| |
| |||||||
Log-Analyse und Auswertung: TR/Agent.73728.15 in C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe und \Lokale Einstellungen\Temp\1463906.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.11.2012, 15:37
| #1 |
 |  TR/Agent.73728.15 in C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe und \Lokale Einstellungen\Temp\1463906.exe Hallo, Avira hat bei manueller Suche den Trojaner TR/Agent.73728.15 bei mir 2 mal gefunden: C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe und C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temp\1463906.exe Diese habe ich in Quarantäne verschoben. Jetzt findet Avira nichts mehr, außer 63 Warnungen. Was mir noch aufgefallen ist, bei meinem Avira lässt sich der Echtzeit-Scanner nicht einschalten, dann stürzt Avira ab (Das Programm antwortet nicht.) Aber keine Ahnung, ob das unmittelbar damit was zu tun hat oder durch Neuinstallation von Avira behoben würde. Zu dem Trojaner hab ich im Forum einen Beitrag gefunden (http://www.trojaner-board.de/126255-...8-80000cb.html bearbeitet von ryder am 28.10.2012), nur ich weiß nicht, ob ich mich danach richten kann, oder ob das in Quarantäne schieben vielleicht schon reicht? Nun zu den vom Forum vorgegeben Schritten: Den Schritt 1 (vollständiger Scan mit Anleitung: Malwarebytes Anti-Malware ) habe ich nicht gemacht, da die Dateien bereits in Quarantäne sind. Hier die Logs aus Schritt 2: OTL.txt (siehe Anhang, da zu lang) Extras.txt Code:
ATTFilter OTL Extras logfile created on: 13.11.2012 10:35:51 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Alexander\Desktop\Trojaner-Bekämpfung
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
895,11 Mb Total Physical Memory | 534,11 Mb Available Physical Memory | 59,67% Memory free
2,26 Gb Paging File | 1,77 Gb Available in Paging File | 78,61% Paging File free
Paging file location(s): C:\pagefile.sys 1488 2976 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 127,99 Gb Total Space | 42,31 Gb Free Space | 33,06% Space Free | Partition Type: NTFS
Computer Name: ALEX | User Name: Alexander | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.scr [@ = AutoCADScriptFile] -- "" "%1"
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\ICQLite\ICQLite.exe" = C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite
"C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule
"C:\Programme\Messenger\msmsgs.exe" = C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger -- (Microsoft Corporation)
"D:\Daten\Fun\Warmduscher.exe" = D:\Daten\Fun\Warmduscher.exe:*:Enabled:Warmduscher
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\Programme\Atari\Crashday\Crashday.exe" = C:\Programme\Atari\Crashday\Crashday.exe:*:Disabled:Crashday -- ()
"C:\Programme\Nokia\Nokia Software Updater\nsu_ui_client.exe" = C:\Programme\Nokia\Nokia Software Updater\nsu_ui_client.exe:*:Enabled:Nokia Software Updater
"C:\Programme\Gemeinsame Dateien\Nokia\Service Layer\A\nsl_host_process.exe" = C:\Programme\Gemeinsame Dateien\Nokia\Service Layer\A\nsl_host_process.exe:*:Enabled:Nokia Service Layer Host Process
"C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe" = C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe:*:Enabled:ClipInc Server
"C:\Programme\Tobit ClipInc\Player\ClipInc-Player.exe" = C:\Programme\Tobit ClipInc\Player\ClipInc-Player.exe:*:Enabled:ClipInc Player
"C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6
"C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE" = C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE:*:Enabled:WEB.DE MultiMessenger
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\Real\RealPlayer\realplay.exe" = C:\Programme\Real\RealPlayer\realplay.exe:*:Disabled:RealPlayer -- (RealNetworks, Inc.)
