[Windows Vista-32 bit] Trojaner - Paules-PC-Forum.de

26.01.2012, 15:06

Hallo zusammen,

antivir hat etwas bei mir gefunden. zunächst der erste log, der virenscan mit malware läuft noch.

File-Upload.net - info.txt
File-Upload.net - log.txt
Auf jeden fall vielen dank für eure hilfe!

**AHT** · 26.01.2012, 15:40

Was gefunden?
Einmal LOG von AntiVir mit dem Fund posten.

26.01.2012, 16:31

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 26. Januar 2012 14:53

Es wird nach 3276698 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LAURA-LAPTOP

Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 25.10.2011 07:43:44
AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58
LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 08.12.2011 14:34:30
AVREG.DLL : 12.1.0.27 227536 Bytes 10.12.2011 14:34:19
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 15:54:28
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 15:54:28
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 15:54:28
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 15:54:28
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 15:54:28
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 15:54:28
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 15:54:28
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 15:54:28
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 15:54:28
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 15:54:28
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 15:54:28
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 15:54:28
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 14:28:32
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 14:28:38
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 14:27:21
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 21:19:51
VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 00:26:11
VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 01:00:18
VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 10:45:34
VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 11:12:20
VBASE022.VDF : 7.11.21.13 135168 Bytes 13.01.2012 15:03:11
VBASE023.VDF : 7.11.21.40 163840 Bytes 16.01.2012 15:27:21
VBASE024.VDF : 7.11.21.65 1001472 Bytes 17.01.2012 15:27:29
VBASE025.VDF : 7.11.21.98 487424 Bytes 19.01.2012 16:23:46
VBASE026.VDF : 7.11.21.156 1010688 Bytes 25.01.2012 21:35:01
VBASE027.VDF : 7.11.21.157 2048 Bytes 25.01.2012 21:35:01
VBASE028.VDF : 7.11.21.158 2048 Bytes 25.01.2012 21:35:01
VBASE029.VDF : 7.11.21.159 2048 Bytes 25.01.2012 21:35:01
VBASE030.VDF : 7.11.21.160 2048 Bytes 25.01.2012 21:35:01
VBASE031.VDF : 7.11.21.165 75776 Bytes 25.01.2012 21:35:01
Engineversion : 8.2.8.34
AEVDF.DLL : 8.1.2.2 106868 Bytes 26.10.2011 08:30:46
AESCRIPT.DLL : 8.1.4.1 434553 Bytes 20.01.2012 16:27:34
AESCN.DLL : 8.1.8.1 127348 Bytes 20.01.2012 16:27:29
AESBX.DLL : 8.2.4.5 434549 Bytes 02.12.2011 14:36:47
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.1 799094 Bytes 18.01.2012 15:27:41
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 31.12.2011 20:57:08
AEHEUR.DLL : 8.1.3.19 4309367 Bytes 20.01.2012 16:27:24
AEHELP.DLL : 8.1.19.0 254327 Bytes 20.01.2012 16:26:31
AEGEN.DLL : 8.1.5.17 405877 Bytes 09.12.2011 14:34:49
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.2 201079 Bytes 20.01.2012 16:26:27
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.19 208848 Bytes 08.12.2011 14:34:27
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4f19cca7\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 26. Januar 2012 14:53

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOTEPAD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Gmail Notifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BIOSEvent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SecureUpgrade.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DCPSysMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'STacSV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Laura\AppData\Local\temp\4808.tmp'
C:\Users\Laura\AppData\Local\temp\4808.tmp
[FUND] Ist das Trojanische Pferd TR/Dldr.Dofoil.D.169
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b0bf1d1.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '539cde4e.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Laura\AppData\Local\temp\4DC4.tmp'
C:\Users\Laura\AppData\Local\temp\4DC4.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.MK.3
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 01f684a2.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '67c1cb58.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 26. Januar 2012 15:05
Benötigte Zeit: 11:56 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
63 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
61 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
2 Hinweise
124059 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

und hier noch ein weiterer:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 26. Januar 2012 14:53

Es wird nach 3276698 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEMA
Computername : LAURA-LAPTOP

Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 25.10.2011 07:43:44
AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58
LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 08.12.2011 14:34:30
AVREG.DLL : 12.1.0.27 227536 Bytes 10.12.2011 14:34:19
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 15:54:28
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 15:54:28
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 15:54:28
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 15:54:28
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 15:54:28
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 15:54:28
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 15:54:28
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 15:54:28
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 15:54:28
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 15:54:28
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 15:54:28
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 15:54:28
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 14:28:32
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 14:28:38
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 14:27:21
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 21:19:51
VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 00:26:11
VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 01:00:18
VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 10:45:34
VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 11:12:20
VBASE022.VDF : 7.11.21.13 135168 Bytes 13.01.2012 15:03:11
VBASE023.VDF : 7.11.21.40 163840 Bytes 16.01.2012 15:27:21
VBASE024.VDF : 7.11.21.65 1001472 Bytes 17.01.2012 15:27:29
VBASE025.VDF : 7.11.21.98 487424 Bytes 19.01.2012 16:23:46
VBASE026.VDF : 7.11.21.156 1010688 Bytes 25.01.2012 21:35:01
VBASE027.VDF : 7.11.21.157 2048 Bytes 25.01.2012 21:35:01
VBASE028.VDF : 7.11.21.158 2048 Bytes 25.01.2012 21:35:01
VBASE029.VDF : 7.11.21.159 2048 Bytes 25.01.2012 21:35:01
VBASE030.VDF : 7.11.21.160 2048 Bytes 25.01.2012 21:35:01
VBASE031.VDF : 7.11.21.165 75776 Bytes 25.01.2012 21:35:01
Engineversion : 8.2.8.34
AEVDF.DLL : 8.1.2.2 106868 Bytes 26.10.2011 08:30:46
AESCRIPT.DLL : 8.1.4.1 434553 Bytes 20.01.2012 16:27:34
AESCN.DLL : 8.1.8.1 127348 Bytes 20.01.2012 16:27:29
AESBX.DLL : 8.2.4.5 434549 Bytes 02.12.2011 14:36:47
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.1 799094 Bytes 18.01.2012 15:27:41
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 31.12.2011 20:57:08
AEHEUR.DLL : 8.1.3.19 4309367 Bytes 20.01.2012 16:27:24
AEHELP.DLL : 8.1.19.0 254327 Bytes 20.01.2012 16:26:31
AEGEN.DLL : 8.1.5.17 405877 Bytes 09.12.2011 14:34:49
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.2 201079 Bytes 20.01.2012 16:26:27
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.19 208848 Bytes 08.12.2011 14:34:27
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4f19cca7\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 26. Januar 2012 14:53

Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz der ARK Library läuft bereits.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Gmail Notifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BIOSEvent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SecureUpgrade.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DCPSysMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'STacSV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Laura\AppData\Local\temp\3256.tmp'
C:\Users\Laura\AppData\Local\temp\3256.tmp
[FUND] Ist das Trojanische Pferd TR/Ransom.EJ.79
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4ca4f02f.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5433df90.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 26. Januar 2012 14:54
Benötigte Zeit: 00:31 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
62 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
61 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

**AHT** · 26.01.2012, 16:40

Machst du Onlinebanking mit dem Rechner?

**AHT** · 26.01.2012, 16:47

Das tun:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Solange der Scan läuft, Internetzugang für den Rechner möglichst abschalten, Browser aber geöffnet lassen.

26.01.2012, 18:34

**AHT** · 26.01.2012, 18:55

Dauert jetzt ein bischen...

26.01.2012, 19:01

ok, danke dir für deine mühe!!

**AHT** · 26.01.2012, 19:17

Ein USB-Stick ist unter Umständen infiziert...

Code:

F:\STOBOM/odlazim.exe

Hast du einen von Freecom?

**AHT** · 26.01.2012, 19:20

Lade dir nun bitte Combofix ComboFix.exe Version /auf dem >>Desktop<< speichern und ausführen (vor dem Ausführen aber unbedingt dein Antivirenprogramm beenden - den Guard stoppen!), klicke die Hardware Warnmeldung weg (keine Angst das Prog. ist sicher trotz der Meldung)
nichts machen, keine Mausbewegung, abwarten der PC startet neu. Das Log, das erscheint, in eine Textdatei kopieren, die Datei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und den Downloadslink posten.

