AntiVir Guard sprang beim Googeln an! Danach 2. Problem (Trojan Dropper) gefunden...

Heute morgen googelte ich das Wort Slovia (= eine künstliche slawische Sprache). Und in dem Moment, in dem mir Google seine Trefferliste zeigte, sprang auch schon mein AntiVirGuard an und meldete einen Fund.Ich hatte ganz sicher noch keinen der Treffer angeklickt! 8O

AntiVir sagte:
In der Datei 'C:\Dokumente und Einstellungen\Kek***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\886ob3et.default\Cache\B32EB2CBd01'
wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Anmerkung:Kek*** = Gastkonto passwortgesichert (Java und JavaScript waren nicht deaktiviert)
Meine Datenheuristik bei AntiVir ist auf hoch eingestellt

Frage: Hat es denn gereicht, den Cache zu leeren, um diesen Bösewicht wieder loszuwerden? Soll ich den Fund noch an AntiVir schicken, um zu erfahren, ob es FALSE POSITIVE war?

Danach bin ich in mein (NICHT passwortgesichertes) Adminkonto gewechselt, habe Malwarebytes upgedatet und dort einen kompletten Scan gemacht. Dort gab es dann ein neues Problem, das mit dem oben geschilderten offensichtlich nichts zu tun hat. Malewarebytes fand ein infiziertes Objekt (Datei), das sich Trojan Dropper nannte und zwar an der Stelle:

C:\Dokumente und Einstellungen\Cla****\Eigene Dateien\Downloads googleupdatesetup (vom 19.09.2009)

Dieses googleupdatesetup scheint (zumindest zeitlich!) mit der Installation von Google Chrome auf meinem Notebook zusammenzuhängen (wozu hatte ich das eigentlich installiert?).

Aus zeitlichen Gründen (Prüfungsstress) hatte ich mehrere Wochen keinen Scan mit Malwarebytes mehr gemacht, nur regelmäßig mit AntiVir und da war nichts gefunden worden.

Als ich die Googleupdatesetup-Datei dann heute anklickte, hätte ich "Ausführen" anwählen sollen. Habe ich natürlich nicht gemacht. Da man die Datei mit Malwarebytes nicht in Quarantäne verschieben konnte, habe ich sie kurzerhand gelöscht. Google Chrome ist aber noch da (virenfrei!)

Frage: Was soll ich in Bezug auf das 2. Problem jetzt noch tun, um festzustellen, ob mein System wieder sicher ist? Was kann durch einen Trojan Dropper in den letzten Wochen seit dem 19.09.2009 passiert sein?

Ich würde mich über Antworten auf meine Fragen und wie ich nun im Weiteren vorgehen soll, sehr freuen.

Vielen Dank schon mal im voraus.

Guten Morgen!

Hier das Ergebnis von Virus Total:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.10.31 -
AhnLab-V3 5.0.0.2 2009.10.30 -
AntiVir 7.9.1.53 2009.10.30 HEUR/HTML.Malware
Antiy-AVL 2.0.3.7 2009.10.30 -
Authentium 5.1.2.4 2009.10.31 -
Avast 4.8.1351.0 2009.10.30 -
AVG 8.5.0.423 2009.10.31 -
BitDefender 7.2 2009.10.31 -
CAT-QuickHeal 10.00 2009.10.31 -
ClamAV 0.94.1 2009.10.31 -
Comodo 2790 2009.10.31 -
DrWeb 5.0.0.12182 2009.10.31 -
eSafe 7.0.17.0 2009.10.29 -
eTrust-Vet 35.1.7094 2009.10.30 -
F-Prot 4.5.1.85 2009.10.31 -
F-Secure 9.0.15370.0 2009.10.30 -
Fortinet 3.120.0.0 2009.10.31 -
GData 19 2009.10.31 -
Ikarus T3.1.1.72.0 2009.10.31 -
Jiangmin 11.0.800 2009.10.31 -
K7AntiVirus 7.10.884 2009.10.30 -
Kaspersky 7.0.0.125 2009.10.31 -
McAfee 5787 2009.10.30 -
McAfee+Artemis 5787 2009.10.30 -
McAfee-GW-Edition 6.8.5 2009.10.31 Heuristic.HTML.Malware
Microsoft 1.5202 2009.10.31 -
NOD32 4559 2009.10.30 -
Norman 6.03.02 2009.10.30 -
nProtect 2009.1.8.0 2009.10.31 -
Panda 10.0.2.2 2009.10.30 -
PCTools 7.0.3.5 2009.10.30 -
Prevx 3.0 2009.10.31 -
Rising 21.53.52.00 2009.10.31 -
Sophos 4.47.0 2009.10.31 -
Sunbelt 3.2.1858.2 2009.10.30 -
TheHacker 6.5.0.2.056 2009.10.28 -
TrendMicro 8.950.0.1094 2009.10.31 -
VBA32 3.12.10.11 2009.10.30 -
ViRobot 2009.10.31.2015 2009.10.31 -
VirusBuster 4.6.5.0 2009.10.30 -

