Malware Security Shield erst da, dann wieder weg!

Labbeduddel1 · 18.07.2012, 23:20

Hallo an alle Helfenden, und Hilfesuchenden!

Ich habe folgendes Problem:
Gestern habe ich die Nachricht von SecurityShield erhalten, dass mein PC befallen ist. Habe dann von AviraAntivir einen Systemcheck machen lassen und 15 unerwünschte Programme, sowie 21 Warnungen erhalten. Die verseuchten Dateien wurden dann in Quarantäne geschoben. (Die Scandatei/LogDatei ist ziemlich groß. Braucht ihr die?)

Danach habe ich eine Datei namens mgtpuulkyk.exe in der Datei AppData (verstecktes Verzeichnis) entdeckt. Diese hatte das Zeichen von SecurityShield. Habe sie dann in den Papierkorb verbannt.
Es sind dann keine Meldungen mehr gekommen und in der Taskleiste war das Zeichen auch nicht mehr. Es gab auch keine Meldungen nach dem Neustart mehr, wie es in anderen Themen/Foren unter anderem beschrieben wird.
Anschließend habe ich mir Malwarebytes installiert und durchlaufen lassen, mit der angehängten LogDatei (eigentlich nix mehr zu sehen, außer die drei Dateien im Papierkorb).
Hiernach dann den ESET OnlineScanner drüber laufen gelassen, welcher allerdings NICHTS gefunden hat.

Auf einer Seite [hxxp://de.pcthreat.com/parasitebyid-15371de.html] steht etwas, dass dieser Trojaner/Malware erst aktiviert werden muss. Habe damit allerdings nichts gemacht, bevor ich mir noch mehr solche Dinge runterlade. Im Gegensatz zu dieser Seite sieht eure Arbeit sehr vertrauenswürdig aus!

Muss ich meine Festplatte jetzt noch formatieren? Kann ich weitere Trojaner/Viren oder was auch immer noch genauer aufspüren (SecurityShield ist doch mit seinen "Mitbringseln" bekannt, oder?)? Und ich würde noch gerne einige Dateien (Bilder, Musik...) vom PC sichern. Wie kann ich sicher sein, dass da nix mit zu der externen Festplatte kommt?

Ich danke euch schonmal vielmals!
Ach, da wäre noch was: Wie kann ich mir sicher sein, dass euer Link für die Spende nicht meine Kontaktdaten klaut und mein Konto leer räumt?

Hier dann die LogDateien:

Malwarebytes

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.18.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Kalle :: KALLE-PC [Administrator]

Schutz: Aktiviert

18.07.2012 13:04:00
Logdatei Malwarebytes  mbam-log-2012-07-18 (16-23-20)

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 421981
Laufzeit: 2 Stunde(n), 16 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\$Recycle.Bin\S-1-5-21-1687849217-2001803891-1520016243-1003\$RCLMWE1.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.
C:\$Recycle.Bin\S-1-5-21-1687849217-2001803891-1520016243-1003\$RCXXYK1.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\$Recycle.Bin\S-1-5-21-1687849217-2001803891-1520016243-1003\$RRHIY58.exe (Trojan.Lameshield) -> Keine Aktion durchgeführt.

(Ende)

Und ESET:

Code:

ATTFilter

 ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=9d803367df3dd74a8ed929c6d4e97f57
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-18 05:08:32
# local_time=2012-07-18 07:08:32 (+0100, Mitteleuropäische 

Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 23766409 23766409 0 

0
# compatibility_mode=5893 16776573 100 94 1169 94253308 0 0
# compatibility_mode=8192 67108863 100 0 298 298 0 0
# compatibility_mode=9217 16776893 100 13 410598 2338106 0 0
# scanned=219028
# found=0
# cleaned=0
# scan_time=7854

markusg · 20.07.2012, 20:04

hi
öffne avira, berichte poste ds scan log bitte

Labbeduddel1 · 20.07.2012, 23:59

Hi markusg,
ich poste dir die zwei Berichte. Hab Avira später nochmal drüber laufen gelassen.

