| |
| |||||||
Log-Analyse und Auswertung: Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
25.01.2012, 12:54
| #16 |
 |  Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen? Habe alles gemacht wie beschrieben.Beim Scan von aswMBR hat Avira einen Fund gemacht,der jetzt in qurantäne gesetzt ist.Ich Sende den Avira Report gleich mit. GMER LOG: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-01-25 12:39:46
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 TOSHIBA_MK8025GAS rev.KA020U
Running: rgmih49i.exe; Driver: C:\DOKUME~1\home\LOKALE~1\Temp\kgrcqkob.sys
---- System - GMER 1.0.15 ----
SSDT F7CF42DC ZwClose
SSDT F7CF4296 ZwCreateKey
SSDT F7CF42E6 ZwCreateSection
SSDT F7CF428C ZwCreateThread
SSDT F7CF429B ZwDeleteKey
SSDT F7CF42A5 ZwDeleteValueKey
SSDT F7CF42D7 ZwDuplicateObject
SSDT F7CF42AA ZwLoadKey
SSDT F7CF4278 ZwOpenProcess
SSDT F7CF427D ZwOpenThread
SSDT F7CF42FF ZwQueryValueKey
SSDT F7CF42B4 ZwReplaceKey
SSDT F7CF42F0 ZwRequestWaitReplyPort
SSDT F7CF42AF ZwRestoreKey
SSDT F7CF42EB ZwSetContextThread
SSDT F7CF42F5 ZwSetSecurityObject
SSDT F7CF42A0 ZwSetValueKey
SSDT F7CF42FA ZwSystemDebugControl
SSDT F7CF4287 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
? C:\DOKUME~1\home\LOKALE~1\Temp\aswMBR.sys Das System kann die angegebene Datei nicht finden. !
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\ctfmon.exe[2060] USERENV.dll!RegisterGPNotification + 310 76628917 1 Byte [09]
.text C:\WINDOWS\system32\wuauclt.exe[2912] USERENV.dll!ExpandEnvironmentStringsForUserW + 374 76627AA7 1 Byte [0D]
.text C:\WINDOWS\system32\wuauclt.exe[2912] USERENV.dll!RegisterGPNotification + 310 76628917 1 Byte [09]
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Classes\CLSID\{D2423620-51A0-11D2-9CAF-0060B0EC3D39}\ProgID@ Microsoft.XMLParser.1.0
Reg HKLM\SOFTWARE\Classes\CLSID\{D269BF5C-D9C1-11D3-B38F-00105A1F473A}\TypeLib@ {565783C6-CB41-11D1-8B02-00600806D9B6}
Reg HKLM\SOFTWARE\Classes\CLSID\{D269BF5C-D9C1-11D3-B38F-00105A1F473A}\VersionIndependentProgI@@ WbemScripting.SWbemRefresher
---- EOF - GMER 1.0.15 ----
Avira Free Antivirus Erstellungsdatum der Reportdatei: Mittwoch, 25. Januar 2012 11:50 Es wird nach 3215277 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HOME-DE583A83ED Versionsinformationen: BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00 AVSCAN.EXE : 12.1.0.18 490448 Bytes 15.12.2011 13:59:39 AVSCAN.DLL : 12.1.0.17 65744 Bytes 15.12.2011 13:59:56 LUKE.DLL : 12.1.0.17 68304 Bytes 15.12.2011 13:59:47 AVSCPLR.DLL : 12.1.0.21 99536 Bytes 15.12.2011 13:59:39 AVREG.DLL : 12.1.0.27 227536 Bytes 15.12.2011 13:59:38 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:04:57 VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 13:04:59 VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 13:04:59 VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 13:04:59 VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 13:04:59 VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 13:04:59 VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 13:04:59 VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 13:04:59 VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 13:04:59 VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 13:04:59 VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 13:04:59 VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 13:05:08 VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 13:05:13 VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 13:05:19 VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 13:05:26 VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 13:05:31 VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 13:05:35 VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 12:57:25 VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 19:15:08 VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 19:14:56 VBASE022.VDF : 7.11.21.13 135168 Bytes 13.01.2012 14:55:02 VBASE023.VDF : 7.11.21.40 163840 Bytes 16.01.2012 10:27:17 VBASE024.VDF : 7.11.21.65 1001472 Bytes 17.01.2012 10:27:23 VBASE025.VDF : 7.11.21.98 487424 Bytes 19.01.2012 20:21:43 VBASE026.VDF : 7.11.21.99 2048 Bytes 19.01.2012 20:21:43 VBASE027.VDF : 7.11.21.100 2048 Bytes 19.01.2012 20:21:43 VBASE028.VDF : 7.11.21.101 2048 Bytes 19.01.2012 20:21:43 VBASE029.VDF : 7.11.21.102 2048 Bytes 19.01.2012 20:21:43 VBASE030.VDF : 7.11.21.103 2048 Bytes 19.01.2012 20:21:44 VBASE031.VDF : 7.11.21.147 237056 Bytes 24.01.2012 20:21:50 Engineversion : 8.2.8.34 AEVDF.DLL : 8.1.2.2 106868 Bytes 15.12.2011 13:59:36 AESCRIPT.DLL : 8.1.4.1 434553 Bytes 21.01.2012 20:21:53 AESCN.DLL : 8.1.8.1 127348 Bytes 21.01.2012 20:21:52 AESBX.DLL : 8.2.4.5 434549 Bytes 15.12.2011 13:59:35 AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02 AEPACK.DLL : 8.2.16.1 799094 Bytes 19.01.2012 10:27:27 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 05.01.2012 13:06:40 AEHEUR.DLL : 8.1.3.19 4309367 Bytes 21.01.2012 20:21:52 AEHELP.DLL : 8.1.19.0 254327 Bytes 21.01.2012 20:21:45 AEGEN.DLL : 8.1.5.17 405877 Bytes 15.12.2011 13:59:31 AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58 AECORE.DLL : 8.1.25.2 201079 Bytes 21.01.2012 20:21:45 AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58 AVWINLL.DLL : 12.1.0.17 27344 Bytes 15.12.2011 13:59:41 AVPREF.DLL : 12.1.0.17 51920 Bytes 15.12.2011 13:59:38 AVREP.DLL : 12.1.0.17 179408 Bytes 15.12.2011 13:59:38 AVARKT.DLL : 12.1.0.19 208848 Bytes 15.12.2011 13:59:36 AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15.12.2011 13:59:37 SQLITE3.DLL : 3.7.0.0 398288 Bytes 15.12.2011 13:59:50 AVSMTP.DLL : 12.1.0.17 62928 Bytes 15.12.2011 13:59:39 NETNT.DLL : 12.1.0.17 17104 Bytes 15.12.2011 13:59:47 RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 15.12.2011 13:59:58 RCTEXT.DLL : 12.1.0.16 98512 Bytes 15.12.2011 13:59:59 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4f1fdb76\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Beginn des Suchlaufs: Mittwoch, 25. Januar 2012 11:50 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aswMBR(1).exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NIHardwareService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\_avast4_\unp92315705.tmp' C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\_avast4_\unp92315705.tmp [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c8a7e3b.qua' verschoben! Ende des Suchlaufs: Mittwoch, 25. Januar 2012 11:50 Benötigte Zeit: 00:14 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 30 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 29 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Gruß Senor d Grüße senor d |
