Hallo zusammen,

ich lese mich bereits seit gestern (seit dem das Problem das erste Mal aufgefallen ist) hier durchs Forum. Ich hab da n paar Ansätze gefunden, wollte aber bevor ich tatsächlich was unternehme hier Rücksprache halten. Wenn ich irgendwas vergesse zu posten oder was falsch mache, weist mich bitte daraufhin.

Zur Info, was ich mit dem Notebook mache: Online-Banking, Shopping, Emails, Facebook, Daten verwalten (habe aber 99% der wichtigen Daten vor ca. 1 Monat auf ne externe FP gesichert und hatte die seitdem nicht mehr dran... da diese Daten wirklich WICHTIG sind (Bilder von der Tochter meiner Freundin --> alle Bilder Jahr 0 - 2 (2000 Bilder + Videos)!! und die tötet mich wenn ich die Schrotte )

Kurze Problembeschreibung: Wie im Titel erwähnt "Ordner auf USB-Stick werden zu Verknüpfungen" und der Virenscanner (aktueller, kostenloser Avira) fand einiges:


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 24. Oktober 2011 19:12

Es wird nach 3429835 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : ***
Computername : SBNOTEBOOK

Versionsinformationen:
BUILD.DAT : 12.0.0.855 Bytes 12.10.2011 16:36:00
AVSCAN.EXE : 12.1.0.17 490448 Bytes 11.10.2011 12:59:38
AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58
LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47
AVSCPLR.DLL : 12.1.0.19 99536 Bytes 11.10.2011 12:59:38
AVREG.DLL : 12.1.0.20 227024 Bytes 11.10.2011 12:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:08:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:00:55
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:12:53
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 07:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 12:59:54
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 12:59:54
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 12:59:54
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 12:59:54
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 12:59:54
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 12:59:54
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 12:59:54
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:59:54
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 13:35:57
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 14:06:17
VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 14:06:19
VBASE018.VDF : 7.11.16.77 139264 Bytes 20.10.2011 14:06:20
VBASE019.VDF : 7.11.16.112 162816 Bytes 24.10.2011 15:55:56
VBASE020.VDF : 7.11.16.113 2048 Bytes 24.10.2011 15:55:57
VBASE021.VDF : 7.11.16.114 2048 Bytes 24.10.2011 15:55:57
VBASE022.VDF : 7.11.16.115 2048 Bytes 24.10.2011 15:55:58
VBASE023.VDF : 7.11.16.116 2048 Bytes 24.10.2011 15:55:58
VBASE024.VDF : 7.11.16.117 2048 Bytes 24.10.2011 15:55:58
VBASE025.VDF : 7.11.16.118 2048 Bytes 24.10.2011 15:55:59
VBASE026.VDF : 7.11.16.119 2048 Bytes 24.10.2011 15:55:59
VBASE027.VDF : 7.11.16.120 2048 Bytes 24.10.2011 15:55:59
VBASE028.VDF : 7.11.16.121 2048 Bytes 24.10.2011 15:56:00
VBASE029.VDF : 7.11.16.122 2048 Bytes 24.10.2011 15:56:00
VBASE030.VDF : 7.11.16.123 2048 Bytes 24.10.2011 15:56:00
VBASE031.VDF : 7.11.16.127 38400 Bytes 24.10.2011 15:56:01
Engineversion : 8.2.6.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.09.2011 21:46:02
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 11.10.2011 12:59:35
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02
AESBX.DLL : 8.2.1.34 323957 Bytes 01.09.2011 21:46:02
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.10.11 684408 Bytes 22.09.2011 14:18:45
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 15.09.2011 23:17:25
AEHEUR.DLL : 8.1.2.180 3748217 Bytes 12.10.2011 11:41:59
AEHELP.DLL : 8.1.17.7 254327 Bytes 01.09.2011 21:46:01
AEGEN.DLL : 8.1.5.9 401780 Bytes 01.09.2011 21:46:01
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.23.0 196983 Bytes 01.09.2011 21:46:01
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.17 223184 Bytes 11.10.2011 12:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, Q:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 24. Oktober 2011 19:12

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'Q:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{00020D75-0000-0000-C000-000000000046}\ShellFolder\attributes
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\381b4222-f694-41f0-9685-ff5bb260df2e
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\a1841308-3541-4fab-bc81-f71556f20b4a
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '127' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2312' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7X6XNQ1H\ok[2].exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9BJ601OG\st[1].exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Cycbot.249
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GM31CIM5\g[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.acn.3
C:\Users\***\AppData\Local\Temp\05102.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
C:\Users\***\AppData\Local\Temp\08539.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
C:\Users\***\AppData\Local\Temp\12018.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
C:\Users\***\AppData\Local\Temp\18428.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
C:\Users\***\AppData\Local\Temp\37377.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
C:\Users\***\AppData\Local\Temp\44148.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
C:\Users\***\AppData\Local\Temp\65110.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
C:\Users\***\AppData\Local\Temp\65703.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
C:\Users\***\AppData\Local\Temp\75069.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
C:\Users\***\AppData\Local\Temp\82119.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
C:\Users\***\AppData\Local\Temp\8700131.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.acn.3
C:\Users\***\AppData\Local\Temp\95425.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
C:\Users\***\AppData\Roaming\Microsoft\C002\691E.tmp
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Gbot.por.4
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\' <RECOVERY>
Beginne mit der Suche in 'Q:\'

