Ich bekomme von Avira AntiVir seit gestern immer wieder die Warnung, dass sich verdächtige Dateien auf dem Rechner befinden. Habe entfernen gedrückt. In der Quarantäne lese ich, dass es sich um den Trojaner TR/ATRAPS.GEN und TR/ATRAPS.GEN2 handelt.
Habe dann log-files wie dieses:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 15. Dezember 2012  14:37

Es wird nach 4507772 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : MUEHLI

Versionsinformationen:
BUILD.DAT      : 10.2.0.719     36070 Bytes  25.10.2012 10:38:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  07.07.2011 11:47:36
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  07.07.2011 11:47:36
LUKE.DLL       : 10.3.0.5       45416 Bytes  07.07.2011 11:47:37
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  07.07.2011 11:47:38
AVREG.DLL      : 10.3.0.9       88833 Bytes  17.07.2011 15:50:30
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:53:47
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 08:30:17
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 20:50:04
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 13:09:54
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 21:06:40
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 12:54:28
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 20:08:40
VBASE008.VDF   : 7.11.50.231     2048 Bytes  22.11.2012 20:08:40
VBASE009.VDF   : 7.11.50.232     2048 Bytes  22.11.2012 20:08:40
VBASE010.VDF   : 7.11.50.233     2048 Bytes  22.11.2012 20:08:40
VBASE011.VDF   : 7.11.50.234     2048 Bytes  22.11.2012 20:08:40
VBASE012.VDF   : 7.11.50.235     2048 Bytes  22.11.2012 20:08:40
VBASE013.VDF   : 7.11.50.236     2048 Bytes  22.11.2012 20:08:40
VBASE014.VDF   : 7.11.51.27    133632 Bytes  23.11.2012 20:08:41
VBASE015.VDF   : 7.11.51.95    140288 Bytes  26.11.2012 20:08:42
VBASE016.VDF   : 7.11.51.221   164352 Bytes  29.11.2012 22:38:15
VBASE017.VDF   : 7.11.52.29    158208 Bytes  01.12.2012 22:38:16
VBASE018.VDF   : 7.11.52.91    116736 Bytes  03.12.2012 22:38:17
VBASE019.VDF   : 7.11.52.151   137728 Bytes  05.12.2012 22:38:17
VBASE020.VDF   : 7.11.52.225   157696 Bytes  06.12.2012 22:38:18
VBASE021.VDF   : 7.11.53.35    126976 Bytes  08.12.2012 09:16:36
VBASE022.VDF   : 7.11.53.36      2048 Bytes  08.12.2012 09:16:36
VBASE023.VDF   : 7.11.53.37      2048 Bytes  08.12.2012 09:16:36
VBASE024.VDF   : 7.11.53.38      2048 Bytes  08.12.2012 09:16:36
VBASE025.VDF   : 7.11.53.39      2048 Bytes  08.12.2012 09:16:37
VBASE026.VDF   : 7.11.53.40      2048 Bytes  08.12.2012 09:16:37
VBASE027.VDF   : 7.11.53.41      2048 Bytes  08.12.2012 09:16:37
VBASE028.VDF   : 7.11.53.42      2048 Bytes  08.12.2012 09:16:37
VBASE029.VDF   : 7.11.53.43      2048 Bytes  08.12.2012 09:16:37
VBASE030.VDF   : 7.11.53.44      2048 Bytes  08.12.2012 09:16:37
VBASE031.VDF   : 7.11.53.48     18944 Bytes  08.12.2012 09:16:37
Engineversion  : 8.2.10.216
AEVDF.DLL      : 8.1.2.10      102772 Bytes  15.07.2012 21:08:07
AESCRIPT.DLL   : 8.1.4.72      467323 Bytes  07.12.2012 22:38:32
AESCN.DLL      : 8.1.9.4       131445 Bytes  16.11.2012 17:41:43
AESBX.DLL      : 8.2.5.12      606578 Bytes  09.07.2012 21:07:03
AERDL.DLL      : 8.2.0.74      643445 Bytes  11.11.2012 13:51:08
AEPACK.DLL     : 8.3.0.40      815479 Bytes  14.11.2012 13:28:44
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  11.11.2012 13:51:04
AEHEUR.DLL     : 8.1.4.160    5624184 Bytes  07.12.2012 22:38:30
AEHELP.DLL     : 8.1.25.2      258423 Bytes  19.10.2012 21:24:08
AEGEN.DLL      : 8.1.6.10      438646 Bytes  16.11.2012 17:41:32
AEEXP.DLL      : 8.2.0.18      123253 Bytes  07.12.2012 22:38:32
AEEMU.DLL      : 8.1.3.2       393587 Bytes  15.07.2012 21:07:56
AECORE.DLL     : 8.1.29.2      201079 Bytes  11.11.2012 13:50:52
AEBB.DLL       : 8.1.1.4        53619 Bytes  11.11.2012 13:50:51
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  10.01.2011 13:22:56
AVPREF.DLL     : 10.0.3.2       44904 Bytes  07.07.2011 11:47:36
AVREP.DLL      : 10.0.0.10     174120 Bytes  18.05.2011 11:34:51
AVARKT.DLL     : 10.0.26.1     255336 Bytes  07.07.2011 11:47:35
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  07.07.2011 11:47:35
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:02
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  10.01.2011 13:22:56
NETNT.DLL      : 10.0.0.0       11624 Bytes  17.06.2010 13:27:01
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  07.07.2011 11:47:34
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  07.07.2011 11:47:34

