Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ

TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ


Log-Analyse und Auswertung: TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 14.07.2012, 00:16   #1
rainbow66
 
TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ - Standard

TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ


Hallo,

ich bräuchte mal Eure Hilfe bitte.

Mein Avira findet seit vorgestern Trojaner, bei jedem Durchlauf einen anderen (zumindest gibt es immer einen anderen an, aber ich habe wirklich überhaupt keine Ahnung davon).

Dazwischen gibt es Scans mit "kein Fund". (Da dachte ich dann, es wäre alles in Ordnung und Avira hätte die "beseitigt". Wie gesagt, ich habe echt keine Ahnung, dass das Problem vermutlich größer ist, denke ich erst, seitdem ich hier ein bißchen gelesen habe).

Einen ausführlichen Scan mit Malewarebites habe ich jetzt auch gemacht (beim quick scan vorher war kein Fund), das findet PUP.BundleOffers.IIQ

Ich mache kein online banking, aber ich möchte natürlich einen Virenfreien PC.

Was kann ich jetzt tun ?

Avira von heute:

Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 13. Juli 2012  20:48

Es wird nach 3868747 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : DIANE

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  01.05.2012 22:48:48
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL       : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.17     232200 Bytes  11.07.2012 16:08:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 10:43:53
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 16:08:25
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 16:08:25
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 16:08:25
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 16:08:25
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 16:08:25
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 16:08:25
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 16:08:25
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 16:08:26
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 16:08:26
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 16:08:26
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 16:08:27
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 16:08:28
VBASE017.VDF   : 7.11.35.143   126464 Bytes  09.07.2012 16:08:28
VBASE018.VDF   : 7.11.35.235   151552 Bytes  12.07.2012 15:20:48
VBASE019.VDF   : 7.11.35.236     2048 Bytes  12.07.2012 15:20:48
VBASE020.VDF   : 7.11.35.237     2048 Bytes  12.07.2012 15:20:49
VBASE021.VDF   : 7.11.35.238     2048 Bytes  12.07.2012 15:20:49
VBASE022.VDF   : 7.11.35.239     2048 Bytes  12.07.2012 15:20:49
VBASE023.VDF   : 7.11.35.240     2048 Bytes  12.07.2012 15:20:49
VBASE024.VDF   : 7.11.35.241     2048 Bytes  12.07.2012 15:20:50
VBASE025.VDF   : 7.11.35.242     2048 Bytes  12.07.2012 15:20:50
VBASE026.VDF   : 7.11.35.243     2048 Bytes  12.07.2012 15:20:50
VBASE027.VDF   : 7.11.35.244     2048 Bytes  12.07.2012 15:20:50
VBASE028.VDF   : 7.11.35.245     2048 Bytes  12.07.2012 15:20:51
VBASE029.VDF   : 7.11.35.246     2048 Bytes  12.07.2012 15:20:51
VBASE030.VDF   : 7.11.35.247     2048 Bytes  12.07.2012 15:20:51
VBASE031.VDF   : 7.11.36.32     97792 Bytes  13.07.2012 15:20:53
Engineversion  : 8.2.10.114
AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 16:08:45
AESCRIPT.DLL   : 8.1.4.32      455034 Bytes  11.07.2012 16:08:44
AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36
AESBX.DLL      : 8.2.5.12      606578 Bytes  11.07.2012 16:08:46
AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32
AEPACK.DLL     : 8.3.0.14      807287 Bytes  13.07.2012 15:22:13
AEOFFICE.DLL   : 8.1.2.40      201082 Bytes  11.07.2012 16:08:42
AEHEUR.DLL     : 8.1.4.72     5038455 Bytes  13.07.2012 15:22:02
AEHELP.DLL     : 8.1.23.2      258422 Bytes  11.07.2012 16:08:34
AEGEN.DLL      : 8.1.5.32      434548 Bytes  11.07.2012 16:08:34
AEEXP.DLL      : 8.1.0.62       86389 Bytes  11.07.2012 16:08:46
AEEMU.DLL      : 8.1.3.2       393587 Bytes  11.07.2012 16:08:33
AECORE.DLL     : 8.1.27.2      201078 Bytes  11.07.2012 16:08:32
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL     : 12.3.0.15      51920 Bytes  01.05.2012 22:44:31
AVREP.DLL      : 12.3.0.15     179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL     : 12.3.0.15     211408 Bytes  01.05.2012 22:21:32
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  01.05.2012 22:51:35
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  02.05.2012 00:03:51
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  02.05.2012 00:03:51

