| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Wieder Phorpiex Wurm, aber auch Trojaner und anderes...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.01.2012, 18:12
| #1 |
 |  Wieder Phorpiex Wurm, aber auch Trojaner und anderes... Hallo zusammen! Schädlingsbekämpfung die 2.: Dieses Mal ist es der Rechner des Sohnes meiner Freundin. Da es bei ihrem Problem hier so gut geklappt hat, soll ich mich nun um diesen kümmern. Eigentlich wäre ja die umgekehrte Reihenfolge sinnvoller gewesen, da von diesem Rechner die Infektion verschickt wurde. Nun ja, sie brauchte ihren aber um damit zu arbeiten und daher hatte das Vorrang. Hier von diesem Rechner aus wird auch kein Online-Banking oder ähnliches gemacht, er dient eigentlich nur dazu um zu zocken und zu surfen auf facebook, youtube, ... Jetzt aber zum Problem: Wohl ebenfalls über einen Link auf facebook hatte der Junge auf einmal den besagten Wurm auf dem Rechner, der dann auch weiter verschickt wurde. Als er es gemerkt hat, hat er natürlich schnell alle gewarnt. Für die Mama kam die Warnung allerdings zu spät...  Hier mal die Avira Logs: 1. Code:
ATTFilter Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 26. Dezember 2011 15:25
Es wird nach 2970283 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ADMIN-PC
Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 19.10.2011 15:55:49
AVSCAN.DLL : 12.1.0.17 65744 Bytes 19.10.2011 15:56:10
LUKE.DLL : 12.1.0.17 68304 Bytes 19.10.2011 15:55:59
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 08.12.2011 19:05:36
AVREG.DLL : 12.1.0.27 227536 Bytes 12.12.2011 18:45:10
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 16:22:23
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 16:22:23
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 16:22:23
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 16:22:23
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 16:22:23
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 16:22:23
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 16:22:23
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 16:22:23
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 16:22:23
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 16:22:23
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 16:22:23
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 16:23:09
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 08:39:14
VBASE015.VDF : 7.11.20.0 2048 Bytes 24.12.2011 08:39:14
VBASE016.VDF : 7.11.20.1 2048 Bytes 24.12.2011 08:39:14
VBASE017.VDF : 7.11.20.2 2048 Bytes 24.12.2011 08:39:14
VBASE018.VDF : 7.11.20.3 2048 Bytes 24.12.2011 08:39:14
VBASE019.VDF : 7.11.20.4 2048 Bytes 24.12.2011 08:39:14
VBASE020.VDF : 7.11.20.5 2048 Bytes 24.12.2011 08:39:14
VBASE021.VDF : 7.11.20.6 2048 Bytes 24.12.2011 08:39:14
VBASE022.VDF : 7.11.20.7 2048 Bytes 24.12.2011 08:39:14
VBASE023.VDF : 7.11.20.8 2048 Bytes 24.12.2011 08:39:14
VBASE024.VDF : 7.11.20.9 2048 Bytes 24.12.2011 08:39:14
VBASE025.VDF : 7.11.20.10 2048 Bytes 24.12.2011 08:39:14
VBASE026.VDF : 7.11.20.11 2048 Bytes 24.12.2011 08:39:14
VBASE027.VDF : 7.11.20.12 2048 Bytes 24.12.2011 08:39:14
VBASE028.VDF : 7.11.20.13 2048 Bytes 24.12.2011 08:39:14
VBASE029.VDF : 7.11.20.14 2048 Bytes 24.12.2011 08:39:14
VBASE030.VDF : 7.11.20.15 2048 Bytes 24.12.2011 08:39:14
VBASE031.VDF : 7.11.20.18 81920 Bytes 25.12.2011 09:00:59
Engineversion : 8.2.8.8
AEVDF.DLL : 8.1.2.2 106868 Bytes 28.11.2011 19:06:46
AESCRIPT.DLL : 8.1.3.92 495996 Bytes 17.12.2011 13:32:46
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 22:46:02
AESBX.DLL : 8.2.4.5 434549 Bytes 02.12.2011 21:18:56
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.15.1 770423 Bytes 13.12.2011 18:45:10
AEOFFICE.DLL : 8.1.2.24 201084 Bytes 17.12.2011 13:32:46
AEHEUR.DLL : 8.1.3.8 4231543 Bytes 17.12.2011 13:32:46
AEHELP.DLL : 8.1.18.0 254327 Bytes 28.11.2011 19:05:03
AEGEN.DLL : 8.1.5.17 405877 Bytes 08.12.2011 18:59:54
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.24.2 201080 Bytes 17.12.2011 13:32:41
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 15:55:51
AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 15:55:48
AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 15:55:49
AVARKT.DLL : 12.1.0.19 208848 Bytes 08.12.2011 19:05:27
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 15:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 15:56:03
AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 15:55:50
NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 15:55:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 15:56:14
RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 15:56:14
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4ef88301\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Montag, 26. Dezember 2011 15:25
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-743604131-4176381988-44029807-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Manager> wurde erfolgreich entfernt.
