Trojan.Spyeyes, Taskmanager nicht mehr auffindbar, Acrobat Reader funktioniert nicht mehr

reischa

Hallo,

ich habe ein Problem. Ich habe mir scheinbar Trojaner gefangen.
Zunächst funktionierte (scheinbar?) mein Acrobat Reader nicht mehr. Nach Ctrl-Alt Entf war dann plötzlich mein Taskmanager nicht da.

Leider habe ich keine Ahnung wie ich damit umzugehen habe.

Zuerst habe ich Avira scannen lassen. Hier das Logfile:

**********************************************************************



Premium Security Suite
Erstellungsdatum der Reportdatei: Sonntag, 9. Oktober 2011 17:29

Es wird nach 3371019 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Reinhard Schauerte
Seriennummer : 2214943192-ISECE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : REINHARD-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.671 43196 Bytes 29.08.2011 16:02:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 09.07.2011 16:32:55
AVSCAN.DLL : 10.0.5.0 57192 Bytes 09.07.2011 16:32:55
LUKE.DLL : 10.3.0.5 45416 Bytes 09.07.2011 16:33:09
LUKERES.DLL : 10.0.0.0 13672 Bytes 09.07.2011 16:33:09
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 09.07.2011 16:33:19
AVREG.DLL : 10.3.0.9 88833 Bytes 12.07.2011 18:37:50
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 17:13:52
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 18:07:19
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 09:06:22
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 18:47:42
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 18:24:41
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 15:40:35
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 17:30:22
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 17:30:22
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 17:30:22
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 17:30:22
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 17:30:22
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 17:30:22
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 15:50:42
VBASE014.VDF : 7.11.15.145 2048 Bytes 07.10.2011 15:50:42
VBASE015.VDF : 7.11.15.146 2048 Bytes 07.10.2011 15:50:42
VBASE016.VDF : 7.11.15.147 2048 Bytes 07.10.2011 15:50:42
VBASE017.VDF : 7.11.15.148 2048 Bytes 07.10.2011 15:50:42
VBASE018.VDF : 7.11.15.149 2048 Bytes 07.10.2011 15:50:42
VBASE019.VDF : 7.11.15.150 2048 Bytes 07.10.2011 15:50:42
VBASE020.VDF : 7.11.15.151 2048 Bytes 07.10.2011 15:50:42
VBASE021.VDF : 7.11.15.152 2048 Bytes 07.10.2011 15:50:42
VBASE022.VDF : 7.11.15.153 2048 Bytes 07.10.2011 15:50:42
VBASE023.VDF : 7.11.15.154 2048 Bytes 07.10.2011 15:50:42
VBASE024.VDF : 7.11.15.155 2048 Bytes 07.10.2011 15:50:42
VBASE025.VDF : 7.11.15.156 2048 Bytes 07.10.2011 15:50:42
VBASE026.VDF : 7.11.15.157 2048 Bytes 07.10.2011 15:50:42
VBASE027.VDF : 7.11.15.158 2048 Bytes 07.10.2011 15:50:42
VBASE028.VDF : 7.11.15.159 2048 Bytes 07.10.2011 15:50:42
VBASE029.VDF : 7.11.15.160 2048 Bytes 07.10.2011 15:50:42
VBASE030.VDF : 7.11.15.161 2048 Bytes 07.10.2011 15:50:42
VBASE031.VDF : 7.11.15.169 61440 Bytes 07.10.2011 15:50:42
Engineversion : 8.2.6.80
AEVDF.DLL : 8.1.2.1 106868 Bytes 29.07.2010 18:26:09
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 04.10.2011 18:33:20
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 18:20:20
AESBX.DLL : 8.2.1.34 323957 Bytes 07.06.2011 17:57:50
AERDL.DLL : 8.1.9.15 639348 Bytes 10.09.2011 01:02:19
AEPACK.DLL : 8.2.10.11 684408 Bytes 26.09.2011 17:09:51
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 18.09.2011 11:03:45
AEHEUR.DLL : 8.1.2.177 3744120 Bytes 08.10.2011 15:50:44
AEHELP.DLL : 8.1.17.7 254327 Bytes 30.07.2011 08:27:33
AEGEN.DLL : 8.1.5.9 401780 Bytes 28.08.2011 11:15:43
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 18:18:49
AECORE.DLL : 8.1.23.0 196983 Bytes 28.08.2011 11:15:43
AEBB.DLL : 8.1.1.0 53618 Bytes 30.04.2010 17:47:21
AVWINLL.DLL : 10.0.0.0 19304 Bytes 09.07.2011 16:32:46
AVPREF.DLL : 10.0.3.2 44904 Bytes 09.07.2011 16:32:55
AVREP.DLL : 10.0.0.10 174120 Bytes 09.07.2011 16:33:18
AVARKT.DLL : 10.0.26.1 255336 Bytes 09.07.2011 16:32:51
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 09.07.2011 16:32:52
SQLITE3.DLL : 3.6.19.0 355688 Bytes 09.07.2011 16:33:12
AVSMTP.DLL : 10.0.0.17 63848 Bytes 09.07.2011 16:32:56
NETNT.DLL : 10.0.0.0 11624 Bytes 09.07.2011 16:33:10
RCIMAGE.DLL : 10.0.0.33 2901352 Bytes 09.07.2011 16:32:47
RCTEXT.DLL : 10.0.63.0 98664 Bytes 09.07.2011 16:32:47

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +JOKE,+PCK,+PFS,

Beginn des Suchlaufs: Sonntag, 9. Oktober 2011 17:29

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'PKey_Pro.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclRSSrv.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLUTrayNotifier.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'ouc.exe' - '4' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'p2phost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchSettings.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'DataLayer.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchApplication.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'OpWareSE4.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasySpeedUpManager.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyBatteryMgr3.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'DCSHelper.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '154' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'NASvc.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'IJPLMSVC.EXE' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'DCService.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApplicationUpdater.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '161' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '577' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Reinhard\AppData\Local\temp\wpbt0.dll
[FUND] Ist das Trojanische Pferd TR/FakeSysdef.506
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\Users\Reinhard\AppData\Local\temp\wpbt0.dll
[FUND] Ist das Trojanische Pferd TR/FakeSysdef.506
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba36a2b.qua' verschoben!


Ende des Suchlaufs: Sonntag, 9. Oktober 2011 18:37
Benötigte Zeit: 1:05:32 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

22515 Verzeichnisse wurden überprüft
360239 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
360238 Dateien ohne Befall
2862 Archive wurden durchsucht
0 Warnungen
1 Hinweise
630083 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

**************************************************************************


Malwarebytes habe ich gerade laufen lassen. Hier das Logfile:



**************************************************************************

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7908

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

09.10.2011 19:39:17
mbam-log-2011-10-09 (19-39-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 297135
Laufzeit: 51 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96 (Trojan.SpyEyes) -> Value: 4E3E0230AEBB4E96 -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.


**********************************************************

Was muss ich noch tun?
Vielen Dank schon mal für Eure Bemühungen!!!

Reinhard