[Windows 7-64 bit] Trojanisches Pferd TR/Dldr.FakeAV.XD - Paules-PC-Forum.de

saschispatz · 11.07.2011, 22:11

Hallo
ich habe heute bei einem Suchlauf diesen Fund angezeigt bekommen; keine Ahnung, woher der kommt.
Ich bitte um Hilfe.
Anbei aktueller Scan Bericht von Avira Security Suite
und
Malwarebytes

Premium Security Suite
Erstellungsdatum der Reportdatei: Montag, 11. Juli 2011 15:47

Es wird nach 2811511 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer :
Seriennummer :
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PHENOM

Versionsinformationen:
BUILD.DAT : 10.2.0.659 43195 Bytes 22.06.2011 15:26:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 13:35:36
AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 13:35:36
LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 13:35:37
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:58:50
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 13:35:37
AVREG.DLL : 10.3.0.7 90472 Bytes 28.06.2011 13:35:37
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:56:25
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:52:53
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 11:43:48
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 12:13:07
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 14:13:44
VBASE006.VDF : 7.11.10.252 2048 Bytes 07.07.2011 14:13:44
VBASE007.VDF : 7.11.10.253 2048 Bytes 07.07.2011 14:13:44
VBASE008.VDF : 7.11.10.254 2048 Bytes 07.07.2011 14:13:44
VBASE009.VDF : 7.11.10.255 2048 Bytes 07.07.2011 14:13:44
VBASE010.VDF : 7.11.11.0 2048 Bytes 07.07.2011 14:13:44
VBASE011.VDF : 7.11.11.1 2048 Bytes 07.07.2011 14:13:44
VBASE012.VDF : 7.11.11.2 2048 Bytes 07.07.2011 14:13:44
VBASE013.VDF : 7.11.11.3 2048 Bytes 07.07.2011 14:13:44
VBASE014.VDF : 7.11.11.4 2048 Bytes 07.07.2011 14:13:44
VBASE015.VDF : 7.11.11.5 2048 Bytes 07.07.2011 14:13:44
VBASE016.VDF : 7.11.11.6 2048 Bytes 07.07.2011 14:13:44
VBASE017.VDF : 7.11.11.7 2048 Bytes 07.07.2011 14:13:44
VBASE018.VDF : 7.11.11.8 2048 Bytes 07.07.2011 14:13:44
VBASE019.VDF : 7.11.11.9 2048 Bytes 07.07.2011 14:13:45
VBASE020.VDF : 7.11.11.10 2048 Bytes 07.07.2011 14:13:45
VBASE021.VDF : 7.11.11.11 2048 Bytes 07.07.2011 14:13:45
VBASE022.VDF : 7.11.11.12 2048 Bytes 07.07.2011 14:13:45
VBASE023.VDF : 7.11.11.13 2048 Bytes 07.07.2011 14:13:45
VBASE024.VDF : 7.11.11.14 2048 Bytes 07.07.2011 14:13:45
VBASE025.VDF : 7.11.11.15 2048 Bytes 07.07.2011 14:13:45
VBASE026.VDF : 7.11.11.16 2048 Bytes 07.07.2011 14:13:45
VBASE027.VDF : 7.11.11.17 2048 Bytes 07.07.2011 14:13:45
VBASE028.VDF : 7.11.11.18 2048 Bytes 07.07.2011 14:13:45
VBASE029.VDF : 7.11.11.19 2048 Bytes 07.07.2011 14:13:45
VBASE030.VDF : 7.11.11.20 2048 Bytes 07.07.2011 14:13:45
VBASE031.VDF : 7.11.11.53 179200 Bytes 11.07.2011 10:58:46
Engineversion : 8.2.6.6
AEVDF.DLL : 8.1.2.1 106868 Bytes 29.07.2010 18:46:08
AESCRIPT.DLL : 8.1.3.69 1614203 Bytes 01.07.2011 13:41:18
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 10:59:19
AESBX.DLL : 8.2.1.34 323957 Bytes 01.06.2011 21:32:12
AERDL.DLL : 8.1.9.12 639348 Bytes 01.07.2011 13:41:17
AEPACK.DLL : 8.2.6.10 557430 Bytes 08.07.2011 15:04:29
AEOFFICE.DLL : 8.1.2.9 196985 Bytes 08.07.2011 15:04:28
AEHEUR.DLL : 8.1.2.138 3596663 Bytes 08.07.2011 15:04:28
AEHELP.DLL : 8.1.17.3 246134 Bytes 08.07.2011 15:04:24
AEGEN.DLL : 8.1.5.6 401780 Bytes 19.05.2011 18:42:45
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 10:59:14
AECORE.DLL : 8.1.21.1 196983 Bytes 24.05.2011 15:08:38
AEBB.DLL : 8.1.1.0 53618 Bytes 29.06.2010 12:06:57
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:58:05
AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 13:35:36
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 14:02:17
AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 13:35:36
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 13:35:36
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:00
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:36
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:39:59
RCIMAGE.DLL : 10.0.0.33 2901352 Bytes 28.06.2011 13:35:36
RCTEXT.DLL : 10.0.63.0 98664 Bytes 28.06.2011 13:35:36