|
25.01.2012, 13:20
| #17 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen?Zitat:
 Und die Logs solltest du alle in CODE-Tags posten. Ich weiß nicht warum du hier wieder so einen Mischmasch produzierst Eins in CODE-Tags, das andere ohne irgendwas und die letzten beiden einzeln gezippt im Anhang, der verstehe wer will 
__________________ |
|
25.01.2012, 14:06
| #18 |
| | Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen? Tut mir leid bin wirklich der totale Anfänger was pc s angeht.Habe die letzen beiden als zip anhang mitgesendet weil es sonst nicht gepast hätte von der größe.Soll ich die logs jetzt nochmal ordentlich Posten?Und wenn ja wie?
__________________Hoffe ihr habt verständnis für meine unwissenheit.  Gruß senor d |
|
25.01.2012, 14:29
| #19 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen? Wie du es posten sollst wurde beschrieben Lies die entsprechenden Passagen kann ja nicht sein, dass ich immer alles doppelt und dreifach posten muss
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
25.01.2012, 16:44
| #20 |
| | Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen? GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-01-25 12:39:46
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 TOSHIBA_MK8025GAS rev.KA020U
Running: rgmih49i.exe; Driver: C:\DOKUME~1\home\LOKALE~1\Temp\kgrcqkob.sys
---- System - GMER 1.0.15 ----
SSDT F7CF42DC ZwClose
SSDT F7CF4296 ZwCreateKey
SSDT F7CF42E6 ZwCreateSection
SSDT F7CF428C ZwCreateThread
SSDT F7CF429B ZwDeleteKey
SSDT F7CF42A5 ZwDeleteValueKey
SSDT F7CF42D7 ZwDuplicateObject
SSDT F7CF42AA ZwLoadKey
SSDT F7CF4278 ZwOpenProcess
SSDT F7CF427D ZwOpenThread
SSDT F7CF42FF ZwQueryValueKey
SSDT F7CF42B4 ZwReplaceKey
SSDT F7CF42F0 ZwRequestWaitReplyPort
SSDT F7CF42AF ZwRestoreKey
SSDT F7CF42EB ZwSetContextThread
SSDT F7CF42F5 ZwSetSecurityObject
SSDT F7CF42A0 ZwSetValueKey
SSDT F7CF42FA ZwSystemDebugControl
SSDT F7CF4287 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
? C:\DOKUME~1\home\LOKALE~1\Temp\aswMBR.sys Das System kann die angegebene Datei nicht finden. !
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\ctfmon.exe[2060] USERENV.dll!RegisterGPNotification + 310 76628917 1 Byte [09]
.text C:\WINDOWS\system32\wuauclt.exe[2912] USERENV.dll!ExpandEnvironmentStringsForUserW + 374 76627AA7 1 Byte [0D]
.text C:\WINDOWS\system32\wuauclt.exe[2912] USERENV.dll!RegisterGPNotification + 310 76628917 1 Byte [09]
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Classes\CLSID\{D2423620-51A0-11D2-9CAF-0060B0EC3D39}\ProgID@ Microsoft.XMLParser.1.0
Reg HKLM\SOFTWARE\Classes\CLSID\{D269BF5C-D9C1-11D3-B38F-00105A1F473A}\TypeLib@ {565783C6-CB41-11D1-8B02-00600806D9B6}
Reg HKLM\SOFTWARE\Classes\CLSID\{D269BF5C-D9C1-11D3-B38F-00105A1F473A}\VersionIndependentProgI@@ WbemScripting.SWbemRefresher
---- EOF - GMER 1.0.15 ----
--- --- --- OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 11:26:14 on 25.01.2012 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 9.0.1 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( HKLM\SOFTWARE\Microsoft\Windows Scripting Host\Locations )----- "CScript" - "Microsoft Corporation" - C:\WINDOWS\System32\cscript.exe "WScript" - "Microsoft Corporation" - C:\WINDOWS\System32\wscript.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "avkmgr" (avkmgr) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avkmgr.sys "catchme" (catchme) - ? - C:\ComboFix\catchme.sys (File not found) "CD-ROM-Laufwerktreiber" (Cdrom) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\cdrom.sys "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "cpuz135" (cpuz135) - "CPUID" - C:\WINDOWS\system32\drivers\cpuz135_x32.sys "Fs_Rec" (Fs_Rec) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\Fs_Rec.sys "giveio" (giveio) - ? - C:\WINDOWS\System32\giveio.sys (File found, but it contains no detailed information) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "kgrcqkob" (kgrcqkob) - ? - C:\DOKUME~1\home\LOKALE~1\Temp\kgrcqkob.sys (Hidden registry entry, rootkit activity | File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "MpKslafa6d0b1" (MpKslafa6d0b1) - ? - c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E291C532-3066-43CC-9CD9-1A9EEA1B45B3}\MpKslafa6d0b1.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "Service for Realtek AC97 Audio (WDM)" (ALCXWDM) - "Realtek Semiconductor Corp." - C:\WINDOWS\System32\drivers\ALCXWDM.SYS (Data mismatch, rootkit activity) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) "Windows Driver Foundation - User-mode Driver Framework Platform Driver" (WudfPf) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\WudfPf.sys "Windows Driver Foundation - User-mode Driver Framework Reflector" (WudfRd) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\wudfrd.sys [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} "Internet Explorer Version Update" - "Microsoft Corporation" - C:\WINDOWS\system32\ieudinit.exe {6BF52A52-394A-11d3-B153-00C04F79FAA6} "Microsoft Windows Media Player" - "Microsoft Corporation" - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub {44BBA842-CC51-11CF-AAFA-00AA00B6015B} "NetMeeting 3.01" - "Microsoft Corporation" - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} "Windows Media Player" - "Microsoft Corporation" - C:\WINDOWS\inf\unregmp2.exe /ShowWMP {5945c046-1e7d-11d1-bc44-00c04fd912be} "Windows Messenger 4.7" - "Microsoft Corporation" - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {12D51199-0DB5-46FE-A120-47A3D7D937CC} "DVD: Pluggable Protocol" - "Microsoft Corporation" - C:\WINDOWS\system32\msvidctl.dll (Data mismatch, rootkit activity) {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} "TV: Pluggable Protocol" - "Microsoft Corporation" - C:\WINDOWS\system32\msvidctl.dll (Data mismatch, rootkit activity) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )----- {AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? - (File not found | COM-object registry key not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Dokumente und Einstellungen\home\Desktop\7-Zip\7-zip.dll {7D559C10-9FE9-11d0-93F7-00AA0059CE02} "Code Download Agent" - "Microsoft Corporation" - C:\WINDOWS\system32\webcheck.