Avira meldet EXP/2011-3544.BW.1 und JAVA/Dldr.OpenS.H

eey · 20.03.2012, 11:39

Hallo zusammen,

ich hatte mich vor kurzem schon einmal gemeldet, weil mein Desktop einen Java Virus hatte, welcher sich dann als Fehlalarm heraus gestellt hat.

Jetzt habe ich gestern nach 3 Wochen meinen Laptop wieder benutzt und Avira laufen lassen, und Avira hat direkt 8 Funde gemeldet mit EXP/2011-3544.BW.1 und JAVA/Dldr.OpenS.H. Dabei habe ich auf den Laptop auch erst vor kurzem Windows komplett neu aufgespielt und den Laptop seitdem auch kaum benutzt/ kaum Sachen installiert.

Laut Avira wurden 4 Dateien in Quarantäne verschoben (warum nicht alle acht?) und nach einem weiteren Suchlauf findet Avira nichts mehr.... Jetzt habe ich allerdings die gleiche Sorge wie bei meinem Desktop, ob es sich hierbei jetzt um einen Fehlalarm handelt oder nicht....

Sehr seltsam ist auch dass mein Avira die Log Files nicht auf dem Desktop speichern will da der Pfad angeblich nicht existiert.... Ich habe vor kurzem die Avira Werbung mit dieser Anleitung deaktiviert, kann das vielleicht damit zusammenhängen?

EDIT: Da sich der Link für die Anleitung nicht einfügen lässt, kopiere ich ihn mal direkt hier hin: hxxp://www.wintotal.de/tipparchiv/?id=1604

Ich verstehe ehrlich nicht ganz woher diese Viren kommen sollen, da der Rechner genau wie mein Desktop neu aufgesetzt wurde und ich eigentlich solche Probleme früher nicht hatte

Anbei sind sämtliche Logfiles.

Zuerst das Avira Log mit den 8 Funden:

