Hilfe ich bekomme Trojan.vundo nicht weg

[marcelluz]

Hi,

ich bin neu hier, und habe ein dickes Problem.
Norton fand bei mir den "Trojan.vundo" und ich
hab auch schon das Symantec Tool zum entfernen
heruntergeladen und ausprobiert. Der Virus is immernoch da.
Ich hab jetzt mal Highjackthis drüber laufen lassen.

hier meine logfile:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 12:27:16, on 17.01.2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Um9ra28\command.exe
C:\WINDOWS\lsass.exe
C:\PROGRA~1\NORTON~3\NORTON~2\NPROTECT.EXE
C:\WINDOWS\system32\pnpsp2fix.exe
C:\PROGRA~1\NORTON~3\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\sysmgr64.exe
C:\WINDOWS\system32\wincntrl.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\ecsiin.stub.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Dokumente und Einstellungen\Stephan\Desktop\wechdamit\HijackThis.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\vtstq.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [Launch] C:\compaq\audio\Setup.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [mouse] C:\compaq\mouse\mouse.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINDOWS\System32\system12.exe
O4 - HKLM\..\Run: [Audio Driver] C:\WINDOWS\System32\msadrv.exe
O4 - HKLM\..\Run: [ecsiin] C:\ecsiin.stub.exe
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\RunServices: [mouse] C:\compaq\mouse\mouse.exe
O4 - HKLM\..\RunServices: [Internet Help Svc] IHSVC.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunServices: [Internet Help Svc] IHSVC.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/201df198580d2ad92420/netzip/RdxIE601_de.cab
O20 - Winlogon Notify: vtstq - C:\WINDOWS\System32\vtstq.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Um9ra28\command.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Plug-n-Play SP2 Fix (sp2pnpfix) - Unknown owner - C:\WINDOWS\system32\pnpsp2fix.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe

wär echt cool wenn ich den Rechner nicht platt machen müsste.
Vielen Dank im Voraus.

[marcelluz]

Oh,

den Thread hab ich wohl zweimal eingestellt.
Sorry

[Ruby]

Hallo Marcelluz

einen deiner beiden Threads hab ich gelöscht, einmal reicht ja

Dein Betriebssystem und dein Internet Explorer sind veraltet. Folglich hat dein System Lücken durch die Malware eindringen kann. Genau das ist bei dir passiert. Der Trojan Vundo ist das kleinste Problem. Du hast ausserdem auch noch Würmer mit Backdoor-Charakter auf dem Rechner, die dafür sorgen, dass dein Rechner in der Hand eines Dritten ist, der damit tun kann, was ihm beliebt. Es bedarf also entweder einer umfassenden Reinigung oder du formatierst dein System. Was dir lieber ist. Zum formatieren findest du Anleitungen in meiner Signatur unter "System-Pflege" und "System-Sicherheit".

Zur Reinigung gehts hier:

Bitte die Systemwiederherstellung im Wechsel aktivieren, deaktivieren, dazwischen jedes mal neu booten. Nimm dir Zeit dafür, das System ist nicht so schnell. 5-10 Minuten zwischen den einzelnen Durchgängen. Zum Schluss sollte die Systemwiederherstellung deaktiviert, also ausgestellt sein. -> Bitte tun, es entfernt die Malware aus der Nische System Volume Restore.

Lade den CCleaner runter, setze in alle Kästchen (Windows, Anwendungen und Probleme) ein Häkchen und drücke dann auf "Starte Cleaner". Bereinige dein System.

Vergewissere dich, dass du auf deinem Rechner alles siehst: In den Ordneroptionen das Häkchen entfernen bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

1) Lege einen Ordner c:\bases an (Einführung in Windows)
2) Download der -> mwav.exe <- diesen Link verwenden!
3) Entpacke die Datei (mit einem Zip-Programm UltimateZip) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
5) Wechsle in den abgesicherten Modus von Windows
6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken. Angehakt werden soll alles, was auf dieser Abbildung zu sehen ist:

8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
9) Nun öffnest du mit einem Editor 1 oder Editor 2 die mwav.log und wählst unter bearbeiten -> suchen,
hier gibst du "tagged as" und "infected as" ein:

-> jede Zeile in der "tagged as" steht.
-> jede Zeile in der "infected" steht,

markieren, und hier einfügen, weitersuchen usw.

(Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

Ganz unten steht die Zusammenfassung, diese auch hier posten :

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

Poste das Ergebnis des Scan und ein neues HJT-Logfile.

[HijackThis]

Hallo !

Wenn du damit fertig bist, poste bitte die Ordnerinhalte, die mit diesem Tool in eine Textdatei ausgelesen werden.
http://www.hijackthis-forum.de/showp...5&postcount=11

[marcelluz]

Guten Morgen,

erstmal danke für die schnelle Antwort, ich werde gleich damit beginnen.

[marcelluz]

Da gibts nur noch ein kleines Problem, soweit ich das gesehen hab versucht sich die kvupd.exe mit dem internet zu verbinden, ich bin aber im Geschäft und möchte den Rechner auf keinen Fall in die Domäne einbinden.

Virus Signature Date is aber vom 11.01.2006, also ich mach einfach mal ohne internetverbindung weiter, ich poste dann die Ergebnisse.

[Ruby]

Da gibts nur noch ein kleines Problem, soweit ich das gesehen hab versucht sich die kvupd.exe mit dem internet zu verbinden, ich bin aber im Geschäft und möchte den Rechner auf keinen Fall in die Domäne einbinden.

Virus Signature Date is aber vom 11.01.2006, also ich mach einfach mal ohne internetverbindung weiter, ich poste dann die Ergebnisse.

das nützt nichts. Die Signaturen müssen uptodate sein, wir haben heute den 18. Januar, das sind 7 Tage mehr. Malwareproduzenten schlafen nicht. Die kavupd.exe MUSS sich mit dem Internet verbinden, um den Scan updaten zu können. Wenn du einen Firmenrechner hast, dann sei bitte so nett und wende dich an den Helpdesk bei euch in der Firma. Wir sind nicht zuständig für das reinigen von Firmenrechnern.

[marcelluz]

Ja darum gehts ja, das ist der Rechner eines Freundes und ich hab ihn im Geschäft dabei, weil den da nebenbei laufen lassen kann.
Und genau das ist auch der Grund, warum ich ihn auf keinen Fall ins Firmennetzwerk einbinden möchte.

Aber wenn du sowieso sagst, dass es sinnlos ist, dann werd ich ihn wohl platt machen windows cd hab ich ja auch dabei.

[Ruby]

Aber wenn du sowieso sagst, dass es sinnlos ist, dann werd ich ihn wohl platt machen windows cd hab ich ja auch dabei.

Sinnlos ist es nicht, man kann auch solche Systeme reinigen, aber es lohnt sich eigentlich nicht. Es kostet viel zu viel Zeit.

Wenn du den Rechner platt machen willst, achte bitte auf die Sicherheitsvorschriften. Das hier ist abgelaufen:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Ohne das SP2 und eine aktuelle Version des IE solltest du besser nicht ins Netz kommen, sonst sieht der Rechner gleich wieder so aus.