weitere Informationen
File size: 60961 bytes
MD5...: a6440d11d52ca546e80b79e91924cd5d
SHA1..: 3762ab66f562ab82a1636a0d11c2447f87b9ca01
SHA256: 8fcaee9a6c2d66cf7b0f74193ed7c4a67eeb6e003e89631939892a3ab519b66d
ssdeep: 1536:sbmJjmCRLKgnNWuW8w1RJPyb0njJ+NsXbJwlpY/msfZ4NTgRlX1NKmtHxyu
ZF6Jk:imcseTjZNns9uSA+a
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: HyperText Markup Language (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Hallo!

Ich hoffe, dass mein Thread hier nicht untergegangen ist!

Was besagt dieses Ergebnis von Virus Total nun?

Und was soll ich bezüglich des 2. Problems (Trojan Dropper) tun? Soll ich mal Phase I abarbeiten und hier posten?

So, jetzt geht´s hier weiter.

Zitat von markusg;741351

Hi, bezüglich der html datei, avira hochladen, verdacht auf fehlalarm.

Hab ich gestern abend gemacht. Antwort steht noch aus.

Zitat von markusg;741351

die andere bei virus total hochladen, denke mal ist ein fehlalarm.

Das geht leider nicht, denn ich habe die Datei, nachdem Malwarebytes sie gefunden hat und sie sich nicht direkt in Quarantäne verschieben ließ, gelöscht. Sie ist nicht mehr da. Bzw. gibt es eine Googleupdatesetup.exe Datei unter C:\Windows\Prefetch, aber darin findet Malwarebytes nichts. Ich dachte auch an einen evtl. Fehlalarm. Allerdings waren da heute seltsame Dinge auf meinem Notebook.... aber dazu weiter unten mehr.

Hier ist erstmal der Scanbericht von Malwarebytes:

Zitat

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3059
Windows 5.1.2600 Service Pack 3

30.10.2009 12:58:28
mbam-log-2009-10-30 (12-58-28).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 162722
Laufzeit: 37 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Claudia\Eigene Dateien\Downloads\googleupdatesetup.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Alles anzeigen

Beim nächsten vollständigen Scan wurde dann nichts mehr gefunden.

Nun zu den Dingen, die heute bzw. gestern abend passiert sind:

1. Ich wollte nach ca. 14 Tagen Pause mal wieder etwas drucken. Ging nicht. Als ich Druckerfreigabe anklickte kam folgendes: Aus Sicherheitsgründen wurde der Remotezugriff auf diesem Computer deaktiviert. Sie können den Netzwerkinstallationsassistenten um den Remotezugriff und die Druckerfreigabe sicher zu aktivieren.

2. Mein Notebook schaltet sich plötzlich auf Standby, wenn ich es zuklappe. Das war im Adminkonto nicht eingestellt und ich würde das auch nie freiwillig einstellen, da es mich nervt.

3. Meine WinZip Testversion ist neulich abgelaufen und ich hatte sie deinstalliert. Als ich nun eine neue Testversion downloaden wollte, hat der Download nicht funktioniert. Und der Download der hier im Forum für einen kostenlosen Scan nach PC-Systemfehlern zur Verfügung steht funktioniert auch nicht.

Alles irgendwie seltsam! Oder nicht???

Ach so, wußte nicht, dass das geht. Wiederherstellung hat funktioniert.

