Hallo und Guten Morgen,

gestern Abend wurde ich nach der Eingabe von Benutzername und PIN auf der Online-Banking-Seite meiner Sparkasse durch einen Pop-Up-Kasten in grammatikalisch seltsamem Deutsch aufgefordert, auf der folgenden Seite TAN-Nummern einzugeben. Ich habe die Seite dann sofort per Task-Manager entfernt und einen Antivir-Vollscan gestartet; während des Scans meldete sich der Antivir-Guard, er habe den o.a. Trojaner gefunden. Habe auf Entfernen geklickt, Antivir hat folgenden Report erstellt:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 18. August 2011  21:35

Es wird nach 3268970 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : MICHAEL-PC-NEU

Versionsinformationen:
BUILD.DAT      : 10.2.0.700     35934 Bytes  21.07.2011 16:49:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  28.06.2011 17:23:16
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  28.06.2011 17:23:16
LUKE.DLL       : 10.3.0.5       45416 Bytes  28.06.2011 17:23:16
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  28.06.2011 17:23:16
AVREG.DLL      : 10.3.0.9       88833 Bytes  12.07.2011 16:44:27
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 23:36:24
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 18:33:19
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 21:53:10
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 14:34:07
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 16:10:51
VBASE005.VDF   : 7.11.10.251  1788416 Bytes  07.07.2011 21:43:52
VBASE006.VDF   : 7.11.13.60   6411776 Bytes  16.08.2011 13:31:47
VBASE007.VDF   : 7.11.13.61      2048 Bytes  16.08.2011 13:31:47
VBASE008.VDF   : 7.11.13.62      2048 Bytes  16.08.2011 13:31:47
VBASE009.VDF   : 7.11.13.63      2048 Bytes  16.08.2011 13:31:47
VBASE010.VDF   : 7.11.13.64      2048 Bytes  16.08.2011 13:31:47
VBASE011.VDF   : 7.11.13.65      2048 Bytes  16.08.2011 13:31:47
VBASE012.VDF   : 7.11.13.66      2048 Bytes  16.08.2011 13:31:47
VBASE013.VDF   : 7.11.13.95    166400 Bytes  17.08.2011 16:56:18
VBASE014.VDF   : 7.11.13.125   209920 Bytes  18.08.2011 19:31:47
VBASE015.VDF   : 7.11.13.126     2048 Bytes  18.08.2011 19:31:47
VBASE016.VDF   : 7.11.13.127     2048 Bytes  18.08.2011 19:31:47
VBASE017.VDF   : 7.11.13.128     2048 Bytes  18.08.2011 19:31:47
VBASE018.VDF   : 7.11.13.129     2048 Bytes  18.08.2011 19:31:47
VBASE019.VDF   : 7.11.13.130     2048 Bytes  18.08.2011 19:31:47
VBASE020.VDF   : 7.11.13.131     2048 Bytes  18.08.2011 19:31:47
VBASE021.VDF   : 7.11.13.132     2048 Bytes  18.08.2011 19:31:47
VBASE022.VDF   : 7.11.13.133     2048 Bytes  18.08.2011 19:31:47
VBASE023.VDF   : 7.11.13.134     2048 Bytes  18.08.2011 19:31:48
VBASE024.VDF   : 7.11.13.135     2048 Bytes  18.08.2011 19:31:48
VBASE025.VDF   : 7.11.13.136     2048 Bytes  18.08.2011 19:31:48
VBASE026.VDF   : 7.11.13.137     2048 Bytes  18.08.2011 19:31:48
VBASE027.VDF   : 7.11.13.138     2048 Bytes  18.08.2011 19:31:48
VBASE028.VDF   : 7.11.13.139     2048 Bytes  18.08.2011 19:31:48
VBASE029.VDF   : 7.11.13.140     2048 Bytes  18.08.2011 19:31:48
VBASE030.VDF   : 7.11.13.141     2048 Bytes  18.08.2011 19:31:48
VBASE031.VDF   : 7.11.13.144     2048 Bytes  18.08.2011 19:31:48
Engineversion  : 8.2.6.32  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  29.07.2010 22:55:00
AESCRIPT.DLL   : 8.1.3.74     1622393 Bytes  05.08.2011 21:37:05
AESCN.DLL      : 8.1.7.2       127349 Bytes  22.11.2010 13:13:08
AESBX.DLL      : 8.2.1.34      323957 Bytes  01.06.2011 21:46:40
AERDL.DLL      : 8.1.9.13      639349 Bytes  14.07.2011 20:21:31
AEPACK.DLL     : 8.2.9.5       676214 Bytes  14.07.2011 20:21:18
AEOFFICE.DLL   : 8.1.2.13      201083 Bytes  28.07.2011 17:55:56
AEHEUR.DLL     : 8.1.2.155    3617144 Bytes  17.08.2011 00:00:12
AEHELP.DLL     : 8.1.17.7      254327 Bytes  28.07.2011 17:54:21
AEGEN.DLL      : 8.1.5.7       401778 Bytes  05.08.2011 21:37:01
AEEMU.DLL      : 8.1.3.0       393589 Bytes  22.11.2010 13:12:09
AECORE.DLL     : 8.1.22.4      196983 Bytes  14.07.2011 20:20:10
AEBB.DLL       : 8.1.1.0        53618 Bytes  24.04.2010 00:08:14
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.3.2       44904 Bytes  28.06.2011 17:23:16
AVREP.DLL      : 10.0.0.10     174120 Bytes  17.05.2011 17:58:50
AVARKT.DLL     : 10.0.26.1     255336 Bytes  28.06.2011 17:23:16
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  28.06.2011 17:23:16
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  28.06.2011 17:23:16
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  28.06.2011 17:23:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4f28f6ec\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 18. August 2011  21:35

Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz der ARK Library läuft bereits.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'symlcsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Remote UI Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mediaserver.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MCLServiceATL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISSM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eRecoveryService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Iaantmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DQLWinService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALUSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AlertService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemCheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ERAGENT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCU_Engine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IntelHCTAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCU_TrayIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSloader.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SysMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppSvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSvcHst.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\SystemData\217FA966F96.exe'
C:\SystemData\217FA966F96.exe
  --> Object
      [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-268781420-675918931-1357402409-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\2F7ZUJ7G5IWWVF3VVSPLWEESR> wurde erfolgreich repariert.
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcbc20a.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 18. August 2011  21:35
Benötigte Zeit: 00:29 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     77 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     76 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
         

Der anschließende Vollscan mit Malwarebytes brachte folgendes Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7502

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

19.08.2011 03:29:21
mbam-log-2011-08-19 (03-29-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 543071
Laufzeit: 3 Stunde(n), 54 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\systemdata\217fa966f96.exe (Trojan.SpyEyes.R) -> Quarantined and deleted successfully.
         

Den Fund habe ich im Anschluss manuell in der Quarantäne gelöscht. Danach der Quickscan:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7502

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

19.08.2011 05:18:59
mbam-log-2011-08-19 (05-18-59).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 169890
Laufzeit: 5 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Muss ich mir wegen des Trojaners/der Trojaner noch weitere Sorgen machen und weitere Scans durchführen ? Wenn ja, welche ?

Meine PIN im Online-Banking habe ich bereits geändert (bin im chipTAN-Verfahren mit Kartenlesegerät). Kann ich das Online-Banking so benutzen ?

Unmittelbar bevor ich die Misere beim Online-Banking überhaupt bemerkt habe, habe ich auf einer https-Seite (UCI-Kinowelt) meiner Kreditkarten-Daten eingegeben. Kann/können der/die Trojaner davon etwas abgegriffen haben ?

Habe im Netzwerk noch einen zweiten (alten) PC an meinem ersten PC dranhängen, der allerdings keine Probleme auf der Online-Banking-Seite macht bzw. gemacht hat. Kann der theoretisch auch noch infiziert sein ?

Für eine (schnelle) Hilfe bei den o.a. Fragen wäre ich SEHR DANKBAR. VIELEN DANK im Voraus !!

Viele Grüße von
Michael

Hallo und Guten Abend,

ich habe heute sicherheitshalber mal eine vollständige Systemprüfung mit Antivir gemacht, hier der Report:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 19. August 2011  13:45

Es wird nach 3270814 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : MICHAEL-PC-NEU

Versionsinformationen:
BUILD.DAT      : 10.2.0.700     35934 Bytes  21.07.2011 16:49:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  28.06.2011 17:23:16
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  28.06.2011 17:23:16
LUKE.DLL       : 10.3.0.5       45416 Bytes  28.06.2011 17:23:16
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  28.06.2011 17:23:16
AVREG.DLL      : 10.3.0.9       88833 Bytes  12.07.2011 16:44:27
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 23:36:24
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 18:33:19
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 21:53:10
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 14:34:07
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 16:10:51
VBASE005.VDF   : 7.11.10.251  1788416 Bytes  07.07.2011 21:43:52
VBASE006.VDF   : 7.11.13.60   6411776 Bytes  16.08.2011 13:31:47
VBASE007.VDF   : 7.11.13.61      2048 Bytes  16.08.2011 13:31:47
VBASE008.VDF   : 7.11.13.62      2048 Bytes  16.08.2011 13:31:47
VBASE009.VDF   : 7.11.13.63      2048 Bytes  16.08.2011 13:31:47
VBASE010.VDF   : 7.11.13.64      2048 Bytes  16.08.2011 13:31:47
VBASE011.VDF   : 7.11.13.65      2048 Bytes  16.08.2011 13:31:47
VBASE012.VDF   : 7.11.13.66      2048 Bytes  16.08.2011 13:31:47
VBASE013.VDF   : 7.11.13.95    166400 Bytes  17.08.2011 16:56:18
VBASE014.VDF   : 7.11.13.125   209920 Bytes  18.08.2011 19:31:47
VBASE015.VDF   : 7.11.13.126     2048 Bytes  18.08.2011 19:31:47
VBASE016.VDF   : 7.11.13.127     2048 Bytes  18.08.2011 19:31:47
VBASE017.VDF   : 7.11.13.128     2048 Bytes  18.08.2011 19:31:47
VBASE018.VDF   : 7.11.13.129     2048 Bytes  18.08.2011 19:31:47
VBASE019.VDF   : 7.11.13.130     2048 Bytes  18.08.2011 19:31:47
VBASE020.VDF   : 7.11.13.131     2048 Bytes  18.08.2011 19:31:47
VBASE021.VDF   : 7.11.13.132     2048 Bytes  18.08.2011 19:31:47
VBASE022.VDF   : 7.11.13.133     2048 Bytes  18.08.2011 19:31:47
VBASE023.VDF   : 7.11.13.134     2048 Bytes  18.08.2011 19:31:48
VBASE024.VDF   : 7.11.13.135     2048 Bytes  18.08.2011 19:31:48
VBASE025.VDF   : 7.11.13.136     2048 Bytes  18.08.2011 19:31:48
VBASE026.VDF   : 7.11.13.137     2048 Bytes  18.08.2011 19:31:48
VBASE027.VDF   : 7.11.13.138     2048 Bytes  18.08.2011 19:31:48
VBASE028.VDF   : 7.11.13.139     2048 Bytes  18.08.2011 19:31:48
VBASE029.VDF   : 7.11.13.140     2048 Bytes  18.08.2011 19:31:48
VBASE030.VDF   : 7.11.13.141     2048 Bytes  18.08.2011 19:31:48
VBASE031.VDF   : 7.11.13.148    29184 Bytes  19.08.2011 11:44:26
Engineversion  : 8.2.6.32  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  29.07.2010 22:55:00
AESCRIPT.DLL   : 8.1.3.74     1622393 Bytes  05.08.2011 21:37:05
AESCN.DLL      : 8.1.7.2       127349 Bytes  22.11.2010 13:13:08
AESBX.DLL      : 8.2.1.34      323957 Bytes  01.06.2011 21:46:40
AERDL.DLL      : 8.1.9.13      639349 Bytes  14.07.2011 20:21:31
AEPACK.DLL     : 8.2.9.5       676214 Bytes  14.07.2011 20:21:18
AEOFFICE.DLL   : 8.1.2.13      201083 Bytes  28.07.2011 17:55:56
AEHEUR.DLL     : 8.1.2.155    3617144 Bytes  17.08.2011 00:00:12
AEHELP.DLL     : 8.1.17.7      254327 Bytes  28.07.2011 17:54:21
AEGEN.DLL      : 8.1.5.7       401778 Bytes  05.08.2011 21:37:01
AEEMU.DLL      : 8.1.3.0       393589 Bytes  22.11.2010 13:12:09
AECORE.DLL     : 8.1.22.4      196983 Bytes  14.07.2011 20:20:10
AEBB.DLL       : 8.1.1.0        53618 Bytes  24.04.2010 00:08:14
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.3.2       44904 Bytes  28.06.2011 17:23:16
AVREP.DLL      : 10.0.0.10     174120 Bytes  17.05.2011 17:58:50
AVARKT.DLL     : 10.0.26.1     255336 Bytes  28.06.2011 17:23:16
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  28.06.2011 17:23:16
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  28.06.2011 17:23:16
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  28.06.2011 17:23:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 19. August 2011  13:45