C:\Users\admin\M-1-25-5432-6437-5685\winmgr.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.4
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-743604131-4176381988-44029807-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Manager> wurde erfolgreich repariert.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcMediaService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoViewer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '1153096.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winmgr.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Users\admin\M-1-25-5432-6437-5685\winmgr.exe>
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.4
[WARNUNG] Die Datei wurde ignoriert.
Durchsuche Prozess 'ArcCon.ac' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'datamngrUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'xfire.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgwdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgfws.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Ende des Suchlaufs: Montag, 26. Dezember 2011 15:27
Benötigte Zeit: 01:15 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
1552 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1550 Dateien ohne Befall
3 Archive wurden durchsucht
2 Warnungen
1 Hinweise
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 26. Dezember 2011 15:26
Es wird nach 2970283 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ADMIN-PC
Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 19.10.2011 15:55:49
AVSCAN.DLL : 12.1.0.17 65744 Bytes 19.10.2011 15:56:10
LUKE.DLL : 12.1.0.17 68304 Bytes 19.10.2011 15:55:59
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 08.12.2011 19:05:36
AVREG.DLL : 12.1.0.27 227536 Bytes 12.12.2011 18:45:10
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 16:22:23
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 16:22:23
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 16:22:23
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 16:22:23
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 16:22:23
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 16:22:23
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 16:22:23
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 16:22:23
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 16:22:23
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 16:22:23
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 16:22:23
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 16:23:09
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 08:39:14
VBASE015.VDF : 7.11.20.0 2048 Bytes 24.12.2011 08:39:14
VBASE016.VDF : 7.11.20.1 2048 Bytes 24.12.2011 08:39:14
VBASE017.VDF : 7.11.20.2 2048 Bytes 24.12.2011 08:39:14
VBASE018.VDF : 7.11.20.3 2048 Bytes 24.12.2011 08:39:14
VBASE019.VDF : 7.11.20.4 2048 Bytes 24.12.2011 08:39:14
VBASE020.VDF : 7.11.20.5 2048 Bytes 24.12.2011 08:39:14
VBASE021.VDF : 7.11.20.6 2048 Bytes 24.12.2011 08:39:14
VBASE022.VDF : 7.11.20.7 2048 Bytes 24.12.2011 08:39:14
VBASE023.VDF : 7.11.20.8 2048 Bytes 24.12.2011 08:39:14
VBASE024.VDF : 7.11.20.9 2048 Bytes 24.12.2011 08:39:14
VBASE025.VDF : 7.11.20.10 2048 Bytes 24.12.2011 08:39:14
VBASE026.VDF : 7.11.20.11 2048 Bytes 24.12.2011 08:39:14
VBASE027.VDF : 7.11.20.12 2048 Bytes 24.12.2011 08:39:14
VBASE028.VDF : 7.11.20.13 2048 Bytes 24.12.2011 08:39:14
VBASE029.VDF : 7.11.20.14 2048 Bytes 24.12.2011 08:39:14
VBASE030.VDF : 7.11.20.15 2048 Bytes 24.12.2011 08:39:14
VBASE031.VDF : 7.11.20.18 81920 Bytes 25.12.2011 09:00:59
Engineversion : 8.2.8.8
AEVDF.DLL : 8.1.2.2 106868 Bytes 28.11.2011 19:06:46
AESCRIPT.DLL : 8.1.3.92 495996 Bytes 17.12.2011 13:32:46
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 22:46:02
AESBX.DLL : 8.2.4.5 434549 Bytes 02.12.2011 21:18:56
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.15.1 770423 Bytes 13.12.2011 18:45:10
AEOFFICE.DLL : 8.1.2.24 201084 Bytes 17.12.2011 13:32:46
AEHEUR.DLL : 8.1.3.8 4231543 Bytes 17.12.2011 13:32:46
AEHELP.DLL : 8.1.18.0 254327 Bytes 28.11.2011 19:05:03
AEGEN.DLL : 8.1.5.17 405877 Bytes 08.12.2011 18:59:54
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.24.2 201080 Bytes 17.12.2011 13:32:41
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 15:55:51
AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 15:55:48
AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 15:55:49
AVARKT.DLL : 12.1.0.19 208848 Bytes 08.12.2011 19:05:27
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 15:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 15:56:03
AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 15:55:50
NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 15:55:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 15:56:14
RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 15:56:14
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4ef88301\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Montag, 26. Dezember 2011 15:26
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcMediaService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoViewer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '1153096.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winmgr.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Users\admin\M-1-25-5432-6437-5685\winmgr.exe>
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.4
[HINWEIS] Prozess 'winmgr.exe' wurde beendet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aa72843.qua' verschoben!