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - (File not found | COM-object registry key not found) {62AE1F9A-126A-11D0-A14B-0800361B1103} "Directory Context Menu Verbs" - "Microsoft Corporation" - C:\WINDOWS\system32\dsuiext.dll {0D45D530-764B-11d0-A1CA-00AA00C16E65} "Directory Property UI" - "Microsoft Corporation" - C:\WINDOWS\system32\dsuiext.dll {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {35786D3C-B075-49b9-88DD-029876E11C01} "Portable Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshext.dll {D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} "Portable Devices Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshext.dll {640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {60254CA5-953B-11CF-8C96-00AA00B8708C} "Shell Extension For Windows Script Host" - "Microsoft Corporation" - C:\WINDOWS\system32\wshext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {F5175861-2688-11d0-9C5E-00AA00A45957} "Subscription Folder" - "Microsoft Corporation" - C:\WINDOWS\system32\webcheck.dll {ABBE31D0-6DAE-11D0-BECA-00C04FD940BE} "Subscription Mgr" - "Microsoft Corporation" - C:\WINDOWS\system32\webcheck.dll {E6FB5E20-DE35-11CF-9C87-00AA005127ED} "WebCheck" - "Microsoft Corporation" - C:\WINDOWS\system32\webcheck.dll {7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB} "WebCheck SyncMgr Handler" - "Microsoft Corporation" - C:\WINDOWS\system32\webcheck.dll {08165EA0-E946-11CF-9C87-00AA005127ED} "WebCheckWebCrawler" - "Microsoft Corporation" - C:\WINDOWS\system32\webcheck.dll {F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} "WMP Add To Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll {8DD448E6-C188-4aed-AF92-44956194EB1F} "WMP Burn Audio CD Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll {CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} "WMP Play As Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad )----- {E6FB5E20-DE35-11CF-9C87-00AA005127ED} "WebCheck" - "Microsoft Corporation" - C:\WINDOWS\system32\webcheck.dll {AAA288BA-9A4C-45B0-95D7-94D524869DB5} "WPDShServiceObj Class" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshserviceobj.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [Known DLLs] -----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs )----- "advapi32" - "Microsoft Corporation" - C:\WINDOWS\system32\advapi32.dll "gdi32" - "Microsoft Corporation" - C:\WINDOWS\system32\gdi32.dll "kernel32" - "Microsoft Corporation" - C:\WINDOWS\system32\kernel32.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\home\Startmenü\Programme\Autostart\desktop.ini -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "avgnt" - "Avira Operations GmbH & Co. KG" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Automatic Updates" (wuauserv) - "Microsoft Corporation" - C:\WINDOWS\system32\wuauserv.dll "Avira Echtzeit Scanner" (AntiVirService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira Planer" (AntiVirSchedulerService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\sched.exe "COM+-Ereignissystem" (EventSystem) - "Microsoft Corporation" - C:\WINDOWS\system32\es.dll "DCOM-Server-Prozessstart" (DcomLaunch) - "Microsoft Corporation" - C:\WINDOWS\system32\rpcss.dll "Ereignisprotokoll" (Eventlog) - "Microsoft Corporation" - C:\WINDOWS\system32\services.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "NIHardwareService" (NIHardwareService) - "Native Instruments GmbH" - C:\Programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe "Plug & Play" (PlugPlay) - "Microsoft Corporation" - C:\WINDOWS\system32\services.exe "Portable Media Serial Number Service" (WmdmPmSN) - "Microsoft Corporation" - C:\WINDOWS\system32\mspmsnsv.dll "Remoteprozeduraufruf (RPC)" (RpcSs) - "Microsoft Corporation" - C:\WINDOWS\System32\rpcss.dll "Telefonie" (TapiSrv) - "Microsoft Corporation" - C:\WINDOWS\System32\tapisrv.dll (Data mismatch, rootkit activity) "Treibererweiterungen für Windows-Verwaltungsinstrumentation" (Wmi) - "Microsoft Corporation" - C:\WINDOWS\System32\advapi32.dll "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Driver Foundation - User-mode Driver Framework" (WudfSvc) - "Microsoft Corporation" - C:\WINDOWS\System32\WUDFSvc.dll "Windows Installer" (MSIServer) - "Microsoft Corporation" - C:\WINDOWS\system32\msiexec.exe "Windows Media Player-Netzwerkfreigabedienst" (WMPNetworkSvc) - "Microsoft Corporation" - C:\Programme\Windows Media Player\WMPNetwk.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe "Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" (SharedAccess) - "Microsoft Corporation" - C:\WINDOWS\System32\ipnathlp.dll "Windows-Zeitgeber" (W32Time) - "Microsoft Corporation" - C:\WINDOWS\system32\w32time.dll [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63} "Drahtlos" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll {F9C77450-3A41-477E-9310-9ACD617BD9E3} "Group Policy Applications" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {728EE579-943C-4519-9EF7-AB56765798ED} "Group Policy Data Sources" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {1A6364EB-776B-4120-ADE1-B63A406A76B5} "Group Policy Device Settings" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {5794DAFD-BE60-433f-88A2-1A31939AC01F} "Group Policy Drive Maps" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {0E28E245-9368-4853-AD84-6DA3BA35BB75} "Group Policy Environment" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {7150F9BF-48AD-4da4-A49C-29EF4A8369BA} "Group Policy Files" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {A3F3E39B-5D83-4940-B954-28315B82F0A8} "Group Policy Folder Options" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {6232C319-91AC-4931-9385-E70C2B099F0E} "Group Policy