Nummer 1:

Code:

ATTFilter


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 18. Juli 2012  01:21

Es wird nach 3892754 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : KALLE-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  08.05.2012 17:37:20
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 17:37:20
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 17:37:21
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 17:37:21
AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 19:44:45
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 13:16:05
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 16:40:38
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 16:44:00
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 12:24:53
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 12:24:53
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 12:24:53
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 12:24:53
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 12:24:53
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 12:24:53
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 12:24:53
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 12:24:53
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 12:24:54
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 18:41:44
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 20:11:26
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 01:54:10
VBASE017.VDF   : 7.11.35.143   126464 Bytes  09.07.2012 08:20:43
VBASE018.VDF   : 7.11.35.235   151552 Bytes  12.07.2012 08:25:58
VBASE019.VDF   : 7.11.36.45    118784 Bytes  13.07.2012 15:30:33
VBASE020.VDF   : 7.11.36.107   123904 Bytes  16.07.2012 15:30:35
VBASE021.VDF   : 7.11.36.108     2048 Bytes  16.07.2012 15:30:35
VBASE022.VDF   : 7.11.36.109     2048 Bytes  16.07.2012 15:30:35
VBASE023.VDF   : 7.11.36.110     2048 Bytes  16.07.2012 15:30:35
VBASE024.VDF   : 7.11.36.111     2048 Bytes  16.07.2012 15:30:35
VBASE025.VDF   : 7.11.36.112     2048 Bytes  16.07.2012 15:30:35
VBASE026.VDF   : 7.11.36.113     2048 Bytes  16.07.2012 15:30:35
VBASE027.VDF   : 7.11.36.114     2048 Bytes  16.07.2012 15:30:35
VBASE028.VDF   : 7.11.36.115     2048 Bytes  16.07.2012 15:30:35
VBASE029.VDF   : 7.11.36.116     2048 Bytes  16.07.2012 15:30:35
VBASE030.VDF   : 7.11.36.117     2048 Bytes  16.07.2012 15:30:35
VBASE031.VDF   : 7.11.36.144   203776 Bytes  17.07.2012 15:30:36
Engineversion  : 8.2.10.114
AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 08:20:47
AESCRIPT.DLL   : 8.1.4.32      455034 Bytes  05.07.2012 21:30:56
AESCN.DLL      : 8.1.8.2       131444 Bytes  28.01.2012 12:42:03
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 11:17:03
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 21:16:06
AEPACK.DLL     : 8.3.0.14      807287 Bytes  13.07.2012 15:32:15
AEOFFICE.DLL   : 8.1.2.40      201082 Bytes  29.06.2012 12:24:58
AEHEUR.DLL     : 8.1.4.72     5038455 Bytes  13.07.2012 15:32:02
AEHELP.DLL     : 8.1.23.2      258422 Bytes  29.06.2012 12:24:55
AEGEN.DLL      : 8.1.5.32      434548 Bytes  07.07.2012 01:54:14
AEEXP.DLL      : 8.1.0.62       86389 Bytes  12.07.2012 08:25:59
AEEMU.DLL      : 8.1.3.2       393587 Bytes  11.07.2012 08:20:46
AECORE.DLL     : 8.1.27.2      201078 Bytes  11.07.2012 08:20:46
AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 21:46:01
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 17:37:20
AVPREF.DLL     : 12.3.0.15      51920 Bytes  08.05.2012 17:37:20
AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 17:37:21
AVARKT.DLL     : 12.3.0.15     211408 Bytes  08.05.2012 17:37:20
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 17:37:20
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 17:37:21
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  08.05.2012 17:37:20
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 17:37:21
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  08.05.2012 17:37:20
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  08.05.2012 17:37:20

