WORM/Bagle.AT.1

Logfile of HijackThis v1.99.1
Scan saved at 11:20:16, on 24.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Schmaili 4.0\schmaili.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sony\vaio media music server\SSSvr.exe
C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Schulz\LOKALE~1\Temp\Rar$EX00.078\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Schmaili] C:\Programme\Schmaili 4.0\schmaili.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101482574406
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: VAIO Media Music Server (Application) (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\Sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (Application) (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe

 

@rolfschulz
Zwei aktive Virenscanner und Firewalls auf einen PC sind nicht ratsam!
Die erste Maßnahme ist hier, deinstalliere jeweils eine Firewall und Virenscanner.

Merkwürdig ist auch, das du mit einer "alten" Bagle Variante heute noch Probleme hast.
Wie aktuell sind denn die Virenscanner?
Bitte die Version und das letzte Updatedatum angeben.

Deaktiviere zunächst die Systemwiederherstellung von Windows.
Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm

Lösche dann bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.
Bei der Aktion und der nächsten muss der Browser geschlossen sein und es darf keine Internetverbindung bestehen!

Fixe nun aus dem Logfile of HijackThis diese Einträge.
Bei den beiden Einträgen handelt es sich zu mindestens um Reste zweier Trojaner:
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Nach einen reboot scanne den PC im abgesicherten Modus von Windows mit dem AV Cleaner “Damage Cleanup“ von Trend Micro.
(Spezielles Entfernungstool für fast alle bekannten Viren - In englischer Sprache)
Die Dateien sysclean.com und lpt$vpn.xxx müssen im selben Ordner abgelegt sein, keine Installation notwendig!
a. Sysclean Package, ca. 3,2 MB
http://de.trendmicro-europe.com/enterprise/support/tsc.php
b. Pattern, ca. 20 MB Zipdatei
http://de.trendmicro-europe.com/enterprise/support/pattern.php

Poste bitte auf jeden Fall den ausführlichen Scanreport von Trend hier !

Noch ein Tipp:
Die eine und andere Software sollte mal auf den aktuellen Stand gebracht werden, besonders wichtig wäre hier Java von Sun.

Java Runtime Environment (JRE) 6.0 Update 2
http://java.sun.com/javase/downloads/index.jsp
(Die alte Version muss erst deinstalliert werden !)
 

hallo , ich habe bei einer freundin auf dem pc mit spydoctor den wurm bagle entdeckt und zwei dialer. meine fragen: sie hatte antivir benutzt und täglich upgedatet...wie kann das trotzdem passiert sein?

der rechner wurde mit der zeit etwas langsamer, hängt fest wenn sie mails outlook beantwortet, ich schätze mal dass das mit dem wurm zusammenhing?

nunist der wurm und die dealer beseitigt bzw die dateien repariert, aber beim booten und runterfahren ist der rechner noch ziemlich lahm. ebendso besteht das problem noch im outlook. wonach muss jetzt gesucht werden? unter temporäre dateien gab es eine beschädigte, ich weiß aber nicht mehr wie die hieß.

welcher schaden kann sonst noch angerichtet worden sein?
kann beim kreditkartenbanking was passiert sein? etc.

danke für eure antworten im voraus. bitte so antworten, dass es auch ein relativer laie verstehen kann. danke!

 

@Sunshine2
Was hier genau passiert ist, kann heute nicht mehr nachvollzogen werden.
Es ist z.B. möglich, das Spydocter nur noch Reste alter Infektionen beseitigt hat. Liegt noch ein Bericht vor, was und wo Spydocter gefunden hat? Wenn ja, bitte posten.
Beachte auch, das kein Antivirusprogramm eine Erkennungsrate von 100 Prozent hat.

Die verschiedene Malwarevarianten von Bagle können zahlreiche Schadfunktionen mit sich bringen:
z.B.
- Registry-Einträge ändern
- Antivirusprogramme beenden
- Ein Rootkit installieren
- Einbindung in ein Botnet
- Hintertürfunktionen installieren

Es ist nicht auszuschließen, dass in der Zwischenzeit auch Bankdaten ausspioniert wurden!