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4ffe054c\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 13. Juli 2012  20:48

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wordpad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wordpad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMyPrt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpsysdrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information\_restore{8AA6DA30-624A-402A-BED0-47C05168E0AE}\RP639\A0048329.exe'
C:\System Volume Information\_restore{8AA6DA30-624A-402A-BED0-47C05168E0AE}\RP639\A0048329.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.edsj

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{8AA6DA30-624A-402A-BED0-47C05168E0AE}\RP639\A0048329.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.edsj
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5287d4e9.qua' verschoben!


Ende des Suchlaufs: Freitag, 13. Juli 2012  20:59
Benötigte Zeit: 10:18 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    799 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    798 Dateien ohne Befall
      1 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
 115170 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden


Die Suchergebnisse werden an den Guard übermittelt.
Avira von Gestern:

Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 12. Juli 2012  12:59

Es wird nach 3862266 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : DIANE

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  01.05.2012 22:48:48
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL       : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.17     232200 Bytes  11.07.2012 16:08:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 10:43:53
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 16:08:25
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 16:08:25
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 16:08:25
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 16:08:25
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 16:08:25
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 16:08:25
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 16:08:25
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 16:08:26
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 16:08:26
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 16:08:26
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 16:08:27
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 16:08:28
VBASE017.VDF   : 7.11.35.143   126464 Bytes  09.07.2012 16:08:28
VBASE018.VDF   : 7.11.35.144     2048 Bytes  09.07.2012 16:08:29
VBASE019.VDF   : 7.11.35.145     2048 Bytes  09.07.2012 16:08:29
VBASE020.VDF   : 7.11.35.146     2048 Bytes  09.07.2012 16:08:29
VBASE021.VDF   : 7.11.35.147     2048 Bytes  09.07.2012 16:08:29
VBASE022.VDF   : 7.11.35.148     2048 Bytes  09.07.2012 16:08:29
VBASE023.VDF   : 7.11.35.149     2048 Bytes  09.07.2012 16:08:29
VBASE024.VDF   : 7.11.35.150     2048 Bytes  09.07.2012 16:08:29
VBASE025.VDF   : 7.11.35.151     2048 Bytes  09.07.2012 16:08:29
VBASE026.VDF   : 7.11.35.152     2048 Bytes  09.07.2012 16:08:30
VBASE027.VDF   : 7.11.35.153     2048 Bytes  09.07.2012 16:08:30
VBASE028.VDF   : 7.11.35.154     2048 Bytes  09.07.2012 16:08:30
VBASE029.VDF   : 7.11.35.155     2048 Bytes  09.07.2012 16:08:30
VBASE030.VDF   : 7.11.35.156     2048 Bytes  09.07.2012 16:08:30
VBASE031.VDF   : 7.11.35.226   142848 Bytes  11.07.2012 16:08:31
Engineversion  : 8.2.10.110
AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 16:08:45
AESCRIPT.DLL   : 8.1.4.32      455034 Bytes  11.07.2012 16:08:44
AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36
AESBX.DLL      : 8.2.5.12      606578 Bytes  11.07.2012 16:08:46
AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32
AEPACK.DLL     : 8.3.0.12      807286 Bytes  11.07.2012 16:08:44
AEOFFICE.DLL   : 8.1.2.40      201082 Bytes  11.07.2012 16:08:42
AEHEUR.DLL     : 8.1.4.64     5009782 Bytes  11.07.2012 16:08:42
AEHELP.DLL     : 8.1.23.2      258422 Bytes  11.07.2012 16:08:34
AEGEN.DLL      : 8.1.5.32      434548 Bytes  11.07.2012 16:08:34
AEEXP.DLL      : 8.1.0.62       86389 Bytes  11.07.2012 16:08:46
AEEMU.DLL      : 8.1.3.2       393587 Bytes  11.07.2012 16:08:33
AECORE.DLL     : 8.1.27.2      201078 Bytes  11.07.2012 16:08:32
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL     : 12.3.0.15      51920 Bytes  01.05.2012 22:44:31
AVREP.DLL      : 12.3.0.15     179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL     : 12.3.0.15     211408 Bytes  01.05.2012 22:21:32
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  01.05.2012 22:51:35
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  02.05.2012 00:03:51
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  02.05.2012 00:03:51