1.) Alle wichtigen Daten, die nicht aus anderen Quellen wiederbeschafft werden können, sichern und auf einem anderen PC diese Sicherung auf Funktionsfähigkeit prüfen (Anleitung: Microsoft) (Back Up Programme). Bitte alle Daten gründlich auf das Vorhandensein von Viren mit einem geupdateten Antivirenprogramm prüfen.
2.) Windows XP Verwendern steht mit der PE Builder c't-Edition ein Notfall-Windows zur Datenrettung mit Malware-Schutz, Browser, Image-Schutz und mehr zur Verfügung -> bei Kauf der Zeitschrift mit der CD (bebilderte Information aus unserem Forum).
3.) Neu formatieren und installieren (Windows XP Anleitung: incosec-installation.pdf und MS-DOS-Grundlagen)
4.) VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (Anleitung)
oder eine andere Firewall (Anleitungen und Auswahl) verwenden.
5.) VOR der ersten Onlineverbindung das Service Pack 2 auf ein Wechselmedium downloaden oder von CD installieren (CD bestellen), alternativ www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren
6.) den IE nur für diese Updates verwenden, auf einen alternativen Browser wie Mozilla, Firefox, Opera umsteigen
7.) Die Möglichkeiten, die das System zur Sicherung bietet, nutzen:
Benutzerkonten einrichten bzw. Windows absichern I, Windows absichern II und Windows absichern III
8.) Browser und Emailprogramm (Alternativen zu Outlook: Thunderbird, foxmail) sicher konfigurieren
(IE Sicherheitseinstellungen), keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) und Mails nur als Textversion, nicht in html anzeigen lassen
9.) Vorsichtig bleiben, nur wirklich als sicher bekannte Mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (Spylist, Spywarewarrior, Spywareguide) besondere Vorsicht ist bei allen erotischen und [warez] -Seiten geboten
10.) ein Antivirenprogramm sollte nicht dazu verführen, sich grenzenlos darauf zu verlassen
11.) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System nehmen, sondern überlegen, ob sie wirklich nötig sind oder mögliche Alternativen in Betracht ziehen.
12.) keine alten Passworte wiederverwenden, sondern neu anlegen (Passwort Generator) und nicht auf dem System bewahren
13.) Konsequenzen aus dem Vorfall ziehen und ggf. das eigene Sicherheitskonzept entsprechend anpassen

Bevor der PC zum ersten Mal ins Internet geht, muss er entweder auf dem aktuellen Stand sein
oder der Zugriff von aussen muss mit einer Firewall unterbunden werden.

Lektüre für die Zukunft:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/
http://faq.jors.net/virus
http://www.dingens.org/
http://ntsvcfg.de/

Überarbeitung der Anleitung von MountainKing aka aelfric und Raman.

Um ein Wiederherstellen der gelöschten Dateien nach dem formatieren unmöglich zu machen,
kann eines dieser Festplatten-Löschprogramme verwendet werden,
bevor das System neu aufgesetzt wird.
Man kann auch das Format ändern,
also wenn fat32 verwendet wird, dann auf ntfs, und wurde ntfs verwendet,
dann zuerst auf fat32 und dann nochmals auf ntfs umformatieren.

Zur weiteren Lektüre: Anleitung zur Bereinigung von Malware und System-Pflege

Weitere Anleitungen zu Neuinstallation mit anschliessender Absicherung

trojaner-board.de, windows-tweaks.info, rz.uni-wuerzburg.de, ebend.de

[marcelluz]

OK,

wenn du sagst es sei nicht sinnlos, dann weiter so wie gehabt.

Hier erstmal die "tagged as" und die "infected" Zeilen:

tagged as:

Code:

Wed Jan 18 08:26:49 2006 => File C:\WINDOWS\System32\vtstq.dll tagged as not-a-virus:AdWare.Win32.Virtumonde.gen. No Action Taken.

Wed Jan 18 08:26:56 2006 => File C:\WINDOWS\Um9ra28\command.exe tagged as not-a-virus:AdWare.Win32.CommAd.a. No Action Taken.

Wed Jan 18 08:30:10 2006 => File C:\WINDOWS\System32\vtstq.dll tagged as not-a-virus:AdWare.Win32.Virtumonde.gen. No Action Taken.

Wed Jan 18 08:47:05 2006 => File C:\Programme\HJT\backups\backup-20060117-094432-385.dll tagged as not-a-virus:AdWare.Win32.Virtumonde.gen. No Action Taken.

Wed Jan 18 08:47:05 2006 => File C:\Programme\HJT\backups\backup-20060117-103003-789.dll tagged as not-a-virus:AdWare.Win32.Virtumonde.gen. No Action Taken.

Wed Jan 18 08:47:06 2006 => File C:\Programme\HJT\backups\backup-20060117-103034-600.dll tagged as not-a-virus:AdWare.Win32.Virtumonde.gen. No Action Taken.

Wed Jan 18 08:47:06 2006 => File C:\Programme\HJT\backups\backup-20060117-114608-567.dll tagged as not-a-virus:AdWare.Win32.Virtumonde.gen. No Action Taken.

Wed Jan 18 09:05:48 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\1324534D tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.

Wed Jan 18 09:05:49 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\1EB40F4C tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.