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, G:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 11. Juli 2011 15:47

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'sua.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi_tray.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIA.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '534' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\' <SICHER>
Beginne mit der Suche in 'F:\' <SYS.ABBILD>
F:\PHENOM\Backup Set 2011-07-01 160000\Backup Files 2011-07-01 160000\Backup files 2.zip
[0] Archivtyp: ZIP
--> C/Users/KURZ/Downloads/Bereinigung/RSIT.exe
--> C/Users/surfen/AppData/Roaming/Avira/AntiVir Desktop/MCACHE/DX6CKGUR7Z1JFVVZZWCA5
[1] Archivtyp: MIME
--> usps.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.FakeAV.XD
Beginne mit der Suche in 'G:\' <Reserve >

Beginne mit der Desinfektion:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Ena bleLUA
F:\PHENOM\Backup Set 2011-07-01 160000\Backup Files 2011-07-01 160000\Backup files 2.zip
[FUND] Ist das Trojanische Pferd TR/Dldr.FakeAV.XD
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '480fa748.qua' verschoben!

Ende des Suchlaufs: Montag, 11. Juli 2011 16:33
Benötigte Zeit: 45:58 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

24632 Verzeichnisse wurden überprüft
625283 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
625282 Dateien ohne Befall
5857 Archive wurden durchsucht
0 Warnungen
1 Hinweise
443448 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Malwarebytes' Anti-Malware 1.51.0.1200
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7071

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

11.07.2011 17:16:44
mbam-log-2011-07-11 (17-16-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|)
Durchsuchte Objekte: 294744
Laufzeit: 33 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Antivir Suchlauf im abgesicherten Modus (ohne Funde)
und OTL Berichte kann ich auch noch posten (wenn erforderlich)

Sascha

markusg · 12.07.2011, 01:05

wenn ich bitten darf:
F:\PHENOM\Backup Set 2011-07-01
lösche dieses backup, und ruhe ist