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 19. März 2012  16:36

Es wird nach 3573772 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ***-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.898     41963 Bytes  31.01.2012 13:51:00
AVSCAN.EXE     : 12.1.0.20     492496 Bytes  31.01.2012 07:55:52
AVSCAN.DLL     : 12.1.0.18      65744 Bytes  31.01.2012 07:56:29
LUKE.DLL       : 12.1.0.19      68304 Bytes  31.01.2012 07:56:01
AVSCPLR.DLL    : 12.1.0.22     100048 Bytes  31.01.2012 07:55:52
AVREG.DLL      : 12.1.0.29     228048 Bytes  31.01.2012 07:55:51
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 10:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 07:56:15
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 07:56:21
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:01:14
VBASE004.VDF   : 7.11.21.239     2048 Bytes  01.02.2012 13:01:14
VBASE005.VDF   : 7.11.21.240     2048 Bytes  01.02.2012 13:01:14
VBASE006.VDF   : 7.11.21.241     2048 Bytes  01.02.2012 13:01:14
VBASE007.VDF   : 7.11.21.242     2048 Bytes  01.02.2012 13:01:14
VBASE008.VDF   : 7.11.21.243     2048 Bytes  01.02.2012 13:01:14
VBASE009.VDF   : 7.11.21.244     2048 Bytes  01.02.2012 13:01:14
VBASE010.VDF   : 7.11.21.245     2048 Bytes  01.02.2012 13:01:14
VBASE011.VDF   : 7.11.21.246     2048 Bytes  01.02.2012 13:01:15
VBASE012.VDF   : 7.11.21.247     2048 Bytes  01.02.2012 13:01:15
VBASE013.VDF   : 7.11.22.33   1486848 Bytes  03.02.2012 13:01:17
VBASE014.VDF   : 7.11.22.56    687616 Bytes  03.02.2012 13:01:18
VBASE015.VDF   : 7.11.22.92    178176 Bytes  06.02.2012 13:01:18
VBASE016.VDF   : 7.11.22.154   144896 Bytes  08.02.2012 13:01:19
VBASE017.VDF   : 7.11.22.220   183296 Bytes  13.02.2012 13:01:19
VBASE018.VDF   : 7.11.23.34    202752 Bytes  15.02.2012 13:01:19
VBASE019.VDF   : 7.11.23.98    126464 Bytes  17.02.2012 13:01:19
VBASE020.VDF   : 7.11.23.150   148480 Bytes  20.02.2012 13:01:20
VBASE021.VDF   : 7.11.23.224   172544 Bytes  23.02.2012 13:01:20
VBASE022.VDF   : 7.11.24.52    219648 Bytes  28.02.2012 13:01:20
VBASE023.VDF   : 7.11.24.152   165888 Bytes  05.03.2012 09:16:04
VBASE024.VDF   : 7.11.24.204   177664 Bytes  07.03.2012 09:16:05
VBASE025.VDF   : 7.11.25.30    245248 Bytes  12.03.2012 09:16:07
VBASE026.VDF   : 7.11.25.121   252416 Bytes  15.03.2012 09:16:12
VBASE027.VDF   : 7.11.25.122     2048 Bytes  15.03.2012 09:16:12
VBASE028.VDF   : 7.11.25.123     2048 Bytes  15.03.2012 09:16:12
VBASE029.VDF   : 7.11.25.124     2048 Bytes  15.03.2012 09:16:12
VBASE030.VDF   : 7.11.25.125     2048 Bytes  15.03.2012 09:16:12
VBASE031.VDF   : 7.11.25.156   131072 Bytes  19.03.2012 15:35:33
Engineversion  : 8.2.10.24 
AEVDF.DLL      : 8.1.2.2       106868 Bytes  31.01.2012 07:55:38
AESCRIPT.DLL   : 8.1.4.10      455035 Bytes  19.03.2012 09:16:37
AESCN.DLL      : 8.1.8.2       131444 Bytes  29.02.2012 13:01:26
AESBX.DLL      : 8.2.5.5       606579 Bytes  19.03.2012 09:16:38
AERDL.DLL      : 8.1.9.15      639348 Bytes  31.01.2012 07:55:37
AEPACK.DLL     : 8.2.16.5      803190 Bytes  19.03.2012 09:16:36
AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  31.01.2012 07:55:36
AEHEUR.DLL     : 8.1.4.7      4501878 Bytes  19.03.2012 09:16:34
AEHELP.DLL     : 8.1.19.0      254327 Bytes  29.02.2012 13:01:22
AEGEN.DLL      : 8.1.5.23      409973 Bytes  19.03.2012 09:16:20
AEEXP.DLL      : 8.1.0.25       74101 Bytes  19.03.2012 09:16:39
AEEMU.DLL      : 8.1.3.0       393589 Bytes  31.01.2012 07:55:34
AECORE.DLL     : 8.1.25.6      201078 Bytes  19.03.2012 09:16:18
AEBB.DLL       : 8.1.1.0        53618 Bytes  31.01.2012 07:55:33
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  31.01.2012 07:55:54
AVPREF.DLL     : 12.1.0.17      51920 Bytes  31.01.2012 07:55:51
AVREP.DLL      : 12.1.0.17     179408 Bytes  31.01.2012 07:55:51
AVARKT.DLL     : 12.1.0.23     209360 Bytes  31.01.2012 07:55:46
AVEVTLOG.DLL   : 12.1.0.17     169168 Bytes  31.01.2012 07:55:47
SQLITE3.DLL    : 3.7.0.0       398288 Bytes  31.01.2012 07:56:07
AVSMTP.DLL     : 12.1.0.17      62928 Bytes  31.01.2012 07:55:52
NETNT.DLL      : 12.1.0.17      17104 Bytes  31.01.2012 07:56:02
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  31.01.2012 07:56:32
RCTEXT.DLL     : 12.1.0.16      98512 Bytes  31.01.2012 07:56:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: D:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 19. März 2012  16:36

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyService.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotKeyMon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '180' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsusService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '501' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\64e67ce1-10633787
  [0] Archivtyp: ZIP
  --> nkmhsknymyhlaeumvvrt/faauvqcyhrd.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2011-3544.BW.1
  --> nkmhsknymyhlaeumvvrt/ksjgpmfarblgmfqtwyy.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.OpenS.H
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\540c80a3-33682654
  [0] Archivtyp: ZIP
  --> mtutfarwvsc/qcnnnchedfdday.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2011-3544.BU.2
  --> mtutfarwvsc/sfgusvpbmpvrn.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.OpenS.I
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\79cc29e8-79704ce8
  [0] Archivtyp: ZIP
  --> nkmhsknymyhlaeumvvrt/faauvqcyhrd.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2011-3544.BW.1
  --> nkmhsknymyhlaeumvvrt/ksjgpmfarblgmfqtwyy.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.OpenS.H
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\6b7f177d-60276d4f
  [0] Archivtyp: ZIP
  --> mtutfarwvsc/qcnnnchedfdday.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2011-3544.BU.2
  --> mtutfarwvsc/sfgusvpbmpvrn.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.OpenS.I
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\6b7f177d-60276d4f
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.OpenS.I
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b65f6ef.qua' verschoben!
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\79cc29e8-79704ce8
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.OpenS.H
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53a6d927.qua' verschoben!
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\540c80a3-33682654
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.OpenS.I
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '01a483d2.qua' verschoben!
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\64e67ce1-10633787
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.OpenS.H
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '67c8cc10.qua' verschoben!