Wed Jan 18 09:05:52 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2E81118E tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.

Wed Jan 18 09:05:52 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2E81118E tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.

Wed Jan 18 09:05:52 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2EB428AB tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.

Wed Jan 18 09:05:52 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2EBA7CA4 tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.

Wed Jan 18 09:05:52 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2EBE26A0 tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.

Wed Jan 18 09:05:53 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2ED1228B tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.

Wed Jan 18 09:05:53 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2ED44C87 tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.

Wed Jan 18 09:05:54 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2EDE4A7C tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.

Wed Jan 18 09:05:54 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2EE17479 tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.

Wed Jan 18 09:05:56 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2F201235 tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.

Wed Jan 18 09:05:57 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2F233C31 tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.

Wed Jan 18 09:05:59 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\47DE7DD4 tagged as not-a-virus:AdWare.Win32.Virtumonde.gen. No Action Taken.

Wed Jan 18 09:06:00 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\58EC314D tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.

Wed Jan 18 09:06:01 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\700D294A tagged as not-a-virus:AdWare.Win32.Look2Me.ab. No Action Taken.

Wed Jan 18 09:34:25 2006 => File C:\WINDOWS\system32\vtstq.dll tagged as not-a-virus:AdWare.Win32.Virtumonde.gen. No Action Taken.

Wed Jan 18 09:35:01 2006 => File C:\WINDOWS\Um9ra28\asappsrv.dll tagged as not-a-virus:AdWare.Win32.CommAd.a. No Action Taken.

Wed Jan 18 09:35:02 2006 => File C:\WINDOWS\Um9ra28\command.exe tagged as not-a-virus:AdWare.Win32.CommAd.a. No Action Taken.

Wed Jan 18 09:57:57 2006 => File C:\WINDOWS\system32\vtstq.dll tagged as not-a-virus:AdWare.Win32.Virtumonde.gen. No Action Taken.

Wed Jan 18 09:58:32 2006 => File C:\WINDOWS\Um9ra28\asappsrv.dll tagged as not-a-virus:AdWare.Win32.CommAd.a. No Action Taken.

Wed Jan 18 09:58:33 2006 => File C:\WINDOWS\Um9ra28\command.exe tagged as not-a-virus:AdWare.Win32.CommAd.a. No Action Taken.

infected:

Code:

Wed Jan 18 08:26:52 2006 => File C:\WINDOWS\System32\msadrv.exe infected by "Trojan-Proxy.Win32.Delf.ap" Virus. Action Taken: File Deleted.

Wed Jan 18 08:26:52 2006 => *** SOFTWARE\Microsoft\Windows\CurrentVersion\Run has RunningProcess defined as C:\WINDOWS\System32\msadrv.exe (which is infected)!

Wed Jan 18 08:26:52 2006 => *** Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Audio Driver deleted because it is infected by a Virus

Wed Jan 18 08:26:59 2006 => File C:\WINDOWS\lsass.exe infected by "Backdoor.Win32.SdBot.xd" Virus. Action Taken: File Renamed.

Wed Jan 18 08:26:59 2006 => *** SYSTEM\CurrentControlSet\Services\lsass has RunningProcess defined as C:\WINDOWS\lsass.exe (which is infected)!

Wed Jan 18 08:26:59 2006 => *** Reg Value SYSTEM\CurrentControlSet\Services\lsass\ImagePath deleted because it is infected by a Virus

Wed Jan 18 08:26:59 2006 => *** Reg Key SYSTEM\CurrentControlSet\Services\lsass deleted because ImagePath file infected by a Virus

Wed Jan 18 08:27:07 2006 => File C:\WINDOWS\system32\pnpsp2fix.exe infected by "Backdoor.Win32.SdBot.aad" Virus. Action Taken: File Renamed.

Wed Jan 18 08:27:07 2006 => *** SYSTEM\CurrentControlSet\Services\sp2pnpfix has RunningProcess defined as C:\WINDOWS\system32\pnpsp2fix.exe (which is infected)!