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_5104ddf4\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Samstag, 15. Dezember 2012  14:37

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSKSrvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cli.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mshaktuell.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIEJE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_AICN03.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netwaiting.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnPDetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MskAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tfswctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSVolFE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ifrmewrk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcvsescn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcagent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcvsshld.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cli.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OasClnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mctskshd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcshield.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcdetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLKeeper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\RECYCLER\S-1-5-18\$44e2ae4dbd220f49c46a5c45f4e721ce\U\80000000.@'
C:\RECYCLER\S-1-5-18\$44e2ae4dbd220f49c46a5c45f4e721ce\U\80000000.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5255dc0f.qua' verschoben!
Beginne mit der Suche in 'C:\RECYCLER\S-1-5-18\$44e2ae4dbd220f49c46a5c45f4e721ce\U\800000cb.@'
C:\RECYCLER\S-1-5-18\$44e2ae4dbd220f49c46a5c45f4e721ce\U\800000cb.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ac2f3a8.qua' verschoben!


Ende des Suchlaufs: Samstag, 15. Dezember 2012  14:37
Benötigte Zeit: 00:09 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     75 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     73 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise
         

Ich habe dann ein Scan mit AntiVir durchgeführt mit dem Ergebnissen von 17 Funden. Log-file:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 14. Dezember 2012  21:06

Es wird nach 4507772 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : MUEHLI