Ende des Suchlaufs: Montag, 19. März 2012  17:12
Benötigte Zeit: 35:35 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  13140 Verzeichnisse wurden überprüft
 354497 Dateien wurden geprüft
      8 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 354489 Dateien ohne Befall
   2308 Archive wurden durchsucht
      0 Warnungen
      4 Hinweise
 288683 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Hier das DDS Log:

[CODE].DDS Logfile:

Code:

ATTFilter

DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 9.0.8112.16421  BrowserJavaVersion: 1.6.0_31
Run by *** at 10:16:16 on 2012-03-20
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.2038.1305 [GMT 1:00]
.
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\nvvsvc.exe
C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\AsusService.exe
C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ASUS\HotkeyService\HotkeyService.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\ASUS\HotkeyService\HotKeyMon.exe
C:\Windows\system32\wbem\wmiprvse.exe
D:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\svchost.exe -k bthsvcs
C:\Windows\System32\svchost.exe -k secsvcs
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
D:\Programme\Firefox\firefox.exe
C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
D:\Programme\Firefox\plugin-container.exe
C:\Windows\system32\SearchProtocolHost.exe
D:\programme\avira\antivir desktop\avcenter.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - d:\programme\java\bin\ssv.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - d:\programme\java\bin\jp2ssv.dll
mRun: [avgnt] "d:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [HotkeyMon] AsusSender.exe c:\program files\asus\hotkeyservice\HotKeyMon.exe
mRun: [HotkeyService] AsusSender.exe c:\program files\asus\hotkeyservice\HotkeyService.exe
mRun: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
mPolicies-system: ConsentPromptBehaviorAdmin = 0 (0x0)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableLUA = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
mPolicies-system: PromptOnSecureDesktop = 0 (0x0)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
TCP: DhcpNameServer = 10.156.33.53 129.187.5.1
TCP: Interfaces\{06DF4707-54E3-493B-8CE7-09676BB6B32A} : DhcpNameServer = 83.169.184.161 83.169.184.225
TCP: Interfaces\{ABFBC4EF-812F-4BEA-AD30-0DACD12036F8} : DhcpNameServer = 10.156.33.53 129.187.5.1
Notify: igfxcui - igfxdev.dll
AppInit_DLLs: c:\windows\system32\nvinit.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\***\appdata\roaming\mozilla\firefox\profiles\60v3445u.default\
FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: d:\programme\java\bin\plugin2\npdeployJava1.dll
FF - plugin: d:\programme\java\bin\plugin2\npjp2.dll
.
============= SERVICES / DRIVERS ===============
.
R0 nvpciflt;nvpciflt;c:\windows\system32\drivers\nvpciflt.sys [2010-7-12 19656]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2012-2-29 36000]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-14 48128]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2012-1-3 63928]
R2 AntiVirSchedulerService;Avira Planer;d:\programme\avira\antivir desktop\sched.exe [2012-2-29 86224]
R2 AntiVirService;Avira Echtzeit Scanner;d:\programme\avira\antivir desktop\avguard.exe [2012-2-29 110032]
R2 AsusService;Asus Launcher Service;c:\windows\system32\AsusService.exe [2012-3-19 224680]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2012-2-29 74640]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
R2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files\nvidia corporation\nvidia updatus\daemonu.exe [2012-2-29 1616488]
R2 vpnagent;Cisco AnyConnect Secure Mobility Agent;c:\program files\cisco\cisco anyconnect secure mobility client\vpnagent.exe [2011-9-9 475088]
R3 acsock;acsock;c:\windows\system32\drivers\acsock.sys [2011-9-9 87976]
R3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\drivers\L1C62x86.sys [2012-2-28 68208]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2011-4-12 62464]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\drivers\ETD.sys [2010-7-21 102912]
S3 StorSvc;Speicherdienst;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [2009-7-14 20992]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2010-11-20 52224]
S3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 27264]
.
=============== Created Last 30 ================
.
2012-03-19 13:06:20	--------	d-----w-	c:\windows\system32\appmgmt
2012-03-19 13:01:56	--------	d-----w-	c:\users\***\appdata\roaming\Synaptics
2012-03-19 12:02:05	--------	d-----w-	c:\programdata\Synaptics
2012-03-19 12:02:05	--------	d-----w-	c:\program files\Synaptics
2012-03-19 12:01:50	1461992	----a-w-	c:\windows\system32\WdfCoInstaller01009.dll
2012-03-19 12:01:47	218408	----a-w-	c:\windows\system32\SynCtrl.dll
2012-03-19 12:01:47	173352	----a-w-	c:\windows\system32\SynTPAPI.dll
2012-03-19 12:01:47	173352	----a-w-	c:\windows\system32\SynCOM.dll