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4ffe054c\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 12. Juli 2012  12:59

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\drivers\mbamswissarmy.sys
c:\windows\system32\drivers\mbamswissarmy.sys
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dhcp\Parameters\{8471AD81-28A6-459A-9F86-2CB17563744B}
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MBAMSwissArmy
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_MBAMSWISSARMY
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMyPrt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpsysdrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\6a062a43-2c6c08dd'
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\6a062a43-2c6c08dd
  [FUND]      Ist das Trojanische Pferd TR/Buzus.HF.7
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52b80bd4.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 12. Juli 2012  13:05
Benötigte Zeit: 05:47 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    793 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    792 Dateien ohne Befall
      1 Archive wurden durchsucht
      0 Warnungen
      5 Hinweise
 114868 Objekte wurden beim Rootkitscan durchsucht
      4 Versteckte Objekte wurden gefunden

Avira von vorgestern:

Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 11. Juli 2012  21:40

Es wird nach 3862266 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : DIANE

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  01.05.2012 22:48:48
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL       : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.17     232200 Bytes  11.07.2012 16:08:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 10:43:53
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 16:08:25
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 16:08:25
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 16:08:25
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 16:08:25
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 16:08:25
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 16:08:25
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 16:08:25
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 16:08:26
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 16:08:26
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 16:08:26
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 16:08:27
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 16:08:28
VBASE017.VDF   : 7.11.35.143   126464 Bytes  09.07.2012 16:08:28
VBASE018.VDF   : 7.11.35.144     2048 Bytes  09.07.2012 16:08:29
VBASE019.VDF   : 7.11.35.145     2048 Bytes  09.07.2012 16:08:29
VBASE020.VDF   : 7.11.35.146     2048 Bytes  09.07.2012 16:08:29
VBASE021.VDF   : 7.11.35.147     2048 Bytes  09.07.2012 16:08:29
VBASE022.VDF   : 7.11.35.148     2048 Bytes  09.07.2012 16:08:29
VBASE023.VDF   : 7.11.35.149     2048 Bytes  09.07.2012 16:08:29
VBASE024.VDF   : 7.11.35.150     2048 Bytes  09.07.2012 16:08:29
VBASE025.VDF   : 7.11.35.151     2048 Bytes  09.07.2012 16:08:29
VBASE026.VDF   : 7.11.35.152     2048 Bytes  09.07.2012 16:08:30
VBASE027.VDF   : 7.11.35.153     2048 Bytes  09.07.2012 16:08:30
VBASE028.VDF   : 7.11.35.154     2048 Bytes  09.07.2012 16:08:30
VBASE029.VDF   : 7.11.35.155     2048 Bytes  09.07.2012 16:08:30
VBASE030.VDF   : 7.11.35.156     2048 Bytes  09.07.2012 16:08:30
VBASE031.VDF   : 7.11.35.226   142848 Bytes  11.07.2012 16:08:31
Engineversion  : 8.2.10.110
AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 16:08:45
AESCRIPT.DLL   : 8.1.4.32      455034 Bytes  11.07.2012 16:08:44
AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36
AESBX.DLL      : 8.2.5.12      606578 Bytes  11.07.2012 16:08:46
AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32
AEPACK.DLL     : 8.3.0.12      807286 Bytes  11.07.2012 16:08:44
AEOFFICE.DLL   : 8.1.2.40      201082 Bytes  11.07.2012 16:08:42
AEHEUR.DLL     : 8.1.4.64     5009782 Bytes  11.07.2012 16:08:42
AEHELP.DLL     : 8.1.23.2      258422 Bytes  11.07.2012 16:08:34
AEGEN.DLL      : 8.1.5.32      434548 Bytes  11.07.2012 16:08:34
AEEXP.DLL      : 8.1.0.62       86389 Bytes  11.07.2012 16:08:46
AEEMU.DLL      : 8.1.3.2       393587 Bytes  11.07.2012 16:08:33
AECORE.DLL     : 8.1.27.2      201078 Bytes  11.07.2012 16:08:32
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL     : 12.3.0.15      51920 Bytes  01.05.2012 22:44:31
AVREP.DLL      : 12.3.0.15     179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL     : 12.3.0.15     211408 Bytes  01.05.2012 22:21:32
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  01.05.2012 22:51:35
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  02.05.2012 00:03:51
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  02.05.2012 00:03:51