Versionsinformationen:
BUILD.DAT      : 10.2.0.719     36070 Bytes  25.10.2012 10:38:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  07.07.2011 11:47:36
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  07.07.2011 11:47:36
LUKE.DLL       : 10.3.0.5       45416 Bytes  07.07.2011 11:47:37
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  07.07.2011 11:47:38
AVREG.DLL      : 10.3.0.9       88833 Bytes  17.07.2011 15:50:30
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:53:47
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 08:30:17
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 20:50:04
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 13:09:54
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 21:06:40
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 12:54:28
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 20:08:40
VBASE008.VDF   : 7.11.50.231     2048 Bytes  22.11.2012 20:08:40
VBASE009.VDF   : 7.11.50.232     2048 Bytes  22.11.2012 20:08:40
VBASE010.VDF   : 7.11.50.233     2048 Bytes  22.11.2012 20:08:40
VBASE011.VDF   : 7.11.50.234     2048 Bytes  22.11.2012 20:08:40
VBASE012.VDF   : 7.11.50.235     2048 Bytes  22.11.2012 20:08:40
VBASE013.VDF   : 7.11.50.236     2048 Bytes  22.11.2012 20:08:40
VBASE014.VDF   : 7.11.51.27    133632 Bytes  23.11.2012 20:08:41
VBASE015.VDF   : 7.11.51.95    140288 Bytes  26.11.2012 20:08:42
VBASE016.VDF   : 7.11.51.221   164352 Bytes  29.11.2012 22:38:15
VBASE017.VDF   : 7.11.52.29    158208 Bytes  01.12.2012 22:38:16
VBASE018.VDF   : 7.11.52.91    116736 Bytes  03.12.2012 22:38:17
VBASE019.VDF   : 7.11.52.151   137728 Bytes  05.12.2012 22:38:17
VBASE020.VDF   : 7.11.52.225   157696 Bytes  06.12.2012 22:38:18
VBASE021.VDF   : 7.11.53.35    126976 Bytes  08.12.2012 09:16:36
VBASE022.VDF   : 7.11.53.36      2048 Bytes  08.12.2012 09:16:36
VBASE023.VDF   : 7.11.53.37      2048 Bytes  08.12.2012 09:16:36
VBASE024.VDF   : 7.11.53.38      2048 Bytes  08.12.2012 09:16:36
VBASE025.VDF   : 7.11.53.39      2048 Bytes  08.12.2012 09:16:37
VBASE026.VDF   : 7.11.53.40      2048 Bytes  08.12.2012 09:16:37
VBASE027.VDF   : 7.11.53.41      2048 Bytes  08.12.2012 09:16:37
VBASE028.VDF   : 7.11.53.42      2048 Bytes  08.12.2012 09:16:37
VBASE029.VDF   : 7.11.53.43      2048 Bytes  08.12.2012 09:16:37
VBASE030.VDF   : 7.11.53.44      2048 Bytes  08.12.2012 09:16:37
VBASE031.VDF   : 7.11.53.48     18944 Bytes  08.12.2012 09:16:37
Engineversion  : 8.2.10.216
AEVDF.DLL      : 8.1.2.10      102772 Bytes  15.07.2012 21:08:07
AESCRIPT.DLL   : 8.1.4.72      467323 Bytes  07.12.2012 22:38:32
AESCN.DLL      : 8.1.9.4       131445 Bytes  16.11.2012 17:41:43
AESBX.DLL      : 8.2.5.12      606578 Bytes  09.07.2012 21:07:03
AERDL.DLL      : 8.2.0.74      643445 Bytes  11.11.2012 13:51:08
AEPACK.DLL     : 8.3.0.40      815479 Bytes  14.11.2012 13:28:44
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  11.11.2012 13:51:04
AEHEUR.DLL     : 8.1.4.160    5624184 Bytes  07.12.2012 22:38:30
AEHELP.DLL     : 8.1.25.2      258423 Bytes  19.10.2012 21:24:08
AEGEN.DLL      : 8.1.6.10      438646 Bytes  16.11.2012 17:41:32
AEEXP.DLL      : 8.2.0.18      123253 Bytes  07.12.2012 22:38:32
AEEMU.DLL      : 8.1.3.2       393587 Bytes  15.07.2012 21:07:56
AECORE.DLL     : 8.1.29.2      201079 Bytes  11.11.2012 13:50:52
AEBB.DLL       : 8.1.1.4        53619 Bytes  11.11.2012 13:50:51
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  10.01.2011 13:22:56
AVPREF.DLL     : 10.0.3.2       44904 Bytes  07.07.2011 11:47:36
AVREP.DLL      : 10.0.0.10     174120 Bytes  18.05.2011 11:34:51
AVARKT.DLL     : 10.0.26.1     255336 Bytes  07.07.2011 11:47:35
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  07.07.2011 11:47:35
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:02
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  10.01.2011 13:22:56
NETNT.DLL      : 10.0.0.0       11624 Bytes  17.06.2010 13:27:01
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  07.07.2011 11:47:34
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  07.07.2011 11:47:34