"E:\EasyBrowse2K2.exe" = E:\EasyBrowse2K2.exe:*:Enabled:EB.2go
"C:\WINDOWS\system32\mmc.exe" = C:\WINDOWS\system32\mmc.exe:*:Enabled:Microsoft Management Console -- (Microsoft Corporation)
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser
"C:\Programme\Bonjour\mDNSResponder.exe" = C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Dienst "Bonjour" -- (Apple Inc.)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\WINDOWS\system32\svchost.exe" = C:\WINDOWS\system32\svchost.exe:*:Enabled:Microsoft Office -- (Microsoft Corporation)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{055EE59D-217B-43A7-ABFF-507B966405D8}" = ATI Catalyst Control Center
"{05E7B5BE-6E53-EBE9-E51F-B0513239B093}" = Catalyst Control Center Graphics Previews Common
"{0D09E359-0C98-4D93-B6F9-1FF68ED4B27C}" = Nokia Multimedia Player
"{136CFE1A-8B61-36A5-1071-FD4C6DCE6820}" = ccc-utility
"{15B44D14-D44E-4C99-8D5A-5E269875EA2C}" = ACSI Campingführer Deutschland 2010
"{16A7373C-4B50-7314-61DD-331A4AECD571}" = CCC Help English
"{1ADABB42-F098-0778-BC92-D66B3C5ED538}" = Catalyst Control Center Graphics Full Existing
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java(TM) 6 Update 37
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{28C2DED6-325B-4CC7-983A-1777C8F7FBAB}" = RealUpgrade 1.1
"{3248F0A8-6813-11D6-A77B-00B0D0150030}" = J2SE Runtime Environment 5.0 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java(TM) SE Runtime Environment 6 Update 1
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{43BF39DA-7C73-C00F-D5AF-775D1EC73EF3}" = Skins
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4BDFD2CE-6329-42E4-9801-9B3D1F10D79B}" = Adobe® Photoshop® Album Starter Edition 3.0
"{4DBCFDD9-2C48-7DD4-4FBE-082E457943B5}" = ccc-core-preinstall
"{51F96AEC-D902-4434-A0DC-B9692A21AE7C}" = MobileMe Control Panel
"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support
"{5534D076-81B6-209F-119B-1A792D380C21}" = Catalyst Control Center Graphics Full New
"{5783F2D7-5013-0407-0002-0060B0CE6BBA}" = Autodesk Mechanical Desktop 2007
"{587178E7-B1DF-494E-9838-FA4DD36E873C}" = ASUSUpdate
"{5C86E6C3-BDEC-EA73-984A-DB5A30724EF9}" = Catalyst Control Center Core Implementation
"{5ECB3A3C-980B-4D12-9724-25DCB07A1F47}" = iTunes
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{64BFAD18-CE72-152A-AA9A-8C2AC170DC9E}" = Catalyst Control Center Graphics Light
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7770E71B-2D43-4800-9CB3-5B6CAAEBEBEA}" = RealNetworks - Microsoft Visual C++ 2008 Runtime
"{7DA64485-2CEE-4F7B-84AB-B287236703B6}" = HERMA Label Designer plus 1.1
"{7F4DD591-1100-0409-0000-7107D70F3DB4}" = Autodesk Inventor Professional 11
"{8A253629-0511-4854-8B4E-46E57E66005C}" = Bonjour
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{99A40651-0BC2-4095-8F9A-A40FAB224FEF}" = PC Connectivity Solution
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9C27ADE1-EAFB-4BB7-9FE3-5DD9BA9A3DD2}" = Crashday
"{9DE1BE03-AFE2-4CDB-BFEB-D06D736CD01A}" = Apple Mobile Device Support
"{A17EABB6-D0C6-44E5-820C-72DC7F495064}" = PaperPort
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{BA20221E-4D27-8DFA-14C2-D673CEB1C888}" = ccc-core-static
"{BB9AC6BF-71B6-42A4-9689-C17D9F44E79A}" = Brother MFL-Pro Suite
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C151CE54-E7EA-4804-854B-F515368B0798}" = Athlon 64 Processor Driver
"{C4674FEF-AC81-79B6-C6C9-1E13CD51B77C}" = myphotobook.de
"{CB09F557-4821-46D0-BF86-8D1389AA6BC7}" = Tabellenbuch Metall digital
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F3CA9611-CD42-4562-ADAB-A554CF8E17F1}" = Microsoft WSE 2.0 SP3 Runtime
"{FA1DF66C-5EFA-4F8A-9256-0C7D2D74C640}" = Wohnwagen Park Tycoon So lebt totaler Trash
"{FE23D063-934D-4829-A0D8-00634CE79B4A}" = Adobe AIR
"{FE7A0CD5-09B9-411D-B122-066BF28FC553}" = GeoViewer
"4-Scan_is1" = UWerk 4-Scan V1.4
"7-Zip" = 7-Zip 4.65
"Adobe AIR" = Adobe AIR
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"All ATI Software" = ATI - Software Uninstall Utility