2012-03-19 12:01:47	120104	----a-w-	c:\windows\system32\SynTPCo9.dll
2012-03-19 12:01:46	1335472	----a-w-	c:\windows\system32\drivers\SynTP.sys
2012-03-19 09:44:30	--------	d-----w-	c:\users\***\appdata\local\Cisco
2012-03-19 09:44:30	--------	d-----w-	c:\program files\Cisco
2012-03-19 09:43:11	--------	d-----w-	c:\programdata\Cisco
2012-03-19 09:20:31	3968368	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-03-19 09:20:30	3913584	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-19 09:12:50	34728	----a-w-	c:\windows\system32\AsusSender.exe
2012-03-19 09:12:50	224680	----a-w-	c:\windows\system32\AsusService.exe
2012-03-19 09:12:49	--------	d-----w-	c:\program files\ASUS
2012-03-19 09:10:36	2343424	----a-w-	c:\windows\system32\win32k.sys
2012-03-19 09:10:34	1077248	----a-w-	c:\windows\system32\DWrite.dll
2012-03-19 09:10:06	6552120	----a-w-	c:\programdata\microsoft\windows defender\definition updates\{8f053f9f-4741-44f2-be28-2f96485d34cc}\mpengine.dll
2012-03-19 09:09:32	8192	----a-w-	c:\windows\system32\rdrmemptylst.exe
2012-03-19 09:09:32	58880	----a-w-	c:\windows\system32\rdpwsx.dll
2012-03-19 09:09:32	129536	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-03-19 09:09:30	826880	----a-w-	c:\windows\system32\rdpcore.dll
2012-03-19 09:09:29	24576	----a-w-	c:\windows\system32\drivers\tdtcp.sys
2012-03-19 09:09:29	183808	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-02-29 20:04:32	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-29 17:05:27	--------	d-----w-	c:\users\***\appdata\roaming\OpenOffice.org
2012-02-29 16:16:06	472808	----a-w-	c:\windows\system32\deployJava1.dll
2012-02-29 16:07:53	--------	d-----w-	c:\users\***\appdata\local\Adobe
2012-02-29 15:50:48	--------	d-----w-	c:\windows\system32\x64
2012-02-29 15:49:18	805376	----a-w-	c:\windows\system32\FntCache.dll
2012-02-29 15:49:18	739840	----a-w-	c:\windows\system32\d2d1.dll
2012-02-29 15:37:57	--------	d-----w-	c:\windows\system32\NV
2012-02-29 15:33:44	--------	d-----w-	c:\windows\system32\wbem\en-US
2012-02-29 14:48:02	2829	----a-w-	c:\windows\War3Unin.pif
2012-02-29 14:48:02	139264	----a-w-	c:\windows\War3Unin.exe
2012-02-29 14:35:13	--------	d-----w-	c:\programdata\NVIDIA Corporation
2012-02-29 14:35:07	--------	d-----w-	c:\program files\NVIDIA Corporation
2012-02-29 14:19:12	1221632	----a-w-	c:\windows\system32\athr.sys
2012-02-29 14:19:12	--------	d-----w-	c:\program files\Atheros
2012-02-29 14:18:58	--------	d-----w-	c:\programdata\Atheros
2012-02-29 13:15:23	16896	----a-w-	c:\windows\AsTaskSched.dll
2012-02-29 13:14:29	--------	d-----w-	c:\windows\system32\Lang
2012-02-29 13:14:28	1006104	----a-w-	c:\windows\system32\igxpun.exe
2012-02-29 13:14:24	--------	d-----w-	C:\Intel
2012-02-29 13:10:41	75776	----a-w-	c:\windows\system32\psisrndr.ax
2012-02-29 13:10:41	465408	----a-w-	c:\windows\system32\psisdecd.dll
2012-02-29 13:10:39	478720	----a-w-	c:\windows\system32\timedate.cpl
2012-02-29 13:10:36	293376	----a-w-	c:\windows\system32\umpnpmgr.dll
2012-02-29 13:10:28	2048	----a-w-	c:\windows\system32\tzres.dll
2012-02-29 13:10:04	542208	----a-w-	c:\windows\system32\kerberos.dll
2012-02-29 13:10:02	96768	----a-w-	c:\windows\system32\drivers\mrxsmb20.sys
2012-02-29 13:10:02	223744	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2012-02-29 13:10:02	123904	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2012-02-29 13:10:01	571904	----a-w-	c:\windows\system32\oleaut32.dll
2012-02-29 13:10:01	233472	----a-w-	c:\windows\system32\oleacc.dll
2012-02-29 13:08:59	5120	---ha-w-	c:\windows\system32\api-ms-win-core-file-l1-1-0.dll
2012-02-29 13:04:22	219008	----a-w-	c:\windows\system32\drivers\dxgmms1.sys
2012-02-29 13:03:54	--------	d-----w-	c:\users\***\appdata\roaming\Avira
2012-02-29 12:59:18	74640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-02-29 12:59:18	36000	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-02-29 12:59:14	--------	d-----w-	c:\programdata\Avira
2012-02-29 12:58:24	--------	d-sh--w-	c:\windows\Installer
2012-02-29 12:58:17	6552120	----a-w-	c:\programdata\microsoft\windows defender\definition updates\backup\mpengine.dll
2012-02-29 12:56:02	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-02-29 12:54:24	--------	d-----w-	c:\users\***\appdata\local\Mozilla
2012-02-29 12:49:00	--------	d-----w-	c:\windows\system32\Atheros_L1e
2012-02-29 12:28:17	--------	d-----w-	c:\windows\Panther
2012-02-28 21:16:14	68208	----a-w-	c:\windows\system32\drivers\L1C62x86.sys
.
==================== Find3M  ====================
.
2012-03-19 10:19:43	4544392	----a-w-	c:\windows\system32\ETDUI.cpl
2012-03-19 10:19:38	102912	----a-w-	c:\windows\system32\drivers\ETD.sys
2012-03-19 09:11:54	13880	----a-w-	c:\windows\system32\drivers\kbfiltr.sys
2012-02-29 13:14:02	155648	----a-w-	c:\windows\system32\igfxCoIn_v2117.dll
2012-01-04 08:58:41	442880	----a-w-	c:\windows\system32\ntshrui.dll
.
============= FINISH: 10:17:13,90 ===============