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 14. Dezember 2012  21:06

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'cli.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'mshaktuell.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLG.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfAgent.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIEJE.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_AICN03.EXE' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcvsescn.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcagent.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'netwaiting.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnPDetect.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfTray.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcvsshld.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'MskAgent.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCMService.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'oasclnt.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'tfswctrl.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSVolFE.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'ifrmewrk.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'cli.exe' - '183' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSKSrvr.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfService.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'mctskshd.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcshield.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcdetect.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'CATSysDemon.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLKeeper.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '165' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1571' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\36\4cd19764-548bb2c9
  [0] Archivtyp: ZIP
  --> prev/monoid.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452
  --> starter/gromozapa.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.R
  --> starter/reverberator.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.BA
C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\a337aeb-7a6202af
  [0] Archivtyp: ZIP
  --> FactoryService/Container.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.ckl
  --> FactoryService/DefClass.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
  --> FactoryService/Factory.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.EB
  --> FactoryService/Translator.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AC.2
  --> MessageStack/StringPack.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.EC
  --> MessageStack/TemplateMessage.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.ED
  --> MessageStack/TextMessage.class
      [FUND]      Ist das Trojanische Pferd TR/Agent.879
C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53\63ba4b5-53588122
  [0] Archivtyp: ZIP
  --> bpac/a$1.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.EG
  --> bpac/a.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
  --> bpac/b.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.L
  --> bpac/KAVS.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.BB
C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55\4b7592b7-49284800
  [0] Archivtyp: ZIP
  --> prev/monoid.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452
  --> starter/gromozapa.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.R
  --> starter/reverberator.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.BA
Beginne mit der Suche in 'E:\'

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55\4b7592b7-49284800
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.BA
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5517091b.qua' verschoben!
C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53\63ba4b5-53588122
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.BB
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4daf266e.qua' verschoben!
C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\a337aeb-7a6202af
  [FUND]      Ist das Trojanische Pferd TR/Agent.879
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1e237c86.qua' verschoben!
C:\Dokumente und Einstellungen\rainer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\36\4cd19764-548bb2c9
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.BA
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '79c53394.qua' verschoben!


Ende des Suchlaufs: Freitag, 14. Dezember 2012  23:50
Benötigte Zeit:  2:43:59 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  12527 Verzeichnisse wurden überprüft
 597693 Dateien wurden geprüft
     17 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 597676 Dateien ohne Befall
   4887 Archive wurden durchsucht
      0 Warnungen
      4 Hinweise
 528077 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Wie hier im Forum beschrieben, habe ich dann einen vollständigen Scan mit Malwarebytes Anti-Malware durchgeführt und die Funde in die Quarantäne verschoben. Log-file:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.12.15.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
rainer :: MUEHLI [Administrator]

