You are not logged in.

Friday, April 25th 2014, 4:51am

Dear visitor, welcome to Avira Support Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • "B-Star" started this thread

Date of registration:
Jun 7th 2010

Operating System:
Win 7

  • Send private message

1

Monday, June 7th 2010, 2:27pm

Verdacht auf Trojaner - Advertise here

Hallo,

ich hoffe mir kann geholfen werden. Habe einen 2 Monate alten Rechner und seit Beginn kommt bei mir im Firefox immer wieder eine weiße Seite mit links und rechts oben "Advertise here" und "skip this ad" (wie im Beitrag http://forum.avira.com/wbb/index.php?page=Thread&threadID=113836)

Ich habe www.malwarebytes.org schon öfters laufen lassen. Bei den ersten beiden malen fand es folgende Trojaner:

1.)
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4168

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

04.06.2010 12:32:01
mbam-log-2010-06-04 (12-32-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 27587
Laufzeit: 7 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ade621e6-b6cf-db3d-e6c4-e697ea338793} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ade621e6-b6cf-db3d-e6c4-e697ea338793} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\14f81fe8.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.


2.)
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4168

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

04.06.2010 13:33:44
mbam-log-2010-06-04 (13-33-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 242290
Laufzeit: 58 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\9a670ff7 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iohdohrxrmc (Adware.AdRotator) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\9a670ff7.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\iohdohrxrmc.exe (Adware.AdRotator) -> Quarantined and deleted successfully.




Trotzdem öffnet sich noch immer diese Seit im Firefox. Antivir und Malewarebytes findet aber nichts mehr und ich habe bedenken das nun immer noch irgendjemand Zugriff auf meinen Rechner hat.
Bitte helft mir, ich wäre sehr dankbar dafür?

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

2

Monday, June 7th 2010, 2:55pm

Systemscan mit OTL
download otl:
http://oldtimer.geekstogo.com/OTL.exe
Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "run Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
da diese zu groß sind tu folgendes. start programme zubehör, wordpad, dort kopierst du beide rein und speicherst das neue dokument. diese dann hochladen:
www.file-upload.net
klicke auf durchsuchen, suche die datei, klicke einmal drauf, fenster schließt sich, klicke auf hochladen.
poste den download link.

  • "B-Star" started this thread

Date of registration:
Jun 7th 2010

Operating System:
Win 7

  • Send private message

3

Monday, June 7th 2010, 3:17pm

OTL Datei

Hi,
ich hoffe das hilft weiter!

http://www.file-upload.net/download-2581082/OTL.rtf.html

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

4

Monday, June 7th 2010, 3:53pm

ok, das hat mir nichts weiter interessantes gezeigt, erstelle nun ein combofix log.
http://www.paules-pc-forum.de/forum/4-pc…-anleitung.html

  • "B-Star" started this thread

Date of registration:
Jun 7th 2010

Operating System:
Win 7

  • Send private message

5

Monday, June 7th 2010, 9:30pm

Hi,

leider hat das Ausführen von Combofix nicht geklappt. Habe ich etwas falsch gemacht?
Antivir und Firewall waren aus, W-Lan auch.



markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

6

Monday, June 7th 2010, 9:39pm

sorry hab ein augenproblem, kannst mir mal den meldungstext mitteilen?

  • "B-Star" started this thread

Date of registration:
Jun 7th 2010

Operating System:
Win 7

  • Send private message

7

Monday, June 7th 2010, 11:06pm

Na klar, kein Problem:

Windows-Befehlsprozessor funktioniert nicht mehr.

--> Später online nach einer Lösung suchen und das Programm schließen.
--> Programm schließen.

Details:
Problemsignatur:
Problemereignisname: APPCRASH
Anwendungsname: CF8412.cfxxe
Anwendungsversion: 6.1.7600.16385
Anwendungszeitstempel: 4a5bc19e
Fehlermodulname: ntdll.dll
Fehlermodulversion: 6.1.7600.16385

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

8

Tuesday, June 8th 2010, 11:18am

konfiguriere avira 10 wie in meiner signatur. dann updaten, dann lokaler schutz, lokale laufwerke, evtl. funde in quarantäne, log posten

  • "B-Star" started this thread

Date of registration:
Jun 7th 2010

Operating System:
Win 7

  • Send private message

9

Tuesday, June 8th 2010, 1:06pm

keine Funde

habe keine Signatur gefunden, habe es konfiguriert wie hier:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=113836 bzw:
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/127673-avira-10-free-anleitung-zur-einrichtung.html

es wurde kein Virus gefunden. Ist das sicher? die sieben Trojaner die Malwarebytes letzte Woche fand, hatte AntiVir auch nicht gefunden.

hier das Scanlog:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 8. Juni 2010 11:29