"ATI Display Driver" = ATI Display Driver
"Autodesk DWF Viewer" = Autodesk DWF Viewer
"Avira AntiVir Desktop" = Avira Free Antivirus
"Bagger-Simulator 2008" = Bagger-Simulator 2008
"CCleaner" = CCleaner (remove only)
"de.myphotobook.creator.001F9DF2D0BAABEB11F42CCEE43224607B61109C.1" = myphotobook.de
"FileZilla Client" = FileZilla Client 3.2.7.1
"ie8" = Windows Internet Explorer 8
"InstallShield_{0D09E359-0C98-4D93-B6F9-1FF68ED4B27C}" = Nokia Multimedia Player
"InstallShield_{15B44D14-D44E-4C99-8D5A-5E269875EA2C}" = ACSI Campingführer Deutschland 2010
"iPhoto Plus 4" = iPhoto Plus 4
"Labtec Media Keyboard V5.1" = Labtec Media Keyboard V5.1
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 16.0.2 (x86 de)" = Mozilla Firefox 16.0.2 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NVIDIA Drivers" = NVIDIA Drivers
"PCI Audio Driver" = PCI Audio Driver
"RealPlayer 12.0" = RealPlayer
"ShockwaveFlash" = Macromedia Flash Player 8
"WET7Cable" = Windows-EasyTransfer
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01005" = Microsoft User-Mode Driver Framework Feature Pack 1.5
"YTdetect" = Yahoo! Detect
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 12.11.2012 05:23:20 | Computer Name = ALEX | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung avcenter.exe, Version 13.4.0.232, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 12.11.2012 14:07:13 | Computer Name = ALEX | Source = Avira Antivirus | ID = 4122
Description = Die Datei AVGDLL_Init(avgntflt) konnte nicht geladen werden. Fehlercode:
0xffffffff
Error - 12.11.2012 14:07:32 | Computer Name = ALEX | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung avguard.exe, Version 13.4.0.232, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x00019af2.
Error - 12.11.2012 14:09:17 | Computer Name = ALEX | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung avcenter.exe, Version 13.4.0.232, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 12.11.2012 14:13:57 | Computer Name = ALEX | Source = Avira Antivirus | ID = 4122
Description = Die Datei AVGDLL_Init(avgntflt) konnte nicht geladen werden. Fehlercode:
0xffffffff
Error - 12.11.2012 14:23:37 | Computer Name = ALEX | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung avcenter.exe, Version 13.4.0.232, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 12.11.2012 15:41:47 | Computer Name = ALEX | Source = Avira Antivirus | ID = 4122
Description = Die Datei AVGDLL_Init(avgntflt) konnte nicht geladen werden. Fehlercode:
0xffffffff
Error - 13.11.2012 05:16:16 | Computer Name = ALEX | Source = Avira Antivirus | ID = 4122
Description = Die Datei AVGDLL_Init(avgntflt) konnte nicht geladen werden. Fehlercode:
0xffffffff
Error - 13.11.2012 05:21:39 | Computer Name = ALEX | Source = Avira Antivirus | ID = 4122
Description = Die Datei AVGDLL_Init(avgntflt) konnte nicht geladen werden. Fehlercode:
0xffffffff
Error - 13.11.2012 05:21:59 | Computer Name = ALEX | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung avguard.exe, Version 13.4.0.232, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x00019af2.
[ System Events ]
Error - 12.11.2012 14:24:15 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "avipbb" wurde aufgrund folgenden Fehlers nicht gestartet:
%%31
Error - 12.11.2012 15:41:41 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "avipbb" wurde aufgrund folgenden Fehlers nicht gestartet:
%%31
Error - 12.11.2012 15:42:05 | Computer Name = ALEX | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Avira Echtzeit-Scanner" wurde mit folgendem dienstspezifischem
Fehler beendet: 307 (0x133).
Error - 13.11.2012 05:04:51 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "avgntflt" wurde aufgrund folgenden Fehlers nicht gestartet:
%%31
Error - 13.11.2012 05:16:08 | Computer Name = ALEX | Source = Service Control Manager | ID = 7022
Description = Der Dienst "Avira Echtzeit-Scanner" wurde nicht ordnungsgemäß gestartet.
