bundespolizeitrojaner, bin ich den käfer los wenn ich ihn in Quarantäne verschiebe

musab

Hallo sehr geschätzte Boarder,
Mich hat o.g. Trojaner erwischt. Wenn ich mich am Rechner mit meinem account anmelde taucht sehr schnell der bekannte Sperrhinweis auf. Bin ich noch infiziert oder habe ich den Virus nicht mehr, wenn ich diesen mit Antivir in Quarantäne verschiebe. Ich bitte um eure Hilfe, ich bin ein Anfänger in solchen Sachen.Ein Virenscan mit Avira unmittelbart nach Vireninfekt ergab folgenden Bericht:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 9. Juli 2012 20:09

Es wird nach 3855461 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : MEH-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.707 36070 Bytes 25.01.2012 12:53:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 02.07.2011 09:28:15
AVSCAN.DLL : 10.0.5.0 57192 Bytes 02.07.2011 09:28:15
LUKE.DLL : 10.3.0.5 45416 Bytes 02.07.2011 09:28:15
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 02.07.2011 09:28:15
AVREG.DLL : 10.3.0.9 88833 Bytes 14.07.2011 22:13:15
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:36:27
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 15:00:47
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 16:02:33
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:14:49
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 18:34:59
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 18:34:59
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 18:34:59
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 18:34:59
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 18:35:00
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 18:35:00
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 18:35:00
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 18:35:00
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 18:35:00
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 18:35:00
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 12:35:25
VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 15:44:29
VBASE017.VDF : 7.11.35.143 126464 Bytes 09.07.2012 17:53:54
VBASE018.VDF : 7.11.35.144 2048 Bytes 09.07.2012 17:53:54
VBASE019.VDF : 7.11.35.145 2048 Bytes 09.07.2012 17:53:54
VBASE020.VDF : 7.11.35.146 2048 Bytes 09.07.2012 17:53:54
VBASE021.VDF : 7.11.35.147 2048 Bytes 09.07.2012 17:53:55
VBASE022.VDF : 7.11.35.148 2048 Bytes 09.07.2012 17:53:55
VBASE023.VDF : 7.11.35.149 2048 Bytes 09.07.2012 17:53:55
VBASE024.VDF : 7.11.35.150 2048 Bytes 09.07.2012 17:53:55
VBASE025.VDF : 7.11.35.151 2048 Bytes 09.07.2012 17:53:55
VBASE026.VDF : 7.11.35.152 2048 Bytes 09.07.2012 17:53:55
VBASE027.VDF : 7.11.35.153 2048 Bytes 09.07.2012 17:53:55
VBASE028.VDF : 7.11.35.154 2048 Bytes 09.07.2012 17:53:55
VBASE029.VDF : 7.11.35.155 2048 Bytes 09.07.2012 17:53:55
VBASE030.VDF : 7.11.35.156 2048 Bytes 09.07.2012 17:53:55
VBASE031.VDF : 7.11.35.162 33280 Bytes 09.07.2012 17:53:55
Engineversion : 8.2.10.106
AEVDF.DLL : 8.1.2.8 106867 Bytes 02.06.2012 18:58:12
AESCRIPT.DLL : 8.1.4.32 455034 Bytes 05.07.2012 12:36:17
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 15:15:37
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 08:49:29
AERDL.DLL : 8.1.9.15 639348 Bytes 10.09.2011 09:08:16
AEPACK.DLL : 8.2.16.22 807288 Bytes 23.06.2012 18:07:46
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 02.07.2012 18:35:06
AEHEUR.DLL : 8.1.4.64 5009782 Bytes 05.07.2012 12:36:13
AEHELP.DLL : 8.1.23.2 258422 Bytes 02.07.2012 18:35:02
AEGEN.DLL : 8.1.5.32 434548 Bytes 06.07.2012 15:44:31
AEEXP.DLL : 8.1.0.60 86388 Bytes 05.07.2012 12:36:17
AEEMU.DLL : 8.1.3.0 393589 Bytes 04.03.2011 13:36:01
AECORE.DLL : 8.1.25.10 201080 Bytes 02.06.2012 18:58:08
AEBB.DLL : 8.1.1.0 53618 Bytes 04.03.2011 13:36:00
AVWINLL.DLL : 10.0.0.0 19304 Bytes 04.03.2011 13:36:13
AVPREF.DLL : 10.0.3.2 44904 Bytes 02.07.2011 09:28:15
AVREP.DLL : 10.0.0.10 174120 Bytes 21.05.2011 17:08:57
AVARKT.DLL : 10.0.26.1 255336 Bytes 02.07.2011 09:28:15
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 02.07.2011 09:28:15
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 04.03.2011 13:36:12
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 02.07.2011 09:28:14
RCTEXT.DLL : 10.0.64.0 98664 Bytes 02.07.2011 09:28:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 9. Juli 2012 20:09