saschispatz · 12.07.2011, 15:32

hallo markus,
schon passiert..............und danke dir.
Grüsse, sascha

11.07.2011, 22:11	#1 (Direktlink)
saschispatz Ist öfter hier Registriert seit: 23.05.2010 Beiträge: 62	Trojanisches Pferd TR/Dldr.FakeAV.XD Hallo ich habe heute bei einem Suchlauf diesen Fund angezeigt bekommen; keine Ahnung, woher der kommt. Ich bitte um Hilfe. Anbei aktueller Scan Bericht von Avira Security Suite und Malwarebytes Premium Security Suite Erstellungsdatum der Reportdatei: Montag, 11. Juli 2011 15:47 Es wird nach 2811511 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Seriennummer : Plattform : Windows 7 x64 Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : PHENOM Versionsinformationen: BUILD.DAT : 10.2.0.659 43195 Bytes 22.06.2011 15:26:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 13:35:36 AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 13:35:36 LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 13:35:37 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:58:50 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 13:35:37 AVREG.DLL : 10.3.0.7 90472 Bytes 28.06.2011 13:35:37 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:56:25 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:52:53 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 11:43:48 VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 12:13:07 VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 14:13:44 VBASE006.VDF : 7.11.10.252 2048 Bytes 07.07.2011 14:13:44 VBASE007.VDF : 7.11.10.253 2048 Bytes 07.07.2011 14:13:44 VBASE008.VDF : 7.11.10.254 2048 Bytes 07.07.2011 14:13:44 VBASE009.VDF : 7.11.10.255 2048 Bytes 07.07.2011 14:13:44 VBASE010.VDF : 7.11.11.0 2048 Bytes 07.07.2011 14:13:44 VBASE011.VDF : 7.11.11.1 2048 Bytes 07.07.2011 14:13:44 VBASE012.VDF : 7.11.11.2 2048 Bytes 07.07.2011 14:13:44 VBASE013.VDF : 7.11.11.3 2048 Bytes 07.07.2011 14:13:44 VBASE014.VDF : 7.11.11.4 2048 Bytes 07.07.2011 14:13:44 VBASE015.VDF : 7.11.11.5 2048 Bytes 07.07.2011 14:13:44 VBASE016.VDF : 7.11.11.6 2048 Bytes 07.07.2011 14:13:44 VBASE017.VDF : 7.11.11.7 2048 Bytes 07.07.2011 14:13:44 VBASE018.VDF : 7.11.11.8 2048 Bytes 07.07.2011 14:13:44 VBASE019.VDF : 7.11.11.9 2048 Bytes 07.07.2011 14:13:45 VBASE020.VDF : 7.11.11.10 2048 Bytes 07.07.2011 14:13:45 VBASE021.VDF : 7.11.11.11 2048 Bytes 07.07.2011 14:13:45 VBASE022.VDF : 7.11.11.12 2048 Bytes 07.07.2011 14:13:45 VBASE023.VDF : 7.11.11.13 2048 Bytes 07.07.2011 14:13:45 VBASE024.VDF : 7.11.11.14 2048 Bytes 07.07.2011 14:13:45 VBASE025.VDF : 7.11.11.15 2048 Bytes 07.07.2011 14:13:45 VBASE026.VDF : 7.11.11.16 2048 Bytes 07.07.2011 14:13:45 VBASE027.VDF : 7.11.11.17 2048 Bytes 07.07.2011 14:13:45 VBASE028.VDF : 7.11.11.18 2048 Bytes 07.07.2011 14:13:45 VBASE029.VDF : 7.11.11.19 2048 Bytes 07.07.2011 14:13:45 VBASE030.VDF : 7.11.11.20 2048 Bytes 07.07.2011 14:13:45 VBASE031.VDF : 7.11.11.53 179200 Bytes 11.07.2011 10:58:46 Engineversion : 8.2.6.6 AEVDF.DLL : 8.1.2.1 106868 Bytes 29.07.2010 18:46:08 AESCRIPT.DLL : 8.1.3.69 1614203 Bytes 01.07.2011 13:41:18 AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 10:59:19 AESBX.DLL : 8.2.1.34 323957 Bytes 01.06.2011 21:32:12 AERDL.DLL : 8.1.9.12 639348 Bytes 01.07.2011 13:41:17 AEPACK.DLL : 8.2.6.10 557430 Bytes 08.07.2011 15:04:29 AEOFFICE.DLL : 8.1.2.9 196985 Bytes 08.07.2011 15:04:28 AEHEUR.DLL : 8.1.2.138 3596663 Bytes 08.07.2011 15:04:28 AEHELP.DLL : 8.1.17.3 246134 Bytes 08.07.2011 15:04:24 AEGEN.DLL : 8.1.5.6 401780 Bytes 19.05.2011 18:42:45 AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 10:59:14 AECORE.DLL : 8.1.21.1 196983 Bytes 24.05.2011 15:08:38 AEBB.DLL : 8.1.1.0 53618 Bytes 29.06.2010 12:06:57 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:58:05 AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 13:35:36 AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 