Zur Sicherheit überprüfe den PC mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

Beachte bitte dabei die folgende Anleitung genau und arbeite sie unbedingt in der Reihenfolge und vollständig ab!

Deaktiviere zuerst die Systemwiederherstellung von Windows.
Anmerkung: Bei Windows 95, 98 und 2000 ist diese nicht vorhanden.
Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

F-Secure Online Scanner
http://support.f-secure.de/ger/home/ols.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“

Poste bitte bei einen Malwarefund auf jeden Fall den ausführlichen Scanreport von F-Secure hier !
Boote jetzt den PC neu und aktiviere die Systemwiederherstellung wieder.

Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Direkter Downloadlink zum Tool
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
(Version 2.02)
Die Quickanleitung für das Erstellen eines Logfiles:
Öffne das HijackThis-->> Drücke den Button "Do a system scan and save a logfile“ ->> kopiere den kompletten Text und poste ihn.
 

Ihr dürft lachen,aber ich würd sagen dein Antivir ist runtergegangen, du mußt ihn deinstallieren/Neustart/Neuinstallation/onlineupdate und dann den beliebten Vollscan, falls noch Probleme ist er in den Systemdatein/regedit Eintrag löschen oder?

Ich habe mich soeben auf Virensuchen mit AntiVir begeben. Es wurde mehrfach der WORM/Bagle.AT.1 gefunden. Das Letzte was ich installiert hatte, war ein JAVA update!
Da ich keine Ahnung vom PC hab, brauch ich mal wieder den Fachmann.  :'(

@hebro
Poste doch bitte erst mal den Bericht von AntiVir, mit den Informationen wo er den WORM/Bagle.AT.1 überall gefunden hat.

Macrovision Shared\Kaspersky Antivirus 5.0
Shareaza\Kaspersky Antivirus 5.0
und weitere Shareza ...

Es wurde auch noch WORM/Sober.I.Base64A gefunden

Ich habe mir die Reportdatei ausgedruckt, kann diese aber nicht hierhin kopieren.
 

 

Ich habe mir die Reportdatei ausgedruckt, kann diese aber nicht hierhin kopieren.

AntiVir speichert den Bericht automatisch.
Gehe mit der Maus auf das Symbol von AntiVir in der Taskleiste, drücke die linke Maustaste und danach den Eintrag "Antivir starten". Wähle dann den Register "Berichte" aus. Dort kannst den Scan-Bericht öffnen und den Inhalt kopieren und hier posten.

Zusätzlich erstelle ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Direkter Downloadlink zum Tool
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
(Version 2.02)
Die Quickanleitung für das Erstellen eines Logfiles:
Öffne das HijackThis-->> Drücke den Button "Do a system scan and save a logfile“ ->> kopiere den kompletten Text und poste ihn.


 

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 14. September 2007  17:40

Es wird nach 1069983 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Benutzername:     SYSTEM
Computername:     HEBRO

Versionsinformationen:
BUILD.DAT    : 268           15604 Bytes  31.08.2007 13:01:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  07.09.2007 17:42:03
AVSCAN.DLL   : 7.0.6.0       57384 Bytes  07.09.2007 17:42:03
LUKE.DLL     : 7.0.5.3      147496 Bytes  07.09.2007 17:42:04
LUKERES.DLL  : 7.0.6.0       10792 Bytes  07.09.2007 17:42:04
ANTIVIR0.VDF : 6.35.0.1    7371264 Bytes  31.05.2006 10:35:19
ANTIVIR1.VDF : 6.39.0.129  7251968 Bytes  10.07.2007 03:41:41
ANTIVIR2.VDF : 6.39.1.120  1918464 Bytes  12.09.2007 18:05:42
ANTIVIR3.VDF : 6.39.1.130    96768 Bytes  14.09.2007 07:55:24
AVEWIN32.DLL : 7.6.0.10    2789888 Bytes  12.09.2007 18:05:42
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  23.04.2007 19:56:19
AVPREF.DLL   : 7.0.2.2       25640 Bytes  07.09.2007 17:42:03
AVREP.DLL    : 7.0.0.1      155688 Bytes  23.04.2007 19:56:20
AVPACK32.DLL : 7.3.0.15     360488 Bytes  03.08.2007 14:33:45
AVREG.DLL    : 7.0.1.6       30760 Bytes  07.09.2007 17:42:03
AVARKT.DLL   : 1.0.0.20     278568 Bytes  07.09.2007 17:42:02
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  07.09.2007 17:42:03
NETNT.DLL    : 7.0.0.0        7720 Bytes  23.04.2007 19:56:20
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07.09.2007 17:41:57
RCTEXT.DLL   : 7.0.62.0      90152 Bytes  07.09.2007 17:41:57
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  07.09.2007 17:42:04