Beginne mit der Desinfektion:
C:\Users\***\AppData\Roaming\Microsoft\C002\691E.tmp
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Gbot.por.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b1717ad.qua' verschoben!
C:\Users\***\AppData\Local\Temp\95425.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '538f380e.qua' verschoben!
C:\Users\***\AppData\Local\Temp\8700131.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.acn.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '01dc62e0.qua' verschoben!
C:\Users\***\AppData\Local\Temp\82119.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '67e82d29.qua' verschoben!
C:\Users\***\AppData\Local\Temp\75069.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '226f001a.qua' verschoben!
C:\Users\***\AppData\Local\Temp\65703.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d7d327b.qua' verschoben!
C:\Users\***\AppData\Local\Temp\65110.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '11cf1e31.qua' verschoben!
C:\Users\***\AppData\Local\Temp\44148.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6dd75e62.qua' verschoben!
C:\Users\***\AppData\Local\Temp\37377.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4083712a.qua' verschoben!
C:\Users\***\AppData\Local\Temp\18428.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '59ea4ab1.qua' verschoben!
C:\Users\***\AppData\Local\Temp\12018.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '35ba668b.qua' verschoben!
C:\Users\***\AppData\Local\Temp\08539.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '440c5f14.qua' verschoben!
C:\Users\***\AppData\Local\Temp\05102.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1a6fd4.qua' verschoben!
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GM31CIM5\g[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.acn.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0f3316cd.qua' verschoben!
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9BJ601OG\st[1].exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Cycbot.249
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '07ee127d.qua' verschoben!
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7X6XNQ1H\ok[2].exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5faf0b1f.qua' verschoben!


Ende des Suchlaufs: Montag, 24. Oktober 2011 21:15
Benötigte Zeit: 1:52:20 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

38633 Verzeichnisse wurden überprüft
1349852 Dateien wurden geprüft
16 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
16 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1349836 Dateien ohne Befall
14582 Archive wurden durchsucht
0 Warnungen
20 Hinweise
582277 Objekte wurden beim Rootkitscan durchsucht
4 Versteckte Objekte wurden gefunden


____________________________________
Ende Avira Logdatei

Habe am Ende alles in Quarantäne verschieben bestätigt.

Dann USB-Stick wieder dran --> Avira poppt gleich hoch (Report siehe unten), waren noch 2 Stück aufm Stick... wieder in Quarantäne.
USB-Stick direkt formatiert --> und das Problem war nicht mehr vorhanden. Aber irgendwie ist das trügerisch...!!!



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 24. Oktober 2011 21:25

Es wird nach 3429835 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SBNOTEBOOK

Versionsinformationen:
BUILD.DAT : 12.0.0.855 41827 Bytes 12.10.2011 16:36:00
AVSCAN.EXE : 12.1.0.17 490448 Bytes 11.10.2011 12:59:38
AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58
LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47
AVSCPLR.DLL : 12.1.0.19 99536 Bytes 11.10.2011 12:59:38
AVREG.DLL : 12.1.0.20 227024 Bytes 11.10.2011 12:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:08:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:00:55
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:12:53
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 07:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 12:59:54
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 12:59:54
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 12:59:54
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 12:59:54
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 12:59:54
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 12:59:54
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 12:59:54
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:59:54
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 13:35:57
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 14:06:17
VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 14:06:19
VBASE018.VDF : 7.11.16.77 139264 Bytes 20.10.2011 14:06:20
VBASE019.VDF : 7.11.16.112 162816 Bytes 24.10.2011 15:55:56
VBASE020.VDF : 7.11.16.113 2048 Bytes 24.10.2011 15:55:57
VBASE021.VDF : 7.11.16.114 2048 Bytes 24.10.2011 15:55:57
VBASE022.VDF : 7.11.16.115 2048 Bytes 24.10.2011 15:55:58
VBASE023.VDF : 7.11.16.116 2048 Bytes 24.10.2011 15:55:58
VBASE024.VDF : 7.11.16.117 2048 Bytes 24.10.2011 15:55:58
VBASE025.VDF : 7.11.16.118 2048 Bytes 24.10.2011 15:55:59
VBASE026.VDF : 7.11.16.119 2048 Bytes 24.10.2011 15:55:59
VBASE027.VDF : 7.11.16.120 2048 Bytes 24.10.2011 15:55:59
VBASE028.VDF : 7.11.16.121 2048 Bytes 24.10.2011 15:56:00
VBASE029.VDF : 7.11.16.122 2048 Bytes 24.10.2011 15:56:00
VBASE030.VDF : 7.11.16.123 2048 Bytes 24.10.2011 15:56:00
VBASE031.VDF : 7.11.16.127 38400 Bytes 24.10.2011 15:56:01
Engineversion : 8.2.6.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.09.2011 21:46:02
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 11.10.2011 12:59:35
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02
AESBX.DLL : 8.2.1.34 323957 Bytes 01.09.2011 21:46:02
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.10.11 684408 Bytes 22.09.2011 14:18:45
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 15.09.2011 23:17:25
AEHEUR.DLL : 8.1.2.180 3748217 Bytes 12.10.2011 11:41:59
AEHELP.DLL : 8.1.17.7 254327 Bytes 01.09.2011 21:46:01
AEGEN.DLL : 8.1.5.9 401780 Bytes 01.09.2011 21:46:01
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.23.0 196983 Bytes 01.09.2011 21:46:01
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.17 223184 Bytes 11.10.2011 12:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4ea4333e\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Montag, 24. Oktober 2011 21:25