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4ffda53c\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 11. Juli 2012  21:40

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\drivers\mbamswissarmy.sys
c:\windows\system32\drivers\mbamswissarmy.sys
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MBAMSwissArmy
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wordpad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMyPrt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpsysdrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\Installer\{5587ac29-7e2b-1681-49dc-b24c5a899ac7}\U\80000000.@'
C:\WINDOWS\Installer\{5587ac29-7e2b-1681-49dc-b24c5a899ac7}\U\80000000.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52ba7c7e.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 11. Juli 2012  21:45
Benötigte Zeit: 04:46 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    799 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    798 Dateien ohne Befall
      1 Archive wurden durchsucht
      0 Warnungen
      3 Hinweise
 114652 Objekte wurden beim Rootkitscan durchsucht
      2 Versteckte Objekte wurden gefunden

malewarebites von heute:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.13.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
HP_Administrator :: DIANE [Administrator]

Schutz: Aktiviert

13.07.2012 22:17:18
mbam-log-2012-07-14 (00-42-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 373236
Laufzeit: 2 Stunde(n), 23 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\HP_Administrator\Eigene Dateien\vondesk2\FinalMediaPlayer2011Setup.exe (PUP.BundleOffers.IIQ) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{8AA6DA30-624A-402A-BED0-47C05168E0AE}\RP569\A0039646.exe (PUP.BundleOffers.IIQ) -> Keine Aktion durchgeführt.

(Ende)
Die Durchläufe dazwischen mit "kein Fund" habe ich jetzt nicht mit aufgelistet, kann ich gern nachholen, falls die auch wichtig sind.

Vielen Dank für Eure Hilfe

Alt 14.07.2012, 15:32   #2
markusg
/// Malware-holic
 
TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ - Standard

TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ


hi
du hast das zero access rootkit.
dieses ist gefärhlich, deswegen:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________

__________________
Alt 14.07.2012, 19:59   #3
rainbow66
 
TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ - Standard

TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ


Hallo Markus,

erstmal vielen Dank für Deine Hilfe.

Ich werde mich dann mal da dranmachen.

Eine Frage habe ich noch, ich habe keine windows-CD (das war auf dem PC, als ich ihn gekauft habe (xp home).

Es ist ein Compaq Presario und er hat unter "PC Help and tools" die Möglichkeit, Wiederherstellungsdisks anzulegen. Das habe ich aber vorher noch nie gemacht (hätte ich vermutlich tun sollen, hinterher ist man schlauer).

Kann ich das jetzt noch machen oder ist das rootkit dann da auch mit drauf ?

Was für Alternativen habe ich sonst ?

(ich habe echt keine Ahnung, habe sowas noch nie macht).

Und, ich nutze zwar kein online banking, kaufe aber ab und zu über paypal und bei Amazon ein. Muss ich da jetzt auch (über den PC von Freunden etc. vermutlich am Besten) meine Passwörter sofort ändern ?