Error - 13.11.2012 05:16:08 | Computer Name = ALEX | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
avipbb avkmgr sptd
Error - 13.11.2012 05:16:10 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "avipbb" wurde aufgrund folgenden Fehlers nicht gestartet:
%%31
Error - 13.11.2012 05:16:35 | Computer Name = ALEX | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Avira Echtzeit-Scanner" wurde mit folgendem dienstspezifischem
Fehler beendet: 307 (0x133).
Error - 13.11.2012 05:21:33 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "avipbb" wurde aufgrund folgenden Fehlers nicht gestartet:
%%31
Error - 13.11.2012 05:21:54 | Computer Name = ALEX | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Avira Echtzeit-Scanner" wurde mit folgendem dienstspezifischem
Fehler beendet: 307 (0x133).
< End of report >
Gmer.txt (Dabei kam zunächst Folgende Fehlermeldung: LoadDriver("C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp\pxtdrpog.sys") error 0xC0000001: Ein dauerhafter Unterschlüssel kann nicht unter einem temporären übergeordneten Schlüssel erstellt werden. Danach ging es dann aber weiter.) Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-11-13 11:03:52
Windows 5.1.2600 Service Pack 3
Running: lhkxdpco.exe
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\System32\Drivers\b517761af784ab3.sys (*** hidden *** ) [BOOT] b517761af784ab3 <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\b517761af784ab3@ImagePath \SystemRoot\System32\Drivers\b517761af784ab3.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\b517761af784ab3@Group Boot Bus Extender
Reg HKLM\SYSTEM\CurrentControlSet\Services\b517761af784ab3@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\b517761af784ab3@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\b517761af784ab3@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\b517761af784ab3@Tag 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\b517761af784ab3@DisplayName deadorziwaty.exe
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d0a103b
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d0a103b@001de97b523a 0xCF 0x0F 0x9D 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\b517761af784ab3@ImagePath \SystemRoot\System32\Drivers\b517761af784ab3.sys
Reg HKLM\SYSTEM\ControlSet002\Services\b517761af784ab3@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet002\Services\b517761af784ab3@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\b517761af784ab3@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\b517761af784ab3@Start 0
Reg HKLM\SYSTEM\ControlSet002\Services\b517761af784ab3@Tag 1
Reg HKLM\SYSTEM\ControlSet002\Services\b517761af784ab3@DisplayName deadorziwaty.exe
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000b0d0a103b (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000b0d0a103b@001de97b523a 0xCF 0x0F 0x9D 0x02 ...
---- EOF - GMER 1.0.15 ----
Und zum Schluss noch die 2 Avira Logs: (Nach dem ersten Suchlauf hatte ich anscheinend nicht alles in Qurantäne geschoben, den 2. lauf habe ich am Tag später im abgesicherten Modus gemacht. Ein 3. Suchlauf im normalen Modus ergab dann keine Befunde mehr, davon hier auch kein Log.) Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 10. November 2012 14:10
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ALEX
Versionsinformationen:
BUILD.DAT : 13.0.0.2735 48280 Bytes 26.10.2012 10:11:00
AVSCAN.EXE : 13.4.0.235 637728 Bytes 17.10.2012 14:55:14
AVSCANRC.DLL : 13.4.0.219 64800 Bytes 09.10.2012 13:49:58
LUKE.DLL : 13.4.0.232 67360 Bytes 16.10.2012 17:05:31
AVSCPLR.DLL : 13.4.0.232 93984 Bytes 16.10.2012 16:58:17
AVREG.DLL : 13.4.0.232 245536 Bytes 16.10.2012 16:57:43
avlode.dll : 13.4.0.240 426272 Bytes 25.10.2012 13:40:31
avlode.rdf : 13.0.0.24 7196 Bytes 27.09.2012 10:30:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 14:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 14:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 14:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 14:42:40