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 14. September 2007  17:40

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LxrSII1s.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CDAC11BA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KBDAP32A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mouse32a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '37' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [HINWEIS]   Es wurde kein Virus gefunden!
Bootsektor 'D:\'
      [HINWEIS]   Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '31' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
D:\Programme\Shareaza\KAV 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4740b958.qua' verschoben!
D:\Programme\Shareaza\Kaspersky Antivirus 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475db991.qua' verschoben!
D:\Programme\Shareaza\Skins\Shareaza2\KAV 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde gelöscht.
D:\Programme\Shareaza\Skins\Shareaza2\Kaspersky Antivirus 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde gelöscht.
D:\Programme\Shareaza\Skins\ShareazaOS\KAV 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde gelöscht.
D:\Programme\Shareaza\Skins\ShareazaOS\Kaspersky Antivirus 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde gelöscht.
D:\Program files\Common files\Microsoft shared\KAV 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4740b9de.qua' verschoben!
D:\Program files\Common files\Microsoft shared\Kaspersky Antivirus 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475dba03.qua' verschoben!
D:\WINDOWS2\SYSTEM\nonzipsr.noz
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Sober.I.Base64A
      [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
      [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.
D:\WINDOWS2\SYSTEM\zippedsr.piz
  

• Archivtyp: Base64

  --> Unknown.txt
      [FUND]      Enthält Erkennungsmuster des HEUR-DBLEXT/Worm.Gen-Virus
      [1] Archivtyp: ZIP
     --> message_text.txt                                                           .pif
          [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Sober.I
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475ababe.qua' verschoben!
D:\WINDOWS2\SYSTEM\clonzips.ssc
  

• Archivtyp: Base64

  --> Unknown.txt
      [FUND]      Enthält Erkennungsmuster des HEUR-DBLEXT/Worm.Gen-Virus
      [1] Archivtyp: ZIP
     --> message_text.txt                                                           .pif
          [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Sober.I
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4759bac8.qua' verschoben!
D:\WINDOWS2\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\KAV 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4740bbda.qua' verschoben!
D:\WINDOWS2\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\Kaspersky Antivirus 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475dbc04.qua' verschoben!
D:\WINDOWS2\Anwendungsdaten\Shareaza\KAV 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4740bbfa.qua' verschoben!
D:\WINDOWS2\Anwendungsdaten\Shareaza\Kaspersky Antivirus 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475dbc21.qua' verschoben!
D:\WINDOWS2\Local Settings\Anwendungsdaten\Shareaza\KAV 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4740be4e.qua' verschoben!
D:\WINDOWS2\Local Settings\Anwendungsdaten\Shareaza\Kaspersky Antivirus 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475dbe72.qua' verschoben!


Ende des Suchlaufs: Freitag, 14. September 2007  19:00
Benötigte Zeit:  1:20:43 min

Der Suchlauf wurde vollständig durchgeführt.

   5014 Verzeichnisse wurden überprüft
 200618 Dateien wurden geprüft
     17 Viren bzw. unerwünschte Programme wurden gefunden
      2 Dateien wurden als verdächtig eingestuft
      4 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     12 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 200601 Dateien ohne Befall
   1100 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise


Ich habe noch einen zweiten Bericht. Liegt wohl daran, dass ich zwei Festplatten habe??? (Dumme Frau weiß gar nichts)

Ich hätte es nicht gedacht, aber das mit dem HiJack habe ich auch hingekriegt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:26:35, on 14.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\LxrSII1s.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\DOKUME~1\WIRBEI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: PAYBACK Toolbar Helper - {BCD62654-FC96-4D95-8BF2-9EB17DB750CF} - C:\Programme\PAYBACK\Toolbar\paybacktoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: PAYBACK Toolbar - {CE72F36A-F05D-4ECE-9912-96156ECE06AC} - C:\Programme\PAYBACK\Toolbar\paybacktoolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Lexar Secure II (LxrSII1s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrSII1s.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6162 bytes
 

@hebro
Hast du auf deinen Rechner 2 mal Windows installiert oder wurde eine zweite gebrauchte Festplatte einfach eingebaut, die jetzt unter dem Laufwerk D läuft?

