AVREP.DLL : 7.0.0.1 155688 Bytes 24.04.2007 07:00:52
    AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 18:12:27
    AVREG.DLL : 7.0.1.6 30760 Bytes 06.09.2007 18:24:42
    AVARKT.DLL : 1.0.0.20 278568 Bytes 06.09.2007 18:24:41
    AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 06.09.2007 18:24:41
    NETNT.DLL : 7.0.0.0 7720 Bytes 24.04.2007 07:00:52
    RCIMAGE.DLL : 7.0.1.30 2576424 Bytes 06.09.2007 18:24:36
    RCTEXT.DLL : 7.0.62.0 90152 Bytes 06.09.2007 18:24:36
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 06.09.2007 18:24:45

    Konfiguration für den aktuellen Suchlauf:
    Job Name.........................: Vollständige Systemprüfung
    Konfigurationsdatei..............: c:\programme\antivir personaledition premium\sysscan.avp
    Protokollierung..................: niedrig
    Primäre Aktion...................: interaktiv
    Sekundäre Aktion.................: ignorieren
    Durchsuche Masterbootsektoren....: ein
    Durchsuche Bootsektoren..........: ein
    Bootsektoren.....................: E:,
    Durchsuche Speicher..............: ein
    Durchsuche aktive Programme......: ein
    Durchsuche Registrierung.........: ein
    Suche nach Rootkits..............: ein
    Datei Suchmodus..................: Alle Dateien
    Durchsuche Archive...............: ein
    Rekursionstiefe einschränken.....: aus
    Archiv Smart Extensions..........: ein
    Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
    Makrovirenheuristik..............: ein
    Dateiheuristik...................: hoch
    Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

    Beginn des Suchlaufs: Sonntag, 9. Dezember 2007 01:01

    Der Suchlauf nach versteckten Objekten wird begonnen.
    Es wurden '54790' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

    Der Suchlauf über gestartete Prozesse wird begonnen:
    Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'MtdAcqu.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'fwupdate.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'SMax4.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'CTSVCCDA.EXE' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
    Es wurden '35' Prozesse mit '35' Modulen durchsucht

    Der Suchlauf über die Masterbootsektoren wird begonnen:
    Masterbootsektor HD0
    [HINWEIS] Es wurde kein Virus gefunden!
    Masterbootsektor HD1
    [HINWEIS] Es wurde kein Virus gefunden!

    Der Suchlauf über die Bootsektoren wird begonnen:
    Bootsektor 'C:\'
    [HINWEIS] Es wurde kein Virus gefunden!
    Bootsektor 'D:\'
    [HINWEIS] Es wurde kein Virus gefunden!
    Bootsektor 'E:\'
    [HINWEIS] Es wurde kein Virus gefunden!

    Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
    Die Registry wurde durchsucht ( '29' Dateien ).


    Der Suchlauf über die ausgewählten Dateien wird begonnen:

    Beginne mit der Suche in 'C:\'
    C:\pagefile.sys
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    Beginne mit der Suche in 'D:\' <Volume>
    Beginne mit der Suche in 'E:\' <Volume>


    Ende des Suchlaufs: Sonntag, 9. Dezember 2007 01:42
    Benötigte Zeit: 40:17 min

    Der Suchlauf wurde vollständig durchgeführt.

    9134 Verzeichnisse wurden überprüft
    277199 Dateien wurden geprüft
    0 Viren bzw. unerwünschte Programme wurden gefunden
    0 Dateien wurden als verdächtig eingestuft
    0 Dateien wurden gelöscht
    0 Viren bzw. unerwünschte Programme wurden repariert
    0 Dateien wurden in die Quarantäne verschoben
    0 Dateien wurden umbenannt
    1 Dateien konnten nicht durchsucht werden
    277199 Dateien ohne Befall
    2032 Archive wurden durchsucht
    1 Warnungen
    0 Hinweise
    54790 Objekte wurden beim Rootkitscan durchsucht
    0 Versteckte Objekte wurden gefunden


    Hijackthis in hjt. com unbenannt (soll man laut Aussage im Avira Forum machen, da sonst Malware nicht immer entdeckt wird):

