| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner + Wasser (webcam?)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.07.2012, 10:36
| #1 | |||
| |  GVU-Trojaner + Wasser (webcam?) Guten Morgen, Ich hab ihn mir wohl auch eingefangen. Heute morgen behauptete mein Firefox, dass ich es nicht richtig geschlossen hätte und der Verlauf war bis zu einem gewissem Datum offensichtlich gelöscht. Ich weiß nicht, ob es damit zusammenhängt aber ich wollte es erwähnen. Habe dann noch eine Weile surfen können und dann kam plötzlich das nette GVU-Fenster mit der Sperrung meines PCs (Text ist ja denke ich bekannt). Habe den Tipp übernommen, dass es ohne Internet noch läuft und das stimmt. Hab ihn dann ohne Probleme nutzen können. Anti-Vir hat nichts gefunden. Wäre für schnelle HIlfe sehr dankbar, da ich dringend den PC mit Internet benötige. defogger_disable Zitat:
Zitat:
Zitat:
Danke für eure Antworten |
|
04.07.2012, 14:01
| #2 |
| /// Malware-holic   | GVU-Trojaner + Wasser (webcam?) hi
__________________dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code:
ATTFilter :OTL
O4 - HKU\S-1-5-21-2357255787-2126538115-1484856188-1002..\Run: [LicenseValidator] C:\Users\Rondreg\AppData\Roaming\WinRAR\{0BE5DB2C-E982-4C52-8FA4-00526BC05E88}\LicenseValidator.exe
(Sea3Soft)
[2012/07/04 10:13:24 | 000,001,895 | ---- | C] () -- C:\Users\Rondreg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
:Files
C:\Users\Rondreg\AppData\Roaming\WinRAR\{0BE5DB2C-E982-4C52-8FA4-00526BC05E88}
:Commands
[Reboot]
• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. starte in den normalen modus. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die  + E Taste.
__________________ |
|
04.07.2012, 16:06
| #3 | ||
| | GVU-Trojaner + Wasser (webcam?) Ich hatte zwei Desktop.ini die vorher nicht da waren
__________________in dem ersten: Zitat:
Zitat:
hochladen hat doch funktioniert, hab danach aber schnell wieder das internet sicherheitshalber dort ausgemacht. er scheint eine lücke im inet explorer zu nutzen, obwohl ich den explorer selber nicht nutze. er hatte mich heute morgen nach einer aktualisierung des explorers gefragt die ich nicht vorgenommen habe (da ich ihn wie gesagt nicht nutze) und nach dem OTL kam, dass der explorer geschlossen werden müsste Geändert von Rondreg (04.07.2012 um 16:25 Uhr) |
|
04.07.2012, 18:56
| #4 |
| /// Malware-holic | GVU-Trojaner + Wasser (webcam?) die inis löschen bitte natürlich muss der internet explorer, wie jedes andere programm aktualisiert werden, selbst firefox greift auf teile des ies zu. alle programme auf dem pc müssen immer aktuell sein. dazu später für eine weitere analyse benötige ich mal folgendes. c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte Trojaner-Board Upload Channel
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
04.07.2012, 19:13
| #5 |
| | GVU-Trojaner + Wasser (webcam?) kann es nicht komprimieren da sich dann plötzlich av meldet: Bericht lässt sich gerade warum auch immer nicht kopieren deswegen tippe ich es ab: Objekt: 22251c2d-202f2687 Fund: EXP/CVE-2012-0507.BR AV will es gerne in die Quarantäne verschieben, soll ich das tun? Habs jetzt in Quarantäne verschoben, danach hats dann mitm komprimieren geklappt, lade es gerade hoch... danke für deine hilfe! wüsste nicht was ich ohne dich/euch tun würde Nach weiteren durchläufen beginnt er dinge zu finden: Objekt: rundll32.exe roper0dun.exe Fund jeweils: TR/Rogue.kdv.665364.1 AV-Bericht: Avira Free Antivirus Erstellungsdatum der Reportdatei: Mittwoch, 4. Juli 2012 20:11 Es wird nach 3828475 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : RONDREGIAN Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:26:02 AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:26:02 LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:26:02 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:26:02 AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:24:58 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:54:52 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:08:22 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:38:24 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 19:49:05 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 19:49:05 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 19:49:05 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 19:49:05 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 19:49:05 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 19:49:05 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 19:49:05 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 19:49:05 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 19:49:05 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 09:03:50 VBASE015.VDF : 7.11.34.202 2048 Bytes 02.07.2012 09:03:50 VBASE016.VDF : 7.11.34.203 2048 Bytes 02.07.2012 09:03:50 VBASE017.VDF : 7.11.34.204 2048 Bytes 02.07.2012 09:03:50 VBASE018.VDF : 7.11.34.205 2048 Bytes 02.07.2012 09:03:50 VBASE019.VDF : 7.11.34.206 2048 Bytes 02.07.2012 09:03:50 VBASE020.VDF : 7.11.34.207 2048 Bytes 02.07.2012 09:03:50 VBASE021.VDF : 7.11.34.208 2048 Bytes 02.07.2012 09:03:50 VBASE022.VDF : 7.11.34.209 2048 Bytes 02.07.2012 09:03:50 VBASE023.VDF : 7.11.34.210 2048 Bytes 02.07.2012 09:03:51 VBASE024.VDF : 7.11.34.211 2048 Bytes 02.07.2012 09:03:51 VBASE025.VDF : 7.11.34.212 2048 Bytes 02.07.2012 09:03:51 VBASE026.VDF : 7.11.34.213 2048 Bytes 02.07.2012 09:03:51 VBASE027.VDF : 7.11.34.214 2048 Bytes 02.07.2012 09:03:51 VBASE028.VDF : 7.11.34.215 2048 Bytes 02.07.2012 09:03:51 VBASE029.VDF : 7.11.34.216 2048 Bytes 02.07.2012 09:03:51 VBASE030.VDF : 7.11.34.217 2048 Bytes 02.07.2012 09:03:51 VBASE031.VDF : 7.11.34.234 27136 Bytes 03.07.2012 09:03:51 Engineversion : 8.2.10.102 AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 21:49:47 AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21.06.2012 16:24:41 AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 13:16:25 AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 08:50:23 AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06 AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 16:24:40 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 19:49:04 AEHEUR.DLL : 8.1.4.58 4993399 Bytes 28.06.2012 19:49:03 AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 19:48:43 AEGEN.DLL : 8.1.5.30 422261 Bytes 15.06.2012 08:49:48 AEEXP.DLL : 8.1.0.58 82292 Bytes 28.06.2012 19:49:04 AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01 AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 19:20:27 AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01 AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:26:01 AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:26:02 AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:26:02 AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:26:02 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:26:02 SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:26:02 AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:26:02 NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:26:02 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:26:02 RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:26:02 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4ff45a1d\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660, Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Mittwoch, 4. Juli 2012 20:11 Der Suchlauf nach versteckten Objekten wird begonnen. Eine Instanz der ARK Library läuft bereits. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UIExec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WisLMSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WButton.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Rainlendar2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OctoshapeClient.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Reminder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DTShellHlp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'x10nets.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AssistantServices.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PsiService_2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\22251c2d-202f2687' C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\22251c2d-202f2687 [0] Archivtyp: ZIP --> tupa/tupc.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.BU --> tupa/tupb.class [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen --> tupa/tupa.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.BR Beginne mit der Desinfektion: C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\22251c2d-202f2687 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.BR [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '564f03e0.qua' verschoben! Ende des Suchlaufs: Mittwoch, 4. Juli 2012 22:00 Benötigte Zeit: 00:02 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 42 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 39 Dateien ohne Befall 1 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. Task Manager funktioniert wieder allerdings hat sich AV eben automatisch geschlossen habs nochmal neugestartet... zwischendurch durfte ich mal wieder Internetexplorer schliessen  hab ihn mal deaktiviert web.de hat sich übrigens auch zwischendurch gemeldet, dass meine passwörter ausgespäht werden würden von hermes_01 ergo fassen wir mal zusammen hier passiert ganz viel und ich habe keine Ahnung was upload hat hoffentlich geklappt? neuer AV-Bericht: Avira Free Antivirus Erstellungsdatum der Reportdatei: Mittwoch, 4. Juli 2012 22:12 Es wird nach 3836369 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : Rondreg Computername : RONDREGIAN Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:26:02 AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:26:02 LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:26:02 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:26:02 AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:24:58 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:54:52 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:08:22 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:38:24 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 19:49:05 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 19:49:05 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 19:49:05 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 19:49:05 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 19:49:05 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 19:49:05 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 19:49:05 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 19:49:05 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 19:49:05 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 09:03:50 VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 20:05:32 VBASE016.VDF : 7.11.35.20 2048 Bytes 04.07.2012 20:05:32 VBASE017.VDF : 7.11.35.21 2048 Bytes 04.07.2012 20:05:32 VBASE018.VDF : 7.11.35.22 2048 Bytes 04.07.2012 20:05:32 VBASE019.VDF : 7.11.35.23 2048 Bytes 04.07.2012 20:05:32 VBASE020.VDF : 7.11.35.24 2048 Bytes 04.07.2012 20:05:32 VBASE021.VDF : 7.11.35.25 2048 Bytes 04.07.2012 20:05:32 VBASE022.VDF : 7.11.35.26 2048 Bytes 04.07.2012 20:05:32 VBASE023.VDF : 7.11.35.27 2048 Bytes 04.07.2012 20:05:32 VBASE024.VDF : 7.11.35.28 2048 Bytes 04.07.2012 20:05:33 VBASE025.VDF : 7.11.35.29 2048 Bytes 04.07.2012 20:05:33 VBASE026.VDF : 7.11.35.30 2048 Bytes 04.07.2012 20:05:33 VBASE027.VDF : 7.11.35.31 2048 Bytes 04.07.2012 20:05:33 VBASE028.VDF : 7.11.35.32 2048 Bytes 04.07.2012 20:05:33 VBASE029.VDF : 7.11.35.33 2048 Bytes 04.07.2012 20:05:33 VBASE030.VDF : 7.11.35.34 2048 Bytes 04.07.2012 20:05:33 VBASE031.VDF : 7.11.35.46 22016 Bytes 04.07.2012 20:05:33 Engineversion : 8.2.10.102 AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 21:49:47 AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21.06.2012 16:24:41 AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 13:16:25 AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 08:50:23 AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06 AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 16:24:40 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 19:49:04 AEHEUR.DLL : 8.1.4.58 4993399 Bytes 28.06.2012 19:49:03 AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 19:48:43 AEGEN.DLL : 8.1.5.30 422261 Bytes 15.06.2012 08:49:48 AEEXP.DLL : 8.1.0.58 82292 Bytes 28.06.2012 19:49:04 AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01 AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 19:20:27 AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01 AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:26:01 AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:26:02 AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:26:02 AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:26:02 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:26:02 SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:26:02 AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:26:02 NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:26:02 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:26:02 RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:26:02 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Mittwoch, 4. Juli 2012 22:12 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Eine Instanz der ARK Library läuft bereits. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '76' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '157' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'daemonu.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'UIExec.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'WisLMSvc.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLSvc.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'WButton.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'OSD.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'HotkeyApp.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'Rainlendar2.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'OctoshapeClient.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'Reminder.exe' - '87' Modul(e) wurden durchsucht Durchsuche Prozess 'DTShellHlp.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'x10nets.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'AssistantServices.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'nvSCPAPISvr.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'PsiService_2.