Es wird nach 2196344 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : BR
Computername : BJÖRN-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 23.04.2010 14:14:25
AVSCAN.DLL : 10.0.3.0 56168 Bytes 23.04.2010 14:14:25
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:40:32
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 11:18:04
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 11:18:05
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 11:18:05
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 11:18:05
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 11:18:05
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 11:18:05
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 11:18:05
VBASE013.VDF : 7.10.7.225 2048 Bytes 02.06.2010 11:18:05
VBASE014.VDF : 7.10.8.6 136704 Bytes 07.06.2010 09:26:40
VBASE015.VDF : 7.10.8.7 2048 Bytes 07.06.2010 09:26:40
VBASE016.VDF : 7.10.8.8 2048 Bytes 07.06.2010 09:26:40
VBASE017.VDF : 7.10.8.9 2048 Bytes 07.06.2010 09:26:40
VBASE018.VDF : 7.10.8.10 2048 Bytes 07.06.2010 09:26:40
VBASE019.VDF : 7.10.8.11 2048 Bytes 07.06.2010 09:26:40
VBASE020.VDF : 7.10.8.12 2048 Bytes 07.06.2010 09:26:40
VBASE021.VDF : 7.10.8.13 2048 Bytes 07.06.2010 09:26:40
VBASE022.VDF : 7.10.8.14 2048 Bytes 07.06.2010 09:26:40
VBASE023.VDF : 7.10.8.15 2048 Bytes 07.06.2010 09:26:41
VBASE024.VDF : 7.10.8.16 2048 Bytes 07.06.2010 09:26:41
VBASE025.VDF : 7.10.8.17 2048 Bytes 07.06.2010 09:26:41
VBASE026.VDF : 7.10.8.18 2048 Bytes 07.06.2010 09:26:41
VBASE027.VDF : 7.10.8.19 2048 Bytes 07.06.2010 09:26:41
VBASE028.VDF : 7.10.8.20 2048 Bytes 07.06.2010 09:26:41
VBASE029.VDF : 7.10.8.21 2048 Bytes 07.06.2010 09:26:41
VBASE030.VDF : 7.10.8.22 2048 Bytes 07.06.2010 09:26:41
VBASE031.VDF : 7.10.8.23 44032 Bytes 08.06.2010 09:26:41
Engineversion : 8.2.2.6
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 14:14:25
AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 04.06.2010 11:18:19
AESCN.DLL : 8.1.6.1 127347 Bytes 15.05.2010 10:04:59
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 14:14:25
AERDL.DLL : 8.1.4.6 541043 Bytes 17.04.2010 19:40:35
AEPACK.DLL : 8.2.1.1 426358 Bytes 10.04.2010 13:16:08
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 15.05.2010 10:04:59
AEHEUR.DLL : 8.1.1.33 2724214 Bytes 04.06.2010 11:18:16
AEHELP.DLL : 8.1.11.5 242038 Bytes 04.06.2010 11:18:09
AEGEN.DLL : 8.1.3.10 377205 Bytes 04.06.2010 11:18:08
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 14:14:25
AECORE.DLL : 8.1.15.3 192886 Bytes 15.05.2010 10:04:58
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 14:14:25
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 23.04.2010 14:14:26
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 23.04.2010 14:14:26
AVARKT.DLL : 10.0.0.14 227176 Bytes 23.04.2010 14:14:25
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 23.04.2010 14:14:25

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 8. Juni 2010 11:29

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TCrdMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmoothView.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPwrMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KeNotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosCoSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmdc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApplicationUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '418' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
Beginne mit der Suche in 'D:\' <Eigene Dateien>
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [3]: Das System kann den angegebenen Pfad nicht finden.


Ende des Suchlaufs: Dienstag, 8. Juni 2010 12:10
Benötigte Zeit: 40:59 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

17229 Verzeichnisse wurden überprüft
281194 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
281194 Dateien ohne Befall
5079 Archive wurden durchsucht
0 Warnungen
0 Hinweise


DANKE FÜR DIE HILFE!!!!!

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

10

Tuesday, June 8th 2010, 2:41pm

wird die meldung noch angezeigt?

  • "B-Star" started this thread

Date of registration:
Jun 7th 2010

Operating System:
Win 7

  • Send private message

11

Tuesday, June 8th 2010, 4:13pm

Welche Meldung meinst du?

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

12

Tuesday, June 8th 2010, 4:17pm

ich meinte das problem wegen dem du hergekommen bist.
http://www.eset.com/online-scanner
enutze eset, wenn funde, log posten

  • "B-Star" started this thread

Date of registration:
Jun 7th 2010

Operating System:
Win 7

  • Send private message

13

Tuesday, June 8th 2010, 11:06pm

Hallo,

das Program wurde fündig. Musste es beim ersten mal leider abbrechen und habe es dann nochmals laufen lassen.
Das Bild ist das erste Ergebnis und die beiden Zeilen sind von der .txt.



C:\Users\BR\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VJ0I48CT\pdfforgeToolbar[1].msi Win32/Adware.Toolbar.Dealio application deleted - quarantined
C:\Windows\Installer\2ab1a9.msi Win32/Adware.Toolbar.Dealio application deleted - quarantined

Ist es damit geklärt?
Danke für die Hilfe!