Folders" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {74EE6C03-5363-4554-B161-627540339CAB} "Group Policy Ini Files" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {E47248BA-94CC-49c4-BBB5-9EB7F05183D0} "Group Policy Internet Settings" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {17D89FEC-5C44-4972-B12D-241CAEF74509} "Group Policy Local Users and Groups" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {3A0DBA37-F8B2-4356-83DE-3E90BD5C261F} "Group Policy Network Options" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {6A4C88C6-C502-4f74-8F60-2CB23EDC24E2} "Group Policy Network Shares" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {E62688F0-25FD-4c90-BFF5-F508B9D2E31F} "Group Policy Power Options" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {BC75B1ED-5833-4858-9BB8-CBF0B166DF9D} "Group Policy Printers" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {E5094040-C46C-4115-B030-04FB2E545B00} "Group Policy Regional Options" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {B087BE9D-ED37-454f-AF9C-04291E351182} "Group Policy Registry" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {AADCED64-746C-4633-A97C-D61349046527} "Group Policy Scheduled Tasks" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {91FBB303-0CD5-4055-BF42-E512A681B325} "Group Policy Services" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {C418DD9D-0D14-4efb-8FBF-CFE535C8FAC7} "Group Policy Shortcuts" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {E4F48E54-F38D-4884-BFB9-D4D2E5729C18} "Group Policy Start Menu Settings" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll {e437bc1c-aa7d-11d2-a382-00c04f991e27} "IP-Sicherheit" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll {426031c0-0b47-4852-b0ca-ac3d37bfcb39} "QoS-Paketplaner" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll {42B5FAAE-6536-11d2-AE5A-0000F87571E3} "Skripts" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru [/code] Code:
ATTFilter aswMBR version 0.9.9.1509 Copyright(c) 2011 AVAST Software
Run date: 2012-01-25 11:45:36
-----------------------------
11:45:36.500 OS Version: Windows 5.1.2600 Service Pack 3
11:45:36.500 Number of processors: 1 586 0xD08
11:45:36.500 ComputerName: HOME-DE583A83ED UserName: home
11:45:36.984 Initialize success
11:48:47.593 AVAST engine defs: 12012500
11:49:28.937 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
11:49:28.937 Disk 0 Vendor: TOSHIBA_MK8025GAS KA020U Size: 76319MB BusType: 3
11:49:28.953 Disk 0 MBR read successfully
11:49:28.953 Disk 0 MBR scan
11:49:29.000 Disk 0 Windows XP default MBR code
11:49:29.000 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 39997 MB offset 63
11:49:29.015 Disk 0 Partition - 00 0F Extended LBA 36310 MB offset 81915435
11:49:29.046 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 36310 MB offset 81915498
11:49:29.046 Disk 0 scanning sectors +156280320
11:49:29.171 Disk 0 scanning C:\WINDOWS\system32\drivers
11:49:40.156 Service scanning
11:49:41.296 Modules scanning
11:49:50.750 Disk 0 trace - called modules:
11:49:51.265 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys intelide.sys PCIIDEX.SYS
11:49:51.281 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86325ab8]
11:49:51.281 3 CLASSPNP.SYS[f766bfd7] -> nt!IofCallDriver -> \Device\00000075[0x8631b9e8]
11:49:51.281 5 ACPI.sys[f75c1620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x86327940]
11:49:51.640 AVAST engine scan C:\WINDOWS
11:50:27.359 AVAST engine scan C:\WINDOWS\system32
11:53:53.296 AVAST engine scan C:\WINDOWS\system32\drivers
11:54:03.843 AVAST engine scan C:\Dokumente und Einstellungen\home
11:56:49.234 AVAST engine scan C:\Dokumente und Einstellungen\All Users
11:57:23.671 Scan finished successfully
11:57:54.250 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\home\Desktop\MBR.dat"
11:57:54.296 The log file has been saved successfully to "C:\Dokumente und Einstellungen\home\Desktop\aswMBR.txt"
Code:
ATTFilter Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 25. Januar 2012 11:50
Es wird nach 3215277 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HOME-DE583A83ED
Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 15.12.2011 13:59:39
AVSCAN.DLL : 12.1.0.17 65744 Bytes 15.12.2011 13:59:56
LUKE.DLL : 12.1.0.17 68304 Bytes 15.12.2011 13:59:47
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 15.12.2011 13:59:39
AVREG.DLL : 12.1.0.27 227536 Bytes 15.12.2011 13:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:04:57
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 13:04:59
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 13:04:59
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 13:04:59
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 13:04:59
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 13:04:59
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 13:04:59
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 13:04:59
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 13:04:59
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 13:04:59
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 13:04:59
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 13:05:08
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 13:05:13
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 13:05:19
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 13:05:26
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 13:05:31
VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 13:05:35
VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 12:57:25
VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 19:15:08
VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 19:14:56
VBASE022.VDF : 7.11.21.13 135168 Bytes 13.01.2012 14:55:02
VBASE023.VDF : 7.11.21.40 163840 Bytes 16.01.2012 10:27:17
VBASE024.VDF : 7.11.21.65 1001472 Bytes 17.01.2012 10:27:23
VBASE025.VDF : 7.11.21.98 487424 Bytes 19.01.2012 20:21:43
VBASE026.VDF : 7.11.21.99 2048 Bytes 19.01.2012 20:21:43
VBASE027.VDF : 7.11.21.100 2048 Bytes 19.01.2012 20:21:43
VBASE028.VDF : 7.11.21.101 2048 Bytes 19.01.2012 20:21:43
VBASE029.VDF : 7.11.21.102 2048 Bytes 19.01.2012 20:21:43
VBASE030.VDF : 7.11.21.103 2048 Bytes 19.01.2012 20:21:44