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 18. Juli 2012  01:21

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'iviRegMgr.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesTrayAgent.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.EXE' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALDITALKVerbindungsassistent_Launcher.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'PLFSetI.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'WTGService.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'RS_Service.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SchedulerSvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'EKAiOHostService.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'GregHSRW.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALDITALKVerbindungsassistent_Service.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1615' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Acer>
C:\$Recycle.Bin\S-1-5-21-1687849217-2001803891-1520016243-1003\$RZTXS27.exe
  [0] Archivtyp: NSIS
  --> object
      [FUND]      Enthält Erkennungsmuster der Adware ADWARE/1ClickDown.D
C:\$Recycle.Bin\S-1-5-21-1687849217-2001803891-1520016243-1003\$R09FMV2.zip\P1000555.MOV.zip
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool-1.bin
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
C:\Users\Kalle\AppData\Local\Temp\611qCrkr.exe.part
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Bundledz.C
C:\Users\Kalle\AppData\Local\Temp\6xuiO+V1.exe.part
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\cyUUukHn.exe.part
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Bundledz.C
C:\Users\Kalle\AppData\Local\Temp\iiw+zgUp.exe.part
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\jar_cache102269212839451883.tmp
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\jar_cache1896608406471894889.tmp
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\jar_cache1946830492839804388.tmp
  [0] Archivtyp: ZIP
  --> comodo/app.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/11-3544.FL.1
  --> comodo/application.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Small.CG
  --> comodo/game.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/12-0507.AD
C:\Users\Kalle\AppData\Local\Temp\jar_cache256917944931371205.tmp
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\jar_cache373887181696868955.tmp
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\jar_cache48110145763817253.tmp
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\jar_cache6151450039906968118.tmp
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\050210151458\Windows6.0-KB929547-v2-x64.msu
  [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Users\Kalle\AppData\Local\Temp\080710150956\Windows6.0-KB929547-v2-x64.msu
  [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Users\Kalle\AppData\Local\Temp\Temp1_11-11-01 install_flashplayer.zip\install_flashplayer11x64_mssd_aih.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Kalle\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\73cc42f0-369a30e6
  [0] Archivtyp: ZIP
  --> a/a.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/11-3544.FK.1.A
  --> a/b.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/11-3544.FR.1
  --> a/J.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/11-3544.FS
  --> a/y.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/11-3544.FN.1
C:\Users\Kalle\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\3a966af2-1072a812
  [0] Archivtyp: ZIP
  --> a/a.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/11-3544.FK.1.A
  --> a/b.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/11-3544.FR.1
  --> a/J.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/11-3544.FS
  --> a/y.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/11-3544.FN.1
C:\Users\Kalle\Downloads\Mulle\KiKaTa.rar
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Kalle\Downloads\Programme\11-10-17 avira_free_antivirus_de.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Kalle\Downloads\Programme\11-11-01 install_flashplayer.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Kalle\Downloads\Programme\11-11-01 install_flashplayer\install_flashplayer11x32ax_aih.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Kalle\Downloads\Programme\11-11-01 install_flashplayer\install_flashplayer11x32_mssd_aih.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Kalle\Downloads\Programme\11-11-01 install_flashplayer\install_flashplayer11x64ax_aih.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Windows\SoftwareDistribution\Download\a568738027b9278d7681fca958f664fb\BITDF79.tmp
  [0] Archivtyp: CAB SFX (self extracting)
  --> silverlight.7z
      [WARNUNG]   Die Datei konnte nicht gelesen werden!
  [WARNUNG]   Die Datei konnte nicht gelesen werden!

Beginne mit der Desinfektion:
C:\Users\Kalle\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\3a966af2-1072a812
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/11-3544.FN.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55d4c495.qua' verschoben!
C:\Users\Kalle\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\73cc42f0-369a30e6
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/11-3544.FN.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d15eb1c.qua' verschoben!
C:\Users\Kalle\AppData\Local\Temp\jar_cache1946830492839804388.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/12-0507.AD
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1f5bb1da.qua' verschoben!
C:\Users\Kalle\AppData\Local\Temp\cyUUukHn.exe.part
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Bundledz.C
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '794ffdf0.qua' verschoben!
C:\Users\Kalle\AppData\Local\Temp\611qCrkr.exe.part
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Bundledz.C
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3ca7d316.qua' verschoben!
C:\$Recycle.Bin\S-1-5-21-1687849217-2001803891-1520016243-1003\$RZTXS27.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen2
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43ebe156.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 18. Juli 2012  09:28
Benötigte Zeit:  2:15:23 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  33246 Verzeichnisse wurden überprüft
 814821 Dateien wurden geprüft
     15 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      6 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 814806 Dateien ohne Befall
   4843 Archive wurden durchsucht
     21 Warnungen
      6 Hinweise
 808822 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Und Nummer 2:

Code:

ATTFilter

 

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 20. Juli 2012  10:48

Es wird nach 3906776 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : Kalle
Computername   : KALLE-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125          Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  08.05.2012 17:37:20
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 17:37:20
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 17:37:21
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 17:37:21
AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 19:44:45
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 13:16:05
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 16:40:38
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 16:44:00
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 12:24:53
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 12:24:53
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 12:24:53
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 12:24:53
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 12:24:53
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 12:24:53
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 12:24:53
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 12:24:53
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 12:24:54
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 18:41:44
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 20:11:26
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 01:54:10
VBASE017.VDF   : 7.11.35.143   126464 Bytes  09.07.2012 08:20:43
VBASE018.VDF   : 7.11.35.235   151552 Bytes  12.07.2012 08:25:58
VBASE019.VDF   : 7.11.36.45    118784 Bytes  13.07.2012 15:30:33
VBASE020.VDF   : 7.11.36.107   123904 Bytes  16.07.2012 15:30:35
VBASE021.VDF   : 7.11.36.147   238592 Bytes  17.07.2012 15:30:36
VBASE022.VDF   : 7.11.36.209   135168 Bytes  19.07.2012 08:38:26
VBASE023.VDF   : 7.11.36.210     2048 Bytes  19.07.2012 08:38:26
VBASE024.VDF   : 7.11.36.211     2048 Bytes  19.07.2012 08:38:26
VBASE025.VDF   : 7.11.36.212     2048 Bytes  19.07.2012 08:38:26
VBASE026.VDF   : 7.11.36.213     2048 Bytes  19.07.2012 08:38:27
VBASE027.VDF   : 7.11.36.214     2048 Bytes  19.07.2012 08:38:27
VBASE028.VDF   : 7.11.36.215     2048 Bytes  19.07.2012 08:38:27
VBASE029.VDF   : 7.11.36.216     2048 Bytes  19.07.2012 08:38:27
VBASE030.VDF   : 7.11.36.217     2048 Bytes  19.07.2012 08:38:27
VBASE031.VDF   : 7.11.36.250    53760 Bytes  20.07.2012 08:38:30
Engineversion  : 8.2.10.118
AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 08:20:47
AESCRIPT.DLL   : 8.1.4.34      455035 Bytes  20.07.2012 08:40:08
AESCN.DLL      : 8.1.8.2       131444 Bytes  28.01.2012 12:42:03
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 11:17:03
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 21:16:06
AEPACK.DLL     : 8.3.0.16      807287 Bytes  20.07.2012 08:40:03
AEOFFICE.DLL   : 8.1.2.42      201083 Bytes  20.07.2012 08:39:43
AEHEUR.DLL     : 8.1.4.76     5063031 Bytes  20.07.2012 08:39:40
AEHELP.DLL     : 8.1.23.2      258422 Bytes  29.06.2012 12:24:55
AEGEN.DLL      : 8.1.5.34      434548 Bytes  20.07.2012 08:38:36
AEEXP.DLL      : 8.1.0.68       86389 Bytes  20.07.2012 08:40:09
AEEMU.DLL      : 8.1.3.2       393587 Bytes  11.07.2012 08:20:46
AECORE.DLL     : 8.1.27.2      201078 Bytes  11.07.2012 08:20:46
AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 21:46:01
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 17:37:20
AVPREF.DLL     : 12.3.0.15      51920 Bytes  08.05.2012 17:37:20
AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 17:37:21
AVARKT.DLL     : 12.3.0.15     211408 Bytes  08.05.2012 17:37:20
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 17:37:20
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 17:37:21
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  08.05.2012 17:37:20
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 17:37:21
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  08.05.2012 17:37:20
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  08.05.2012 17:37:20