--- --- ---

Hier das Attach Log

Code:

ATTFilter

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows 7 Professional 
Boot Device: \Device\HarddiskVolume1
Install Date: 29.02.2012 13:41:45
System Uptime: 20.03.2012 10:01:53 (0 hours ago)
.
Motherboard: ASUSTeK Computer INC. |  | 1215N
Processor: Intel(R) Atom(TM) CPU D525   @ 1.80GHz | CPU 1 | 1800/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 37 GiB total, 24,811 GiB free.
D: is FIXED (NTFS) - 195 GiB total, 182,431 GiB free.
.
==== Disabled Device Manager Items =============
.
Class GUID: {4d36e972-e325-11ce-bfc1-08002be10318}
Description: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows
Device ID: ROOT\NET\0000
Manufacturer: Cisco Systems
Name: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows
PNP Device ID: ROOT\NET\0000
Service: vpnva
.
==== System Restore Points ===================
.
RP21: 19.03.2012 14:05:37 - Removed Synaptics Gesture Suite featuring SYNAPTICS | Scrybe.
.
==== Installed Programs ======================
.
Adobe Flash Player 11 Plugin
Adobe Reader X (10.1.2) - Deutsch
Atheros Client Installation Program
Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver
Avira Free Antivirus
Cisco AnyConnect Secure Mobility Client
Cisco AnyConnect Secure Mobility Client 
ETDWare PS/2-x86 7.0.5.13_WHQL
Hotkey Service
Intel(R) Graphics Media Accelerator Driver
Java Auto Updater
Java(TM) 6 Update 31
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile DEU Language Pack
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
Mozilla Firefox 11.0 (x86 de)
NVIDIA Display Control Panel
NVIDIA Drivers
NVIDIA Updatus
OpenOffice.org 3.3
PVSonyDll
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870)
Synaptics Pointing Device Driver
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
Warcraft III
Warcraft III: All Products
.
==== End Of File ===========================

Hier das GMER Log

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-20 10:33:28
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD2500BEVT-80A23T0 rev.01.01A01
Running: dst7x7yt.exe; Driver: C:\Users\***\AppData\Local\Temp\kgloapow.sys