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\adsm_pdata_0150
c:\adsm_pdata_0150
[HINWEIS] Das Verzeichnis ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'jucheck.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'ControlDeck.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpswp_clipbook.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '173' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpswp_clipbook.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarUser_32.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '161' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcourier.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControlUser.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'DMedia.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD2.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsScrPro.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADSMTray.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDC.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADSMSrv.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'sensorsrv.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALU.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'atashost.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'GFNEXSrv.exe' - '10' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASLDRSrv.exe' - '21' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '223' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\Users\aaa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\Z5JCDQON\e3fa8[1].pdf
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfjsc.RM.25
C:\Users\Meh\AppData\Local\Temp\HPSUW2TE.YWY\CPE_SLP_NETWORKMSI_hpu_000_006.exe.tmp
[WARNUNG] Die Datei konnte nicht gelesen werden!
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
C:\Users\aaa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\Z5JCDQON\e3fa8[1].pdf
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfjsc.RM.25
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '561892d9.qua' verschoben!


Ende des Suchlaufs: Montag, 9. Juli 2012 21:30
Benötigte Zeit: 1:20:40 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

30443 Verzeichnisse wurden überprüft
775622 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
775621 Dateien ohne Befall
4408 Archive wurden durchsucht
1 Warnungen
2 Hinweise
461401 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

Mailware ergab folgendenes:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.09.12

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
aaa :: MEH-PC [Administrator]

Schutz: Aktiviert

09.07.2012 22:24:55
mbam-log-2012-07-09 (22-24-55).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 237798
Laufzeit: 4 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 2
C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.dll (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
C:\Users\aaa\AppData\Local\Temp\glom0_og.exe (Spyware.Zbot.124Gen) -> Löschen bei Neustart.

Infizierte Registrierungsschlüssel: 17
HKCR\CLSID\{0696f815-a3a9-490a-bb14-9ec3350b1276} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0005060.BHO (PUP.CrossFire.Gen) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0005060.BHO.1 (PUP.CrossFire.Gen) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0005060.FBApi (PUP.CrossFire.Gen) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0005060.FBApi.1 (PUP.CrossFire.Gen) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0005060.Sandbox (PUP.CrossFire.Gen) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0005060.Sandbox.1 (PUP.CrossFire.Gen) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\INSTALLEDBROWSEREXTENSIONS\215 APPS (PUP.CrossFire.SA) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011501160} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\CLSID\{11111111-1111-1111-1111-110011501160} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{44444444-4444-4444-4444-440044504460} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\Interface\{55555555-5555-5555-5555-550055505560} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011501160} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011501160} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011501160} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011501160} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKCU\Software\Cr_Installer\5060 (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\Software\InstalledBrowserExtensions\215 Apps|5060 (PUP.CrossFire.SA) -> Daten: Savings Sidekick -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\aaa\AppData\Local\Temp\Free Download Manager793580.exe (PUP.BundleInstaller.IB) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.dll (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
C:\Users\aaa\AppData\Local\Temp\glom0_og.exe (Spyware.Zbot.124Gen) -> Löschen bei Neustart.
C:\Users\aaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Ich hoffe auf eure Hilfe
MfG
Musab