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Program Files (x86)\DOSBox-0.74\uninstall.exe [WARNUNG] Unerwartetes Dateiende erreicht Die Registry wurde durchsucht ( '3211' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\Program Files (x86)\DOSBox-0.74\uninstall.exe [WARNUNG] Unerwartetes Dateiende erreicht C:\Program Files (x86)\JetAudio\jetUpdate.dat [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Rondreg\AppData\Local\Microsoft\WLSetup\wltED07.tmp [0] Archivtyp: CAB (Microsoft) --> WriterProdLang.7z [1] Archivtyp: 7-Zip --> WriterProdLang.cab [2] Archivtyp: CAB (Microsoft) --> writerprodlang.msi [WARNUNG] Die Datei konnte nicht gelesen werden! C:\Users\Rondreg\AppData\Local\Mozilla\Firefox\Profiles\085rjk57.default\Cache\D\0F\4B20Bd01 [FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.alw C:\Users\Rondreg\AppData\Local\Temp\mor.exe [FUND] Ist das Trojanische Pferd TR/Gataka.D.57 C:\Users\Rondreg\AppData\Local\Temp\roper0dun.exe [FUND] Ist das Trojanische Pferd TR/Rogue.kdv.665364.1 C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0.zip [0] Archivtyp: ZIP --> 6.0/1/1507e0c1-3d146d1e [1] Archivtyp: ZIP --> r7ba/r7ba.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE --> 6.0/17/33862e11-53a0270d [1] Archivtyp: ZIP --> sIda/sIda.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE --> sIda/sIdb.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Treams.BV --> sIda/sIdc.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CF --> sIda/sIdd.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CW --> 6.0/3/4d5a7d03-7810142a [FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP --> CL3.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1\1507e0c1-3d146d1e [0] Archivtyp: ZIP --> r7ba/r7ba.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\33862e11-53a0270d [0] Archivtyp: ZIP --> sIda/sIda.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE --> sIda/sIdb.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Treams.BV --> sIda/sIdc.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CF --> sIda/sIdd.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CW C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\4d5a7d03-7810142a [0] Archivtyp: ZIP --> CL3.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP C:\Users\Rondreg\Downloads\avira_free_antivirus_de.exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part1.rar [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part2.rar [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part3.rar [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) Beginne mit der Suche in 'D:\' <Recover> D:\TOOLS\Corel Draw Essentials4\AutoPlay\autorun.cdd [WARNUNG] Die Datei ist kennwortgeschützt Beginne mit der Desinfektion: C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\4d5a7d03-7810142a [FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55ec67e5.qua' verschoben! C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\33862e11-53a0270d [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CW [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d7e49b1.qua' verschoben! C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1\1507e0c1-3d146d1e [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1f29135b.qua' verschoben! C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0.zip [FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '791e5c9e.qua' verschoben! C:\Users\Rondreg\AppData\Local\Temp\roper0dun.exe [FUND] Ist das Trojanische Pferd TR/Rogue.kdv.665364.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3cda7070.qua' verschoben! C:\Users\Rondreg\AppData\Local\Temp\mor.exe [FUND] Ist das Trojanische Pferd TR/Gataka.D.57 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43c34211.qua' verschoben! C:\Users\Rondreg\AppData\Local\Mozilla\Firefox\Profiles\085rjk57.default\Cache\D\0F\4B20Bd01 [FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.alw [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0f3b6e68.qua' verschoben! Ende des Suchlaufs: Donnerstag, 5. Juli 2012 00:33 Benötigte Zeit: 2:19:59 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 40764 Verzeichnisse wurden überprüft 1487289 Dateien wurden geprüft 17 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 7 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 1487272 Dateien ohne Befall 8809 Archive wurden durchsucht 9 Warnungen 7 Hinweise Verlauf etc alles wieder da... hab trotzdem schiss das der trojaner noch vor ort ist oder irgendwas anderes... und nochmal neu: Avira Free Antivirus Erstellungsdatum der Reportdatei: Donnerstag, 5. Juli 2012 10:10 Es wird nach 3836369 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : Rondreg Computername : RONDREGIAN Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:26:02 AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:26:02 LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:26:02 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:26:02 AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:24:58 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:54:52 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:08:22 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:38:24 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 19:49:05 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 19:49:05 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 19:49:05 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 19:49:05 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 19:49:05 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 19:49:05 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 19:49:05 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 19:49:05 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 19:49:05 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 09:03:50 VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 20:05:32 VBASE016.VDF : 7.11.35.20 2048 Bytes 04.07.2012 20:05:32 VBASE017.VDF : 7.11.35.21 2048 Bytes 04.07.2012 20:05:32 VBASE018.VDF : 7.11.35.22 2048 Bytes 04.07.2012 20:05:32 VBASE019.VDF : 7.11.35.23 2048 Bytes 04.07.2012 20:05:32 VBASE020.VDF : 7.11.35.24 2048 Bytes 04.07.2012 20:05:32 VBASE021.VDF : 7.11.35.25 2048 Bytes 04.07.2012 20:05:32 VBASE022.VDF : 7.11.35.26 2048 Bytes 04.07.2012 20:05:32 VBASE023.VDF : 7.11.35.27 2048 Bytes 04.07.2012 20:05:32 VBASE024.VDF : 7.11.35.28 2048 Bytes 04.07.2012 20:05:33 VBASE025.VDF : 7.11.35.29 2048 Bytes 04.07.2012 20:05:33 VBASE026.VDF : 7.11.35.30 2048 Bytes 04.07.2012 20:05:33 VBASE027.VDF : 7.11.35.31 2048 Bytes 04.07.2012 20:05:33 VBASE028.VDF : 7.11.35.32 2048 Bytes 04.07.2012 20:05:33 VBASE029.VDF : 7.11.35.33 2048 Bytes 04.07.2012 20:05:33 VBASE030.VDF : 7.11.35.34 2048 Bytes 04.07.2012 20:05:33 VBASE031.VDF : 7.11.35.46 22016 Bytes 04.07.2012 20:05:33 Engineversion : 8.2.10.102 AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 21:49:47 AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21.06.2012 16:24:41 AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 13:16:25 AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 08:50:23 AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06 AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 16:24:40 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 19:49:04 AEHEUR.DLL : 8.1.4.58 4993399 Bytes 28.06.2012 19:49:03 AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 19:48:43 AEGEN.DLL : 8.1.5.30 422261 Bytes 15.06.2012 08:49:48 AEEXP.DLL : 8.1.0.58 82292 Bytes 28.06.2012 19:49:04 AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01 AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 19:20:27 AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01 AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:26:01 AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:26:02 AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:26:02 AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:26:02 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:26:02 SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:26:02 AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:26:02 NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:26:02 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:26:02 RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:26:02 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Donnerstag, 5. Juli 2012 10:10 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'STTime.scr' - '283' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'daemonu.