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Premium\sched.exe
    C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
    C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
    C:\WINDOWS\system32\CTsvcCDA.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\Analog Devices\Core\smax4pnp.exe
    C:\Programme\Analog Devices\SoundMAX\Smax4.exe
    C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\lg_fwupdate\fwupdate.exe
    C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
    C:\Programme\Creative\MediaSource5\MtdAcqu.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\HJ\hjt.com

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-brett.de/viewforum.php?f=20&sid=
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arlt.com/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.128.254:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.128.11;<local>
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MtdAcqu] "C:\Programme\Creative\MediaSource5\MtdAcqu.exe" /s
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb
    _site.cab?1153128773359
    O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
    O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
    O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
    O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/SYSBUI~1/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg


    Und schließlich noch die Quarantäne Datei mit Antivirus gecheckt:

    Antivirus Version letzte aktualisierung Ergebnis
    AhnLab-V3 2007.12.8.0 2007.12.07 -
    AntiVir 7.6.0.40 2007.12.07 TR/Downloader.Gen
    Authentium 4.93.8 2007.12.08 -
    Avast 4.7.1098.0 2007.12.08 -
    AVG 7.5.0.503 2007.12.08 -
    BitDefender 7.2 2007.12.09 -
    CAT-QuickHeal 9.00 2007.12.08 -
    ClamAV 0.91.2 2007.12.09 -
    DrWeb 4.44.0.09170 2007.12.08 -
    eSafe 7.0.15.0 2007.12.06 -
    eTrust-Vet 31.3.5361 2007.12.08 -
    Ewido 4.0 2007.12.08 -
    FileAdvisor 1 2007.12.09 -
    Fortinet 3.14.0.0 2007.12.09 -
    F-Prot 4.4.2.54 2007.12.08 -
    F-Secure 6.70.13030.0 2007.12.09 -
    Ikarus T3.1.1.12 2007.12.09 -
    Kaspersky 7.0.0.125 2007.12.09 -
    McAfee 5181 2007.12.08 -
    Microsoft 1.3007 2007.12.09 -
    NOD32v2 2711 2007.12.07 -
    Norman 5.80.02 2007.12.07 -
    Panda 9.0.0.4 2007.12.09 -
    Prevx1 V2 2007.12.09 -
    Rising 20.21.42.00 2007.12.07 -
    Sophos 4.24.0 2007.12.09 -
    Sunbelt 2.2.907.0 2007.12.07 -
    Symantec 10 2007.12.09 -
    TheHacker 6.2.9.153 2007.12.07 -
    VBA32 3.12.2.5 2007.12.07 -
    VirusBuster 4.3.26:9 2007.12.08 -
    Webwasher-Gateway 6.6.2 2007.12.08 Trojan.Downloader.Gen
    weitere Informationen
    File size: 21504 bytes
    MD5: 818faba2bf71397f543ddd74b684ebfa
    SHA1: 49f3e41e9460144770197dd9fc3c2782ce0d8d6e

    Und die Datei auch noch an Avira mit Verdacht auf Fehlalarm gesendet.

    Kann hier mir noch jemand die Ergebnisse interpretieren? Neuinstallation notwendig? Bzgl. Online Banking mache ich mir etwas Sorgen?
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 ReinMan, 09.12.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
  4. #3 Gurpser, 09.12.2007
    Gurpser

    Gurpser Neuer Benutzer

    Dabei seit:
    09.12.2007
    Beiträge:
    10
    Zustimmungen:
    0
    Hintzer dem Link ist nur das Hauptforum kein Thread?
     
  5. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Tag,

    an der Onlineauswertung der Datei lässt sich ja erkennen , dass die Erkennungsrate ziemlich niedrig ist. Deshalb würde ich sagen ,dass es sich wohl um einen Fehlalarm handelt.Warte am besten die Post von AntiVir ab.
    In deinem Hijackthis Logfile ist bis auf zwei Einträge nichts zu erkennen.
    Meldet AntiVir den Trojaner immer wieder?Oder gibt es keine Fundmeldungen mehr?
    In dem Bericht von AntiVir ist soweit auch nichts zu erkennen.Die Datei ,die sich in der Systemwiederherstellung befand,hast du in Quarantäne gesteckt?Kannst du sie manuell löschen oder taucht der Trojaner bei jedem Neustart wieder auf?
    Ehrlich gesagt habe ich schon öfters von solchen Problemen mit AntiVir und suspekten Funden gelesen. Vielleicht hast du die Heuristik zu hoch eingestellt.