Wed Jan 18 08:27:07 2006 => *** Reg Value SYSTEM\CurrentControlSet\Services\sp2pnpfix\ImagePath deleted because it is infected by a Virus

Wed Jan 18 08:27:07 2006 => *** Reg Key SYSTEM\CurrentControlSet\Services\sp2pnpfix deleted because ImagePath file infected by a Virus

Wed Jan 18 08:27:10 2006 => File C:\WINDOWS\sysmgr64.exe infected by "Backdoor.Win32.SdBot.xd" Virus. Action Taken: File Renamed.

Wed Jan 18 08:27:10 2006 => *** SYSTEM\CurrentControlSet\Services\sysmgr64 has RunningProcess defined as C:\WINDOWS\sysmgr64.exe (which is infected)!

Wed Jan 18 08:27:10 2006 => *** Reg Value SYSTEM\CurrentControlSet\Services\sysmgr64\ImagePath deleted because it is infected by a Virus

Wed Jan 18 08:27:10 2006 => *** Reg Key SYSTEM\CurrentControlSet\Services\sysmgr64 deleted because ImagePath file infected by a Virus

Wed Jan 18 08:27:13 2006 => File C:\WINDOWS\system32\wincntrl.exe infected by "Backdoor.Win32.Rbot.ahp" Virus. Action Taken: File Renamed.

Wed Jan 18 08:27:13 2006 => *** Reg Value SYSTEM\CurrentControlSet\Services\WinNet\ImagePath deleted because it is infected by a Virus

Wed Jan 18 08:27:13 2006 => *** Reg Key SYSTEM\CurrentControlSet\Services\WinNet deleted because ImagePath file infected by a Virus

Wed Jan 18 08:27:14 2006 => File C:\WINDOWS\adtech2005.exe infected by "Trojan.Win32.VB.afn" Virus. Action Taken: File Deleted.

Wed Jan 18 08:27:55 2006 => File C:\WINDOWS\System32\ddabc.dll infected by "Trojan-Downloader.Win32.ConHook.l" Virus. Action Taken: File Deleted.

Wed Jan 18 08:27:55 2006 => File C:\WINDOWS\System32\ddccy.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus. Action Taken: File Deleted.

Wed Jan 18 08:28:16 2006 => File C:\WINDOWS\System32\gebca.dll infected by "Trojan-Downloader.Win32.ConHook.l" Virus. Action Taken: File Deleted.

Wed Jan 18 08:28:17 2006 => File C:\WINDOWS\System32\gebcc.dll infected by "Trojan-Downloader.Win32.ConHook.l" Virus. Action Taken: File Deleted.

Wed Jan 18 08:28:17 2006 => File C:\WINDOWS\System32\geeba.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus. Action Taken: File Deleted.

Wed Jan 18 08:28:22 2006 => File C:\WINDOWS\System32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus. Action Taken: File Deleted.

Wed Jan 18 08:28:32 2006 => File C:\WINDOWS\System32\jkkji.dll infected by "Trojan-Downloader.Win32.ConHook.l" Virus. Action Taken: File Deleted.

Wed Jan 18 08:29:28 2006 => File C:\WINDOWS\System32\pmkhi.dll infected by "Trojan-Downloader.Win32.ConHook.l" Virus. Action Taken: File Deleted.

Wed Jan 18 08:29:29 2006 => File C:\WINDOWS\System32\pmkjg.dll infected by "Trojan-Downloader.Win32.ConHook.l" Virus. Action Taken: File Deleted.

Wed Jan 18 08:29:53 2006 => File C:\WINDOWS\System32\ssqrp.dll infected by "Trojan-Downloader.Win32.ConHook.l" Virus. Action Taken: File Deleted.

Wed Jan 18 08:29:54 2006 => File C:\WINDOWS\System32\ssttt.dll infected by "Trojan-Downloader.Win32.ConHook.l" Virus. Action Taken: File Deleted.

Wed Jan 18 08:30:11 2006 => File C:\WINDOWS\System32\vtstu.dll infected by "Trojan-Downloader.Win32.ConHook.l" Virus. Action Taken: File Deleted.

Wed Jan 18 08:30:12 2006 => File C:\WINDOWS\System32\vturp.dll infected by "Trojan-Downloader.Win32.ConHook.l" Virus. Action Taken: File Deleted.