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'WisLMSvc.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'UIExec.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLSvc.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'WButton.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'OSD.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'HotkeyApp.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'Rainlendar2.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'OctoshapeClient.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'DTShellHlp.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'Reminder.exe' - '86' Modul(e) wurden durchsucht Durchsuche Prozess 'x10nets.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'AssistantServices.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'nvSCPAPISvr.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'PsiService_2.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Program Files (x86)\DOSBox-0.74\uninstall.exe [WARNUNG] Unerwartetes Dateiende erreicht Die Registry wurde durchsucht ( '3203' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\$RECYCLE.BIN\S-1-5-21-2357255787-2126538115-1484856188-1002\$RIVCDU9.zip [0] Archivtyp: ZIP --> 6.0/1/1507e0c1-3d146d1e [1] Archivtyp: ZIP --> r7ba/r7ba.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE --> 6.0/17/33862e11-53a0270d [1] Archivtyp: ZIP --> sIda/sIda.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE --> sIda/sIdb.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Treams.BV --> sIda/sIdc.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CF --> sIda/sIdd.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CW --> 6.0/3/4d5a7d03-7810142a [FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP --> CL3.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP C:\Program Files (x86)\DOSBox-0.74\uninstall.exe [WARNUNG] Unerwartetes Dateiende erreicht C:\Program Files (x86)\JetAudio\jetUpdate.dat [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Rondreg\AppData\Local\Microsoft\WLSetup\wltED07.tmp [0] Archivtyp: CAB (Microsoft) --> WriterProdLang.7z [1] Archivtyp: 7-Zip --> WriterProdLang.cab [2] Archivtyp: CAB (Microsoft) --> writerprodlang.msi [WARNUNG] Die Datei konnte nicht gelesen werden! C:\Users\Rondreg\Downloads\avira_free_antivirus_de.exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part1.rar [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part2.rar [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part3.rar [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) Beginne mit der Suche in 'D:\' <Recover> D:\TOOLS\Corel Draw Essentials4\AutoPlay\autorun.cdd [WARNUNG] Die Datei ist kennwortgeschützt Beginne mit der Desinfektion: C:\$RECYCLE.BIN\S-1-5-21-2357255787-2126538115-1484856188-1002\$RIVCDU9.zip [FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '570620f9.qua' verschoben! Ende des Suchlaufs: Donnerstag, 5. Juli 2012 14:04 Benötigte Zeit: 2:41:01 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 40783 Verzeichnisse wurden überprüft 1487268 Dateien wurden geprüft 7 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 1487261 Dateien ohne Befall 8817 Archive wurden durchsucht 9 Warnungen 1 Hinweise 737075 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Verlauf ist wieder weg |
|
05.07.2012, 19:16
| #6 |
| /// Malware-holic | GVU-Trojaner + Wasser (webcam?) dann deaktiviere avira, packe das archiv und aktiviere avira wieder
__________________ --> GVU-Trojaner + Wasser (webcam?) |
|
05.07.2012, 19:19
| #7 |
| | GVU-Trojaner + Wasser (webcam?) das packen (mit winrar) hat danach ohne probleme funktioniert und habe es versucht hochzuladen, wenn das nicht funktioniert hat... hm... ist wahrscheinlich noch zu groß... hast du eine Idee was ich tun kann damit du es kriegen kannst? danke für deine Hilfe |
|
06.07.2012, 21:34
| #8 | |
| /// Malware-holic | GVU-Trojaner + Wasser (webcam?) ok archiv löschen: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
07.07.2012, 00:36
| #9 |
| | GVU-Trojaner + Wasser (webcam?) Hey, Hier die Combofix datei... ging leider nur noch im abgesicherten Modus, da ein zweiter weißer Screen auftauchte und dieser auch nicht wegging wenn ich den PC ohne Internet hochfuhr... konnte dadurch antivir whr auch nicht hundertprozentig ausschalten. jetzt bin ich wieder im normalen modus wer weiß wielange das gut geht... bitte um schnelle weitere HIlfe bevor hier alles den Bach runtergeht =/ hier die combofix datei:Combofix Logfile: Code:
ATTFilter ComboFix 12-07-06.02 - Rondreg 07.07.2012 1:18.1.4 - x64 MINIMAL
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3893.2740 [GMT 2:00]
ausgeführt von:: c:\users\Rondreg\Downloads\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\hvgquokw.exe
c:\programdata\uscnfsqstsqtdgm
c:\users\Rondreg\0.5310171176724943.exe
c:\users\Rondreg\AppData\Roaming\Help\coredb\storage
c:\users\Rondreg\AppData\Roaming\Identities\{852D6B0D-75E9-44A9-9F13-E9E7B2F7ECAF}\LicenseValidator.exe
c:\windows\IsUn0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-06-06 bis 2012-07-06 ))))))))))))))))))))))))))))))
.
.
2012-07-06 23:26 . 2012-07-06 23:26 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp
2012-07-06 23:26 . 2012-07-06 23:26 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-07-06 22:54 . 2012-07-06 22:54 -------- d-----w- c:\programdata\occcestbleeorwy
2012-07-06 22:31 . 2012-05-31 04:04 9013136 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{F6B3654E-9C5A-4FE2-BF17-E603F393CC98}\mpengine.dll
2012-07-04 14:56 . 2012-07-04 15:27 -------- d-----w- C:\_OTL
2012-07-03 13:15 . 2012-07-03 13:15 -------- d-----w- c:\users\Rondreg\AppData\Roaming\TeamViewer
2012-06-20 18:07 . 2012-06-20 18:07 421200 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcp100.dll
2012-06-20 18:07 . 2012-06-20 18:07 770384 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcr100.dll
2012-06-19 06:16 . 2012-06-02 22:19 2428952 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-19 06:16 . 2012-06-02 22:19 57880 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-19 06:16 . 2012-06-02 22:19 44056 ----a-w- c:\windows\system32\wups2.dll
2012-06-19 06:16 . 2012-06-02 22:15 2622464 ----a-w- c:\windows\system32\wucltux.dll
2012-06-19 06:16 . 2012-06-02 22:19 38424 ----a-w- c:\windows\system32\wups.dll
2012-06-19 06:16 . 2012-06-02 22:15 99840 ----a-w- c:\windows\system32\wudriver.dll
2012-06-19 06:16 . 2012-06-02 22:19 701976 ----a-w- c:\windows\system32\wuapi.dll
2012-06-19 06:15 . 2012-06-02 13:19 186752 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-19 06:15 . 2012-06-02 13:15 36864 ----a-w- c:\windows\system32\wuapp.exe
2012-06-14 09:12 . 2012-04-26 05:41 77312 ----a-w- c:\windows\system32\rdpwsx.dll
2012-06-14 09:12 . 2012-04-26 05:41 149504 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-06-14 09:12 . 2012-04-26 05:34 9216 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-06-14 09:12 . 2012-05-04 11:06 5559664 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-06-14 09:12 . 2012-05-04 10:03 3968368 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe
2012-06-14 09:12 . 2012-05-04 10:03 3913072 ----a-w- c:\windows\SysWow64\ntoskrnl.exe
2012-06-14 09:12 . 2012-05-15 01:32 3146752 ----a-w- c:\windows\system32\win32k.sys
2012-06-14 09:11 . 2012-04-28 03:55 210944 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-06-12 19:02 . 2012-06-12 19:02 -------- d-----w- c:\users\Rondreg\AppData\Local\Macromedia
2012-06-10 17:39 . 2012-07-05 12:55 -------- d-----w- c:\users\Rondreg\AppData\Roaming\vlc
2012-06-08 07:18 . 2012-06-08 07:18 -------- d-----w- c:\program files (x86)\Microsoft
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-25 07:40 . 2012-03-31 13:03 426184 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2012-06-25 07:40 . 2011-05-15 09:40 70344 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-05-08 17:26 . 2011-10-20 05:21 98848 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-05-08 17:26 . 2011-10-20 05:21 132832 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-04-29 13:01 . 2011-05-26 09:33 2300696 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\markup.dll
2012-04-29 13:01 . 2011-05-26 09:33 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM-2\StartResources.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
"Octoshape Streaming Services"="c:\users\Rondreg\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2009-01-08 70936]
"Rainlendar2"="c:\program files (x86)\Rainlendar2\Rainlendar2.exe" [2011-08-12 2433024]
"ICQ"="c:\program files (x86)\ICQ7.7\ICQ.exe" [2012-02-03 127040]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2012-06-05 17344176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"HotkeyApp"="c:\program files (x86)\Launch Manager\HotkeyApp.exe" [2010-12-15 207400]
"LMgrVolOSD"="c:\program files (x86)\Launch Manager\OSD.exe" [2009-12-11 348960]
"Wbutton"="c:\program files (x86)\Launch Manager\Wbutton.exe" [2010-06-21 436264]
"NUSB3MON"="c:\program files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-12-20 113288]
"CLMLServer"="c:\program files (x86)\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-06-06 35736]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"UIExec"="c:\program files (x86)\1&1 Surf-Stick\UIExec.exe" [2010-09-30 139088]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-05-08 348624]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
c:\users\Rondreg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Versandhelfer.lnk - c:\program files (x86)\Versandhelfer\Versandhelfer.exe [N/A]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-10-3 1082144]
watchmi tray.lnk - c:\windows\Installer\{F0559C5E-7912-4391-B1A0-6B975F0E5064}\SHCT_TRAY_STARTUP_F1540F35F9254DF584F2487D88448402.exe [2012-2-7 300928]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\SysWOW64\nvinit.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-10-11 27760]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
R2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-05-08 86224]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-15 136176]
R2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-03-04 13336]
R2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2010-12-24 1997416]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-06-05 160944]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-12-24 378984]
R2 UI Assistant Service;UI Assistant Service;c:\program files (x86)\1&1 Surf-Stick\AssistantServices.exe [2010-09-30 253264]
R2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-10 2320920]
R2 watchmi;watchmi service;c:\program files (x86)\watchmi\TvdService.exe [2012-01-31 70144]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-25 250056]
R3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [2009-07-01 52264]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-04-07 35104]
R3 clwvd;CyberLink WebCam Virtual Driver;c:\windows\system32\DRIVERS\clwvd.sys [2010-10-29 31088]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-15 136176]
R3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2010-02-26 158976]
R3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-10-15 317440]
R3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x64.sys [2010-03-04 75816]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [2009-10-29 11776]
R3 mod7764;TV Tuner device;c:\windows\system32\DRIVERS\mod77-64.sys [2009-08-13 909408]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-06-20 113120]
R3 NETwNs64;___ Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows 7 - 64 Bit;c:\windows\system32\DRIVERS\NETwNs64.sys [2010-12-21 8505856]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [2010-05-24 246304]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2011-05-02 1255736]
R3 WisLMSvc;WisLMSvc;c:\program files (x86)\Launch Manager\WisLMSvc.exe [2009-10-23 118560]
R3 wsvd;wsvd;c:\windows\system32\DRIVERS\wsvd.sys [2010-09-23 129008]
R4 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-23 57184]
S0 nvpciflt;nvpciflt;c:\windows\system32\DRIVERS\nvpciflt.sys [2010-12-24 25960]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-18 56344]
S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2010-12-20 80384]
S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2010-12-20 181248]
S3 X10Hid;X10 Hid Device;c:\windows\System32\Drivers\x10hid.sys [2009-05-13 15896]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 07:40]
.
2012-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-15 12:42]
.
2012-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-15 12:42]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-11-03 11548264]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RAVBg64.exe" [2010-11-03 2181224]
"MedionReminder"="c:\program files (x86)\CyberLink\PowerRecover\Reminder.exe" [2011-01-26 443688]
"LXCFCATS"="c:\windows\system32\spool\DRIVERS\x64\3\LXCFtime.dll" [2005-09-14 29184]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2012-01-10 167704]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2012-01-10 392984]
"Persistence"="c:\windows\system32\igfxpers.exe" [2012-01-10 417560]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"MedionReminder"="c:\program files (x86)\CyberLink\PowerRecover\Reminder.exe" [2011-01-26 443688]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
"AppInit_DLLs"=c:\windows\System32\nvinitx.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.aldi.com
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay - eine der größten deutschen Shopping-Websites
IE: {{77F665FD-3F60-4B0A-AE14-EC124B7A7FCE} - c:\program files (x86)\ICQ7.7\ICQ.exe
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Rondreg\AppData\Roaming\Mozilla\Firefox\Profiles\085rjk57.default\
FF - prefs.js: browser.startup.homepage - hxxps://freemailng0702.web.de/msg/checkmail.htm?user=Rondreg&goto=posteingang
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKCU-Run-LicenseValidator - c:\users\Rondreg\AppData\Roaming\Identities\{852D6B0D-75E9-44A9-9F13-E9E7B2F7ECAF}\LicenseValidator.exe
Wow6432Node-HKCU-Run-hvgquokwqjldhry - c:\programdata\hvgquokw.exe
Wow6432Node-HKLM-Run-LMgrOSD - c:\program files (x86)\Launch Manager\OSDCtrl.exe
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
AddRemove-S4Uninst - c:\windows\IsUn0407.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_235_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_235_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-07-07 01:29:31
ComboFix-quarantined-files.txt 2012-07-06 23:29
.
Vor Suchlauf: 12 Verzeichnis(se), 541.579.460.608 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 541.756.604.416 Bytes frei
.