VBASE031.VDF : 7.11.21.147 237056 Bytes 24.01.2012 20:21:50
Engineversion : 8.2.8.34
AEVDF.DLL : 8.1.2.2 106868 Bytes 15.12.2011 13:59:36
AESCRIPT.DLL : 8.1.4.1 434553 Bytes 21.01.2012 20:21:53
AESCN.DLL : 8.1.8.1 127348 Bytes 21.01.2012 20:21:52
AESBX.DLL : 8.2.4.5 434549 Bytes 15.12.2011 13:59:35
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.2.16.1 799094 Bytes 19.01.2012 10:27:27
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 05.01.2012 13:06:40
AEHEUR.DLL : 8.1.3.19 4309367 Bytes 21.01.2012 20:21:52
AEHELP.DLL : 8.1.19.0 254327 Bytes 21.01.2012 20:21:45
AEGEN.DLL : 8.1.5.17 405877 Bytes 15.12.2011 13:59:31
AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58
AECORE.DLL : 8.1.25.2 201079 Bytes 21.01.2012 20:21:45
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58
AVWINLL.DLL : 12.1.0.17 27344 Bytes 15.12.2011 13:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 15.12.2011 13:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 15.12.2011 13:59:38
AVARKT.DLL : 12.1.0.19 208848 Bytes 15.12.2011 13:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15.12.2011 13:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 15.12.2011 13:59:50
AVSMTP.DLL : 12.1.0.17 62928 Bytes 15.12.2011 13:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 15.12.2011 13:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 15.12.2011 13:59:58
RCTEXT.DLL : 12.1.0.16 98512 Bytes 15.12.2011 13:59:59
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4f1fdb76\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Mittwoch, 25. Januar 2012 11:50
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aswMBR(1).exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NIHardwareService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\_avast4_\unp92315705.tmp'
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\_avast4_\unp92315705.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c8a7e3b.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 25. Januar 2012 11:50
Benötigte Zeit: 00:14 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
30 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
29 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
|
|
25.01.2012, 16:46
| #21 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen? Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ --> Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen? |
|
26.01.2012, 10:14
| #22 |
| | Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen? Hier die Logs Code:
ATTFilter Malwarebytes Anti-Malware 1.60.0.1800 www.malwarebytes.org Datenbank Version: v2012.01.25.05 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 home :: HOME-DE583A83ED [Administrator] 25.01.2012 20:12:22 mbam-log-2012-01-25 (20-12-22).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 200746 Laufzeit: 45 Minute(n), 45 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 01/26/2012 at 00:09 AM
Application Version : 5.0.1142
Core Rules Database Version : 8167
Trace Rules Database Version: 5979
Scan type : Complete Scan
Total Scan Time : 00:54:38
Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator
Memory items scanned : 426
Memory threats detected : 0
Registry items scanned : 21018
Registry threats detected : 0
File items scanned : 34936
File threats detected : 22
Adware.Tracking Cookie
assets.porn.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\SC7WU6WW ]
cdn1.image.freeporn.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\SC7WU6WW ]
h2porn.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\SC7WU6WW ]
media1.shufuni.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\SC7WU6WW ]
stat.easydate.biz [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\SC7WU6WW ]
staticedge.hardsextube.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\SC7WU6WW ]
www.alphaporno.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\SC7WU6WW ]
.fortunecity.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
.fortunecity.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
.fortunecity.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
.fortunecity.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
.histats.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
.myroitracking.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
.histats.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
.yadro.ru [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
.statcounter.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
.userporn.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
accounts.google.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
accounts.youtube.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
.imrworldwide.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
.imrworldwide.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
Heur.Agent/Gen-WhiteBox
C:\SYSTEM VOLUME INFORMATION\_RESTORE{300FF6BB-8CEC-429F-8EB1-35A27128CD31}\RP7\A0012968.EXE
Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-12 01:09:39
# local_time=2012-01-12 02:09:39 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 607922 607922 0 0
# compatibility_mode=8192 67108863 100 0 3867 3867 0 0
# scanned=20838
# found=0
# cleaned=0
# scan_time=1290
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-26 09:05:22
# local_time=2012-01-26 10:05:22 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 1801246 1801246 0 0
# compatibility_mode=8192 67108863 100 0 1197191 1197191 0 0
# scanned=29708
# found=0
# cleaned=0
# scan_time=2909
|
|
26.01.2012, 15:55
| #23 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen? Sieht ok aus, da wurden nur Cookies gefunden und ein Überrest in der SWH. Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
28.01.2012, 19:42
| #24 |
| | Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen? Ja habe leider immer noch Probleme und Funde.Am Donerstag hatte avira funde gemeldet dan ist der Rechner abgestürzt danach war der Deskop nur noch Blau.Später als sich der Deskop langsam wieder aufgebaut hat habe ich das System auf einen Tag zurückgesetz.Jetzt hatte ich endlich wieder zugriff auf die Programme wie Avira Malewarebytes,ESET,Super Antispiware und habe auch gleich Scans durchgeführt.Bei ESET ist der Rechner wieder abgestürzt und ESET hatte schon 7 Trojan Funde.Beim 2 ESET Scan lief es gut aber das Programm hat nichts mehr gefunden.Dan sollte ich viel. noch erwähnen das alles total daneben lief auf mein Rechner es haben sich nicht die internet Seiten geöffnet die ich öffnen wollte sonder irgenwelche anderen. Seiten. Außerdem ist Super Antispiware und Avira vom deskop verschwunden ohne das ich was getan habe. Und bei antispiware sind die Sachen auch nicht mehr in der Qurantäne die ich vor den Deskop verschwinden hatte. Ich sende mal die Logs und von Avira 2 Code:
ATTFilter Malwarebytes Anti-Malware 1.60.0.1800 www.malwarebytes.org Datenbank Version: v2012.01.26.06 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 home :: HOME-DE583A83ED [Administrator] 26.01.2012 22:30:04 mbam-log-2012-01-26 (22-30-04).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 204377 Laufzeit: 24 Minute(n), 49 Sekunde(n) Infizierte Speicherprozesse: 1 C:\WINDOWS\temp\imidgx\setup.exe (Trojan.FakeMS) -> 1300 -> Löschen bei Neustart. Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 2 HKLM\SYSTEM\CurrentControlSet\Services\AMService (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 1 HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{9F95813B-2321-11E1-9B8B-806D6172696F} (Trojan.FakeMS) -> Daten: C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\svhcost.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 22 C:\WINDOWS\temp\imidgx\setup.exe (Trojan.FakeMS) -> Löschen bei Neustart. C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\svhcost.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{300FF6BB-8CEC-429F-8EB1-35A27128CD31}\RP69\A0066108.exe (Rogue.FakeHDD) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{300FF6BB-8CEC-429F-8EB1-35A27128CD31}\RP70\A0066271.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\tue0.9222238424727611.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\gigiti.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\tue0.1496825745190753.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\tue0.22661001146922943.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\tue0.23893908233579908.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\tue0.27615104322231265.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\tue0.27755999360686234.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\tue0.3948992485298467.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\tue0.40305363800203253.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\tue0.5053893880804791.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\tue0.6598566508465985.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\tue0.7846519951377907.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\tue0.8150649614042328.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\nyqocb\setup.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\rashas\setup.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\uyfweu\setup.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\_ex-08.exe (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\temp\_ex-89.exe (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-12 01:09:39
# local_time=2012-01-12 02:09:39 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 607922 607922 0 0
# compatibility_mode=8192 67108863 100 0 3867 3867 0 0
# scanned=20838
# found=0
# cleaned=0
# scan_time=1290
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-26 09:05:22
# local_time=2012-01-26 10:05:22 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 1801246 1801246 0 0
# compatibility_mode=8192 67108863 100 0 1197191 1197191 0 0
# scanned=29708
# found=0
# cleaned=0
# scan_time=2909
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-26 11:23:21
# local_time=2012-01-27 12:23:21 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 1852235 1852235 0 0
# compatibility_mode=8192 67108863 100 0 1248180 1248180 0 0
# scanned=34776
# found=1
# cleaned=0
# scan_time=3398
C:\WINDOWS\temp\jar_cache8512697496561855673.tmp Java/TrojanDownloader.Agent.NDJ trojan (unable to clean) 00000000000000000000000000000000 I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-27 11:04:06
# local_time=2012-01-28 12:04:06 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 1937514 1937514 0 0
# compatibility_mode=8192 67108863 100 0 1333459 1333459 0 0
# scanned=35300
# found=7
# cleaned=0
# scan_time=3386
C:\Dokumente und Einstellungen\Administrator.HOME-DE583A83ED\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\6dfed6bd-2a45a69d Variante von Win32/Kryptik.ZOH Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Administrator.HOME-DE583A83ED\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe Variante von Win32/Kryptik.ZOH Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Administrator.HOME-DE583A83ED\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9ehayigg.default\Cache\E\FA\A2EAAd01 JS/Kryptik.GL.Gen Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe Variante von Win32/Kryptik.ZOH Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\edbqsqfd.exe Variante von Win32/Kryptik.ZOH Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\jar_cache4576071050147885447.tmp Java/TrojanDownloader.Agent.NDJ Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{300FF6BB-8CEC-429F-8EB1-35A27128CD31}\RP73\A0071538.exe Variante von Win32/Kryptik.ZOH Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-27 11:51:16
# local_time=2012-01-28 12:51:16 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 1941133 1941133 0 0
# compatibility_mode=8192 67108863 100 0 1337078 1337078 0 0
# scanned=35306
# found=7
# cleaned=7
# scan_time=2598
C:\Dokumente und Einstellungen\Administrator.HOME-DE583A83ED\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\6dfed6bd-2a45a69d Variante von Win32/Kryptik.ZOH Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Administrator.HOME-DE583A83ED\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe Variante von Win32/Kryptik.ZOH Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Administrator.HOME-DE583A83ED\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9ehayigg.default\Cache\E\FA\A2EAAd01 JS/Kryptik.GL.Gen Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe Variante von Win32/Kryptik.ZOH Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\edbqsqfd.exe Variante von Win32/Kryptik.ZOH Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\jar_cache4576071050147885447.tmp Java/TrojanDownloader.Agent.NDJ Trojaner (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{300FF6BB-8CEC-429F-8EB1-35A27128CD31}\RP73\A0071538.exe Variante von Win32/Kryptik.ZOH Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-28 02:38:07
