Mehere Trojaner und Malware gefunden

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 27. Februar 2012  00:47

Es wird nach 3499677 Virenstämmen gesucht.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : Michael
Computername   : PLATZ0

Versionsinformationen:
BUILD.DAT      : 9.0.0.429     21701 Bytes  06.10.2010 09:59:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  20.11.2009 11:00:22
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 11:00:22
VBASE001.VDF   : 7.11.0.0   13342208 Bytes  14.12.2010 18:58:08
VBASE002.VDF   : 7.11.19.170  14374912 Bytes  20.12.2011 23:35:16
VBASE003.VDF   : 7.11.21.238   4472832 Bytes  01.02.2012 14:13:19
VBASE004.VDF   : 7.11.21.239      2048 Bytes  01.02.2012 14:14:22
VBASE005.VDF   : 7.11.21.240      2048 Bytes  01.02.2012 14:14:46
VBASE006.VDF   : 7.11.21.241      2048 Bytes  01.02.2012 14:14:47
VBASE007.VDF   : 7.11.21.242      2048 Bytes  01.02.2012 14:14:47
VBASE008.VDF   : 7.11.21.243      2048 Bytes  01.02.2012 14:14:48
VBASE009.VDF   : 7.11.21.244      2048 Bytes  01.02.2012 14:14:48
VBASE010.VDF   : 7.11.21.245      2048 Bytes  01.02.2012 14:14:50
VBASE011.VDF   : 7.11.21.246      2048 Bytes  01.02.2012 14:14:50
VBASE012.VDF   : 7.11.21.247      2048 Bytes  01.02.2012 14:14:50
VBASE013.VDF   : 7.11.22.33   1486848 Bytes  03.02.2012 14:16:34
VBASE014.VDF   : 7.11.22.56    687616 Bytes  03.02.2012 14:13:02
VBASE015.VDF   : 7.11.22.92    178176 Bytes  06.02.2012 13:28:18
VBASE016.VDF   : 7.11.22.154    144896 Bytes  08.02.2012 13:29:03
VBASE017.VDF   : 7.11.22.220    183296 Bytes  13.02.2012 21:41:00
VBASE018.VDF   : 7.11.23.34    202752 Bytes  15.02.2012 08:16:44
VBASE019.VDF   : 7.11.23.98    126464 Bytes  17.02.2012 08:46:15
VBASE020.VDF   : 7.11.23.150    148480 Bytes  20.02.2012 08:51:21
VBASE021.VDF   : 7.11.23.224    172544 Bytes  23.02.2012 08:49:42
VBASE022.VDF   : 7.11.23.225      2048 Bytes  23.02.2012 08:49:42
VBASE023.VDF   : 7.11.23.226      2048 Bytes  23.02.2012 08:49:49
VBASE024.VDF   : 7.11.23.227      2048 Bytes  23.02.2012 08:49:49
VBASE025.VDF   : 7.11.23.228      2048 Bytes  23.02.2012 08:49:49
VBASE026.VDF   : 7.11.23.229      2048 Bytes  23.02.2012 08:49:50
VBASE027.VDF   : 7.11.23.230      2048 Bytes  23.02.2012 08:49:50
VBASE028.VDF   : 7.11.23.231      2048 Bytes  23.02.2012 08:49:50
VBASE029.VDF   : 7.11.23.232      2048 Bytes  23.02.2012 08:49:51
VBASE030.VDF   : 7.11.23.233      2048 Bytes  23.02.2012 08:49:51
VBASE031.VDF   : 7.11.24.8     96768 Bytes  26.02.2012 23:37:34
Engineversion  : 8.2.10.8 
AEVDF.DLL      : 8.1.2.2      106868 Bytes  25.10.2011 14:37:02
AESCRIPT.DLL   : 8.1.4.7      442746 Bytes  24.02.2012 08:50:50
AESCN.DLL      : 8.1.8.2      131444 Bytes  27.01.2012 17:10:19
AESBX.DLL      : 8.2.4.5      434549 Bytes  01.12.2011 17:46:17
AERDL.DLL      : 8.1.9.15     639348 Bytes  09.09.2011 10:57:26
AEPACK.DLL     : 8.2.16.3     799094 Bytes  10.02.2012 13:40:13
AEOFFICE.DLL   : 8.1.2.25     201084 Bytes  30.12.2011 09:27:22
AEHEUR.DLL     : 8.1.4.0     4436342 Bytes  24.02.2012 08:50:43
AEHELP.DLL     : 8.1.19.0     254327 Bytes  20.01.2012 13:18:29
AEGEN.DLL      : 8.1.5.21     409971 Bytes  03.02.2012 14:18:59
AEEXP.DLL      : 8.1.0.23      70005 Bytes  24.02.2012 08:50:51
AEEMU.DLL      : 8.1.3.0      393589 Bytes  22.11.2010 17:15:47
AECORE.DLL     : 8.1.25.4     201079 Bytes  13.02.2012 21:41:06
AEBB.DLL       : 8.1.1.0       53618 Bytes  24.04.2010 09:36:28
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  08.09.2009 18:41:45
AVREP.DLL      : 10.0.0.9     174120 Bytes  05.03.2011 13:15:12
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  20.11.2009 11:00:22