Hier das Ergebnis von Virustotal:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.02 -
AhnLab-V3 5.0.0.2 2009.11.02 -
AntiVir 7.9.1.53 2009.11.02 -
Antiy-AVL 2.0.3.7 2009.11.02 -
Authentium 5.1.2.4 2009.11.02 -
Avast 4.8.1351.0 2009.11.01 -
AVG 8.5.0.423 2009.11.02 -
BitDefender 7.2 2009.11.02 -
CAT-QuickHeal 10.00 2009.11.02 -
ClamAV 0.94.1 2009.11.02 -
Comodo 2816 2009.11.02 -
DrWeb 5.0.0.12182 2009.11.02 -
eSafe 7.0.17.0 2009.11.02 -
eTrust-Vet 35.1.7097 2009.11.02 -
F-Prot 4.5.1.85 2009.11.02 -
F-Secure 9.0.15370.0 2009.10.30 -
Fortinet 3.120.0.0 2009.11.02 -
GData 19 2009.11.02 -
Ikarus T3.1.1.72.0 2009.11.02 -
Jiangmin 11.0.800 2009.11.02 -
K7AntiVirus 7.10.886 2009.11.02 -
Kaspersky 7.0.0.125 2009.11.02 -
McAfee 5789 2009.11.01 -
McAfee+Artemis 5789 2009.11.01 -
McAfee-GW-Edition 6.8.5 2009.11.02 -
Microsoft 1.5202 2009.11.02 -
NOD32 4565 2009.11.02 -
Norman 6.03.02 2009.11.02 -
nProtect 2009.1.8.0 2009.11.02 -
Panda 10.0.2.2 2009.11.01 -
PCTools 7.0.3.5 2009.11.02 -
Prevx 3.0 2009.11.02 -
Rising 21.54.04.00 2009.11.02 -
Sophos 4.47.0 2009.11.02 -
Sunbelt 3.2.1858.2 2009.11.01 -
Symantec 1.4.4.12 2009.11.02 -
TheHacker 6.5.0.2.058 2009.10.31 -
TrendMicro 8.950.0.1094 2009.11.02 -
VBA32 3.12.10.11 2009.11.02 -
ViRobot 2009.11.2.2017 2009.11.02 -
VirusBuster 4.6.5.0 2009.11.02 -

weitere Informationen
File size: 570208 bytes
MD5...: 574c563a90570bb83858e2fadea9e088
SHA1..: 4ba3b4ccb211dbea59e8dbcac90956b587ce2992
SHA256: 33ae58d4e1dc75e2d3a4183a71acdceb1e75a8fb9d33a595e9de0bf5eb597df0
ssdeep: 12288:TrFJ26Q6+tXWO35iX/6xwHoUpwHHffZxsdpi0+:nP51O35EjFpWLr0
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x4a3976b2 (Wed Jun 17 23:05:22 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x35dc 0x3600 6.57 c73c97390c1645cc1d496d51c3f3e3ab
.rdata 0x5000 0x776 0x800 4.96 7250bec0aa1a3465f12b2472296a6ff0
.data 0x6000 0x1e4 0x200 0.54 05b5caa64ad503fef325391d322dcbea
.rsrc 0x7000 0x85740 0x85800 7.96 93a0e875d96bd8318420d4da0e1f0ac2

( 4 imports )
> KERNEL32.dll: ExitProcess, GetCommandLineA, GetStartupInfoA, GetModuleHandleA, GetProcessHeap, HeapReAlloc, HeapAlloc, RtlUnwind, WideCharToMultiByte, CreateFileA, DeleteFileA, RemoveDirectoryA, WriteFile, FindResourceA, LockResource, LoadResource, SizeofResource, GetVersionExA, RaiseException, lstrcmpA, CloseHandle, CreateDirectoryA, InterlockedExchange, GetTempFileNameA, FindResourceExA, GetLastError, GetTempPathA, SetLastError, GetModuleFileNameA, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, VirtualQuery, ReadFile, SetFilePointer, GetExitCodeProcess, CreateProcessA, WaitForSingleObject, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, GetACP, GetLocaleInfoA, GetThreadLocale, HeapDestroy, HeapFree, HeapSize
> SHLWAPI.dll: PathQuoteSpacesA
> ole32.dll: CoInitializeEx, CoUninitialize
> USER32.dll: UnregisterClassA, MessageBoxA, CharLowerBuffA, CharNextA, wvsprintfA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Google Inc.
copyright....: Copyright 2007-2009 Google Inc.
product......: Setup
description..: Setup
original name: Setup
internal name: Setup
file version.: 1.2.183.7
comments.....: n/a
signers......: Google Inc
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 12:15 AM 6/18/2009
verified.....: -

Ah, wegen update von AntiVir. Da gab es in letzter Zeit zweimal Probleme ein manuelles Update zu machen. Das automatische Update funktioniert aber.

Das ganze trat zum ersten Mal auf als ein automatisches Update fehlschlug
(6 Dateien konnten nicht installiert werden). Am nächsten Tag funktionierte aber dann das automatische Update wieder.

Auch jetzt scheint das manuelle nicht zu gehen. Es läuft ewig und nichts passiert....

Mein aktuelles Update ist aber von heute mittag. Soll ich damit weitermachen?

Zitat von markusg;741661

bist du als admin angemeldet?

Ja, bin ich!

Zitat von markusg;741661

funktioniert das normale update nicht?

Wenn ich update anwähle, dann kommt "Suche nach Aktualisierungen". Und die Suche geht dann ewig und passieren tut absolut nichts. Oder kann es länger als eine halbe Stunde dauern, dass etwas gefunden wird?