Es wurden zwar Schadprogramme von AntiVir gefunden, aber keiner von denen war aktiv.

Poste bitte auch den zweiten Bericht von AntiVir !
Wann hast du Rechner zum letzten mal vollständig überprüft ?
 

Ein Bekannter hat mir in den neuen PC die Festplatte von meinem alten PC eingebaut.

Ich glaube vollständig geprüft habe ich seit ich den neuen PC habe noch gar nicht. Ich weiß nicht mehr genau, wann ich mir den zugelegt habe, aber ich glaube, es war noch letztes Jahr.Ich hab das heute nur gemacht, weil ich Probleme mit dem Internet hatte. Ich hab einfach keine Verbindung bekommen, obwohl keiner was daran gemacht hatte und ich immer automatisch online bin, wenn ich den PC bzw. meinen Router (oder nennt man das Ding Modem?) einschalte.

Hier der zweite Bericht:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 14. September 2007  17:37

Es wird nach 1069983 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Benutzername:     Wirbeideabwechselnd
Computername:     HEBRO

Versionsinformationen:
BUILD.DAT    : 268           15604 Bytes  31.08.2007 13:01:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  07.09.2007 17:42:03
AVSCAN.DLL   : 7.0.6.0       57384 Bytes  07.09.2007 17:42:03
LUKE.DLL     : 7.0.5.3      147496 Bytes  07.09.2007 17:42:04
LUKERES.DLL  : 7.0.6.0       10792 Bytes  07.09.2007 17:42:04
ANTIVIR0.VDF : 6.35.0.1    7371264 Bytes  31.05.2006 10:35:19
ANTIVIR1.VDF : 6.39.0.129  7251968 Bytes  10.07.2007 03:41:41
ANTIVIR2.VDF : 6.39.1.120  1918464 Bytes  12.09.2007 18:05:42
ANTIVIR3.VDF : 6.39.1.130    96768 Bytes  14.09.2007 07:55:24
AVEWIN32.DLL : 7.6.0.10    2789888 Bytes  12.09.2007 18:05:42
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  23.04.2007 19:56:19
AVPREF.DLL   : 7.0.2.2       25640 Bytes  07.09.2007 17:42:03
AVREP.DLL    : 7.0.0.1      155688 Bytes  23.04.2007 19:56:20
AVPACK32.DLL : 7.3.0.15     360488 Bytes  03.08.2007 14:33:45
AVREG.DLL    : 7.0.1.6       30760 Bytes  07.09.2007 17:42:03
AVARKT.DLL   : 1.0.0.20     278568 Bytes  07.09.2007 17:42:02
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  07.09.2007 17:42:03
NETNT.DLL    : 7.0.0.0        7720 Bytes  23.04.2007 19:56:20
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07.09.2007 17:41:57
RCTEXT.DLL   : 7.0.62.0      90152 Bytes  07.09.2007 17:41:57
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  07.09.2007 17:42:04