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'mbam.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'symlcsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'Remote UI Service.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'mediaserver.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'MCLServiceATL.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISSM.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'eRecoveryService.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'Iaantmon.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'DQLWinService.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALUSchedulerSvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'AlertService.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'ERAGENT.EXE' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemCheck.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCU_Engine.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'IntelHCTAgent.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCU_TrayIcon.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSloader.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'SysMonitor.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccApp.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppSvc32.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSvcHst.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '150' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1422' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
Beginne mit der Suche in 'D:\' <DATA>
Beginne mit der Suche in 'E:\' <DATA>
E:\NIP-Activity original\Kathi\Series 2 Bonn - Park\zip\kathi2.2.zip
  [0] Archivtyp: ZIP
  --> kathi2.2/kathi0589.jpg
      [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
  [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
E:\NIP-Activity original\Kathi\Series 3 Bonn - Park  Rhine\zip\kathi3.1.zip
  [0] Archivtyp: ZIP
  --> kathi3.1/kathi0874.jpg
      [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
  [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
E:\NIP-Activity original\Tanja S\Series 3 Cologne\zip\tanja_s3.1.zip
  [0] Archivtyp: ZIP
  --> tanja_s3.1/s3tanjas0653.jpg
      [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
  [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
E:\NIP-Activity original\Tanja S\Series 3 Cologne\zip\tanja_s3.11-12.zip
  [0] Archivtyp: ZIP
  --> tanja_s3.12/s3tanjas1149.jpg
      [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
  [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
E:\NIP-Activity original\Tanja S\Series 3 Cologne\zip\tanja_s3.2.zip
  [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
E:\SCORELAND Original\Gianna Rossi\Photos\Gianna Rossi Bikini Girl 70 Images\GiannaRossi_1600.zip
  [0] Archivtyp: ZIP
  --> GiannaRossi03.jpg
      [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
  [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
E:\SCORELAND Original\Gianna Rossi\Photos\Jungle Gianna 100 Images\GiannaRossi_1600.zip
  [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
E:\SCORELAND Original\Gianna Rossi\Photos\Pounding The Pledges 48 Images\DressingRoom1600.zip
  [0] Archivtyp: ZIP
  --> DressingRoom04.jpg
      [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
  [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
E:\SCORELAND Original\Gianna Rossi\Photos\Pounding The Pledges 48 Images\Group1600.zip
  [0] Archivtyp: ZIP
  --> Group13.jpg
      [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
  [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
E:\SCORELAND Original\Minka\Photos\Minka's Fashion-Titas! 100 Images\Minka_1600.zip
  [0] Archivtyp: ZIP
  --> Minka026.jpg
      [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
  [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
E:\SCORELAND Original\Minka\Photos\Minka's Fashion-Titas! 99 Images\Minka_1600.zip
  [0] Archivtyp: ZIP
  --> Minka76.jpg
      [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!
  [WARNUNG]   Die temporäre Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 19. August 2011  19:00
Benötigte Zeit:  5:14:56 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  29234 Verzeichnisse wurden überprüft
 904666 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 904666 Dateien ohne Befall
   5195 Archive wurden durchsucht
     20 Warnungen
      0 Hinweise
 672873 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Ebenfalls habe ich parallel einen Vollscan mit Malwarebytes gemacht, hier die Logdatei:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7506

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

19.08.2011 18:30:50
mbam-log-2011-08-19 (18-30-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 542220
Laufzeit: 4 Stunde(n), 42 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Ich würde mich sehr freuen, wenn jemand im Hinblick auf meine Fragen von heute Morgen früh (s.o.) mal drüberschauen könnte, was hier noch zu tun ist.