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+SPR,

Beginn des Suchlaufs: Montag, 27. Februar 2012  00:47

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '107457' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PcScnSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tmproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TmPfw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Tmntsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rfx-server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PcCtlCom.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TMAS_OEMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OpWareSE4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pccguide.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '37' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '66' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Lokaler Datenträger>
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\27be6c3d-10bef566
  [0] Archivtyp: ZIP
    --> apps/MyApplet.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544
    --> apps/MyWorker.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Vedenbi.Gen
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\0.028547357837511278.exe
    [FUND]      Ist das Trojanische Pferd TR/Ransom.EJ.28
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\jar_cache49088.tmp
  [0] Archivtyp: ZIP
    --> Applet.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2011-3544.BU.1

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\27be6c3d-10bef566
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4facd45c.qua' verschoben!
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\0.028547357837511278.exe
    [FUND]      Ist das Trojanische Pferd TR/Ransom.EJ.28
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f7ad453.qua' verschoben!
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\jar_cache49088.tmp
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fbcd486.qua' verschoben!


Ende des Suchlaufs: Montag, 27. Februar 2012  01:53
Benötigte Zeit:  1:03:01 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   6497 Verzeichnisse wurden überprüft
 289279 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      3 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 289274 Dateien ohne Befall
   2802 Archive wurden durchsucht
      1 Warnungen
      4 Hinweise
 107457 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.26.07

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 7.0.5730.11
Michael :: PLATZ0 [Administrator]

Schutz: Aktiviert

27.02.2012 10:46:36
mbam-log-2012-02-27 (10-46-36).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 297651
Laufzeit: 1 Stunde(n), 35 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 4
HKCR\CLSID\{DB3C772E-16F4-40e7-AAF2-5DEBA1354917} (Password.Stealer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DB3C772E-16F4-40E7-AAF2-5DEBA1354917} (Password.Stealer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB3C772E-16F4-40E7-AAF2-5DEBA1354917} (Password.Stealer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 8
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|hp32_nword (Trojan.Agent) -> Daten: C:\Dokumente und Einstellungen\Michael\hp32_nword.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\MSN|BN (Trojan.Ambler) -> Daten: F^B_NM -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\MSN|gd (Trojan.Ambler) -> Daten: lSU$T  %R:&!Q#:#'r :VVQ%:"SRUV&$"#.& j -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\MSN|D1 (Trojan.Ambler) -> Daten:  ! -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\MSN|D2 (Trojan.Ambler) -> Daten: !  -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\MSN|D3 (Trojan.Ambler) -> Daten: !!# -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\MSN|pr (Trojan.Ambler) -> Daten: rte`8rzf8}{p{:r{ -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Internet Connection Wizard Setup Tool (Trojan.Downloader) -> Daten: C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 10
c:\system volume information\_restore{5542117f-8e15-42fa-ac38-3e6d8c573666}\rp1069\a0065692.exe (Backdoor.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\c2d.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\ck.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\idm.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\jc.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\q1.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Michael\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\AppPatch\WG_List.dat (Trojan.Apppatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=7.00.6000.16827 (vista_gdr.090226-1506)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=3b398bb2e6e68748a50dbbb8695b9ffa
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-27 12:51:20
# local_time=2012-02-27 01:51:20 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=512 16777179 100 0 148258769 148258769 0 0
# compatibility_mode=1797 16775141 100 100 47237 105858235 39824 0
# compatibility_mode=4096 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 3840 3840 0 0
# scanned=120074
# found=1
# cleaned=0
# scan_time=4152
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Eigene Bilder\ben\01_09_2010_kl-ktn\stickBackup21012011\Ablage\Ablage\Neuer Ordner\Setup_FreeFlvConverter52.exe	Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I
         

 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.27.01

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 7.0.5730.11
Michael :: PLATZ0 [Administrator]

Schutz: Aktiviert

27.02.2012 14:07:17
mbam-log-2012-02-27 (14-07-17).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 297907
Laufzeit: 1 Stunde(n), 10 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)