Danach:
Download : TDSSKiller.zip

Lade die TDSSKiller.zip herunter und entpacken sie auf dem Desktop.
Starte die Datei TDSSKiller.exe
Klicke auf Change parameters
Setze einen Haken bei Verify driver digital signatures und Detect TDLFS file system
Klick auf OK und anschließend auf Start scan
Warte bis zum Ende der Untersuchung .
Sollten Threats gefunden werden so wähle Skip aus.
Bestätige unten Links mit Continue
Schließe das Fenster vom TDSSKiller
Navigiere nun zu C:
Lade dort das Log TDSSKiller.2.6.14.0_Tag.Monat.Jahr_Datum_log bitte bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

26.01.2012, 20:27

Hier erst einmal der Link:

File-Upload.net - combofix.txt

zum USB Stick. ich glaube, ich habe in der letzten zeit nur meinen mp3 player angeschlossen. er ist von sansa. kann es das vielleicht sein?

26.01.2012, 20:31

hier noch der zweite Teil:

File-Upload.net - TDSSKiller.2.7.7.0_26.01.2012_20.28.17_log.txt

**AHT** · 26.01.2012, 20:52

Nein. Auf diesem Stick war der Virus:
Freecom FM-10 Pro Test Flash-Speicher

Kann sein, dass das schon lange her ist.

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

CREATE_FOLDER->C:\PPF_SCAN2
REGISTRY_DELETE_KEY->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
->SHELL
SET_OPTIONS->-102
SET_HEADLINE->Windows Defender Messages#Meldungen des Windows Defenders
READ_EVENTS->System,WinDefend,500,3,1,1
SET_HEADLINE->Messages for AntiVir#Meldungen von AntiVir
READ_EVENTS->Application,Avira AntiVir,500,3,1,1
COPY_SCANFILES->C:\PPFS_SCAN2
OPEN->C:\PPFS_SCAN2

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Nach dem Scan beendet sich der Scanner. Es befinden sich danach im Ordner C:\PPF_Scan2 einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Schon mal alle externen Datenträger zusammensuchen, die in letzter Zeit an dem Gerät angeschlossen waren.

**AHT** · 26.01.2012, 20:58

Scan mit Eset Onlinescanner machen: http://www.eset.com/de/home/products/online-scanner/
Auch in Archiven scannen lassen.
Alle Funde löschen.
Scanner nach dem Scan nicht deinstallieren.
LOG von Eset posten (befindet sich im Ordner, in den Eset installiert wurde).

26.01.2012, 21:17

so bitte schön!! vielen dank noch mal für die ganze mühe!

File-Upload.net - Eventlog.txt

File-Upload.net - Scripting.txt

26.01.2012, 15:06	#1 (Direktlink)
Laurajane Gast Beiträge: n/a	Trojaner Hallo zusammen, antivir hat etwas bei mir gefunden. zunächst der erste log, der virenscan mit malware läuft noch. File-Upload.net - info.txt File-Upload.net - log.txt Auf jeden fall vielen dank für eure hilfe!

26.01.2012, 15:40	#2 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Was gefunden? Einmal LOG von AntiVir mit dem Fund posten. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

26.01.2012, 16:40	#4 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Machst du Onlinebanking mit dem Rechner? __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

26.01.2012, 16:47	#5 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Das tun: Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. Solange der Scan läuft, Internetzugang für den Rechner möglichst abschalten, Browser aber geöffnet lassen. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT Geändert von AHT (26.01.2012 um 16:53 Uhr)

26.01.2012, 18:55	#7 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Dauert jetzt ein bischen... __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

26.01.2012, 18:34	#6 (Direktlink)
Unregistriert Gast Beiträge: n/a	nein, ich nutze den pc nicht für online banking, allerdings für einkäufe bei amazon... hier die links: File-Upload.net - Drivers.txt File-Upload.net - Eventlog.txt File-Upload.net - Files.txt File-Upload.net - Hidden.txt File-Upload.net - Firewall.txt File-Upload.net - MD5.txt File-Upload.net - Modules.txt File-Upload.net - ppFiles.txt File-Upload.net - ppRegistry.txt File-Upload.net - Processes.txt File-Upload.net - Scripting.txt File-Upload.net - Services.txt File-Upload.net - Threads.txt File-Upload.net - Warnings.txt

26.01.2012, 19:01	#8 (Direktlink)
Unregistriert Gast Beiträge: n/a	ok, danke dir für deine mühe!!