Oder ich warte aufs nächste automatische Update (spätestens morgen!) und mache die Suche dann direkt danach.

So, jetzt hat es geklappt mit dem Update. Dauerte knapp 26 Minuten! 8O

Dann arbeite ich jetzt mal noch deine Anweisungen ab.

1. Scan der lokalen Laufwerke

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 2. November 2009 20:31

Es wird nach 1858596 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Cla****
Computername : C-20598***18FC34

Versionsinformationen:
BUILD.DAT : 9.0.0.410 18074 Bytes 25.09.2009 11:51:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 05.08.2009 20:07:59
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 16:47:32
ANTIVIR2.VDF : 7.1.6.160 5413376 Bytes 28.10.2009 10:56:39
ANTIVIR3.VDF : 7.1.6.180 162816 Bytes 02.11.2009 19:04:00
Engineversion : 8.2.1.53
AEVDF.DLL : 8.1.1.2 106867 Bytes 17.09.2009 17:23:24
AESCRIPT.DLL : 8.1.2.43 528764 Bytes 31.10.2009 10:47:09
AESCN.DLL : 8.1.2.5 127346 Bytes 04.09.2009 12:42:55
AERDL.DLL : 8.1.3.2 479604 Bytes 03.10.2009 21:13:34
AEPACK.DLL : 8.2.0.2 422263 Bytes 23.10.2009 07:37:06
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 16:34:09
AEHEUR.DLL : 8.1.0.173 2064760 Bytes 29.10.2009 10:57:49
AEHELP.DLL : 8.1.7.0 237940 Bytes 04.09.2009 12:42:54
AEGEN.DLL : 8.1.1.70 364917 Bytes 29.10.2009 10:56:48
AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 21:12:28
AECORE.DLL : 8.1.8.1 184693 Bytes 17.09.2009 17:23:02
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 16:21:35
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 28.04.2009 16:43:00
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 09.06.2009 14:57:23
RCTEXT.DLL : 9.0.37.0 87809 Bytes 28.04.2009 16:42:59

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 2. November 2009 20:31

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '38590' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb09.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleQuickSearchBox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '55' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Ende des Suchlaufs: Montag, 2. November 2009 20:52
Benötigte Zeit: 21:34 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4344 Verzeichnisse wurden überprüft
215889 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
215888 Dateien ohne Befall
1522 Archive wurden durchsucht
1 Warnungen
1 Hinweise
38590 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

2. Rootkitsuche ausführen

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 2. November 2009 20:56

Es wird nach 1858596 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Cla****
Computername : C-20598***18FC34

Versionsinformationen:
BUILD.DAT : 9.0.0.410 18074 Bytes 25.09.2009 11:51:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 05.08.2009 20:07:59
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 16:47:32
ANTIVIR2.VDF : 7.1.6.160 5413376 Bytes 28.10.2009 10:56:39
ANTIVIR3.VDF : 7.1.6.180 162816 Bytes 02.11.2009 19:04:00
Engineversion : 8.2.1.53
AEVDF.DLL : 8.1.1.2 106867 Bytes 17.09.2009 17:23:24
AESCRIPT.DLL : 8.1.2.43 528764 Bytes 31.10.2009 10:47:09
AESCN.DLL : 8.1.2.5 127346 Bytes 04.09.2009 12:42:55
AERDL.DLL : 8.1.3.2 479604 Bytes 03.10.2009 21:13:34
AEPACK.DLL : 8.2.0.2 422263 Bytes 23.10.2009 07:37:06
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 16:34:09
AEHEUR.DLL : 8.1.0.173 2064760 Bytes 29.10.2009 10:57:49
AEHELP.DLL : 8.1.7.0 237940 Bytes 04.09.2009 12:42:54
AEGEN.DLL : 8.1.1.70 364917 Bytes 29.10.2009 10:56:48
AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 21:12:28
AECORE.DLL : 8.1.8.1 184693 Bytes 17.09.2009 17:23:02
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 16:21:35
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 28.04.2009 16:43:00
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 09.06.2009 14:57:23
RCTEXT.DLL : 9.0.37.0 87809 Bytes 28.04.2009 16:42:59

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: hoch
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen..........: 0x00300922

Beginn des Suchlaufs: Montag, 2. November 2009 20:56

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '346829' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Ende des Suchlaufs: Montag, 2. November 2009 20:59
Benötigte Zeit: 03:49 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise
346829 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Noch mal kurz eine Gegenfrage: die Datei googleupdatesetup, die angeblich den Trojan Dropper enthalten hat, hatte ich schon vor den beiden letzten AntiVir-Suchläufen wieder in die Malwarebytequarantäne geschoben.

War das in Ordnung?