---- System - GMER 1.0.15 ----

SSDT            8DAC8CB6                                                                                                                                            ZwCreateSection
SSDT            8DAC8CC0                                                                                                                                            ZwRequestWaitReplyPort
SSDT            8DAC8CBB                                                                                                                                            ZwSetContextThread
SSDT            8DAC8CC5                                                                                                                                            ZwSetSecurityObject
SSDT            8DAC8CCA                                                                                                                                            ZwSystemDebugControl
SSDT            8DAC8C57                                                                                                                                            ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKey + 13C1                                                                                                                       82A903D9 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                                                              82AC9D52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!KeRemoveQueueEx + 11F7                                                                                                                 82AD0EEC 4 Bytes  [B6, 8C, AC, 8D]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1553                                                                                                                 82AD1248 4 Bytes  [C0, 8C, AC, 8D]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1597                                                                                                                 82AD128C 4 Bytes  [BB, 8C, AC, 8D]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1613                                                                                                                 82AD1308 4 Bytes  [C5, 8C, AC, 8D]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1667                                                                                                                 82AD135C 4 Bytes  [CA, 8C, AC, 8D]
.text           ...                                                                                                                                                 
?               C:\Users\***\AppData\Local\Temp\mbr.sys                                                                                                           Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text           D:\Programme\Firefox\plugin-container.exe[544] USER32.dll!GetWindowInfo                                                                             764C4B5E 5 Bytes  JMP 6A92FE0A D:\Programme\Firefox\xul.dll (Mozilla Foundation)
.text           D:\Programme\Firefox\plugin-container.exe[544] USER32.dll!TrackPopupMenu                                                                            764D2228 5 Bytes  JMP 6A9303C5 D:\Programme\Firefox\xul.dll (Mozilla Foundation)
.text           D:\Programme\Firefox\firefox.exe[3732] ntdll.dll!LdrLoadDll                                                                                         77D4223E 5 Bytes  JMP 6A7B9720 D:\Programme\Firefox\xul.dll (Mozilla Foundation)
.text           D:\Programme\Firefox\firefox.exe[3732] kernel32.dll!MapViewOfFile                                                                                   761B93DB 5 Bytes  JMP 6A9EE1F4 D:\Programme\Firefox\xul.dll (Mozilla Foundation)
.text           D:\Programme\Firefox\firefox.exe[3732] kernel32.dll!VirtualAlloc                                                                                    761BC43A 5 Bytes  JMP 6A9EE21B D:\Programme\Firefox\xul.dll (Mozilla Foundation)
.text           D:\Programme\Firefox\firefox.exe[3732] GDI32.dll!CreateDIBSection                                                                                   774F8850 5 Bytes  JMP 6A9EE17E D:\Programme\Firefox\xul.dll (Mozilla Foundation)
.text           D:\Programme\Firefox\firefox.exe[3732] GDI32.dll!D3DKMTQueryAdapterInfo                                                                             774FCB76 5 Bytes  JMP 6BEB19D0 C:\Program Files\NVIDIA Corporation\CoProcManager\nvd3d9wrap.dll (NVIDIA Compatible NVIDIA d3d9wrap dll, Version 257.41 /NVIDIA Corporation)
.text           D:\Programme\Firefox\firefox.exe[3732] GDI32.dll!D3DKMTGetDisplayModeList                                                                           774FF338 5 Bytes  JMP 6BEB1950 C:\Program Files\NVIDIA Corporation\CoProcManager\nvd3d9wrap.dll (NVIDIA Compatible NVIDIA d3d9wrap dll, Version 257.41 /NVIDIA Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                                                             Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                                                             Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\BTHUSB \Device\00000075                                                                                                                     bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)
Device          \Driver\BTHUSB \Device\00000077                                                                                                                     bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)
Device          \Driver\ACPI_HAL \Device\0000004c                                                                                                                   halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\74f06dab77ba                                                                         
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\74f06dab77ba (not active ControlSet)                                                     

---- Files - GMER 1.0.15 ----

File            C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows Media Player NSS\3.0\Icon Files\0f0c7591-eb86-4667-a397-1d225a4512a2.png  0 bytes
File            C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows Media Player NSS\3.0\Icon Files\21a84962-b1e3-4369-bafe-e4d255fc3e78.png  0 bytes
File            C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows Media Player NSS\3.0\Icon Files\5bf625ca-f05c-4b3c-a81e-13e753707c35.png  0 bytes
File            C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows Media Player NSS\3.0\Icon Files\6832943b-94ff-45f7-b036-2c8daf331dc1.png  0 bytes
File            C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows Media Player NSS\3.0\Icon Files\9a8763aa-bd07-49ea-bfd0-064817e0445c.png  0 bytes
File            C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows Media Player NSS\3.0\Icon Files\a5b4b338-2e05-4e2d-8aa6-78ba9e23e38c.png  0 bytes