- - End Of File - - 26AC1CF1337335D500E408F73B5E0464
PS: Seid dem hat Windows Probleme mit spoolsv.exe als interaktiver Dienst |
|
09.07.2012, 16:52
| #10 |
| | GVU-Trojaner + Wasser (webcam?) spoolsv.exe funzt wieder (war nur beim ersten Start) der Trojaner hat sich auch nicht mehr gemeldet... AV hat nochmal was gefunden: Avira Free Antivirus Erstellungsdatum der Reportdatei: Sonntag, 8. Juli 2012 19:41 Es wird nach 3845887 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : RONDREGIAN Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:26:02 AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:26:02 LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:26:02 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:26:02 AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:24:58 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:54:52 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:08:22 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:38:24 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 19:49:05 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 19:49:05 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 19:49:05 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 19:49:05 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 19:49:05 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 19:49:05 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 19:49:05 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 19:49:05 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 19:49:05 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 09:03:50 VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 20:05:32 VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 22:27:15 VBASE017.VDF : 7.11.35.88 2048 Bytes 06.07.2012 22:27:15 VBASE018.VDF : 7.11.35.89 2048 Bytes 06.07.2012 22:27:16 VBASE019.VDF : 7.11.35.90 2048 Bytes 06.07.2012 22:27:18 VBASE020.VDF : 7.11.35.91 2048 Bytes 06.07.2012 22:27:18 VBASE021.VDF : 7.11.35.92 2048 Bytes 06.07.2012 22:27:18 VBASE022.VDF : 7.11.35.93 2048 Bytes 06.07.2012 22:27:18 VBASE023.VDF : 7.11.35.94 2048 Bytes 06.07.2012 22:27:18 VBASE024.VDF : 7.11.35.95 2048 Bytes 06.07.2012 22:27:18 VBASE025.VDF : 7.11.35.96 2048 Bytes 06.07.2012 22:27:18 VBASE026.VDF : 7.11.35.97 2048 Bytes 06.07.2012 22:27:18 VBASE027.VDF : 7.11.35.98 2048 Bytes 06.07.2012 22:27:18 VBASE028.VDF : 7.11.35.99 2048 Bytes 06.07.2012 22:27:18 VBASE029.VDF : 7.11.35.100 2048 Bytes 06.07.2012 22:27:18 VBASE030.VDF : 7.11.35.101 2048 Bytes 06.07.2012 22:27:18 VBASE031.VDF : 7.11.35.120 18944 Bytes 07.07.2012 22:26:30 Engineversion : 8.2.10.106 AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 21:49:47 AESCRIPT.DLL : 8.1.4.32 455034 Bytes 06.07.2012 22:27:22 AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 13:16:25 AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 08:50:23 AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06 AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 16:24:40 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 19:49:04 AEHEUR.DLL : 8.1.4.64 5009782 Bytes 06.07.2012 22:27:22 AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 19:48:43 AEGEN.DLL : 8.1.5.32 434548 Bytes 06.07.2012 22:27:19 AEEXP.DLL : 8.1.0.60 86388 Bytes 06.07.2012 22:27:22 AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01 AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 19:20:27 AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01 AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:26:01 AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:26:02 AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:26:02 AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:26:02 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:26:02 SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:26:02 AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:26:02 NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:26:02 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:26:02 RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:26:02 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4ff99ef2\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660, Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Sonntag, 8. Juli 2012 19:41 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jp2launcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WisLMSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UIExec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WButton.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Rainlendar2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DTShellHlp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OctoshapeClient.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Reminder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'x10nets.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AssistantServices.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PsiService_2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\_OTL\MovedFiles.zip' C:\_OTL\MovedFiles.zip [0] Archivtyp: ZIP --> MovedFiles/07042012_165621/C_Users/Rondreg/AppData/Roaming/WinRAR/{0BE5DB2C-E982-4C52-8FA4-00526BC05E88}/LicenseValidator.exe [FUND] Ist das Trojanische Pferd TR/Drop.Injector.fhlo [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '570161a3.qua' verschoben! Ende des Suchlaufs: Sonntag, 8. Juli 2012 19:48 Benötigte Zeit: 07:02 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 38 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 37 Dateien ohne Befall 1 Archive wurden durchsucht 0 Warnungen 1 Hinweise 58825 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Avira Free Antivirus Erstellungsdatum der Reportdatei: Sonntag, 8. Juli 2012 20:03 Es wird nach 3845887 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : Rondreg Computername : RONDREGIAN Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:26:02 AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:26:02 LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:26:02 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:26:02 AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:24:58 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:54:52 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:08:22 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:38:24 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 19:49:05 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 19:49:05 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 19:49:05 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 19:49:05 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 19:49:05 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 19:49:05 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 19:49:05 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 19:49:05 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 19:49:05 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 09:03:50 VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 20:05:32 VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 22:27:15 VBASE017.VDF : 7.11.35.88 2048 Bytes 06.07.2012 22:27:15 VBASE018.VDF : 7.11.35.89 2048 Bytes 06.07.2012 22:27:16 VBASE019.VDF : 7.11.35.90 2048 Bytes 06.07.2012 22:27:18 VBASE020.VDF : 7.11.35.91 2048 Bytes 06.07.2012 22:27:18 VBASE021.VDF : 7.11.35.92 2048 Bytes 06.07.2012 22:27:18 VBASE022.VDF : 7.11.35.93 2048 Bytes 06.07.2012 22:27:18 VBASE023.VDF : 7.11.35.94 2048 Bytes 06.07.2012 22:27:18 VBASE024.VDF : 7.11.35.95 2048 Bytes 06.07.2012 22:27:18 VBASE025.VDF : 7.11.35.96 2048 Bytes 06.07.2012 22:27:18 VBASE026.VDF : 7.11.35.97 2048 Bytes 06.07.2012 22:27:18 VBASE027.VDF : 7.11.35.98 2048 Bytes 06.07.2012 22:27:18 VBASE028.VDF : 7.11.35.99 2048 Bytes 06.07.2012 22:27:18 VBASE029.VDF : 7.11.35.100 2048 Bytes 06.07.2012 22:27:18 VBASE030.VDF : 7.11.35.101 2048 Bytes 06.07.2012 22:27:18 VBASE031.VDF : 7.11.35.120 18944 Bytes 07.07.2012 22:26:30 Engineversion : 8.2.10.106 AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 21:49:47 AESCRIPT.DLL : 8.1.4.32 455034 Bytes 06.07.2012 22:27:22 AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 13:16:25 AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 08:50:23 AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06 AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 16:24:40 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 19:49:04 AEHEUR.DLL : 8.1.4.64 5009782 Bytes 06.07.2012 22:27:22 AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 19:48:43 AEGEN.DLL : 8.1.5.32 434548 Bytes 06.07.2012 22:27:19 AEEXP.DLL : 8.1.0.60 86388 Bytes 06.07.2012 22:27:22 AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01 AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 19:20:27 AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01 AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:26:01 AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:26:02 AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:26:02 AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:26:02 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:26:02 SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:26:02 AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:26:02 NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:26:02 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:26:02 RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:26:02 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Sonntag, 8. Juli 2012 20:03 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'java.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'jp2launcher.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '128' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'daemonu.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'WisLMSvc.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'UIExec.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLSvc.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'WButton.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'OSD.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'HotkeyApp.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '116' Modul(e) wurden durchsucht Durchsuche Prozess 'Rainlendar2.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'DTShellHlp.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'OctoshapeClient.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'Reminder.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'x10nets.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'AssistantServices.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'nvSCPAPISvr.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'PsiService_2.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Program Files (x86)\DOSBox-0.74\uninstall.exe [WARNUNG] Unerwartetes Dateiende erreicht Die Registry wurde durchsucht ( '3220' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\Program Files\WinRAR\rarnew.dat [WARNUNG] Das Archiv ist unbekannt oder defekt C:\Program Files (x86)\DOSBox-0.74\uninstall.exe [WARNUNG] Unerwartetes Dateiende erreicht C:\Program Files (x86)\JetAudio\jetUpdate.dat [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Rondreg\AppData\Local\Microsoft\WLSetup\wltED07.tmp [0] Archivtyp: CAB (Microsoft) --> WriterProdLang.7z [1] Archivtyp: 7-Zip --> WriterProdLang.cab [2] Archivtyp: CAB (Microsoft) --> writerprodlang.msi [WARNUNG] Die Datei konnte nicht gelesen werden! C:\Users\Rondreg\AppData\Local\Microsoft\WLSetup\wltED07.tmp [0] Archivtyp: CAB (Microsoft) --> WriterProdLang.7z [1] Archivtyp: 7-Zip --> WriterProdLang.cab [2] Archivtyp: CAB (Microsoft) --> writerprodlang.msi [WARNUNG] Die Datei konnte nicht gelesen werden! C:\_OTL\MovedFiles\07042012_165621\C_Users\Rondreg\AppData\Roaming\WinRAR\{0BE5DB2C-E982-4C52-8FA4-00526BC05E88}\LicenseValidator.exe [FUND] Ist das Trojanische Pferd TR/Drop.Injector.fhlo C:\Users\Rondreg\Downloads\avira_free_antivirus_de.exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part1.rar [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part2.rar [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part3.rar [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\_OTL\MovedFiles\07042012_165621\C_Users\Rondreg\AppData\Roaming\WinRAR\{0BE5DB2C-E982-4C52-8FA4-00526BC05E88}\LicenseValidator.exe [FUND] Ist das Trojanische Pferd TR/Drop.Injector.fhlo Beginne mit der Suche in 'D:\' <Recover> D:\TOOLS\Corel Draw Essentials4\AutoPlay\autorun.cdd [WARNUNG] Die Datei ist kennwortgeschützt Beginne mit der Desinfektion: C:\_OTL\MovedFiles\07042012_165621\C_Users\Rondreg\AppData\Roaming\WinRAR\{0BE5DB2C-E982-4C52-8FA4-00526BC05E88}\LicenseValidator.exe [FUND] Ist das Trojanische Pferd TR/Drop.Injector.fhlo [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5755a6af.qua' verschoben! Ende des Suchlaufs: Montag, 9. Juli 2012 00:19 Benötigte Zeit: 4:04:20 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 75435 Verzeichnisse wurden überprüft 2765873 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 2765871 Dateien ohne Befall 13741 Archive wurden durchsucht 11 Warnungen 1 Hinweise 738206 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden und nochmal: Avira Free Antivirus Erstellungsdatum der Reportdatei: Montag, 9. Juli 2012 17:28 Es wird nach 3849144 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : Rondreg Computername : RONDREGIAN Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:26:02 AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:26:02 LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:26:02 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:26:02 AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:24:58 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:54:52 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:08:22 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:38:24 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 19:49:05 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 19:49:05 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 19:49:05 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 19:49:05 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 19:49:05 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 19:49:05 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 19:49:05 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 19:49:05 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 19:49:05 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 09:03:50 VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 20:05:32 VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 22:27:15 VBASE017.VDF : 7.11.35.88 2048 Bytes 06.07.2012 22:27:15 VBASE018.VDF : 7.11.35.89 2048 Bytes 06.07.2012 22:27:16 VBASE019.VDF : 7.11.35.90 2048 Bytes 06.07.2012 22:27:18 VBASE020.VDF : 7.11.35.91 2048 Bytes 06.07.2012 22:27:18 VBASE021.VDF : 7.11.35.92 2048 Bytes 06.07.2012 22:27:18 VBASE022.VDF : 7.11.35.93 2048 Bytes 06.07.2012 22:27:18 VBASE023.VDF : 7.11.35.94 2048 Bytes 06.07.2012 22:27:18 VBASE024.VDF : 7.11.35.95 2048 Bytes 06.07.2012 22:27:18 VBASE025.VDF : 7.11.35.96 2048 Bytes 06.07.2012 22:27:18 VBASE026.VDF : 7.11.35.97 2048 Bytes 06.07.2012 22:27:18 VBASE027.VDF : 7.11.35.98 2048 Bytes 06.07.2012 22:27:18 VBASE028.VDF : 7.11.35.99 2048 Bytes 06.07.2012 22:27:18 VBASE029.VDF : 7.11.35.100 2048 Bytes 06.07.2012 22:27:18 VBASE030.VDF : 7.11.35.101 2048 Bytes 06.07.2012 22:27:18 VBASE031.VDF : 7.11.35.128 64000 Bytes 08.07.2012 22:26:30 Engineversion : 8.2.10.106 AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 21:49:47 AESCRIPT.DLL : 8.1.4.32 455034 Bytes 06.07.2012 22:27:22 AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 13:16:25 AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 08:50:23 AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06 AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 16:24:40 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 19:49:04 AEHEUR.DLL : 8.1.4.64 5009782 Bytes 06.07.2012 22:27:22 AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 19:48:43 AEGEN.DLL : 8.1.5.32 434548 Bytes 06.07.2012 22:27:19 AEEXP.DLL : 8.1.0.60 86388 Bytes 06.07.2012 22:27:22 AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01 AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 19:20:27 AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01 AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:26:01 AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:26:02 AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:26:02 AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:26:02 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:26:02 SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:26:02 AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:26:02 NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:26:02 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:26:02 RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:26:02 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Montag, 9. Juli 2012 17:28 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'plugin-container.