TR/Crypt.XPACK.Gen2 Trojaner entdeckt - Umleitung auf Fremdseiten

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 7. Februar 2012  16:18

Es wird nach 3424370 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : INSOUND2

Versionsinformationen:
BUILD.DAT      : 10.2.0.704     35934 Bytes  28.09.2011 13:14:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  21.07.2011 10:08:11
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  21.07.2011 10:10:57
LUKE.DLL       : 10.3.0.5       45416 Bytes  21.07.2011 10:09:32
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 12:22:40
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  21.07.2011 10:08:11
AVREG.DLL      : 10.3.0.9       90472 Bytes  21.07.2011 10:08:05
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 10:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 05:52:59
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 09:04:00
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 08:52:26
VBASE004.VDF   : 7.11.21.239     2048 Bytes  01.02.2012 08:52:26
VBASE005.VDF   : 7.11.21.240     2048 Bytes  01.02.2012 08:52:26
VBASE006.VDF   : 7.11.21.241     2048 Bytes  01.02.2012 08:52:26
VBASE007.VDF   : 7.11.21.242     2048 Bytes  01.02.2012 08:52:27
VBASE008.VDF   : 7.11.21.243     2048 Bytes  01.02.2012 08:52:27
VBASE009.VDF   : 7.11.21.244     2048 Bytes  01.02.2012 08:52:27
VBASE010.VDF   : 7.11.21.245     2048 Bytes  01.02.2012 08:52:27
VBASE011.VDF   : 7.11.21.246     2048 Bytes  01.02.2012 08:52:27
VBASE012.VDF   : 7.11.21.247     2048 Bytes  01.02.2012 08:52:27
VBASE013.VDF   : 7.11.22.33   1486848 Bytes  03.02.2012 08:57:08
VBASE014.VDF   : 7.11.22.56    687616 Bytes  03.02.2012 08:57:19
VBASE015.VDF   : 7.11.22.57      2048 Bytes  03.02.2012 08:57:19
VBASE016.VDF   : 7.11.22.58      2048 Bytes  03.02.2012 08:57:19
VBASE017.VDF   : 7.11.22.59      2048 Bytes  03.02.2012 08:57:19
VBASE018.VDF   : 7.11.22.60      2048 Bytes  03.02.2012 08:57:19
VBASE019.VDF   : 7.11.22.61      2048 Bytes  03.02.2012 08:57:20
VBASE020.VDF   : 7.11.22.62      2048 Bytes  03.02.2012 08:57:20
VBASE021.VDF   : 7.11.22.63      2048 Bytes  03.02.2012 08:57:20
VBASE022.VDF   : 7.11.22.64      2048 Bytes  03.02.2012 08:57:20
VBASE023.VDF   : 7.11.22.65      2048 Bytes  03.02.2012 08:57:20
VBASE024.VDF   : 7.11.22.66      2048 Bytes  03.02.2012 08:57:20
VBASE025.VDF   : 7.11.22.67      2048 Bytes  03.02.2012 08:57:20
VBASE026.VDF   : 7.11.22.68      2048 Bytes  03.02.2012 08:57:20
VBASE027.VDF   : 7.11.22.69      2048 Bytes  03.02.2012 08:57:20
VBASE028.VDF   : 7.11.22.70      2048 Bytes  03.02.2012 08:57:20
VBASE029.VDF   : 7.11.22.71      2048 Bytes  03.02.2012 08:57:20
VBASE030.VDF   : 7.11.22.72      2048 Bytes  03.02.2012 08:57:20
VBASE031.VDF   : 7.11.22.82    113664 Bytes  05.02.2012 08:57:24
Engineversion  : 8.2.8.48  
AEVDF.DLL      : 8.1.2.2       106868 Bytes  27.10.2011 07:54:31
AESCRIPT.DLL   : 8.1.4.3       438649 Bytes  03.02.2012 08:53:57
AESCN.DLL      : 8.1.8.2       131444 Bytes  27.01.2012 08:56:19
AESBX.DLL      : 8.2.4.5       434549 Bytes  03.12.2011 08:54:07
AERDL.DLL      : 8.1.9.15      639348 Bytes  09.09.2011 07:59:58
AEPACK.DLL     : 8.2.16.2      799095 Bytes  27.01.2012 08:56:17
AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  30.12.2011 09:07:47
AEHEUR.DLL     : 8.1.3.24     4387190 Bytes  03.02.2012 08:53:50
AEHELP.DLL     : 8.1.19.0      254327 Bytes  21.01.2012 08:57:47
AEGEN.DLL      : 8.1.5.21      409971 Bytes  03.02.2012 08:52:44
AEEMU.DLL      : 8.1.3.0       393589 Bytes  21.04.2011 05:52:17
AECORE.DLL     : 8.1.25.3      201079 Bytes  27.01.2012 08:54:41
AEBB.DLL       : 8.1.1.0        53618 Bytes  21.04.2011 05:52:16
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  21.04.2011 05:52:39
AVPREF.DLL     : 10.0.3.2       44904 Bytes  21.07.2011 10:08:05
AVREP.DLL      : 10.0.0.10     174120 Bytes  21.07.2011 10:08:06
AVARKT.DLL     : 10.0.26.1     255336 Bytes  21.07.2011 10:07:41
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  21.07.2011 10:07:59
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  21.07.2011 13:12:30
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  21.04.2011 05:52:38
NETNT.DLL      : 10.0.0.0       11624 Bytes  21.04.2011 05:52:50
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  21.07.2011 10:11:03
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  21.07.2011 10:11:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_0205998a\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Dienstag, 7. Februar 2012  16:18

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpybotSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcIp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcAppFlt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NASvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\Insound\Anwendungsdaten\Ezcoxo\yhysho.exe'
C:\Dokumente und Einstellungen\Insound\Anwendungsdaten\Ezcoxo\yhysho.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Insound\Anwendungsdaten\Ezcoxo\yhysho.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
  [WARNUNG]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1659004503-606747145-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{11E98EC5-6566-7F5B-5B36-DC2BEBDF2DEC}> konnte nicht repariert werden.
  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ddbe5f1.qua' verschoben!


Ende des Suchlaufs: Dienstag, 7. Februar 2012  16:19
Benötigte Zeit: 00:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     42 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     41 Dateien ohne Befall
      0 Archive wurden durchsucht
      1 Warnungen
      1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
         

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.07.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Insound :: INSOUND2 [Administrator]

07.02.2012 16:23:11
mbam-log-2012-02-07 (16-23-11).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 174842
Laufzeit: 3 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Recycle.Bin (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Insound\Eigene Dateien\Downloads\eLC_Installation_Helper.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=77d36eb9ebc6d14fbc8e20fca94fbbab
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-07 04:07:46
# local_time=2012-02-07 05:07:46 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775125 100 93 288329 65160982 106829 0
# compatibility_mode=8192 67108863 100 0 3776 3776 0 0
# scanned=63308
# found=1
# cleaned=0
# scan_time=1750
C:\Dokumente und Einstellungen\Insound\Eigene Dateien\Downloads\SoftonicDownloader_fuer_freebie-notes.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I