Vielen Dank im Voraus !!

Schöne Grüße von
Michael

Hallo und Guten Tag,

ich habe zur Vorsicht bei meinem alten PC, der im Netzwerk mit meinem neuen PC (s.o.) verbunden ist, eine vollständige Systemprüfung mit Antivir durchlaufen lassen. Hier der Report:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 19. August 2011  23:31

Es wird nach 3273812 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : PC-ALT

Versionsinformationen:
BUILD.DAT      : 10.2.0.700     35934 Bytes  21.07.2011 16:49:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  28.06.2011 17:40:58
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  28.06.2011 17:40:58
LUKE.DLL       : 10.3.0.5       45416 Bytes  28.06.2011 17:41:00
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 09:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  28.06.2011 17:41:00
AVREG.DLL      : 10.3.0.9       88833 Bytes  13.07.2011 20:35:38
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 19:15:42
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 18:42:31
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 21:03:58
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 14:42:20
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 20:00:43
VBASE005.VDF   : 7.11.10.251  1788416 Bytes  07.07.2011 20:00:01
VBASE006.VDF   : 7.11.13.60   6411776 Bytes  16.08.2011 20:20:02
VBASE007.VDF   : 7.11.13.61      2048 Bytes  16.08.2011 20:20:02
VBASE008.VDF   : 7.11.13.62      2048 Bytes  16.08.2011 20:20:02
VBASE009.VDF   : 7.11.13.63      2048 Bytes  16.08.2011 20:20:02
VBASE010.VDF   : 7.11.13.64      2048 Bytes  16.08.2011 20:20:02
VBASE011.VDF   : 7.11.13.65      2048 Bytes  16.08.2011 20:20:03
VBASE012.VDF   : 7.11.13.66      2048 Bytes  16.08.2011 20:20:03
VBASE013.VDF   : 7.11.13.95    166400 Bytes  17.08.2011 20:20:03
VBASE014.VDF   : 7.11.13.125   209920 Bytes  18.08.2011 20:20:03
VBASE015.VDF   : 7.11.13.126     2048 Bytes  18.08.2011 20:20:03
VBASE016.VDF   : 7.11.13.127     2048 Bytes  18.08.2011 20:20:04
VBASE017.VDF   : 7.11.13.128     2048 Bytes  18.08.2011 20:20:04
VBASE018.VDF   : 7.11.13.129     2048 Bytes  18.08.2011 20:20:04
VBASE019.VDF   : 7.11.13.130     2048 Bytes  18.08.2011 20:20:04
VBASE020.VDF   : 7.11.13.131     2048 Bytes  18.08.2011 20:20:04
VBASE021.VDF   : 7.11.13.132     2048 Bytes  18.08.2011 20:20:04
VBASE022.VDF   : 7.11.13.133     2048 Bytes  18.08.2011 20:20:04
VBASE023.VDF   : 7.11.13.134     2048 Bytes  18.08.2011 20:20:04
VBASE024.VDF   : 7.11.13.135     2048 Bytes  18.08.2011 20:20:05
VBASE025.VDF   : 7.11.13.136     2048 Bytes  18.08.2011 20:20:05
VBASE026.VDF   : 7.11.13.137     2048 Bytes  18.08.2011 20:20:05
VBASE027.VDF   : 7.11.13.138     2048 Bytes  18.08.2011 20:20:05
VBASE028.VDF   : 7.11.13.139     2048 Bytes  18.08.2011 20:20:05
VBASE029.VDF   : 7.11.13.140     2048 Bytes  18.08.2011 20:20:05
VBASE030.VDF   : 7.11.13.141     2048 Bytes  18.08.2011 20:20:05
VBASE031.VDF   : 7.11.13.154    71680 Bytes  19.08.2011 20:09:27
Engineversion  : 8.2.6.32  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  01.08.2010 22:40:43
AESCRIPT.DLL   : 8.1.3.74     1622393 Bytes  08.08.2011 17:37:51
AESCN.DLL      : 8.1.7.2       127349 Bytes  27.11.2010 14:38:27
AESBX.DLL      : 8.2.1.34      323957 Bytes  05.06.2011 20:00:51
AERDL.DLL      : 8.1.9.13      639349 Bytes  14.07.2011 22:14:25
AEPACK.DLL     : 8.2.9.5       676214 Bytes  14.07.2011 22:14:24
AEOFFICE.DLL   : 8.1.2.13      201083 Bytes  08.08.2011 17:37:50
AEHEUR.DLL     : 8.1.2.155    3617144 Bytes  18.08.2011 20:20:08
AEHELP.DLL     : 8.1.17.7      254327 Bytes  08.08.2011 17:37:46
AEGEN.DLL      : 8.1.5.7       401778 Bytes  08.08.2011 17:37:46
AEEMU.DLL      : 8.1.3.0       393589 Bytes  27.11.2010 14:38:21
AECORE.DLL     : 8.1.22.4      196983 Bytes  14.07.2011 22:14:20
AEBB.DLL       : 8.1.1.0        53618 Bytes  23.04.2010 21:01:35
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 09:59:10
AVPREF.DLL     : 10.0.3.2       44904 Bytes  28.06.2011 17:40:58
AVREP.DLL      : 10.0.0.10     174120 Bytes  23.05.2011 12:20:05
AVARKT.DLL     : 10.0.26.1     255336 Bytes  28.06.2011 17:40:57
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  28.06.2011 17:40:57
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 10:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 13:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 12:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  28.06.2011 17:40:55
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  28.06.2011 17:40:55