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 14. September 2007  17:37

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KBDAP32A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mouse32a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '28' Prozesse mit '28' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [HINWEIS]   Es wurde kein Virus gefunden!
Bootsektor 'D:\'
      [HINWEIS]   Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '34' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
D:\Programme\Gemeinsame Dateien\Microsoft Shared\KAV 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4740b4ff.qua' verschoben!
D:\Programme\Gemeinsame Dateien\Microsoft Shared\Kaspersky Antivirus 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475db528.qua' verschoben!
D:\Programme\Gemeinsame Dateien\Macrovision Shared\KAV 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4740b517.qua' verschoben!
D:\Programme\Gemeinsame Dateien\Macrovision Shared\Kaspersky Antivirus 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475db53b.qua' verschoben!
D:\Programme\Shareaza\KAV 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
      [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.
D:\Programme\Shareaza\Kaspersky Antivirus 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde gelöscht.
D:\Programme\Shareaza\Skins\Shareaza2\KAV 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde gelöscht.
D:\Programme\Shareaza\Skins\Shareaza2\Kaspersky Antivirus 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [INFO]      Die Datei wurde gelöscht.
D:\Program files\Common files\Microsoft shared\KAV 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
      [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.
D:\WINDOWS2\SYSTEM\nonzipsr.noz
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Sober.I.Base64A
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4758ba4a.qua' verschoben!
D:\WINDOWS2\SYSTEM\clsobern.isc
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Sober.I.Base64A
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475dba4c.qua' verschoben!
D:\WINDOWS2\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\KAV 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
      [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.
D:\WINDOWS2\Anwendungsdaten\Shareaza\KAV 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
      [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.
D:\WINDOWS2\Local Settings\Anwendungsdaten\Shareaza\KAV 5.0
      [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Bagle.AT.1
      [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
      [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.


Ende des Suchlaufs: Freitag, 14. September 2007  19:00
Benötigte Zeit:  1:23:00 min

Der Suchlauf wurde vollständig durchgeführt.

   4673 Verzeichnisse wurden überprüft
 190161 Dateien wurden geprüft
     14 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      3 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      6 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 190147 Dateien ohne Befall
   1091 Archive wurden durchsucht
      6 Warnungen
      0 Hinweise

Vielen Dank auch für Deine Mühe!!!!

@Hebro
Hast du während des Scan`s den Benutzer gewechselt und unter dem anderen Account auch eine zweite Überprüfung mit Antivir gestartet ?

Dein alter PC war mal mit dem Wurm Sober infiziert,
zwei harmlose Reste davon wurden auf der alten Festplatte gefunden.
Sind noch Daten auf der alten Festplatte die du noch benötigst ?

Gut für Dich ist aber, das zur Zeit keine aktive Malwareinfektion auf deinen neuen Rechner zu erkennen ist.

Ich hab den Scan eigentlich ziemlich ungestört durchlaufen lassen. Mit verschiedenen Benutzern arbeite ich gar nicht. Ich habe nach dem Einschalten meine Emails abgerufen (da ging das Internet noch), dann wollte ich einem Link in einer Email folgen und ins Internet und ab da hatte ich das Problem mit dem Internet. Dann habe ich nur noch Antivir aktiviert, habe mich allerdings gleich gewundert, dass sich zwei Fenster geöffnet haben, der Scan also gleichzeitig in zwei Fenstern lief. Hab mir aber nichts dabei gedacht. Alle Viren, die angezeigt wurden, habe ich in Quarantäre geschickt, bis auf ein paar, die ich gleich gelöscht habe.

Teilweise sind wohl schon noch Daten auf der alten Festplatte, die ich noch benötige, teilweise sind die Daten aber auch doppelt vorhanden auf der alten und der neuen, da wir zuerst die Daten rüberkopiert haben und mir dann mein Sohn verkündet hat, er bräuchte die alte Festplatte nicht, er wolle nur das Gehäuse vom PC. Dann hat mein Bekannter gesagt, er baut mir einfach die alte Festplatte mit ein. Wie gesagt, ich habe keine Ahnung von dem Ganzen.

Kann ich dann jetzt alles, was ich in Quarantäne geschickt habe, löschen? Wäre mein PC dann wieder "sauber"?
 

 

Kann ich dann jetzt alles, was ich in Quarantäne geschickt habe, löschen? Wäre mein PC dann wieder "sauber"?
 

Ja, das kannst du machen.
Überprüfe dann bitte noch zur Kontrolle mit dem NOD32 Online Scanner den PC:
http://www.eset.eu/threat-center/online-scanner

Sollte wiedererwarten dabei was gefunden werden poste die Meldung.

Versuche demnächst deine restlichen Daten auf die neue Festplatte zu kopieren und formatiere im Anschluss die alte Festplatte.

Danke für die Hilfe.

Aber für heute muss ich Feierabend machen. Ich bin sooooo müde.

Gute Nacht! Und vielleicht bis morgen???