    Mach bitte ma folgendes:
    Installiere CleanUp http://www.comsafe.de/download.html -->Aufrufen-->Klicke auf "CleanUp" und lass das Proggi durchlaufen..


    Poste danach nochmal ein neues Hijackthis Logfile.


    Mfg
     
  6. #5 Gurpser, 09.12.2007
    Gurpser

    Gurpser Neuer Benutzer

    Dabei seit:
    09.12.2007
    Beiträge:
    10
    Zustimmungen:
    0
    Bisher meldet Avira nix neues. Manuell löschen ging auch.

    Cleanup habe ich drüber laufen lassen (1,5 GB!)

    Also der neue HJT.com Log:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:31:49, on 09.12.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Premium\sched.exe
    C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
    C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
    C:\WINDOWS\system32\CTsvcCDA.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\Analog Devices\Core\smax4pnp.exe
    C:\Programme\Analog Devices\SoundMAX\Smax4.exe
    C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\lg_fwupdate\fwupdate.exe
    C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
    C:\Programme\Creative\MediaSource5\MtdAcqu.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\HJ\hjt.com

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-brett.de/viewforum.php?f=20&sid=
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arlt.com/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.128.254:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.128.11;<local>
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MtdAcqu] "C:\Programme\Creative\MediaSource5\MtdAcqu.exe" /s
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153128773359
    O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
    O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
    O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
    O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/SYSBUI~1/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

    --
    End of file - 5993 bytes



    Habe zum Vergleich nochmal das unabgeänderte HIJAck drüber laufen lassen, also die ganz normal .exe: Interessant: Mehr Bytes...


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:33:14, on 09.12.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Premium\sched.exe
    C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
    C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
    C:\WINDOWS\system32\CTsvcCDA.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\Analog Devices\Core\smax4pnp.exe
    C:\Programme\Analog Devices\SoundMAX\Smax4.exe
    C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\lg_fwupdate\fwupdate.exe
    C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
    C:\Programme\Creative\MediaSource5\MtdAcqu.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-brett.de/viewforum.php?f=20&sid=
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arlt.com/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.128.254:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.128.11;<local>
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MtdAcqu] "C:\Programme\Creative\MediaSource5\MtdAcqu.exe" /s
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153128773359
    O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
    O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
    O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
    O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/SYSBUI~1/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

    --
    End of file - 6030 bytes





    Das dumme an der ganzen Sache ist, dass ich die erste Datei direkt gelöscht und nicht in Quarantäne verschoben habe, daher kann ich mir ja nie sicher sein, ob dies ein Fehlalarm war?
     
  7. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    In beiden Logfiles ist der gleiche Eintrag zu erkennen:
    O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/SYSBUI~1/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg


    Fixe den Eintrag mit Hijackthis.

    *Starte Hijackthis
    *Starte ein Durchlauf
    *Danach erscheint das Logfile +Fenster mit mehreren Einträgen(O2 usw.)
    *Haken bei den entsprechenden Einträgen
    *Klicke auf "Fix Checked"

    Mach danach ein neues Logfile und schau ob der Eintrag noch vorhanden ist.Wenn ja , melde dich nochma.


    Mfg
     
  8. #7 Gurpser, 09.12.2007
    Gurpser

    Gurpser Neuer Benutzer

    Dabei seit:
    09.12.2007
    Beiträge:
    10
    Zustimmungen:
    0
    Bei welchen Einträgen? Du sprachst nur vom 24er? Da habe ich es gemacht wie beschrieben und er taucht nicht mehr auf.

    Woher hast du gesehen, dass das was ist, bzw. was es ist?

    Kann ich mir nun sicher sein, dass mein PC sauber ist?
     
  9. #8 ReinMan, 09.12.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/SYSBUI~1/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

    Diesen Eintrag fixxt du bitte mit "Fixx check" davor markierst du ihn.