Vielen Dank für Deine Hilfe
__________________
Alt 16.07.2012, 17:41   #4
markusg
/// Malware-holic
 
TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ - Standard

TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ


hi
passwörter endern wir dann von dem pc aus
versuche mal nach neustart:
f9
f10
f11
alt+f10
bzw alt+f9
das könnte die recovery funktion starten.
falls ja pc absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
passage xp bitte durcharbeiten
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie Download - Sandboxie 3.72

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 16.08.2012, 22:27   #5
rainbow66
 
TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ - Standard

TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ


Hallo Markus,

erstmal ein großes Danke für die Hilfe, die ihr hier anbietet.

Ich war im Urlaub und habe das "neu aufsetzen" rausgeschoben auf "danach". (wie schon geschrieben, online banking mache ich nicht..)

Das habe ich dann heute getan.

Ich muß vorher sagen, das ich wirklich keine Ahnung habe und das auch zum ersten Mal mache.

Was ich gemacht habe, war:

Daten gesichert auf USB-Stick

USB Stick entfernt

recovery Funktion (über recovery Manager von Compaq) - Herstellerdaten: Hewlett Packard Company,
Compaq Presario)

Windows neu eingerichtet (die ganzen Abfragen zu Sprache, internetverbindung etc.)

Windows updates runtergeladen

Emisoft gekauft

Bis dahin bin ich gekommen.

Ich dachte ja (wie gesagt, ich habe echt keine Ahnung), das mit dem recovery dann alles an Viren, Trojanern etc. beseitigt ist.

Dann habe ich um Emisoft zu installieren die Schritte da ausgeführt, auch den Scan.

Und der hat gleich wieder 8 Warnungen/Funde ausgegeben.

Was habe ich denn nun falsch gemacht ? Ich habe die recovery Funktion im "Standart" ausgeführt (also ohne etwas "benutzerdefiniertes" zu tun), ich habe danach nichts runtergeladen außer den windows updates und emisoft.

Ich bin gerade ziemlich ratlos (wie gesagt, ich habe keine Ahnung von all dem) und denke grad stumpf über "neuen Computer kaufen" nach. (Was ich aber gern vermeiden würde, wenn es geht...)

Ich freue mich über weitere Hilfe. Und nochmal ein Danke an Euch.


Emisoft scan

Code:
ATTFilter
Emsisoft Anti-Malware - Version 6.6
Letztes Update: 16.08.2012 21:57:29

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:	16.08.2012 21:58:08

Value: hkey_local_machine\software\microsoft\windows\currentversion\run --> reminder 	gefunden: Trace.Registry.ftpattack!E1
C:\WINDOWS\RtlUpd.exe 	gefunden: Trojan-Downloader.Agent!E2
C:\System Volume Information\_restore{8AA6DA30-624A-402A-BED0-47C05168E0AE}\RP1\A0000005.exe 	gefunden: Trojan.Win32.Pasta!E2
C:\Programme\Realtek\Audio\Drivers\RtlUpd.exe 	gefunden: Trojan-Downloader.Agent!E2
C:\Programme\Realtek\Audio\Drivers\WDM\RtlUpd.exe 	gefunden: Trojan-Downloader.Agent!E2
C:\hp\bin\KILLIT.EXE 	gefunden: Riskware.Win32.KillApp!E1
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\Del16C.tmp 	gefunden: Trojan.Win32.Pasta!E2
D:\swsetup\DRV_AUDIO_YZ_5.10.0.6098\WDM\RtlUpd.exe 	gefunden: Trojan-Downloader.Agent!E2

Gescannt	439391
Gefunden	8

Scan Ende:	16.08.2012 22:39:09
Scan Zeit:	0:41:01

C:\hp\bin\KILLIT.EXE	Quarantäne Riskware.Win32.KillApp!E1
C:\System Volume Information\_restore{8AA6DA30-624A-402A-BED0-47C05168E0AE}\RP1\A0000005.exe	Quarantäne Trojan.Win32.Pasta!E2
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\Del16C.tmp	Quarantäne Trojan.Win32.Pasta!E2
C:\WINDOWS\RtlUpd.exe	Quarantäne Trojan-Downloader.Agent!E2
C:\Programme\Realtek\Audio\Drivers\RtlUpd.exe	Quarantäne Trojan-Downloader.Agent!E2
C:\Programme\Realtek\Audio\Drivers\WDM\RtlUpd.exe	Quarantäne Trojan-Downloader.Agent!E2
D:\swsetup\DRV_AUDIO_YZ_5.10.0.6098\WDM\RtlUpd.exe	Quarantäne Trojan-Downloader.Agent!E2
Value: hkey_local_machine\software\microsoft\windows\currentversion\run --> reminder	Quarantäne Trace.Registry.ftpattack!E1