# local_time=2012-01-28 03:38:07 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 1993161 1993161 0 0
# compatibility_mode=8192 67108863 100 0 1389106 1389106 0 0
# scanned=35709
# found=0
# cleaned=0
# scan_time=3759
Code:
ATTFilter SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 01/28/2012 at 06:27 PM
Application Version : 5.0.1142
Core Rules Database Version : 8178
Trace Rules Database Version: 5990
Scan type : Complete Scan
Total Scan Time : 01:38:53
Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator
Memory items scanned : 435
Memory threats detected : 0
Registry items scanned : 21246
Registry threats detected : 0
File items scanned : 36854
File threats detected : 4
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\home\Cookies\CM1WPMOP.txt [ /tracking.quisma.com ]
C:\Dokumente und Einstellungen\home\Cookies\6Q6GNIYA.txt [ /serving-sys.com ]
C:\Dokumente und Einstellungen\home\Cookies\NP25F7V3.txt [ /adtech.de ]
C:\Dokumente und Einstellungen\home\Cookies\SMHA2585.txt [ /revsci.net ]
Code:
ATTFilter Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 26. Januar 2012 17:49
Es wird nach 3276698 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HOME-DE583A83ED
Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 15.12.2011 13:59:39
AVSCAN.DLL : 12.1.0.17 65744 Bytes 15.12.2011 13:59:56
LUKE.DLL : 12.1.0.17 68304 Bytes 15.12.2011 13:59:47
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 15.12.2011 13:59:39
AVREG.DLL : 12.1.0.27 227536 Bytes 15.12.2011 13:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:04:57
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 13:04:59
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 13:04:59
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 13:04:59
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 13:04:59
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 13:04:59
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 13:04:59
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 13:04:59
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 13:04:59
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 13:04:59
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 13:04:59
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 13:05:08
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 13:05:13
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 13:05:19
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 13:05:26
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 13:05:31
VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 13:05:35
VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 12:57:25
VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 19:15:08
VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 19:14:56
VBASE022.VDF : 7.11.21.13 135168 Bytes 13.01.2012 14:55:02
VBASE023.VDF : 7.11.21.40 163840 Bytes 16.01.2012 10:27:17
VBASE024.VDF : 7.11.21.65 1001472 Bytes 17.01.2012 10:27:23
VBASE025.VDF : 7.11.21.98 487424 Bytes 19.01.2012 20:21:43
VBASE026.VDF : 7.11.21.156 1010688 Bytes 25.01.2012 20:21:59
VBASE027.VDF : 7.11.21.157 2048 Bytes 25.01.2012 20:21:59
VBASE028.VDF : 7.11.21.158 2048 Bytes 25.01.2012 20:21:59
VBASE029.VDF : 7.11.21.159 2048 Bytes 25.01.2012 20:21:59
VBASE030.VDF : 7.11.21.160 2048 Bytes 25.01.2012 20:21:59
VBASE031.VDF : 7.11.21.165 75776 Bytes 25.01.2012 20:22:00
Engineversion : 8.2.8.34
AEVDF.DLL : 8.1.2.2 106868 Bytes 15.12.2011 13:59:36
AESCRIPT.DLL : 8.1.4.1 434553 Bytes 21.01.2012 20:21:53
AESCN.DLL : 8.1.8.1 127348 Bytes 21.01.2012 20:21:52
AESBX.DLL : 8.2.4.5 434549 Bytes 15.12.2011 13:59:35
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.2.16.1 799094 Bytes 19.01.2012 10:27:27
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 05.01.2012 13:06:40
AEHEUR.DLL : 8.1.3.19 4309367 Bytes 21.01.2012 20:21:52
AEHELP.DLL : 8.1.19.0 254327 Bytes 21.01.2012 20:21:45
AEGEN.DLL : 8.1.5.17 405877 Bytes 15.12.2011 13:59:31
AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58
AECORE.DLL : 8.1.25.2 201079 Bytes 21.01.2012 20:21:45
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58
AVWINLL.DLL : 12.1.0.17 27344 Bytes 15.12.2011 13:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 15.12.2011 13:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 15.12.2011 13:59:38
AVARKT.DLL : 12.1.0.19 208848 Bytes 15.12.2011 13:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15.12.2011 13:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 15.12.2011 13:59:50
AVSMTP.DLL : 12.1.0.17 62928 Bytes 15.12.2011 13:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 15.12.2011 13:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 15.12.2011 13:59:58
RCTEXT.DLL : 12.1.0.16 98512 Bytes 15.12.2011 13:59:59
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4f218084\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Donnerstag, 26. Januar 2012 17:49
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'attrib.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'attrib.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'attrib.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'K278XojZ2HLEVB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NIHardwareService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'setup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SASCORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'njxvRaoskC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\WINDOWS\temp\hufofb\setup.exe'
C:\WINDOWS\temp\hufofb\setup.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dea25ab.qua' verschoben!