Michael_Mann

Moderator

Date of registration:
Oct 24th 2005

Version:
Avira Ultimate Protection Suite
Avira Free Unix/Linux
Avira Android Security

Operating System:
AmigaOS 3.9, Ubuntu 13.10+ & Windows XP SP3, win7 HEdit. 64b (sp1)

  • Send private message

14

Tuesday, June 8th 2010, 11:12pm

Deinstalliere die pdf-toolbar, starte den PC neu und lasse erneut scannen.

Wenn erneut Bilder gepostet werden dann bitte nur die Thumbnails mit Link aufs originale Bild, ca 10 KB groß, danke.


Tipp-Ex. :rolleyes:
Meine PCs: Amiga 1200 und WinUAE. Dafür ist Virenfreiheit garantiert.
Links: Tipps & Tricks -- HiJackThis -- Video Anleitungen
I speak german and english only

This post has been edited 1 times, last edit by "Michael_Mann" (Jun 9th 2010, 6:31am)


  • "B-Star" started this thread

Date of registration:
Jun 7th 2010

Operating System:
Win 7

  • Send private message

15

Saturday, June 12th 2010, 6:09pm

Hallo,

PDF-Toolbar wurde deinstalliert.

Eset fand danach folgende Dinge:
C:\Users\BR\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VJ0I48CT\pdfforgeToolbar[1].msi Win32/Adware.Toolbar.Dealio application deleted - quarantined
C:\Users\BR\AppData\Local\Temp\NOD935F.tmp Win32/Adware.Toolbar.Dealio application cleaned by deleting - quarantined

Eset, Malware, Antivir und Spyboot haben seit dem nichts mehr gefunden.
Trotzdem kam bei mir gestern und heute wieder der Bildschirm im Firefox. - also Problem besteht immer noch.

Was kann dies sein und kann Deinstallation und Installation von Firefox da etwas ändern?

Danke!

Michael_Mann

Moderator

Date of registration:
Oct 24th 2005

Version:
Avira Ultimate Protection Suite
Avira Free Unix/Linux
Avira Android Security

Operating System:
AmigaOS 3.9, Ubuntu 13.10+ & Windows XP SP3, win7 HEdit. 64b (sp1)

  • Send private message

16

Saturday, June 12th 2010, 6:21pm

Bitte ein HiJackThis-Log posten.
Diese msi-Datei war die Installationsdatei für die Toolbar.
Meine PCs: Amiga 1200 und WinUAE. Dafür ist Virenfreiheit garantiert.
Links: Tipps & Tricks -- HiJackThis -- Video Anleitungen
I speak german and english only

  • "B-Star" started this thread

Date of registration:
Jun 7th 2010

Operating System:
Win 7

  • Send private message

17

Saturday, June 12th 2010, 6:45pm

There it is:




Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:43:24, on 12.06.2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\StikyNot.exe
D:\Temp\Test1-4.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/skins7/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files\ICQ7.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files\ICQ7.1\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe

--
End of file - 6171 bytes

Michael_Mann

Moderator

Date of registration:
Oct 24th 2005

Version:
Avira Ultimate Protection Suite
Avira Free Unix/Linux
Avira Android Security

Operating System:
AmigaOS 3.9, Ubuntu 13.10+ & Windows XP SP3, win7 HEdit. 64b (sp1)

  • Send private message

18

Monday, June 14th 2010, 10:24am

Ich würde die ICQ-Toolbar entsorgen.
Danach ebenfalls den Updater für DivX aus win entfernen (wen es die werbefinanzierte Codec-Version ist).
Meine PCs: Amiga 1200 und WinUAE. Dafür ist Virenfreiheit garantiert.
Links: Tipps & Tricks -- HiJackThis -- Video Anleitungen
I speak german and english only

  • "B-Star" started this thread

Date of registration:
Jun 7th 2010

Operating System:
Win 7

  • Send private message

19

Tuesday, June 15th 2010, 11:54am

Viren+Trojaner werden nicht mehr gefunden, aber dieser Bildschirm öffnet sich immer noch unzyklisch im Firefox.
Macht Deinstallation und anschließende Installation von Firefox Sinn? Denn mit Opera habe ich das Bild noch nie gehabt.

Michael_Mann

Moderator

Date of registration:
Oct 24th 2005

Version:
Avira Ultimate Protection Suite
Avira Free Unix/Linux
Avira Android Security

Operating System:
AmigaOS 3.9, Ubuntu 13.10+ & Windows XP SP3, win7 HEdit. 64b (sp1)

  • Send private message

20

Tuesday, June 15th 2010, 2:55pm

Man kann es mit der Reinstallation versuchen. Sichere aber die Lesezeichen, wenn gewünscht, und lösche manuell nach der Deinstallation auch den Profil-Ordner des FF.
Meine PCs: Amiga 1200 und WinUAE. Dafür ist Virenfreiheit garantiert.
Links: Tipps & Tricks -- HiJackThis -- Video Anleitungen
I speak german and english only