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, I:, J:, K:, L:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 19. August 2011  23:31

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'Adobe_Updater.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'floater.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'uphclean.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '6' Modul(e) wurden durchsucht
Durchsuche Prozess 'gearsec.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'FINDFAST.EXE' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'WZQKPICK.EXE' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpctrl.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'Matrox.PowerDesk.PDeskNet.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'pstrip.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDVRCtrl.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '136' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '157' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'I:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'J:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'K:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'L:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1450' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <DRIVE_C>
Beginne mit der Suche in 'D:\' <DRIVE_D>
Beginne mit der Suche in 'E:\' <DRIVE_E>
Beginne mit der Suche in 'F:\' <DRIVE_F>
Beginne mit der Suche in 'I:\' <DRIVE I>
Beginne mit der Suche in 'J:\' <DRIVE J>
Beginne mit der Suche in 'K:\' <DRIVE K>
Beginne mit der Suche in 'L:\' <DRIVE L>


Ende des Suchlaufs: Samstag, 20. August 2011  15:35
Benötigte Zeit: 16:04:05 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  16894 Verzeichnisse wurden überprüft
 1128079 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1128079 Dateien ohne Befall
  11906 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
 430466 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Soweit eigentlich alles unauffällig. Parallel habe ich einen Vollscan mit Malwarebytes gemacht. In der Logdatei steht schon mehr drin:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7513

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.08.2011 15:50:53
mbam-log-2011-08-20 (15-50-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|)
Durchsuchte Objekte: 649185
Laufzeit: 8 Stunde(n), 53 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\paragon software\festplatten manager\WinHDM\Resource\GER_RC.dll (Trojan.Agent) -> Quarantined and deleted successfully.
         

Malwarebytes verlangt nach dem Löschen der Schädlinge einen Neustart. Beim Hochfahren bekam ich dann einen blauen Bildschirm, dann abgesicherter Modus, von da wieder neu gestartet, jetzt problemlos. Malwarebytes zeigt die Funde (s.o.) allerdings wieder in Quarantäne an. Manuell gelöscht, anschließend Quickscan mit dieser Logdatei:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7517

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.08.2011 16:14:58
mbam-log-2011-08-20 (16-14-58).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 168337
Laufzeit: 7 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Ich wäre sehr dankbar, wenn jemand mal drüberschauen könnte, was jetzt mit den beiden Rechnern evtl. noch gemacht werden muss. Auf meine obigen Fragen in den beiden vorstehenden Posts von gestern nehme ich Bezug.

Vielen Dank im Voraus !

Viele Grüße
Michael

Hallo und Guten Abend,

wollte mich und mein Thema nur mal kurz in Erinnerung bringen ... Falls ich beim Posten etwas falsch gemacht habe, wäre ich für einen Hinweis dankbar.

Viele Grüße
Michael

Hallo und Guten Tag,

habe endlich mal Eure Anleitung zur Themen-Erstellung gelesen, sorry ! Beim Download von OTL schlägt gewaltig der Antivir-Scanner auf Trojaner an, ist das normal ? Die otl.txt, extras.txt und gmer.txt für meinen neuen Rechner mit dem Trojaner-Befall von letzten Donnerstag (Online-Banking) hänge ich an. Mache die gleichen Prozeduren noch mit meinem alten Rechner, melde mich dann wieder. Defogger auf "disabled" lassen, ist das richtig ?

Viele Grüße
Michael

Hallo, bin schon wieder da,

hänge nun die otl.txt, extras.txt und gmer.txt für meinen alten Rechner (im Netzwerk mit dem neuen) an. Beim Download von OTL diesmal keinerlei Meldung von Antivir. Defogger auch hier auf "disabled" lassen, ist das richtig ?

Viele Grüße und Dank vorab für die Hilfe
Michael

PS: gmer.txt lässt sich nicht als Anhang laden, deshalb hier:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-22 17:58:10
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Maxtor_6Y120L0 rev.YAR41VW0
Running: 5f4bbk12.exe; Driver: C:\DOKUME~1\Michael\LOKALE~1\Temp\kxldapow.sys


---- System - GMER 1.0.15 ----

SSDT  F8CDECC6                                         ZwCreateKey
SSDT  F8CDECBC                                         ZwCreateThread
SSDT  F8CDECCB                                         ZwDeleteKey
SSDT  F8CDECD5                                         ZwDeleteValueKey
SSDT  F8CDECDA                                         ZwLoadKey
SSDT  F8CDECA8                                         ZwOpenProcess
SSDT  F8CDECAD                                         ZwOpenThread
SSDT  F8CDECE4                                         ZwReplaceKey
SSDT  F8CDECDF                                         ZwRestoreKey
SSDT  F8CDECD0                                         ZwSetValueKey
SSDT  \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys  ZwUnloadKey [0xF14E26D0]

---- Kernel code sections - GMER 1.0.15 ----

?     C:\WINDOWS\system32\Drivers\uphcleanhlp.sys      Das System kann die angegebene Datei nicht finden. !

---- EOF - GMER 1.0.15 ----
         

OTL.txt wg. der Größe als Zip (hoffe, dass es geklappt hat !)