Schutz: Aktiviert

15.12.2012 13:09:36
mbam-log-2012-12-15 (13-09-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 362160
Laufzeit: 1 Stunde(n), 55 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 3
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$44e2ae4dbd220f49c46a5c45f4e721ce\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 18
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\D44ECA35A74767A20000D44DF5EB6B5C\D44ECA35A74767A20000D44DF5EB6B5C.exe (Trojan.Agent.ComGenX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\anja\Lokale Einstellungen\Temp\~!#2A.tmp (Trojan.Agent.ComGenX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\rainer\Eigene Dateien\BA_Stuttgart\C-Programming\C3\Nachklausur\Aufgabe1.exe (Trojan.Ransom.ANC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\rainer\Eigene Dateien\BA_Stuttgart\C-Programming\C3\Nachklausur\Aufgabe2.exe (Trojan.Ransom.ANC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\rainer\Eigene Dateien\BA_Stuttgart\C-Programming\C3\Nachklausur\Aufgabe3.exe (Trojan.Ransom.ANC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\rainer\Eigene Dateien\BA_Stuttgart\C-Programming\C3\Quellcodes\Iteration.exe (Trojan.Ransom.ANC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\rainer\Eigene Dateien\BA_Stuttgart\C-Programming\C3\Quellcodes\Summe1n2.exe (Trojan.Ransom.ANC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\rainer\Eigene Dateien\BA_Stuttgart\C-Programming\C3\Quellcodes\SVProdukt.exe (Trojan.Ransom.ANC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\rainer\Eigene Dateien\BA_Stuttgart\C-Programming\C3\Quellcodes\VollkommeneZahl.exe (Trojan.Ransom.ANC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\rainer\Eigene Dateien\BA_Stuttgart\C-Programming\Quellcodes\Chinesen.exe (Trojan.Ransom.ANC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\rainer\Eigene Dateien\BA_Stuttgart\C-Programming\Quellcodes\Fakultaet.exe (Trojan.Ransom.ANC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\rainer\Eigene Dateien\BA_Stuttgart\C-Programming\Quellcodes\Kreisberechnung.exe (Trojan.Ransom.ANC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$44e2ae4dbd220f49c46a5c45f4e721ce\n (Trojan.0Access) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-18\$44e2ae4dbd220f49c46a5c45f4e721ce\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$44e2ae4dbd220f49c46a5c45f4e721ce\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$44e2ae4dbd220f49c46a5c45f4e721ce\U\800000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-21-3099010895-1304204652-932970605-1006\$44e2ae4dbd220f49c46a5c45f4e721ce\n (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\anja\Desktop\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Kann mir jemand helfen ???
Gibt es eine Möglichkeit, die Trojaner vom meinem Rechner zu entfernen, ohne ihn komplett platt machen zu müssen???
Wäre nett, wenn mir jemand helfen könnte.

Hi
nutzt du das Gerät für Onlinebanking, zum einkaufen, für sonstige Zahlungsabwicklungen, oder ähnlich wichtigem, wie beruflichem?

Ja, das tue ich. Seit der Meldung nicht mehr.

Hi,
dass avira die Meldung am Tag x gezeigt hatt, heißt nicht, dass der PC nicht schon vorher infiziert war.

Rufe deine Bank an, notfall Nummer:
116 116
Lasse das Onlinebanking wegen Zero Access rootkit befall sperren.
Da wir dieses Rootkit nicht 100 %ig sicher entfernen können, dies aber, aus verständlichen Gründen nötig ist, wenn du onlinebanking machst, muss das gerät neu aufgesetzt werden.


der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Es gibt also keine andere Möglichkeit, um den Rechner platt zu machen.
Man kann den MBR auch nicht nach einer Behandlung zweifelsfrei auf Befall prüfen?

Nein, und da du Onlinebanking machst, solltest du auf Nummer sicher gehen, denn das wird erst mal ne Rennerei, wenn das Geld weg ist...
Wir setzen neu auf, und sichern den Pc dann vernünftig ab, denn ein solcher Befall ist vermeidbar.

Dann wird mir wohl nichts anderes übrig bleiben...

Vielen Dank schon mal für die prompte Antwort.

Noch eine Frage:
Ich habe eine Dual-Boot Installation.
Kann ich meine Daten von Linux (SuSe 10.0) aus auf nen USB-Stick rüberziehen, oder habe ich dort die gleiche Gefahr der Infizierung?

Nö, über Linux ist alles schick und du kannst die Daten Rüberkopieren.
Falls du in letzter Zeit aber nen Stick angeschlossen hast, würd ich den sicherheitshalber formatieren, und auch nicht mehr unter dem infiziertem System anschließen