Quarantäne	8


Alt 20.08.2012, 11:52   #6
markusg
/// Malware-holic
 
TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ - Standard

TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ


hi
der hp fund ist ne riskware, keine malware an sich
kannst du mal emsisoft öffnen, quarantäne, und die funde einsenden, außer den von hp?
das scheinen teile der grafikkarte zu sein und damit fehlalarme.
__________________
--> TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ

Alt 20.08.2012, 12:28   #7
rainbow66
 
TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ - Standard

TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ


Hallo Markus,

in der Emisoft Quarantäne ist folgendes:

Code:
ATTFilter
Emsisoft Anti-Malware v. 6.6.0.4
(C) 2003-2012 Emsisoft - www.emsisoft.com

ID   Object
0    C:\WINDOWS\RtlUpd.exe  Trojan-Downloader.Agent!E2
1    C:\System Volume Information\_restore{8AA6DA30-624A-402A-BED0-47C05168E0AE}\RP3\A0000875.exe  Trojan-Downloader.Agent!E2
2    C:\Programme\Realtek\Audio\Drivers\RtlUpd.exe  Trojan-Downloader.Agent!E2
3    C:\System Volume Information\_restore{8AA6DA30-624A-402A-BED0-47C05168E0AE}\RP3\A0000872.EXE  Riskware.Win32.KillApp!E1
4    C:\Programme\Realtek\Audio\Drivers\WDM\RtlUpd.exe  Trojan-Downloader.Agent!E2
5    C:\System Volume Information\_restore{8AA6DA30-624A-402A-BED0-47C05168E0AE}\RP3\A0000874.exe  Trojan-Downloader.Agent!E2
6    C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\Del16C.tmp  Trojan.Win32.Pasta!E2
7    D:\swsetup\DRV_AUDIO_YZ_5.10.0.6098\WDM\RtlUpd.exe  Trojan-Downloader.Agent!E2
8    Value: hkey_local_machine\software\microsoft\windows\currentversion\run --> reminder  Trace.Registry.ftpattack!E1
9    D:\System Volume Information\_restore{8AA6DA30-624A-402A-BED0-47C05168E0AE}\RP3\A0000876.exe  Trojan-Downloader.Agent!E2
10   C:\System Volume Information\_restore{8AA6DA30-624A-402A-BED0-47C05168E0AE}\RP1\A0000005.exe  Trojan.Win32.Pasta!E2
11   C:\System Volume Information\_restore{8AA6DA30-624A-402A-BED0-47C05168E0AE}\RP3\A0000873.exe  Trojan-Downloader.Agent!E2
12   C:\hp\bin\KILLIT.EXE  Riskware.Win32.KillApp!E1

Habe gerade beim absenden gesehen, dass das ja auch im vorherigem Bericht steht.

Du wolltest, das ich das bei Emisoft einsende ? Also da unter Datei einsenden ?

Mache ich gerade.

Sorry, das war ein Mißverständnis


Das Datei einsenden ging bei allen, außer:

Value: hkey_local_machine\software\microsoft\windows\currentversion\run --> reminder...Serverfehler

so, das Ergebnis vom Datei einsenden:

Fehlalarm: RtlUpd.exe > original path: C:\WINDOWS

und

***** Virus / Malware ! ***** Unserer Analyse zufolge handelt es sich bei dieser Datei um Schadcode (Virus/Trojaner/Malware). Bitte verwenden Sie die Quarantäne Funktion, um die Infektion zu bereinigen.


** filename: Del16C.tmp > original path: C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp


Das waren die Antworten, die ich bekommen habe. Ich habe alle Funde (außer dem hp) eingesendet, habe aber nur diese 2 Antworten.