Durchsuche Prozess 'ArcCon.ac' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'datamngrUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'xfire.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgwdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgfws.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\admin\M-1-25-5432-6437-5685\winmgr.exe'
Der zu durchsuchende Pfad C:\Users\admin\M-1-25-5432-6437-5685\winmgr.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.
Ende des Suchlaufs: Montag, 26. Dezember 2011 15:27
Benötigte Zeit: 01:03 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
1551 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1550 Dateien ohne Befall
3 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 28. Dezember 2011 23:04
Es wird nach 2970774 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ADMIN-PC
Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 19.10.2011 15:55:49
AVSCAN.DLL : 12.1.0.17 65744 Bytes 19.10.2011 15:56:10
LUKE.DLL : 12.1.0.17 68304 Bytes 19.10.2011 15:55:59
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 08.12.2011 19:05:36
AVREG.DLL : 12.1.0.27 227536 Bytes 12.12.2011 18:45:10
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 16:22:23
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 16:22:23
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 16:22:23
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 16:22:23
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 16:22:23
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 16:22:23
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 16:22:23
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 16:22:23
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 16:22:23
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 16:22:23
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 16:22:23
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 16:23:09
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 08:39:14
VBASE015.VDF : 7.11.20.0 2048 Bytes 24.12.2011 08:39:14
VBASE016.VDF : 7.11.20.1 2048 Bytes 24.12.2011 08:39:14
VBASE017.VDF : 7.11.20.2 2048 Bytes 24.12.2011 08:39:14
VBASE018.VDF : 7.11.20.3 2048 Bytes 24.12.2011 08:39:14
VBASE019.VDF : 7.11.20.4 2048 Bytes 24.12.2011 08:39:14
VBASE020.VDF : 7.11.20.5 2048 Bytes 24.12.2011 08:39:14
VBASE021.VDF : 7.11.20.6 2048 Bytes 24.12.2011 08:39:14
VBASE022.VDF : 7.11.20.7 2048 Bytes 24.12.2011 08:39:14
VBASE023.VDF : 7.11.20.8 2048 Bytes 24.12.2011 08:39:14
VBASE024.VDF : 7.11.20.9 2048 Bytes 24.12.2011 08:39:14
VBASE025.VDF : 7.11.20.10 2048 Bytes 24.12.2011 08:39:14
VBASE026.VDF : 7.11.20.11 2048 Bytes 24.12.2011 08:39:14
VBASE027.VDF : 7.11.20.12 2048 Bytes 24.12.2011 08:39:14
VBASE028.VDF : 7.11.20.13 2048 Bytes 24.12.2011 08:39:14
VBASE029.VDF : 7.11.20.14 2048 Bytes 24.12.2011 08:39:14
VBASE030.VDF : 7.11.20.15 2048 Bytes 24.12.2011 08:39:14
VBASE031.VDF : 7.11.20.22 87040 Bytes 27.12.2011 09:00:09
Engineversion : 8.2.8.8
AEVDF.DLL : 8.1.2.2 106868 Bytes 28.11.2011 19:06:46
AESCRIPT.DLL : 8.1.3.92 495996 Bytes 17.12.2011 13:32:46
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 22:46:02
AESBX.DLL : 8.2.4.5 434549 Bytes 02.12.2011 21:18:56
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.15.1 770423 Bytes 13.12.2011 18:45:10
AEOFFICE.DLL : 8.1.2.24 201084 Bytes 17.12.2011 13:32:46
AEHEUR.DLL : 8.1.3.8 4231543 Bytes 17.12.2011 13:32:46
AEHELP.DLL : 8.1.18.0 254327 Bytes 28.11.2011 19:05:03
AEGEN.DLL : 8.1.5.17 405877 Bytes 08.12.2011 18:59:54
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.24.2 201080 Bytes 17.12.2011 13:32:41
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 15:55:51
AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 15:55:48
AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 15:55:49
AVARKT.DLL : 12.1.0.19 208848 Bytes 08.12.2011 19:05:27
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 15:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 15:56:03
AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 15:55:50
NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 15:55:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 15:56:14
RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 15:56:14
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Mittwoch, 28. Dezember 2011 23:04
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\Tcpip\Parameters\Interfaces\{DCBBD73A-4F7D-439B-A73D-9FBF5D80E139}\NameServer
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'daemonu.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcCon.ac' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgtray.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'datamngrUI.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'xfire.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgwdsvc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgfws.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1102' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RH9NWW1L\b[1].exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.4
C:\Users\admin\AppData\Local\Temp\72247.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.4
C:\Users\admin\AppData\Local\Temp\87089.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.4
C:\Users\admin\AppData\Local\Temp\94407.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.4
C:\Users\admin\AppData\Local\Temp\97713.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.4
Beginne mit der Suche in 'E:\' <Volume>
Beginne mit der Desinfektion:
C:\Users\admin\AppData\Local\Temp\97713.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493a0818.qua' verschoben!