Wed Jan 18 08:33:11 2006 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EFMFSLIB\reader[1].exe infected by "Trojan-Downloader.Win32.Adload.j" Virus. Action Taken: File Deleted.

Wed Jan 18 08:34:59 2006 => File C:\ecsiin.stub.exe infected by "Trojan-Downloader.Win32.Delmed.a" Virus. Action Taken: File Deleted.

Wed Jan 18 09:05:46 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\0779023C infected by "Backdoor.Win32.Rbot.ahl" Virus. Action Taken: File Renamed.

Wed Jan 18 09:05:48 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\163C1798 infected by "Trojan-Proxy.Win32.Ranky.gen" Virus. Action Taken: File Deleted.

Wed Jan 18 09:05:49 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\1E4E1945 infected by "Trojan-Downloader.Win32.TSUpdate.l" Virus. Action Taken: File Deleted.

Wed Jan 18 09:05:50 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\24DE357E infected by "Trojan-Dropper.Win32.Agent.za" Virus. Action Taken: File Deleted.

Wed Jan 18 09:05:51 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2D0B567E infected by "Trojan-Proxy.Win32.Ranky.gen" Virus. Action Taken: File Deleted.

Wed Jan 18 09:05:51 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2D0F007B infected by "Trojan-Dropper.Win32.Agent.za" Virus. Action Taken: File Deleted.

Wed Jan 18 09:05:52 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2EC1509D infected by "Trojan-Downloader.Win32.VB.ri" Virus. Action Taken: File Deleted.

Wed Jan 18 09:05:54 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2ED87684 infected by "Trojan-Downloader.Win32.Small.buy" Virus. Action Taken: File Deleted.

Wed Jan 18 09:05:55 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2EE51E75 infected by "Trojan-Downloader.Win32.IstBar.is" Virus. Action Taken: File Deleted.

Wed Jan 18 09:05:55 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2EF24667 infected by "Trojan-Downloader.Win32.TSUpdate.o" Virus. Action Taken: File Deleted.

Wed Jan 18 09:05:55 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2EF81A60 infected by "Trojan.Win32.StartPage.aw" Virus. Action Taken: File Deleted.

Wed Jan 18 09:05:56 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2EFF6E58 infected by "Trojan-Downloader.Win32.TSUpdate.p" Virus. Action Taken: File Deleted.

Wed Jan 18 09:05:56 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2F054251 infected by "Trojan-Downloader.Win32.TSUpdate.n" Virus. Action Taken: File Deleted.

Wed Jan 18 09:05:56 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2F126A43 infected by "Trojan-Downloader.Win32.TSUpdate.f" Virus. Action Taken: File Deleted.

Wed Jan 18 09:05:57 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\363B7D51 infected by "Trojan-Downloader.Win32.Adload.j" Virus. Action Taken: File Deleted.

Wed Jan 18 09:05:58 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\439B0EA4.EXE infected by "Backdoor.Win32.Rbot.ahl" Virus. Action Taken: File Renamed.

Wed Jan 18 09:05:58 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\44BB2F73.exe infected by "Backdoor.Win32.SdBot.xd" Virus. Action Taken: File Renamed.

Wed Jan 18 09:05:58 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\44FB198F.exe infected by "Backdoor.Win32.SdBot.abk" Virus. Action Taken: File Renamed.

Wed Jan 18 09:06:00 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\4AC25240.exe infected by "Backdoor.Win32.IRCBot.hg" Virus. Action Taken: File Renamed.

Wed Jan 18 09:06:00 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\6C3D5BEC.exe infected by "Backdoor.Win32.Codbot.z" Virus. Action Taken: File Renamed.