26.01.2012, 19:17	#9 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Ein USB-Stick ist unter Umständen infiziert... Code: F:\STOBOM/odlazim.exe Hast du einen von Freecom? __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

26.01.2012, 19:20	#10 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Lade dir nun bitte Combofix ComboFix.exe Version /auf dem >>Desktop<< speichern und ausführen (vor dem Ausführen aber unbedingt dein Antivirenprogramm beenden - den Guard stoppen!), klicke die Hardware Warnmeldung weg (keine Angst das Prog. ist sicher trotz der Meldung) nichts machen, keine Mausbewegung, abwarten der PC startet neu. Das Log, das erscheint, in eine Textdatei kopieren, die Datei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und den Downloadslink posten. Danach: Download : *TDSSKiller.zip* Lade die *TDSSKiller.zip* herunter und entpacken sie auf dem Desktop. Starte die Datei TDSSKiller.exe Klicke auf Change parameters Setze einen Haken bei Verify driver digital signatures und Detect TDLFS file system Klick auf OK und anschließend auf Start scan Warte bis zum Ende der Untersuchung . Sollten Threats gefunden werden so wähle Skip aus. Bestätige unten Links mit Continue Schließe das Fenster vom TDSSKiller Navigiere nun zu C: Lade dort das Log TDSSKiller.2.6.14.0_Tag.Monat.Jahr_Datum_log bitte bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

26.01.2012, 20:27	#11 (Direktlink)
Unregistriert Gast Beiträge: n/a	Hier erst einmal der Link: File-Upload.net - combofix.txt zum USB Stick. ich glaube, ich habe in der letzten zeit nur meinen mp3 player angeschlossen. er ist von sansa. kann es das vielleicht sein?

26.01.2012, 20:31	#12 (Direktlink)
Unregistriert Gast Beiträge: n/a	hier noch der zweite Teil: File-Upload.net - TDSSKiller.2.7.7.0_26.01.2012_20.28.17_log.txt

26.01.2012, 20:52	#13 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Nein. Auf diesem Stick war der Virus: Freecom FM-10 Pro Test Flash-Speicher Kann sein, dass das schon lange her ist. PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: CREATE_FOLDER->C:\PPF_SCAN2 REGISTRY_DELETE_KEY->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 ->SHELL SET_OPTIONS->-102 SET_HEADLINE->Windows Defender Messages#Meldungen des Windows Defenders READ_EVENTS->System,WinDefend,500,3,1,1 SET_HEADLINE->Messages for AntiVir#Meldungen von AntiVir READ_EVENTS->Application,Avira AntiVir,500,3,1,1 COPY_SCANFILES->C:\PPFS_SCAN2 OPEN->C:\PPFS_SCAN2 Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Nach dem Scan beendet sich der Scanner. Es befinden sich danach im Ordner C:\PPF_Scan2 einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. Schon mal alle externen Datenträger zusammensuchen, die in letzter Zeit an dem Gerät angeschlossen waren. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

26.01.2012, 20:58	#14 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Scan mit Eset Onlinescanner machen: http://www.eset.com/de/home/products/online-scanner/ Auch in Archiven scannen lassen. Alle Funde löschen. Scanner nach dem Scan nicht deinstallieren. LOG von Eset posten (befindet sich im Ordner, in den Eset installiert wurde). __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

26.01.2012, 21:17	#15 (Direktlink)
Unregistriert Gast Beiträge: n/a	so bitte schön!! vielen dank noch mal für die ganze mühe! File-Upload.net - Eventlog.txt File-Upload.net - Scripting.txt

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Windows XP-32 bit] Trojaner?	executer1978	Viren-Forum	1	30.12.2010 15:07
Trojaner	Sven10288	Viren-Forum	1	04.09.2007 15:33
Trojaner	-Andi-	Viren-Forum	20	18.07.2007 17:30
Mail mit Trojaner warnt vor Trojaner!	schotti111	Aktuelle Meldungen	0	23.03.2007 16:04