VBASE007.VDF : 7.11.45.207 2363904 Bytes 11.10.2012 15:52:17
VBASE008.VDF : 7.11.45.208 2048 Bytes 11.10.2012 15:52:17
VBASE009.VDF : 7.11.45.209 2048 Bytes 11.10.2012 15:52:17
VBASE010.VDF : 7.11.45.210 2048 Bytes 11.10.2012 15:52:17
VBASE011.VDF : 7.11.45.211 2048 Bytes 11.10.2012 15:52:17
VBASE012.VDF : 7.11.45.212 2048 Bytes 11.10.2012 15:52:17
VBASE013.VDF : 7.11.45.213 2048 Bytes 11.10.2012 15:52:17
VBASE014.VDF : 7.11.46.65 220160 Bytes 16.10.2012 12:34:30
VBASE015.VDF : 7.11.46.153 173568 Bytes 18.10.2012 09:35:47
VBASE016.VDF : 7.11.46.223 162304 Bytes 19.10.2012 09:35:47
VBASE017.VDF : 7.11.47.35 126464 Bytes 22.10.2012 07:59:23
VBASE018.VDF : 7.11.47.95 175616 Bytes 24.10.2012 12:50:08
VBASE019.VDF : 7.11.47.177 164352 Bytes 26.10.2012 13:06:55
VBASE020.VDF : 7.11.47.229 143360 Bytes 28.10.2012 13:06:57
VBASE021.VDF : 7.11.48.47 138240 Bytes 30.10.2012 13:06:59
VBASE022.VDF : 7.11.48.135 122880 Bytes 01.11.2012 13:07:01
VBASE023.VDF : 7.11.48.209 142848 Bytes 05.11.2012 13:07:03
VBASE024.VDF : 7.11.48.243 119296 Bytes 05.11.2012 13:07:06
VBASE025.VDF : 7.11.49.47 136704 Bytes 07.11.2012 13:07:08
VBASE026.VDF : 7.11.49.135 194560 Bytes 09.11.2012 13:07:12
VBASE027.VDF : 7.11.49.136 2048 Bytes 09.11.2012 13:07:12
VBASE028.VDF : 7.11.49.137 2048 Bytes 09.11.2012 13:07:12
VBASE029.VDF : 7.11.49.138 2048 Bytes 09.11.2012 13:07:12
VBASE030.VDF : 7.11.49.139 2048 Bytes 09.11.2012 13:07:12
VBASE031.VDF : 7.11.49.178 58368 Bytes 10.11.2012 13:07:13
Engineversion : 8.2.10.196
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 14:42:55
AESCRIPT.DLL : 8.1.4.64 463228 Bytes 10.11.2012 13:08:14
AESCN.DLL : 8.1.9.2 131444 Bytes 26.09.2012 14:54:07
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 16:58:06
AERDL.DLL : 8.2.0.74 643445 Bytes 10.11.2012 13:08:12
AEPACK.DLL : 8.3.0.38 811382 Bytes 28.09.2012 11:24:10
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 10.11.2012 13:08:04
AEHEUR.DLL : 8.1.4.130 5513592 Bytes 10.11.2012 13:08:00
AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 15:52:32
AEGEN.DLL : 8.1.6.8 434548 Bytes 10.11.2012 13:07:22
AEEXP.DLL : 8.2.0.10 119158 Bytes 10.11.2012 13:08:16
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 14:42:55
AECORE.DLL : 8.1.29.2 201079 Bytes 10.11.2012 13:07:19
AEBB.DLL : 8.1.1.4 53619 Bytes 10.11.2012 13:07:18
AVWINLL.DLL : 13.4.0.163 25888 Bytes 19.09.2012 18:09:30
AVPREF.DLL : 13.4.0.163 50464 Bytes 19.09.2012 18:07:51
AVREP.DLL : 13.4.0.214 179240 Bytes 10.11.2012 13:08:17
AVARKT.DLL : 13.4.0.232 260384 Bytes 16.10.2012 16:55:29
AVEVTLOG.DLL : 13.4.0.232 167200 Bytes 16.10.2012 16:56:35
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 18:17:40
AVSMTP.DLL : 13.4.0.163 62240 Bytes 19.09.2012 18:08:54
NETNT.DLL : 13.4.0.163 15648 Bytes 19.09.2012 18:16:26
RCIMAGE.DLL : 13.4.0.163 4780832 Bytes 19.09.2012 18:21:16
RCTEXT.DLL : 13.4.0.163 68384 Bytes 19.09.2012 18:21:16
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Schnelle Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\quicksysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Samstag, 10. November 2012 14:10
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path\Debugger> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1614895754-1958367476-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\deadorziwaty> wurde erfolgreich entfernt.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'deadorziwaty.exe' - '66' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe>
[FUND] Ist das Trojanische Pferd TR/Agent.73728.15
[HINWEIS] Prozess 'deadorziwaty.exe' wurde beendet
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1614895754-1958367476-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\deadorziwaty> wurde erfolgreich repariert.