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DockLogin.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'H:\84612795\Neuer Ordner (2).exe'
H:\84612795\Neuer Ordner (2).exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
Beginne mit der Suche in 'H:\84612795\Neuer Ordner.exe'
H:\84612795\Neuer Ordner.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29

Beginne mit der Desinfektion:
H:\84612795\Neuer Ordner.exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae81dcc.qua' verschoben!
H:\84612795\Neuer Ordner (2).exe
[FUND] Ist das Trojanische Pferd TR/Phorpiex.90112.29
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '527f326b.qua' verschoben!


Ende des Suchlaufs: Montag, 24. Oktober 2011 21:25
Benötigte Zeit: 00:02 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
621 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
619 Dateien ohne Befall
1 Archive wurden durchsucht
0 Warnungen
2 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.


_________________________________________
// Ende 2. Log Datei



Schritt 1:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 21:37 on 24/10/2011 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
Unable to open HKLM\~\Run key (5)
HKLM\~\Run values retrieved.
HKCUAEMON Tools Lite -> Removed

Checking for services/drivers...
Error opening service: SPTD (5)


Schritt 2: siehe Anhang (FYI, sorry habe Firefox NICHT geschlossen, da ich schon hier am schreiben war, hoffe da kann man trotzdem was damit anfangen)


Wie sollte ich weiter vorgehen, oder ist das System evtl. wieder sauber?? Würde es ungern platt machen...

Danke im Voraus und Grüße
Simon

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo cosinus,

dankeschön! Sorry, hatte nicht früher zeit, ist grad viel los...
_____________________________________________________


Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 8025

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

27.10.2011 01:06:29
mbam-log-2011-10-27 (01-06-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|H:\|Q:\|)
Durchsuchte Objekte: 479497
Laufzeit: 51 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\qtcf.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.


___________________________________________________________________


ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=b86d739270c4d2438aa12e3bcf5b0d94
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-27 10:59:54
# local_time=2011-10-27 12:59:54 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 324486 324486 0 0
# compatibility_mode=5893 16776573 100 94 3487 71332992 0 0
# compatibility_mode=8192 67108863 100 0 447 447 0 0
# scanned=339283
# found=1
# cleaned=0
# scan_time=10052
Q:\DownloadNEW\edgapex9.iso probably a variant of Win32/Agent.DQPHVKD trojan (unable to clean) 00000000000000000000000000000000 I

______________________________________________________________________

sieht das gut aus?

grüße simon

Zitat:

Q:\DownloadNEW\edgapex9.iso

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

Hallo arne,

diese einstellung verstehe, respektiere und unterstütze ich!!

Das müsste das Adope paket sein, da ich im frühjar bewerbungen (via eMail) versenden musste und ich die pdfs einfach nicht anderst klein bekommen habe... macht es jetzt nicht legaler aber erklärt evtl. warum ich auf so etwas zurückgegriffen habe.

naja, das hilft mir dann nicht weiter... ne Neuinstallation würde ich vermutlich alleine hinbekommen, aber diese hatte ich gehofft zu vermeiden, da es um (wie ich zu beginn bereits erwähnt habe) EXTREM wichtige Daten geht. und jetzt habe ich dummerweise (da es so in der anleitung von malewarebytes stand) die externe FP auch schon am wahrscheinlich immer noch infizierten laptop gehabt.

Wenn ich diese datei lösche, gäbe es dann evtl. noch ne andere lösung wie neuinstallation??

Danke im Voraus

Grüße
Simon

Zitat:

Wenn ich diese datei lösche, gäbe es dann evtl. noch ne andere lösung wie neuinstallation??

Nein, den Einsatz von illegaler Software unterstützen wir nicht. Wenn du diese genutzt hast und wir hatten diese Hinweise darauf, musst du den Artikel zur Neuinstallation folgen.