---- EOF - GMER 1.0.15 ----

Und hier das Avira Log nach der Quarantäne

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 20. März 2012  10:35

Es wird nach 3576462 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ***-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.898     41963 Bytes  31.01.2012 13:51:00
AVSCAN.EXE     : 12.1.0.20     492496 Bytes  31.01.2012 07:55:52
AVSCAN.DLL     : 12.1.0.18      65744 Bytes  31.01.2012 07:56:29
LUKE.DLL       : 12.1.0.19      68304 Bytes  31.01.2012 07:56:01
AVSCPLR.DLL    : 12.1.0.22     100048 Bytes  31.01.2012 07:55:52
AVREG.DLL      : 12.1.0.29     228048 Bytes  31.01.2012 07:55:51
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 10:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 07:56:15
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 07:56:21
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:01:14
VBASE004.VDF   : 7.11.21.239     2048 Bytes  01.02.2012 13:01:14
VBASE005.VDF   : 7.11.21.240     2048 Bytes  01.02.2012 13:01:14
VBASE006.VDF   : 7.11.21.241     2048 Bytes  01.02.2012 13:01:14
VBASE007.VDF   : 7.11.21.242     2048 Bytes  01.02.2012 13:01:14
VBASE008.VDF   : 7.11.21.243     2048 Bytes  01.02.2012 13:01:14
VBASE009.VDF   : 7.11.21.244     2048 Bytes  01.02.2012 13:01:14
VBASE010.VDF   : 7.11.21.245     2048 Bytes  01.02.2012 13:01:14
VBASE011.VDF   : 7.11.21.246     2048 Bytes  01.02.2012 13:01:15
VBASE012.VDF   : 7.11.21.247     2048 Bytes  01.02.2012 13:01:15
VBASE013.VDF   : 7.11.22.33   1486848 Bytes  03.02.2012 13:01:17
VBASE014.VDF   : 7.11.22.56    687616 Bytes  03.02.2012 13:01:18
VBASE015.VDF   : 7.11.22.92    178176 Bytes  06.02.2012 13:01:18
VBASE016.VDF   : 7.11.22.154   144896 Bytes  08.02.2012 13:01:19
VBASE017.VDF   : 7.11.22.220   183296 Bytes  13.02.2012 13:01:19
VBASE018.VDF   : 7.11.23.34    202752 Bytes  15.02.2012 13:01:19
VBASE019.VDF   : 7.11.23.98    126464 Bytes  17.02.2012 13:01:19
VBASE020.VDF   : 7.11.23.150   148480 Bytes  20.02.2012 13:01:20
VBASE021.VDF   : 7.11.23.224   172544 Bytes  23.02.2012 13:01:20
VBASE022.VDF   : 7.11.24.52    219648 Bytes  28.02.2012 13:01:20
VBASE023.VDF   : 7.11.24.152   165888 Bytes  05.03.2012 09:16:04
VBASE024.VDF   : 7.11.24.204   177664 Bytes  07.03.2012 09:16:05
VBASE025.VDF   : 7.11.25.30    245248 Bytes  12.03.2012 09:16:07
VBASE026.VDF   : 7.11.25.121   252416 Bytes  15.03.2012 09:16:12
VBASE027.VDF   : 7.11.25.122     2048 Bytes  15.03.2012 09:16:12
VBASE028.VDF   : 7.11.25.123     2048 Bytes  15.03.2012 09:16:12
VBASE029.VDF   : 7.11.25.124     2048 Bytes  15.03.2012 09:16:12
VBASE030.VDF   : 7.11.25.125     2048 Bytes  15.03.2012 09:16:12
VBASE031.VDF   : 7.11.25.170   171008 Bytes  20.03.2012 09:34:42
Engineversion  : 8.2.10.24 
AEVDF.DLL      : 8.1.2.2       106868 Bytes  31.01.2012 07:55:38
AESCRIPT.DLL   : 8.1.4.10      455035 Bytes  19.03.2012 09:16:37
AESCN.DLL      : 8.1.8.2       131444 Bytes  29.02.2012 13:01:26
AESBX.DLL      : 8.2.5.5       606579 Bytes  19.03.2012 09:16:38
AERDL.DLL      : 8.1.9.15      639348 Bytes  31.01.2012 07:55:37
AEPACK.DLL     : 8.2.16.5      803190 Bytes  19.03.2012 09:16:36
AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  31.01.2012 07:55:36
AEHEUR.DLL     : 8.1.4.7      4501878 Bytes  19.03.2012 09:16:34
AEHELP.DLL     : 8.1.19.0      254327 Bytes  29.02.2012 13:01:22
AEGEN.DLL      : 8.1.5.23      409973 Bytes  19.03.2012 09:16:20
AEEXP.DLL      : 8.1.0.25       74101 Bytes  19.03.2012 09:16:39
AEEMU.DLL      : 8.1.3.0       393589 Bytes  31.01.2012 07:55:34
AECORE.DLL     : 8.1.25.6      201078 Bytes  19.03.2012 09:16:18
AEBB.DLL       : 8.1.1.0        53618 Bytes  31.01.2012 07:55:33
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  31.01.2012 07:55:54
AVPREF.DLL     : 12.1.0.17      51920 Bytes  31.01.2012 07:55:51
AVREP.DLL      : 12.1.0.17     179408 Bytes  31.01.2012 07:55:51
AVARKT.DLL     : 12.1.0.23     209360 Bytes  31.01.2012 07:55:46
AVEVTLOG.DLL   : 12.1.0.17     169168 Bytes  31.01.2012 07:55:47
SQLITE3.DLL    : 3.7.0.0       398288 Bytes  31.01.2012 07:56:07
AVSMTP.DLL     : 12.1.0.17      62928 Bytes  31.01.2012 07:55:52
NETNT.DLL      : 12.1.0.17      17104 Bytes  31.01.2012 07:56:02
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  31.01.2012 07:56:32
RCTEXT.DLL     : 12.1.0.16      98512 Bytes  31.01.2012 07:56:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: D:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 20. März 2012  10:35