Durchsuche Prozess 'deadorziwaty.exe' - '62' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe>
[FUND] Ist das Trojanische Pferd TR/Agent.73728.15
[HINWEIS] Prozess 'deadorziwaty.exe' wurde beendet
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAStiSvc.exe' - '6' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '155' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'deadorziwaty.exe' - '61' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe>
[FUND] Ist das Trojanische Pferd TR/Agent.73728.15
[HINWEIS] Prozess 'deadorziwaty.exe' wurde beendet
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
Durchsuche Prozess 'avgnt.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.EXE' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'Mixer.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'kbdap32a.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '150' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe
[FUND] Ist das Trojanische Pferd TR/Agent.73728.15
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '724bb73c.qua' verschoben!
Ende des Suchlaufs: Samstag, 10. November 2012 14:12
Benötigte Zeit: 01:39 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
5382 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
5380 Dateien ohne Befall
20 Archive wurden durchsucht
0 Warnungen
4 Hinweise
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 12. November 2012 10:52
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Abgesicherter Modus
Benutzername : Alexander
Computername : ALEX
Versionsinformationen:
BUILD.DAT : 13.0.0.2735 48280 Bytes 26.10.2012 10:11:00
AVSCAN.EXE : 13.4.0.235 637728 Bytes 17.10.2012 14:55:14
AVSCANRC.DLL : 13.4.0.219 64800 Bytes 09.10.2012 13:49:58
LUKE.DLL : 13.4.0.232 67360 Bytes 16.10.2012 17:05:31
AVSCPLR.DLL : 13.4.0.232 93984 Bytes 16.10.2012 16:58:17
AVREG.DLL : 13.4.0.232 245536 Bytes 16.10.2012 16:57:43
avlode.dll : 13.4.0.240 426272 Bytes 25.10.2012 13:40:31
avlode.rdf : 13.0.0.24 7196 Bytes 27.09.2012 10:30:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 14:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 14:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 14:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 14:42:40
VBASE007.VDF : 7.11.45.207 2363904 Bytes 11.10.2012 15:52:17
VBASE008.VDF : 7.11.45.208 2048 Bytes 11.10.2012 15:52:17
VBASE009.VDF : 7.11.45.209 2048 Bytes 11.10.2012 15:52:17
VBASE010.VDF : 7.11.45.210 2048 Bytes 11.10.2012 15:52:17
VBASE011.VDF : 7.11.45.211 2048 Bytes 11.10.2012 15:52:17
VBASE012.VDF : 7.11.45.212 2048 Bytes 11.10.2012 15:52:17
VBASE013.VDF : 7.11.45.213 2048 Bytes 11.10.2012 15:52:17
VBASE014.VDF : 7.11.46.65 220160 Bytes 16.10.2012 12:34:30
VBASE015.VDF : 7.11.46.153 173568 Bytes 18.10.2012 09:35:47
VBASE016.VDF : 7.11.46.223 162304 Bytes 19.10.2012 09:35:47
VBASE017.VDF : 7.11.47.35 126464 Bytes 22.10.2012 07:59:23
VBASE018.VDF : 7.11.47.95 175616 Bytes 24.10.2012 12:50:08
VBASE019.VDF : 7.11.47.177 164352 Bytes 26.10.2012 13:06:55
VBASE020.VDF : 7.11.47.229 143360 Bytes 28.10.2012 13:06:57
VBASE021.VDF : 7.11.48.47 138240 Bytes 30.10.2012 13:06:59
VBASE022.VDF : 7.11.48.135 122880 Bytes 01.11.2012 13:07:01
VBASE023.VDF : 7.11.48.209 142848 Bytes 05.11.2012 13:07:03
VBASE024.VDF : 7.11.48.243 119296 Bytes 05.11.2012 13:07:06
VBASE025.VDF : 7.11.49.47 136704 Bytes 07.11.2012 13:07:08
VBASE026.VDF : 7.11.49.135 194560 Bytes 09.11.2012 13:07:12
VBASE027.VDF : 7.11.49.136 2048 Bytes 09.11.2012 13:07:12
VBASE028.VDF : 7.11.49.137 2048 Bytes 09.11.2012 13:07:12
VBASE029.VDF : 7.11.49.138 2048 Bytes 09.11.2012 13:07:12
VBASE030.VDF : 7.11.49.139 2048 Bytes 09.11.2012 13:07:12
VBASE031.VDF : 7.11.49.184 112128 Bytes 10.11.2012 19:08:26
Engineversion : 8.2.10.196
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 14:42:55
AESCRIPT.DLL : 8.1.4.64 463228 Bytes 10.11.2012 13:08:14
AESCN.DLL : 8.1.9.2 131444 Bytes 26.09.2012 14:54:07
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 16:58:06
AERDL.DLL : 8.2.0.74 643445 Bytes 10.11.2012 13:08:12
AEPACK.DLL : 8.3.0.38 811382 Bytes 28.09.2012 11:24:10
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 10.11.2012 13:08:04
AEHEUR.DLL : 8.1.4.130 5513592 Bytes 10.11.2012 13:08:00
AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 15:52:32
AEGEN.DLL : 8.1.6.8 434548 Bytes 10.11.2012 13:07:22
AEEXP.DLL : 8.2.0.10 119158 Bytes 10.11.2012 13:08:16
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 14:42:55
AECORE.DLL : 8.1.29.2 201079 Bytes 10.11.2012 13:07:19
AEBB.DLL : 8.1.1.4 53619 Bytes 10.11.2012 13:07:18
AVWINLL.DLL : 13.4.0.163 25888 Bytes 19.09.2012 18:09:30
AVPREF.DLL : 13.4.0.163 50464 Bytes 19.09.2012 18:07:51
AVREP.DLL : 13.4.0.214 179240 Bytes 10.11.2012 13:08:17
AVARKT.DLL : 13.4.0.232 260384 Bytes 16.10.2012 16:55:29
AVEVTLOG.DLL : 13.4.0.232 167200 Bytes 16.10.2012 16:56:35
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 18:17:40
AVSMTP.DLL : 13.4.0.163 62240 Bytes 19.09.2012 18:08:54
NETNT.DLL : 13.4.0.163 15648 Bytes 19.09.2012 18:16:26
RCIMAGE.DLL : 13.4.0.163 4780832 Bytes 19.09.2012 18:21:16