Ende des Suchlaufs: Donnerstag, 26. Januar 2012 17:49
Benötigte Zeit: 00:39 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
36 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
35 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 27. Januar 2012 10:14
Es wird nach 3317660 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : home
Computername : HOME-DE583A83ED
Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 15.12.2011 13:59:39
AVSCAN.DLL : 12.1.0.17 65744 Bytes 15.12.2011 13:59:56
LUKE.DLL : 12.1.0.17 68304 Bytes 15.12.2011 13:59:47
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 15.12.2011 13:59:39
AVREG.DLL : 12.1.0.27 227536 Bytes 15.12.2011 13:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:04:57
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 13:04:59
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 13:04:59
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 13:04:59
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 13:04:59
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 13:04:59
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 13:04:59
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 13:04:59
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 13:04:59
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 13:04:59
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 13:04:59
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 13:05:08
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 13:05:13
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 13:05:19
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 13:05:26
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 13:05:31
VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 13:05:35
VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 12:57:25
VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 19:15:08
VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 19:14:56
VBASE022.VDF : 7.11.21.13 135168 Bytes 13.01.2012 14:55:02
VBASE023.VDF : 7.11.21.40 163840 Bytes 16.01.2012 10:27:17
VBASE024.VDF : 7.11.21.65 1001472 Bytes 17.01.2012 10:27:23
VBASE025.VDF : 7.11.21.98 487424 Bytes 19.01.2012 20:21:43
VBASE026.VDF : 7.11.21.156 1010688 Bytes 25.01.2012 20:21:59
VBASE027.VDF : 7.11.21.176 600576 Bytes 26.01.2012 20:23:58
VBASE028.VDF : 7.11.21.177 2048 Bytes 26.01.2012 20:23:58
VBASE029.VDF : 7.11.21.178 2048 Bytes 26.01.2012 20:23:58
VBASE030.VDF : 7.11.21.179 2048 Bytes 26.01.2012 20:23:58
VBASE031.VDF : 7.11.21.185 59904 Bytes 26.01.2012 20:23:59
Engineversion : 8.2.8.34
AEVDF.DLL : 8.1.2.2 106868 Bytes 15.12.2011 13:59:36
AESCRIPT.DLL : 8.1.4.1 434553 Bytes 21.01.2012 20:21:53
AESCN.DLL : 8.1.8.1 127348 Bytes 21.01.2012 20:21:52
AESBX.DLL : 8.2.4.5 434549 Bytes 15.12.2011 13:59:35
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.2.16.1 799094 Bytes 19.01.2012 10:27:27
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 05.01.2012 13:06:40
AEHEUR.DLL : 8.1.3.19 4309367 Bytes 21.01.2012 20:21:52
AEHELP.DLL : 8.1.19.0 254327 Bytes 21.01.2012 20:21:45
AEGEN.DLL : 8.1.5.17 405877 Bytes 15.12.2011 13:59:31
AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58
AECORE.DLL : 8.1.25.2 201079 Bytes 21.01.2012 20:21:45
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58
AVWINLL.DLL : 12.1.0.17 27344 Bytes 15.12.2011 13:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 15.12.2011 13:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 15.12.2011 13:59:38
AVARKT.DLL : 12.1.0.19 208848 Bytes 15.12.2011 13:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15.12.2011 13:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 15.12.2011 13:59:50
AVSMTP.DLL : 12.1.0.17 62928 Bytes 15.12.2011 13:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 15.12.2011 13:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 15.12.2011 13:59:58
RCTEXT.DLL : 12.1.0.16 98512 Bytes 15.12.2011 13:59:59
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Freitag, 27. Januar 2012 10:14
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NIHardwareService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SASCORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1301' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\WINDOWS\temp\jar_cache8512697496561855673.tmp
[0] Archivtyp: ZIP
--> arjwtjssnfugspuf/alhkwsqjchugqgeuthjat.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Tange.C
--> arjwtjssnfugspuf/cmhwavamlanwwqpngdrav.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Tange.B
--> arjwtjssnfugspuf/dqjqfacusrddtpfycjakl.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Tange.H
--> arjwtjssnfugspuf/pycyqpltpvpjdrqllfsgg.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.BQ
--> arjwtjssnfugspuf/sksmwdfspvemucaqnjkvu.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Tange.I
Beginne mit der Suche in 'D:\'
Beginne mit der Desinfektion:
C:\WINDOWS\temp\jar_cache8512697496561855673.tmp
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Tange.I
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cb4dea4.qua' verschoben!
Ende des Suchlaufs: Freitag, 27. Januar 2012 11:21
Benötigte Zeit: 42:07 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
4512 Verzeichnisse wurden überprüft
154574 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
154569 Dateien ohne Befall
757 Archive wurden durchsucht
0 Warnungen
1 Hinweise
|
|
28.01.2012, 20:27
| #25 |
| |  Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen? Achso viel sollte ich noch erwähnen das Malewarebytes sich nicht mehr benutzen lässt und immer wenn ich auf Scannen gehe kommt die error meldung "Run - time 13 Type mismatch".Und wenn ich auf up date gehe steht dort "ein Fehler ist aufgetreten bitte geben Sie das Problm weiter...Programm-ERROR UPDATING(1812,0Confic missing corupt please rainstall". Viel. hilft das ja weiter soll ich antimalewarebytes deinstalieren und neu instalieren ? gruß senor d |
|
29.01.2012, 18:53
| #26 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen? Also ich weiß nicht was du da gemacht hast, das System war lt. Logs wieder unauffällig und Malwarebytes hat auch ncihts mehr gefunden und auf einmal hast du da wieder eine handfeste Infektion im System  Ich versteh das nicht, hast du irgendeinen Mist ohne Absprache ausgeführt? Anders kann ich mri das nicht erklären
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen? |
| .dll, administrator, avg, avira, checkliste, dateisystem, datensicherung, desktop, dllhost.exe, einstellungen, entfernen, heuristiks/extra, heuristiks/shuriken, internet, löschen, modul, nt.dll, programme, prozesse, prozessor, prüfen, registry, scan, services.exe, software, svchost.exe, system, verweise, windows, windows xp, winlogon.exe, wuauclt.exe |
Linear-Darstellung