C:\Users\admin\AppData\Local\Temp\94407.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51b027bc.qua' verschoben!
C:\Users\admin\AppData\Local\Temp\87089.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '03eb7d57.qua' verschoben!
C:\Users\admin\AppData\Local\Temp\72247.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '65da3298.qua' verschoben!
C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RH9NWW1L\b[1].exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '205f1f8f.qua' verschoben!
Ende des Suchlaufs: Donnerstag, 29. Dezember 2011 00:25
Benötigte Zeit: 1:15:24 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
24804 Verzeichnisse wurden überprüft
570771 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
570766 Dateien ohne Befall
3299 Archive wurden durchsucht
0 Warnungen
6 Hinweise
511442 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden
Dann kam ich ins Spiel und hab mal etwas vorgearbeitet und Anti-Malwarebytes und den ESET Online Scanner laufen lassen... Hier zwei AMWB Logs (eins von vor ein paar Tagen und das andere frisch von heute): Code:
ATTFilter Malwarebytes Anti-Malware 1.60.0.1800 www.malwarebytes.org Datenbank Version: v2012.01.17.04 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 admin :: ADMIN-PC [Administrator] 17.01.2012 21:33:51 mbam-log-2012-01-17 (21-33-51).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 380713 Laufzeit: 48 Minute(n), 16 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 1 C:\Users\admin\M-1-25-5432-6437-5685 (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 1 C:\Users\admin\AppData\Local\Temp\1153096.exe (Trojan.MSIL) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes Anti-Malware 1.60.0.1800 www.malwarebytes.org Datenbank Version: v2012.01.22.02 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 admin :: ADMIN-PC [Administrator] 22.01.2012 15:19:51 mbam-log-2012-01-22 (15-19-51).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 383773 Laufzeit: 53 Minute(n), 51 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=3519e46a1fbe814dbde71e248098bd5c
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-21 09:22:08
# local_time=2012-01-21 10:22:08 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1024 16777215 100 0 7564103 7564103 0 0
# compatibility_mode=1792 16777215 100 0 4673935 4673935 0 0
# compatibility_mode=5893 16776573 100 94 3924 78806504 0 0
# compatibility_mode=8192 67108863 100 0 4349 4349 0 0
# scanned=178068
# found=9
# cleaned=0
# scan_time=4273
C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\IEBHO.dll a variant of Win32/Toolbar.SearchSuite application (unable to clean) 00000000000000000000000000000000 I
C:\Users\admin\AppData\Local\Temp\SetupDataMngr_Searchqu.exe a variant of Win32/Toolbar.SearchSuite application (unable to clean) 00000000000000000000000000000000 I
C:\Users\admin\AppData\Local\Temp\miaF4F8.tmp\data\OFFLINE\D038292B\DBD9B16A\Launcher.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\admin\AppData\Local\Temp\miaF4F8.tmp\data\OFFLINE\D038292B\DBD9B16A\rbmonitor.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\admin\AppData\Local\Temp\miaF4F8.tmp\data\OFFLINE\D038292B\DBD9B16A\rbnotifier.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\admin\AppData\Local\Temp\miaF4F8.tmp\data\OFFLINE\D038292B\DBD9B16A\rb_move_serial.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\admin\AppData\Local\Temp\miaF4F8.tmp\data\OFFLINE\D038292B\DBD9B16A\rb_ubm.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\admin\AppData\Local\Temp\miaF4F8.tmp\data\OFFLINE\D038292B\DBD9B16A\registrybooster.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\admin\Downloads\registrybooster.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
 Ich hoffe, ihr könnt etwas damit anfangen und helft mir weiter. Vielen Dank schonmal! Gruß Karsten |
| Themen zu Wieder Phorpiex Wurm, aber auch Trojaner und anderes... |
| .dll, administrator, avira, dateisystem, desktop, downloader, e-banking, escan, explorer, fehler, heuristiks/extra, heuristiks/shuriken, infiziert, internet, microsoft, modul, nt.dll, problem, programm, prozesse, registry, searchcore, software, surfen, temp, trojan.agent.ge, trojan.msil, trojaner, verweise, warnung, win32/toolbar.searchsuite, windows, winlogon, wurm |
Baum-Darstellung