RCTEXT.DLL : 13.4.0.163 68384 Bytes 19.09.2012 18:21:16
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Montag, 12. November 2012 10:52
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4830' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temp\1463906.exe
[FUND] Ist das Trojanische Pferd TR/Agent.73728.15
C:\WINDOWS\system32\drivers\b517761af784ab3.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\slwdmsup.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\smbali.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\smclib.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sonydcam.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\splitter.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sr.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\srv.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\stream.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\streamip.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\swenum.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\swmidi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sysaudio.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tape.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tcpip.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tcpip6.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tdi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tdpipe.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tdtcp.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\termdd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tosdvd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tsbvcap.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tunmp.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\uagp35.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\udfs.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\update.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usb8023.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usb8023x.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbaapl.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbcamd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbcamd2.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbccgp.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbehci.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbhub.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbintel.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbohci.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbport.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbprint.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbscan.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\USBSTOR.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbvideo.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vchnt5.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vdmindvd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vga.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\viaagp.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\videoprt.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\volsnap.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wacompen.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wadv07nt.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wadv08nt.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wadv09nt.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wadv11nt.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wanarp.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\watv06nt.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\watv10nt.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wceusbsh.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wdmaud.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wmilib.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\ws2ifsl.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wstcodec.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\WudfPf.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\WudfRd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temp\1463906.exe
[FUND] Ist das Trojanische Pferd TR/Agent.73728.15
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '521e8b07.qua' verschoben!
Ende des Suchlaufs: Montag, 12. November 2012 18:17
Benötigte Zeit: 5:29:24 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
16111 Verzeichnisse wurden überprüft
524089 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
63 Dateien konnten nicht durchsucht werden
524025 Dateien ohne Befall
6038 Archive wurden durchsucht
63 Warnungen
1 Hinweise
Vielen Dank schon mal im Vorraus! |
| Themen zu TR/Agent.73728.15 in C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe und \Lokale Einstellungen\Temp\1463906.exe |
| 0xc0000001, 7-zip, bonjour, ccc.exe, desktop, echtzeit-scanner, einstellungen, error, fehlermeldung, flash player, format, google, help, logfile, mmc.exe, mom.exe, mozilla, ntdll.dll, programm, prozesse, realtek, registry, rundll, security, server, services.exe, software, svchost.exe, tcp, trojaner, udp, usb, windows internet |
Baum-Darstellung