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'WINWORD.EXE' - '119' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '112' Modul(e) wurden durchsucht Durchsuche Prozess 'Rainlendar2.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'daemonu.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'WisLMSvc.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'UIExec.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLSvc.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'WButton.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'OSD.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'HotkeyApp.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '114' Modul(e) wurden durchsucht Durchsuche Prozess 'OctoshapeClient.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'DTShellHlp.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'Reminder.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'x10nets.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'AssistantServices.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'nvSCPAPISvr.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'PsiService_2.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Program Files (x86)\DOSBox-0.74\uninstall.exe [WARNUNG] Unerwartetes Dateiende erreicht Die Registry wurde durchsucht ( '3220' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\Program Files\WinRAR\rarnew.dat [WARNUNG] Das Archiv ist unbekannt oder defekt C:\Program Files (x86)\DOSBox-0.74\uninstall.exe [WARNUNG] Unerwartetes Dateiende erreicht C:\Program Files (x86)\JetAudio\jetUpdate.dat [WARNUNG] Die Datei ist kennwortgeschützt C:\Qoobox\Quarantine\C\ProgramData\hvgquokw.exe.vir [FUND] Ist das Trojanische Pferd TR/Weelsof.C.6 C:\Qoobox\Quarantine\C\Users\Rondreg\0.5310171176724943.exe.vir [FUND] Ist das Trojanische Pferd TR/Weelsof.C.6 C:\Qoobox\Quarantine\C\Users\Rondreg\AppData\Roaming\Identities\{852D6B0D-75E9-44A9-9F13-E9E7B2F7ECAF}\LicenseValidator.exe.vir [FUND] Ist das Trojanische Pferd TR/Graftor.36431 C:\Users\Rondreg\AppData\Local\Microsoft\WLSetup\wltED07.tmp [0] Archivtyp: CAB (Microsoft) --> WriterProdLang.7z [1] Archivtyp: 7-Zip --> WriterProdLang.cab [2] Archivtyp: CAB (Microsoft) --> writerprodlang.msi [WARNUNG] Die Datei konnte nicht gelesen werden! C:\Qoobox\Quarantine\C\ProgramData\hvgquokw.exe.vir [FUND] Ist das Trojanische Pferd TR/Weelsof.C.6 C:\Qoobox\Quarantine\C\Users\Rondreg\0.5310171176724943.exe.vir [FUND] Ist das Trojanische Pferd TR/Weelsof.C.6 C:\Qoobox\Quarantine\C\Users\Rondreg\AppData\Roaming\Identities\{852D6B0D-75E9-44A9-9F13-E9E7B2F7ECAF}\LicenseValidator.exe.vir [FUND] Ist das Trojanische Pferd TR/Graftor.36431 C:\Users\Rondreg\AppData\Local\Microsoft\WLSetup\wltED07.tmp [0] Archivtyp: CAB (Microsoft) --> WriterProdLang.7z [1] Archivtyp: 7-Zip --> WriterProdLang.cab [2] Archivtyp: CAB (Microsoft) --> writerprodlang.msi [WARNUNG] Die Datei konnte nicht gelesen werden! C:\Users\Rondreg\Downloads\avira_free_antivirus_de.exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part1.rar [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part2.rar [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part3.rar [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) Beginne mit der Suche in 'D:\' <Recover> D:\TOOLS\Corel Draw Essentials4\AutoPlay\autorun.cdd [WARNUNG] Die Datei ist kennwortgeschützt Beginne mit der Desinfektion: C:\Qoobox\Quarantine\C\Users\Rondreg\AppData\Roaming\Identities\{852D6B0D-75E9-44A9-9F13-E9E7B2F7ECAF}\LicenseValidator.exe.vir [FUND] Ist das Trojanische Pferd TR/Graftor.36431 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56b19c92.qua' verschoben! C:\Qoobox\Quarantine\C\Users\Rondreg\0.5310171176724943.exe.vir [FUND] Ist das Trojanische Pferd TR/Weelsof.C.6 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e48b372.qua' verschoben! C:\Qoobox\Quarantine\C\ProgramData\hvgquokw.exe.vir [FUND] Ist das Trojanische Pferd TR/Weelsof.C.6 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1c45e9d2.qua' verschoben! Ende des Suchlaufs: Montag, 9. Juli 2012 21:35 Benötigte Zeit: 4:06:28 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 76505 Verzeichnisse wurden überprüft 2767004 Dateien wurden geprüft 6 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 2766998 Dateien ohne Befall 13857 Archive wurden durchsucht 11 Warnungen 3 Hinweise 738269 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
|
10.07.2012, 12:33
| #11 |
| /// Malware-holic | GVU-Trojaner + Wasser (webcam?) malwarebytes: Downloade Dir bitte Malwarebytes
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
11.07.2012, 23:12
| #12 |
| | GVU-Trojaner + Wasser (webcam?) Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.07.11.09 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Rondreg :: RONDREGIAN [Administrator] 11.07.2012 20:44:22 mbam-log-2012-07-11 (20-44-22).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 455562 Laufzeit: 1 Stunde(n), 58 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Users\Rondreg\Desktop\Programme\Programme\Mindjet Mindmanager 9\Mindjet.MindManager.9-keygen\mm9keygenl.exe (Riskware.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Rondreg\Downloads\SoftonicDownloader_fuer_camstudio.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
|
14.07.2012, 12:02
| #13 |
| /// Malware-holic | GVU-Trojaner + Wasser (webcam?) C:\Users\Rondreg\Desktop\Programme\Programme\Mindjet Mindmanager 9\Mindjet.MindManager.9-keygen\mm9keygenl.exe (Riskware.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt. keygens sind illegal, dies unterstützen wir nicht, deswegen gibts nur hilfe beim daten sichern, pc neu aufsetzen und absichern. 1. Datenrettung:
ich werde außerdem noch weitere punkte dazu posten. 4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
14.07.2012, 22:24
| #14 |
| | GVU-Trojaner + Wasser (webcam?) Den keygen hatte ich mir damals geholt, da ich Mindjet damals wieder deinstalliert hatte aber ne Seminararbeit ausbessern musste und den Key nicht mehr gefunden hatte... Habs danach auch nicht mehr benutzt (das zeug braucht man meiner Meinung echt nich aber Profs... nja...) Ist auch meines Wissens das einzige nicht wirklich legale auf meinem PC bis auf den Trojaner Muss ich jetzt wirklich doch noch den PC neu aufsetzen? hatte gehofft da drumrum zu kommen... AV und Malwarebytes finden nichts mehr... wär dir super dankbar wenn du mir dennoch noch helfen könntest trotz meines Foppas mit dem Keygen... |
|
15.07.2012, 16:08
| #15 |
| /// Malware-holic | GVU-Trojaner + Wasser (webcam?) jepp, wie gesagt, die regeln bei keygen fund sind im forum angepinnt und klar :-)
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu GVU-Trojaner + Wasser (webcam?) |
| 7-zip, antivir, autorun, avira, bho, dringend, error, fehler, firefox, firefox 13.0.1, flash player, helper, home, hängt, install.exe, internet, launch, logfile, microsoft office word, mozilla, nvidia update, nvpciflt.sys, office 2007, ohne internet, plug-in, realtek, registry, required, richtlinie, scan, searchscopes, security, software, svchost.exe, usb, usb 2.0, usb 3.0, warnung, windows |
AEMON Tools Pro Agent -> Removed
Linear-Darstellung