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotKeyMon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyService.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '184' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsusService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '153' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '501' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Dienstag, 20. März 2012  11:12
Benötigte Zeit: 37:03 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  13158 Verzeichnisse wurden überprüft
 354643 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 354643 Dateien ohne Befall
   2323 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
 288757 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

cosinus · 21.03.2012, 17:19

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

eey · 21.03.2012, 21:28

Hallo cosinus,

Danke schonmal für die schnelle Antwort, Malewarebytes ist durchgelaufen und hat nichts gefunden, aber der ESET Scanner wollte nicht laufen, hat eine Meldung wegen Proxy Einstellungen ausgegeben... Was muss ich da einstellen damit das läuft?

Schöne Grüße,
eey

cosinus · 22.03.2012, 11:47

DIe Logs sind immer zu posten, egal ob Fund oder kein Fund!

Und zu ESET das hier mal prüfen:

Falsche Proxy Einstellungen entfernen

Klicke im Start-Menü unter "Einstellungen" auf "Systemsteuerung" -> "Internetoptionen".
Wähle die Karteikarte "Verbindungen->Lan-Einstellungen“ und überprüfe ob bei Proxyserver ein Häkchen steht,
wenn ja -> Entfernen, dann -> OK (sofern nicht richtige Eintragung)

eey · 22.03.2012, 23:34

Hm,

jetzt hat ESET zwar gestartet (ich habe nichts an den Proxy Einstellungen geändert, da alles schon so eingestellt war wie es sein sollte), allerdings hab ich jetzt den Scan abgebrochen nachdem der seit über einer Stunde bei 50% gehangen ist.... Irgendwas stimmt da nicht.

Ich werd den Scan auf jeden Fall morgen nochmal wiederholen und dann hoffentlich geht das.

Hier ist auf jeden Fall mal das Malewarebytes Log:

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.21.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
*** :: ***-PC [Administrator]

Schutz: Aktiviert

21.03.2012 20:39:56
mbam-log-2012-03-21 (20-39-56).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 248823
Laufzeit: 34 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Ich hab die infizierten Dateien auch mal an Avira geschickt und die haben mir folgendes geantwortet:

Die Datei '64e67ce1_10633787.idx' wurde als 'DAMAGED FILE (UNKNOWN)' eingestuft. Dies bedeutet, dass diese Datei beschädigt und nicht richtig lauffähig ist. Wir konnten keinen gefährlichen Inhalte finden. Es ist möglich, dass das Heuristik-Modul diese Datei erkennt obwohl es sich hierbei um eine nicht lauffähige Datei handelt. In diesem Fall werden wir die Erkennung des Produkts nicht entfernen.

Heißt das alles im grünen Bereich?

eey · 27.03.2012, 21:16

Hallo nochmal,

mittlerweile (nach dem vierten Versuch) ist der ESET Scan endlich durchgelaufen... Lag wohl daran dass mein Internet die letzten Tage ziemlich rumgesponnen hat, deswegen schreib ich auch jetzt erst wieder.

ESET hat auf jeden Fall auch nichts gefunden, hier das Log:

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=12
esets_scanner_update returned -1 esets_gle=12
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=358bb40148ef3e4f8dcf1b19365c8ac9
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-22 10:29:49
# local_time=2012-03-22 11:29:49 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 212593 84082123 0 0
# compatibility_mode=8192 67108863 100 0 93446 93446 0 0
# scanned=56790
# found=0
# cleaned=0
# scan_time=4458
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=358bb40148ef3e4f8dcf1b19365c8ac9
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-27 08:03:47
# local_time=2012-03-27 10:03:47 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 632941 84502471 0 0
# compatibility_mode=8192 67108863 100 0 513794 513794 0 0
# scanned=67437
# found=0
# cleaned=0
# scan_time=7347

Also scheint ja alles gut zu sein, oder?

Avira meldet EXP/2011-3544.BW.1 und JAVA/Dldr.OpenS.H

Plagegeister aller Art und deren Bekämpfung: Avira meldet EXP/2011-3544.BW.1 und JAVA/Dldr.OpenS.H