Fehlen da jetzt noch welche, soll ich nochmal scannen und einsenden ? Oder gehören diese anderen Angaben jetzt alle zu den 2 Funden / Fehlalarm ?
Geändert von rainbow66 (20.08.2012 um 12:48 Uhr)

Antwort

Themen zu TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ
.dll, 80000000.@, administrator, avira, desktop, dllhost.exe, einstellungen, explorer.exe, heuristiks/extra, heuristiks/shuriken, juli 2012, kein fund, lsass.exe, malwarebytes, microsoft, modul, namen, nt.dll, online banking, problem, programm, prozesse, pup.bundleoffers.iiq, services.exe, svchost.exe, system volume information, system32, temp, trojaner, windows, winlogon.exe, wuauclt.exe


« GVU 2.07 - nun bin ich auch dran.. | TR/Graftor.35625.22 »


Ähnliche Themen: TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ


  1. Nach PWS:WIN32/Zbot.gen!Am jetzt PWS:WIN32/Zbot.AJB - wie werde ich diesen los
    Log-Analyse und Auswertung - 16.08.2013 (10)
  2. Trojan.zbot.FV und Spyware.zbot.-ED auf Netbook Asus Eee PC /Win7
    Plagegeister aller Art und deren Bekämpfung - 21.07.2013 (23)
  3. TR/Spy.ZBot.mvxj (und andere) von Avira Antivirus gefunden
    Log-Analyse und Auswertung - 12.07.2013 (15)
  4. TR/Zbot.FV
    Plagegeister aller Art und deren Bekämpfung - 13.06.2013 (10)
  5. TR/PSW.Zbot.AJ. und TR/Spy.ZBot (u.a.)
    Plagegeister aller Art und deren Bekämpfung - 06.06.2013 (12)
  6. Sparkassen Onlin Banking Virus (Zbot.HEEP, Agent.MIXC, Zbot, Agent.ED)
    Plagegeister aller Art und deren Bekämpfung - 18.05.2013 (21)
  7. System/alle offenen Programme bleiben hängen - PUP.BundleOffers.IIQ
    Plagegeister aller Art und deren Bekämpfung - 31.10.2012 (27)
  8. PWS:Win32/Zbot und andere
    Log-Analyse und Auswertung - 13.10.2012 (1)
  9. PUP.BundleOffers.IIQ entdeckt nach Download von Core Temp
    Log-Analyse und Auswertung - 19.09.2012 (25)
  10. Google.de nicht erreichbar - andere Seiten sehr langsam - andere normal DNS-Provider Problem oder Trojaner?
    Log-Analyse und Auswertung - 05.09.2012 (2)
  11. TR/Spy.ZBot.HA
    Log-Analyse und Auswertung - 17.09.2010 (3)
  12. TR/Spy.ZBot.XH
    Plagegeister aller Art und deren Bekämpfung - 14.07.2010 (3)
  13. WORM/Zbot.D
    Plagegeister aller Art und deren Bekämpfung - 23.06.2009 (32)
  14. TR/Spy.ZBot.pbd
    Antiviren-, Firewall- und andere Schutzprogramme - 11.03.2009 (3)
  15. 3 tw. unbekannte Trojaner TR/Spy.ZBot.hkp.2, TR/Dropper.Gen und TR/Spy.ZBot.hss
    Plagegeister aller Art und deren Bekämpfung - 25.01.2009 (0)
  16. TR/Spy.ZBot.DPE
    Log-Analyse und Auswertung - 06.08.2008 (9)
  17. TR/Spy.ZBot.RA
    Log-Analyse und Auswertung - 02.03.2008 (9)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ - Hallo, ich bräuchte mal Eure Hilfe bitte. Mein Avira findet seit vorgestern Trojaner, bei jedem Durchlauf einen anderen (zumindest gibt es immer einen anderen an, aber ich habe wirklich überhaupt - TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ...
Archiv
Du betrachtest: TR/Spy.ZBot und andere und PUP.BundleOffers.IIQ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131