    Du kannst dein Logfile unter www.hijackthis.de auswerten lassen. Poste uns nochmal ein neues Logfile ins Forum dann können wir genaueres sagen
     
  10. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  11. #9 Gurpser, 09.12.2007
    Gurpser

    Gurpser Neuer Benutzer

    Dabei seit:
    09.12.2007
    Beiträge:
    10
    Zustimmungen:
    0
    Neues Logfile

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:00:18, on 09.12.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Premium\sched.exe
    C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
    C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
    C:\WINDOWS\system32\CTsvcCDA.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\Analog Devices\Core\smax4pnp.exe
    C:\Programme\Analog Devices\SoundMAX\Smax4.exe
    C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\lg_fwupdate\fwupdate.exe
    C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
    C:\Programme\Creative\MediaSource5\MtdAcqu.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Sports Interactive\Football Manager 2007\fm.exe
    C:\DOKUME~1\SYSBUI~1\LOKALE~1\Temp\~e5.0001
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-brett.de/viewforum.php?f=20&sid=
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arlt.com/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.128.254:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.128.11;<local>
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MtdAcqu] "C:\Programme\Creative\MediaSource5\MtdAcqu.exe" /s
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153128773359
    O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
    O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
    O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
    O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    --
    End of file - 5971 bytes
     
  12. #10 ReinMan, 09.12.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    C:\DOKUME~1\SYSBUI~1\LOKALE~1\Temp\~e5.0001

    Das ist der einzige Fund der "Neutral aufweist laut Hijackhis". Ansonsten ist dein Logfile sauber.

    Sieht mir nach einer Temporären Datei aus. Lösch mal deinen Browser Cache und achte beim Scann drauf ob die Datei wieder auftaucht.

    Lade dir CCleaner und geh auf "Analysieren" dann auf "Starte CCleaner". Dann mach ein neues Logfile und schau ob der Eintrag weiterhin auftaucht.

    http://ccleaner.softonic.de/
     
Thema: TR/Downloader.Gen
Besucher kamen mit folgenden Suchen
  1. tr/downloader.gen2

    ,
  2. tr/downloader.gen7

    ,
  3. trojan.exoptions.gen

    ,
  4. tr/downloader.gen 7,
  5. trojan.exoptions.gen entfernen,
  6. tr/downloader.gen,
  7. tr downloader gen2,
  8. tr downloader.gen 2,
  9. tr downloader.gen entfernen,
  10. tr/downloader.gen2 löschen,
  11. trojan exoptions.gen entfernen,
  12. tr downloader gen7,
  13. tr.downloader.gen2,
  14. tr downloader gen entfernen,
  15. downloader.gen,
  16. tr/downloader/gen.2,
  17. tr downloader.gen2 löschen,
  18. trojan.exoptions.gen remover,
  19. appl-downloader-gen,
  20. tr/downloader.gen2 wie entfernen,
  21. appl/downloader.gen löschen,
  22. was tut tr downloader gen2,
  23. tr/downloader.gen2 ccleaner,
  24. tr/downloader.gen8,
  25. entfernen tr/downloader.gen2
Die Seite wird geladen...

TR/Downloader.Gen - Ähnliche Themen

  1. TR/Crypt.ZPACK.Gen2 gefunden

    TR/Crypt.ZPACK.Gen2 gefunden: Avira hat heute den Trojaner "TR/Crypt.ZPACK.Gen2" gefunden. Ort des Fundes ist "C:\Program Files (x86)\Skype\Phone\Skype.exe". Skype nutze ich...
  2. TR/Click.Cycler.akdp

    TR/Click.Cycler.akdp: Hallo =) Ich bin es mal wieder. Diesmal ist mein PC von dem Click.Cycler.akdp Virus befallen ( laut LukeFileWalker). Ich lasse AntiVir gerade ein...
  3. Trojaner: TR/Agent.AN.2060

    Trojaner: TR/Agent.AN.2060: hallo leute bei mir hat sich das trojanische pferd "TR/Agent.AN.2060" eingeschlichen. mit AntiVir das ganze system überprüft. danach wurde...
  4. TR/Dldr.Java.3090 | TR/Dldr.Java.2349

    TR/Dldr.Java.3090 | TR/Dldr.Java.2349: Hallo, beim heutigen Komplettscan hat AntiVir zwei Trojaner gefunden. Im AntiVir Forum sind zu diesen zwei Funden die letzten Tage über zig...
  5. TR/Unpacked.Gen

    TR/Unpacked.Gen: Ich brauche dringend Hilfe! Ich habe anscheinend 5 Malware auf meinem PC, 2 davon sind warscheinlich entfernt, aber sie sind schrecklich! Ich habe...