Wed Jan 18 09:06:02 2006 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\77E35D73.exe infected by "Backdoor.Win32.IRCBot.hg" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:01 2006 => C:\RECYCLER\NPROTECT\00058214. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:01 2006 => C:\RECYCLER\NPROTECT\00058214. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:01 2006 => File C:\RECYCLER\NPROTECT\00058214. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:01 2006 => C:\RECYCLER\NPROTECT\00058215. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:01 2006 => C:\RECYCLER\NPROTECT\00058215. possibly infected and removed by background antivirus package!#

Wed Jan 18 09:10:01 2006 => File C:\RECYCLER\NPROTECT\00058215. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:01 2006 => C:\RECYCLER\NPROTECT\00058216. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:01 2006 => C:\RECYCLER\NPROTECT\00058216. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:01 2006 => File C:\RECYCLER\NPROTECT\00058216. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:01 2006 => C:\RECYCLER\NPROTECT\00058217. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:02 2006 => C:\RECYCLER\NPROTECT\00058217. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:02 2006 => File C:\RECYCLER\NPROTECT\00058217. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:02 2006 => C:\RECYCLER\NPROTECT\00058218. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:02 2006 => C:\RECYCLER\NPROTECT\00058218. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:02 2006 => File C:\RECYCLER\NPROTECT\00058218. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:02 2006 => C:\RECYCLER\NPROTECT\00058219. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:02 2006 => C:\RECYCLER\NPROTECT\00058219. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:02 2006 => File C:\RECYCLER\NPROTECT\00058219. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:02 2006 => C:\RECYCLER\NPROTECT\00058220. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:02 2006 => C:\RECYCLER\NPROTECT\00058220. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:02 2006 => File C:\RECYCLER\NPROTECT\00058220. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:02 2006 => C:\RECYCLER\NPROTECT\00058221. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:02 2006 => C:\RECYCLER\NPROTECT\00058221. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:02 2006 => File C:\RECYCLER\NPROTECT\00058221. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:02 2006 => C:\RECYCLER\NPROTECT\00058222. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:03 2006 => C:\RECYCLER\NPROTECT\00058222. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:03 2006 => File C:\RECYCLER\NPROTECT\00058222. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:03 2006 => C:\RECYCLER\NPROTECT\00058223. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:03 2006 => C:\RECYCLER\NPROTECT\00058223. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:03 2006 => File C:\RECYCLER\NPROTECT\00058223. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:03 2006 => C:\RECYCLER\NPROTECT\00058224. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:03 2006 => C:\RECYCLER\NPROTECT\00058224. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:03 2006 => File C:\RECYCLER\NPROTECT\00058224. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:03 2006 => C:\RECYCLER\NPROTECT\00058225. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:03 2006 => C:\RECYCLER\NPROTECT\00058225. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:03 2006 => File C:\RECYCLER\NPROTECT\00058225. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:03 2006 => C:\RECYCLER\NPROTECT\00058226. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:03 2006 => C:\RECYCLER\NPROTECT\00058226. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:03 2006 => File C:\RECYCLER\NPROTECT\00058226. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:03 2006 => C:\RECYCLER\NPROTECT\00058227. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:03 2006 => C:\RECYCLER\NPROTECT\00058227. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:04 2006 => File C:\RECYCLER\NPROTECT\00058227. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:04 2006 => C:\RECYCLER\NPROTECT\00058228. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:04 2006 => C:\RECYCLER\NPROTECT\00058228. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:04 2006 => File C:\RECYCLER\NPROTECT\00058228. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:04 2006 => C:\RECYCLER\NPROTECT\00058229. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:04 2006 => C:\RECYCLER\NPROTECT\00058229. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:04 2006 => File C:\RECYCLER\NPROTECT\00058229. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:04 2006 => C:\RECYCLER\NPROTECT\00058230. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:04 2006 => C:\RECYCLER\NPROTECT\00058230. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:04 2006 => File C:\RECYCLER\NPROTECT\00058230. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:04 2006 => C:\RECYCLER\NPROTECT\00058231. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:04 2006 => C:\RECYCLER\NPROTECT\00058231. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:04 2006 => File C:\RECYCLER\NPROTECT\00058231. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:04 2006 => C:\RECYCLER\NPROTECT\00058232. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:04 2006 => C:\RECYCLER\NPROTECT\00058232. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:04 2006 => File C:\RECYCLER\NPROTECT\00058232. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:04 2006 => C:\RECYCLER\NPROTECT\00058233. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:05 2006 => C:\RECYCLER\NPROTECT\00058233. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:05 2006 => File C:\RECYCLER\NPROTECT\00058233. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:05 2006 => C:\RECYCLER\NPROTECT\00058234. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:05 2006 => C:\RECYCLER\NPROTECT\00058234. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:05 2006 => File C:\RECYCLER\NPROTECT\00058234. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:05 2006 => C:\RECYCLER\NPROTECT\00058235. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:05 2006 => C:\RECYCLER\NPROTECT\00058235. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:05 2006 => File C:\RECYCLER\NPROTECT\00058235. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:05 2006 => C:\RECYCLER\NPROTECT\00058236. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:05 2006 => C:\RECYCLER\NPROTECT\00058236. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:05 2006 => File C:\RECYCLER\NPROTECT\00058236. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:05 2006 => C:\RECYCLER\NPROTECT\00058237. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:05 2006 => C:\RECYCLER\NPROTECT\00058237. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:05 2006 => File C:\RECYCLER\NPROTECT\00058237. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:05 2006 => C:\RECYCLER\NPROTECT\00058238. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:05 2006 => C:\RECYCLER\NPROTECT\00058238. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:05 2006 => File C:\RECYCLER\NPROTECT\00058238. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:06 2006 => C:\RECYCLER\NPROTECT\00058239. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:06 2006 => C:\RECYCLER\NPROTECT\00058239. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:06 2006 => File C:\RECYCLER\NPROTECT\00058239. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:06 2006 => C:\RECYCLER\NPROTECT\00058240. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:06 2006 => C:\RECYCLER\NPROTECT\00058240. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:06 2006 => File C:\RECYCLER\NPROTECT\00058240. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:06 2006 => C:\RECYCLER\NPROTECT\00058241. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:06 2006 => C:\RECYCLER\NPROTECT\00058241. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:06 2006 => File C:\RECYCLER\NPROTECT\00058241. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:06 2006 => C:\RECYCLER\NPROTECT\00058242. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:06 2006 => C:\RECYCLER\NPROTECT\00058242. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:06 2006 => File C:\RECYCLER\NPROTECT\00058242. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Wed Jan 18 09:10:06 2006 => C:\RECYCLER\NPROTECT\00058243. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:06 2006 => C:\RECYCLER\NPROTECT\00058243. possibly infected and removed by background antivirus package!