14:02:17 AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 13:35:36 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 13:35:36 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:00 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:36 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:39:59 RCIMAGE.DLL : 10.0.0.33 2901352 Bytes 28.06.2011 13:35:36 RCTEXT.DLL : 10.0.63.0 98664 Bytes 28.06.2011 13:35:36 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, F:, G:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Montag, 11. Juli 2011 15:47 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '80' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '92' Modul(e) wurden durchsucht Durchsuche Prozess 'sua.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.bin' - '93' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'psi_tray.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'AVWEBGRD.EXE' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avmailc.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'PSIA.exe' - '76' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '81' Modul(e) wurden durchsucht Durchsuche Prozess 'avfwsvc.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'G:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '534' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' Beginne mit der Suche in 'D:\' <SICHER> Beginne mit der Suche in 'F:\' <SYS.ABBILD> F:\PHENOM\Backup Set 2011-07-01 160000\Backup Files 2011-07-01 160000\Backup files 2.zip [0] Archivtyp: ZIP --> C/Users/KURZ/Downloads/Bereinigung/RSIT.exe --> C/Users/surfen/AppData/Roaming/Avira/AntiVir Desktop/MCACHE/DX6CKGUR7Z1JFVVZZWCA5 [1] Archivtyp: MIME --> usps.exe [FUND] Ist das Trojanische Pferd TR/Dldr.FakeAV.XD Beginne mit der Suche in 'G:\' <Reserve > Beginne mit der Desinfektion: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Ena bleLUA F:\PHENOM\Backup Set 2011-07-01 160000\Backup Files 2011-07-01 160000\Backup files 2.zip [FUND] Ist das Trojanische Pferd TR/Dldr.FakeAV.XD [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '480fa748.qua' verschoben! Ende des Suchlaufs: Montag, 11. Juli 2011 16:33 Benötigte Zeit: 45:58 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 24632 Verzeichnisse wurden überprüft 625283 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 625282 Dateien ohne Befall 5857 Archive wurden durchsucht 0 Warnungen 1 Hinweise 443448 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Malwarebytes' Anti-Malware 1.51.0.1200 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 7071 Windows 6.1.7601 Service Pack 1 Internet Explorer 9.0.8112.16421 11.07.2011 17:16:44 mbam-log-2011-07-11 (17-16-44).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\\|D:\\|F:\\|G:\\|) Durchsuchte Objekte: 294744 Laufzeit: 33 Minute(n), 55 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Antivir Suchlauf im abgesicherten Modus (ohne Funde) und OTL Berichte kann ich auch noch posten (wenn erforderlich) Sascha

12.07.2011, 01:05	#2 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	wenn ich bitten darf: F:\PHENOM\Backup Set 2011-07-01 lösche dieses backup, und ruhe ist __________________ >>>Supporter des Jahres, jede stimme zählt.<<< http://twitter.com/markusg11 liebermann_frank@yahoo.de

12.07.2011, 15:32	#3 (Direktlink)
saschispatz Ist öfter hier Registriert seit: 23.05.2010 Beiträge: 62	ok hallo markus, schon passiert..............und danke dir. Grüsse, sascha

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
svchost.exe in Windows Temp Trojanisches Pferd	Thomas1992	Viren-Forum	29	12.01.2010 20:27
Trojanisches Pferd Problem	Tagträumer	Viren-Forum	3	06.12.2009 21:09
trojanisches pferd	okocha	Viren-Forum	9	31.03.2007 17:56
Trojanisches Pferd TR/WLHack.A	kreuzinger	Viren-Forum	4	30.03.2007 09:56
trojanisches Pferd TR/Drop.Small.NK	wopper	Windows XP	6	30.12.2004 17:19