Hallo und Guten Abend,

ich bitte höflichst um Entschuldigung, falls ich nerven sollte. Aber ich poste hier fleißig seit fast vier Tagen meine Fragen und habe bisher keinerlei Antwort bekommen. Bei anderen Usern scheint das innerhalb von wenigen Stunden zu klappen. Mache ich irgendetwas falsch ? Bitte gebt mir einen Hinweis, und lasst mich bitte nicht hängen ! Bin der Verzweiflung nahe ! Benutze meine PCs nicht nur privat, sondern benötige sie auch dringend für eine aufwendige Wohnungsverwaltung.

Vielen Dank im Voraus für Eure Aufmerksamkeit und Unterstützung !


Viele Grüße
Michael

Zitat:

c:\systemdata\217fa966f96.exe (Trojan.SpyEyes.R)

Eins vorweg: Es sollte hinlänglich bekannt sein, dass eine Bereinigung keine 100% Sicherheit (in Bezug auf Entfernung der Infektion) liefert und man den Rechner plätten und neu installieren sollte, wenn man kritische Dinge wie zB Onlinebanking in Zukunft weiterhin sicher erledigen will. Gerade beim BKA-Fake seh ich häufig noch SpyEyes-Infektionen - SpyEyes ist ein gefährlicher Keylogger, der sämtliche Tastaturanschläge aufzeichnet und so prinzipiell jedes eingetippte Passwort klauen kann!
Falls du lieber eine Neuinstallation vornehmen und vorher noch alle relevanten Daten sichern willst, folgst du zuerst dem 2. Link in meiner Signatur zur Datensicherung über Ubuntu oder einer anderen beliebigen Live-CD, anschließend dem Artikel zur Neuinstallation von Windows. Natürlich änderst du dann auch sämtliche Passwörter, wenn das System frisch installiert wurde!

Wichtig: Sichere über die Live-CD nur reine Datendateien, KEINE ausführbaren Dateien wie Programme/Spiele oder Setupdateien!

Hallo Arne,

vielen Dank für Deine Antwort !

Da es hundertprozentige Sicherheit nirgends gibt, und ich beim Online-Banking im chipTan-Verfahren mit Kartenlesegerät dabei bin, meine Frage: Sinnvolle Alternativen zur Neuinstallation (zwei Rechner, Netzwerk) ?

Falls nein, überlege ich, mir ggf. einen Ersatzrechner zu kaufen und nur noch mit dem die sicherheitsrelevanten Dinge im Netz zu erledigen (abgesetzt von den anderen PCs). Bräuchte ich dann auch einen neuen Router ?

Und noch etwas: Ist der keylogger denn derzeit noch aktiv ? Keine Eingaben von Passwörtern oder Kreditkartennummern auf https-Seiten im Internet möglich ? Kommt der keylogger da dran ?

Vor Bemerken des Befalls habe ich meine Kreditkartennummer auf einer https-Seite (UCI-Kinowelt) eingegeben, mir fiel noch auf, dass die Zahlen verzögert zum Eintippen auf der Seite erschienen. Soll ich die Karte besser sperren lassen ??

Vielen Dank für die Hilfe
Michael

Zitat:

und ich beim Online-Banking im chipTan-Verfahren mit Kartenlesegerät dabei bin, meine Frage: Sinnvolle Alternativen zur Neuinstallation (zwei Rechner, Netzwerk) ?

Wenn es unbedingt Bereinigung sein soll, dann Onlinebanking über Live-CD wie Bankix (ist ein angepasstes Live-Linux). Dafür braucht man dann auch keinen zweiten Rechner, muss aber jew. immer den Rechner von dieser Bankix-CD booten.



Führe auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Hallo Arne,

hier kommt der Inhalt der Logdatei von ESET für meinen neuen Rechner:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=c2fed0879592af46b7151a73a8de442b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-23 01:58:18
# local_time=2011-08-23 03:58:18 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 100 0 88996513 1880 0
# compatibility_mode=3584 16777215 100 0 0 0 0 0
# compatibility_mode=5892 16776573 100 100 14669 151632677 0 0
# compatibility_mode=8192 67108863 100 0 200 200 0 0
# scanned=399966
# found=0
# cleaned=0
# scan_time=7949
         

Ich mache den gleichen Scan vorsichtshalber noch für meinen alten Rechner im Netzwerk. Melde mich in ein paar Stunden ...

Vielen Dank u. Grüße
Michael

Wieso sind noch Dutzende Symnetc-Einträge im Log, wenn du AntIVir als Virenscanner nutzt!
Umgehend den ganzen NortonIS-/Symtec-Kram deinstallieren, zwei Virenscanner/Suites sind kontraproduktiv!

Mach danach ein neues CustomLog mit OTL.

Und wirf hier in diesen nicht Logs von verschiedenen Rechnern rein! Pro Rechner einen separaten Strang!

Hallo Arne,

ich habe das ganze Norton-/Symantec-Zeug bereits beim Installieren von Antivir deinstalliert. Die Dateien sind da wohl übrig geblieben.

Für meinen alten PC habe ich einen neuen Strang aufgemacht.

Schreibst Du mir noch, was ich beim Custom Log mit OTL in die Box kopieren muss ?