Wed Jan 18 09:10:06 2006 => File C:\RECYCLER\NPROTECT\00058243. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

dann hab ich hier noch die Zusammenfassung des scans:

Code:

Wed Jan 18 09:58:40 2006 => ***** Scanning complete. *****
 
Wed Jan 18 09:58:40 2006 => Total Number of Files Scanned: 48715
Wed Jan 18 09:58:40 2006 => Total Number of Virus(es) Found: 104
Wed Jan 18 09:58:40 2006 => Total Number of Disinfected Files: 0
Wed Jan 18 09:58:40 2006 => Total Number of Files Renamed: 41
Wed Jan 18 09:58:40 2006 => Total Number of Deleted Files: 33
Wed Jan 18 09:58:40 2006 => Total Number of Errors: 92
Wed Jan 18 09:58:40 2006 => Time Elapsed: 01:31:40
Wed Jan 18 09:58:40 2006 => Virus Database Date: 2006/01/11
Wed Jan 18 09:58:40 2006 => Virus Database Count: 170505
 
Wed Jan 18 09:58:40 2006 => Scan Completed.

Hier noch die HiJackThis Logfile:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 12:29:44, on 18.01.2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Um9ra28\command.exe
C:\PROGRA~1\NORTON~3\NORTON~2\NPROTECT.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~3\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\DOKUME~1\Stephan\LOKALE~1\Temp\Rar$EX03.265\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\vtstq.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [mouse] C:\compaq\mouse\mouse.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ecsiin] C:\ecsiin.stub.exe
O4 - HKLM\..\RunServices: [mouse] C:\compaq\mouse\mouse.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunServices: [Internet Help Svc] IHSVC.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/201df198580d2ad92420/netzip/RdxIE601_de.cab
O20 - Winlogon Notify: vtstq - C:\WINDOWS\System32\vtstq.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Um9ra28\command.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Also seht mal was sich da machen lässt.

Vielen Dank nochmal.