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 20. Juli 2012  10:48

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesTrayAgent.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALDITALKVerbindungsassistent_Launcher.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'PLFSetI.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '39' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1678' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Acer>
C:\OEM\Preload\Autorun\APP\Google Toolbar Acer Edition\Installer_v6.exe
C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool-1.bin
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
C:\Users\Kalle\AppData\Local\Temp\6xuiO+V1.exe.part
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\iiw+zgUp.exe.part
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\jar_cache102269212839451883.tmp
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\jar_cache1896608406471894889.tmp
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\jar_cache256917944931371205.tmp
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\jar_cache373887181696868955.tmp
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\jar_cache48110145763817253.tmp
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\jar_cache6151450039906968118.tmp
  [WARNUNG]   Unerwartetes Dateiende erreicht
C:\Users\Kalle\AppData\Local\Temp\050210151458\Windows6.0-KB929547-v2-x64.msu
  [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Users\Kalle\AppData\Local\Temp\080710150956\Windows6.0-KB929547-v2-x64.msu
  [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Users\Kalle\AppData\Local\Temp\Temp1_11-11-01 install_flashplayer.zip\install_flashplayer11x64_mssd_aih.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Kalle\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\34f86730-695a08d8
  [FUND]      Ist das Trojanische Pferd TR/Winwebsec.aiuzg
C:\Users\Kalle\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\35f492bb-51a0d2d4
  [0] Archivtyp: ZIP
  --> CL1.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DW
  --> CL2.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DX
  --> CL3.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2008-5353.AM.1
C:\Users\Kalle\Downloads\Mulle\KiKaTa.rar
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Kalle\Downloads\Programme\11-10-17 avira_free_antivirus_de.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Kalle\Downloads\Programme\11-11-01 install_flashplayer.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Kalle\Downloads\Programme\11-11-01 install_flashplayer\install_flashplayer11x32ax_aih.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Kalle\Downloads\Programme\11-11-01 install_flashplayer\install_flashplayer11x32_mssd_aih.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Kalle\Downloads\Programme\11-11-01 install_flashplayer\install_flashplayer11x64ax_aih.exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Windows\SoftwareDistribution\Download\a568738027b9278d7681fca958f664fb\BITDF79.tmp
  [0] Archivtyp: CAB SFX (self extracting)
  --> silverlight.7z
      [WARNUNG]   Die Datei konnte nicht gelesen werden!
  [WARNUNG]   Die Datei konnte nicht gelesen werden!

Beginne mit der Desinfektion:
C:\Users\Kalle\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\35f492bb-51a0d2d4
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DW
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56e8e36a.qua' verschoben!
C:\Users\Kalle\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\34f86730-695a08d8
  [FUND]      Ist das Trojanische Pferd TR/Winwebsec.aiuzg
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e7fcccc.qua' verschoben!
C:\OEM\Preload\Autorun\APP\Google Toolbar Acer Edition\Installer_v6.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1c3396ee.qua' verschoben!


Ende des Suchlaufs: Freitag, 20. Juli 2012  13:38
Benötigte Zeit:  2:04:31 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  32659 Verzeichnisse wurden überprüft
 760702 Dateien wurden geprüft
      6 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      3 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 760696 Dateien ohne Befall
   4405 Archive wurden durchsucht
     20 Warnungen
      3 Hinweise
 810246 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Danke für deine Arbeit und Hilfe!

20.07.2012, 20:04	#2
markusg /// Malware-holic	Malware Security Shield erst da, dann wieder weg! hi öffne avira, berichte poste ds scan log bitte __________________ __________________

Malware Security Shield erst da, dann wieder weg!

Log-Analyse und Auswertung: Malware Security Shield erst da, dann wieder weg!