Vielen Dank
Michael

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
PRC - [2011.06.25 12:30:46 | 000,884,696 | ---- | M] ({StringFileInfo_CompanyName}) -- C:\Programme\Ask.com\Updater\Updater.exe
PRC - [2007.09.26 11:53:56 | 000,554,352 | ---- | M] (Symantec Corporation) -- C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
PRC - [2006.11.21 06:39:34 | 000,107,624 | ---- | M] (Symantec Corporation) -- c:\Programme\Common Files\Symantec Shared\ccSvcHst.exe
PRC - [2006.11.21 06:39:22 | 000,107,112 | ---- | M] (Symantec Corporation) -- C:\Programme\Common Files\Symantec Shared\ccApp.exe
PRC - [2006.11.21 06:38:24 | 000,046,736 | ---- | M] (Symantec Corporation) -- c:\Programme\Common Files\Symantec Shared\AppCore\AppSvc32.exe
MOD - [2006.11.21 06:35:52 | 000,009,384 | ---- | M] () -- c:\Programme\Norton Internet Security\Norton AntiVirus\NAVShExt.loc
SRV - [2008.01.29 17:38:32 | 000,583,048 | ---- | M] (Symantec Corporation) [Auto | Stopped] -- C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe -- (LiveUpdate Notice Service)
SRV - [2007.09.26 11:53:56 | 002,999,664 | ---- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Programme\Symantec\LiveUpdate\LuComServer_3_2.EXE -- (LiveUpdate)
SRV - [2007.09.26 11:53:56 | 000,554,352 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Automatisches LiveUpdate - Scheduler)
SRV - [2006.11.21 06:39:34 | 000,107,624 | ---- | M] (Symantec Corporation) [Auto | Running] -- c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe -- (LiveUpdate Notice Ex)
SRV - [2006.11.21 06:39:34 | 000,107,624 | ---- | M] (Symantec Corporation) [Auto | Running] -- c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe -- (CLTNetCnService)
SRV - [2006.11.21 06:39:34 | 000,107,624 | ---- | M] (Symantec Corporation) [Auto | Running] -- c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe -- (ccSetMgr)
SRV - [2006.11.21 06:39:34 | 000,107,624 | ---- | M] (Symantec Corporation) [Auto | Running] -- c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe -- (ccEvtMgr)
SRV - [2006.11.21 06:38:24 | 000,046,736 | ---- | M] (Symantec Corporation) [Auto | Running] -- c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe -- (SymAppCore)
SRV - [2006.11.21 06:37:18 | 000,049,296 | ---- | M] (Symantec Corporation) [On_Demand | Stopped] -- c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe -- (comHost)
SRV - [2006.11.21 06:36:32 | 000,080,552 | ---- | M] (Symantec Corporation) [On_Demand | Stopped] -- c:\Program Files\Norton Internet Security\isPwdSvc.exe -- (ISPwdSvc)
DRV - [2007.12.23 22:36:36 | 000,123,952 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\SYMEVENT.SYS -- (SymEvent)
DRV - [2007.12.17 11:00:00 | 000,865,904 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\ProgramData\Symantec\Definitions\VirusDefs\20080105.009\NAVEX15.SYS -- (NAVEX15)
DRV - [2007.12.17 11:00:00 | 000,081,232 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\ProgramData\Symantec\Definitions\VirusDefs\20080105.009\NAVENG.SYS -- (NAVENG)
DRV - [2007.12.01 00:57:12 | 000,317,616 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\srtspl.sys -- (SRTSPL)
DRV - [2007.12.01 00:57:12 | 000,279,088 | ---- | M] (Symantec Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\srtsp.sys -- (SRTSP)
DRV - [2007.12.01 00:57:12 | 000,043,696 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\srtspx.sys -- (SRTSPX)
DRV - [2007.11.06 18:07:18 | 000,180,272 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\ProgramData\Symantec\Definitions\SymcData\idsdefs\20071220.001\IDSvix86.sys -- (IDSvix86)
DRV - [2007.10.30 20:55:44 | 000,037,936 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\Drivers\SYMNDISV.SYS -- (SYMNDISV)
DRV - [2007.10.30 20:55:38 | 000,191,536 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Windows\System32\Drivers\SYMTDI.SYS -- (SYMTDI)
DRV - [2007.10.30 20:55:34 | 000,027,696 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\Drivers\SYMREDRV.SYS -- (SYMREDRV)
DRV - [2007.10.30 20:55:28 | 000,039,856 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\Drivers\SYMIDS.SYS -- (SYMIDS)
DRV - [2007.10.30 20:55:20 | 000,145,968 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\Drivers\SYMFW.SYS -- (SYMFW)
DRV - [2007.10.30 20:55:14 | 000,012,848 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\Drivers\SYMDNS.SYS -- (SYMDNS)
DRV - [2007.10.16 10:20:06 | 000,395,312 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Programme\Common Files\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl)
DRV - [2007.10.16 10:20:06 | 000,112,688 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Programme\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys -- (EraserUtilRebootDrv)
DRV - [2006.11.21 06:40:42 | 000,406,672 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Programme\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys -- (SPBBCDrv)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SEARCH PAGE = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
O3 - HKLM\..\Toolbar: (Show Norton Toolbar) - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Programme\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll (Symantec Corporation)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe ({StringFileInfo_CompanyName})
O4 - HKCU..\Run: [捁牥吠畯r]  File not found
O4 - HKCU..\Run: [捁牥吠畯⁲敒業摮牥]  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:A9662AE0
:Files
C:\Programme\Common Files\Symantec Shared
c:\Program Files\Norton Internet Security
C:\Programme\Symantec
C:\Programme\Ask.com
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne,

hier das Logfile vom OTL-Fix:

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
Process Updater.exe killed successfully!
No active process named AluSchedulerSvc.exe was found!
No active process named ccSvcHst.exe was found!
No active process named ccApp.exe was found!
No active process named AppSvc32.exe was found!
Service LiveUpdate Notice Service stopped successfully!
Service LiveUpdate Notice Service deleted successfully!
C:\Programme\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe moved successfully.
Error: No service named LiveUpdate was found to stop!
Service\Driver key LiveUpdate not found.
File C:\Programme\Symantec\LiveUpdate\LuComServer_3_2.EXE not found.
Error: No service named Automatisches LiveUpdate - Scheduler was found to stop!
Service\Driver key Automatisches LiveUpdate - Scheduler not found.
File C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe not found.
Service LiveUpdate Notice Ex stopped successfully!
Service LiveUpdate Notice Ex deleted successfully!
File c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe not found.
Service CLTNetCnService stopped successfully!
Service CLTNetCnService deleted successfully!
File c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe not found.
Error: No service named ccSetMgr was found to stop!
Service\Driver key ccSetMgr not found.
File c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe not found.
Error: No service named ccEvtMgr was found to stop!
Service\Driver key ccEvtMgr not found.
File c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe not found.
Error: No service named SymAppCore was found to stop!
Service\Driver key SymAppCore not found.
File c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe not found.
Error: No service named comHost was found to stop!
Service\Driver key comHost not found.
File c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe not found.
Error: No service named ISPwdSvc was found to stop!
Service\Driver key ISPwdSvc not found.
File c:\Program Files\Norton Internet Security\isPwdSvc.exe not found.
Error: No service named SymEvent was found to stop!
Service\Driver key SymEvent not found.
File C:\Windows\System32\drivers\SYMEVENT.SYS not found.
Error: No service named NAVEX15 was found to stop!
Service\Driver key NAVEX15 not found.
C:\ProgramData\Symantec\Definitions\VirusDefs\20080105.009\NAVEX15.SYS moved successfully.
Error: No service named NAVENG was found to stop!
Service\Driver key NAVENG not found.
C:\ProgramData\Symantec\Definitions\VirusDefs\20080105.009\NAVENG.SYS moved successfully.
Error: No service named SRTSPL was found to stop!
Service\Driver key SRTSPL not found.
File C:\Windows\System32\drivers\srtspl.sys not found.
Error: No service named SRTSP was found to stop!
Service\Driver key SRTSP not found.
File C:\Windows\System32\drivers\srtsp.sys not found.
Error: No service named SRTSPX was found to stop!
Service\Driver key SRTSPX not found.
File C:\Windows\System32\drivers\srtspx.sys not found.
Error: No service named IDSvix86 was found to stop!
Service\Driver key IDSvix86 not found.
File C:\ProgramData\Symantec\Definitions\SymcData\idsdefs\20071220.001\IDSvix86.sys not found.
Error: No service named SYMNDISV was found to stop!
Service\Driver key SYMNDISV not found.
File C:\Windows\System32\Drivers\SYMNDISV.SYS not found.
Error: No service named SYMTDI was found to stop!
Service\Driver key SYMTDI not found.
File C:\Windows\System32\Drivers\SYMTDI.SYS not found.
Error: No service named SYMREDRV was found to stop!
Service\Driver key SYMREDRV not found.
File C:\Windows\System32\Drivers\SYMREDRV.SYS not found.
Error: No service named SYMIDS was found to stop!
Service\Driver key SYMIDS not found.
File C:\Windows\System32\Drivers\SYMIDS.SYS not found.
Error: No service named SYMFW was found to stop!
Service\Driver key SYMFW not found.
File C:\Windows\System32\Drivers\SYMFW.SYS not found.
Error: No service named SYMDNS was found to stop!
Service\Driver key SYMDNS not found.
File C:\Windows\System32\Drivers\SYMDNS.SYS not found.
Service eeCtrl stopped successfully!
Service eeCtrl deleted successfully!
C:\Programme\Common Files\Symantec Shared\EENGINE\eeCtrl.sys moved successfully.
Service EraserUtilRebootDrv stopped successfully!
Service EraserUtilRebootDrv deleted successfully!
C:\Programme\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys moved successfully.
Error: No service named SPBBCDrv was found to stop!
Service\Driver key SPBBCDrv not found.
File C:\Programme\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys not found.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\SEARCH PAGE| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\SearchMigratedDefaultName| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\SearchMigratedDefaultURL| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{90222687-F593-4738-B738-FBEE9C7B26DF} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90222687-F593-4738-B738-FBEE9C7B26DF}\ not found.
File c:\Programme\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ApnUpdater deleted successfully.
C:\Programme\Ask.com\Updater\Updater.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\捁牥吠畯r deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\捁牥吠畯⁲敒業摮牥 deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
ADS C:\ProgramData\TEMP:A9662AE0 deleted successfully.
========== FILES ==========
C:\Programme\Common Files\Symantec Shared\SPManifests folder moved successfully.
C:\Programme\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\Languages\07\01 folder moved successfully.
C:\Programme\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\Languages\07 folder moved successfully.
C:\Programme\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\Languages folder moved successfully.
C:\Programme\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08} folder moved successfully.
C:\Programme\Common Files\Symantec Shared\PIF folder moved successfully.
C:\Programme\Common Files\Symantec Shared\Help folder moved successfully.
C:\Programme\Common Files\Symantec Shared\EENGINE folder moved successfully.
C:\Programme\Common Files\Symantec Shared\COH folder moved successfully.
C:\Programme\Common Files\Symantec Shared\CCPD-LC folder moved successfully.
C:\Programme\Common Files\Symantec Shared folder moved successfully.
File\Folder c:\Program Files\Norton Internet Security not found.
File\Folder C:\Programme\Symantec not found.
File\Folder C:\Programme\Ask.com not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.26.5 log created on 08232011_224019
         

Viele Grüße
Michael