| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner will 100 Tannummern beim einloggen zum Onlinebanking (Diba)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.04.2013, 19:10
| #1 |
| |  Trojaner will 100 Tannummern beim einloggen zum Onlinebanking (Diba) Hallo Gemeinde, wollte mal vorne weg ein Lob los werden.Finde es echt klasse,dass es Seiten wie diese gibt,wo einem geholfen wird.Ein fettes Dankeschön bereits im voraus für eure Hilfe,macht weiter so.  Ich habe mir einen oder mehrere Trojaner eingefangen.Werde beim Versuch mich beim Onlinebanking einzuloggen (ing Diba) aufgefordert 100 Tannummern einzugeben.Die Aufforderung ist schlecht geschrieben (Rechtschreibfehler ect.). Hab mein Konto jetzt erstmal sperren lassen und schon mehrfach Antivirus und Maleware laufen lassen. Beide fanden 3 Trojaner.Diese habe ich dann gelöscht.Nach einem weiteren Scan mit beiden Programmen wurde nichts mehr gefunden. Also Konto entsperrt und erneut versucht mich einzuloggen.Wieder das gleiche. Jetzt wollte ich mal hier nachfragen ob mir einer helfen könnte. Hatte einen ähnlichen Thread gefunden,wollte aber nicht blind das selbe befolgen wie bei dem anderen User beschrieben. OTL.txt Extras.txt habe ich angehangen. Gmer hab ich laufen lassen und auch erfolgreich beendet,kann aber nicht abspeichern.wenn ich auf save... klicke tut sich nichts. Danke im voraus nochmals. beste Grüße Grand |
|
05.04.2013, 19:18
| #2 | |||
| /// TB-Ausbilder   | Trojaner will 100 Tannummern beim einloggen zum Onlinebanking (Diba) Hi Grand,
__________________Zitat:
 Zitat:
Zitat:
Poste bitte noch diese angegebenen Logs und dann fangen wir an. (Die Logfiles bitte nicht anhängen (das erschwert mir das Auswerten massiv), sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].)
__________________ |
|
05.04.2013, 19:46
| #3 |
| | Trojaner will 100 Tannummern beim einloggen zum Onlinebanking (Diba) Hallo,
__________________hier mal der Report vom 03.04. Code:
ATTFilter Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 3. April 2013 17:43
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows (TM) Vista Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SCOX-MÜHLE
Versionsinformationen:
BUILD.DAT : 13.0.0.3499 49286 Bytes 19.03.2013 16:29:00
AVSCAN.EXE : 13.6.0.986 639712 Bytes 03.04.2013 15:38:05
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 04.03.2013 08:01:37
LUKE.DLL : 13.6.0.902 67808 Bytes 03.04.2013 15:38:09
AVSCPLR.DLL : 13.6.0.986 94944 Bytes 20.03.2013 10:46:55
AVREG.DLL : 13.6.0.940 250592 Bytes 20.03.2013 10:46:55
avlode.dll : 13.6.2.940 434912 Bytes 03.04.2013 15:38:05
avlode.rdf : 13.0.0.46 15591 Bytes 30.03.2013 19:31:30
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 03:24:52
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 04:23:46
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 20:33:34
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 02:28:26
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 11:28:56
VBASE008.VDF : 7.11.65.172 9122816 Bytes 21.03.2013 09:54:18
VBASE009.VDF : 7.11.65.173 2048 Bytes 21.03.2013 09:54:18
VBASE010.VDF : 7.11.65.174 2048 Bytes 21.03.2013 09:54:18
VBASE011.VDF : 7.11.65.175 2048 Bytes 21.03.2013 09:54:18
VBASE012.VDF : 7.11.65.176 2048 Bytes 21.03.2013 09:54:18
VBASE013.VDF : 7.11.66.48 120832 Bytes 22.03.2013 09:54:18
VBASE014.VDF : 7.11.66.133 339456 Bytes 24.03.2013 09:16:26
VBASE015.VDF : 7.11.66.209 317440 Bytes 25.03.2013 09:16:26
VBASE016.VDF : 7.11.67.57 224256 Bytes 27.03.2013 06:35:46
VBASE017.VDF : 7.11.67.143 264192 Bytes 28.03.2013 19:31:28
VBASE018.VDF : 7.11.67.229 126976 Bytes 29.03.2013 19:31:28
VBASE019.VDF : 7.11.68.53 140288 Bytes 01.04.2013 06:16:51
VBASE020.VDF : 7.11.68.107 161792 Bytes 02.04.2013 15:38:03
VBASE021.VDF : 7.11.68.108 2048 Bytes 02.04.2013 15:38:03
VBASE022.VDF : 7.11.68.109 2048 Bytes 02.04.2013 15:38:03
VBASE023.VDF : 7.11.68.110 2048 Bytes 02.04.2013 15:38:03
VBASE024.VDF : 7.11.68.111 2048 Bytes 02.04.2013 15:38:03
VBASE025.VDF : 7.11.68.112 2048 Bytes 02.04.2013 15:38:03
VBASE026.VDF : 7.11.68.113 2048 Bytes 02.04.2013 15:38:03
VBASE027.VDF : 7.11.68.114 2048 Bytes 02.04.2013 15:38:03
VBASE028.VDF : 7.11.68.115 2048 Bytes 02.04.2013 15:38:03
VBASE029.VDF : 7.11.68.116 2048 Bytes 02.04.2013 15:38:03
VBASE030.VDF : 7.11.68.117 2048 Bytes 02.04.2013 15:38:04
VBASE031.VDF : 7.11.68.166 120832 Bytes 03.04.2013 15:38:04
Engineversion : 8.2.12.22
AEVDF.DLL : 8.1.2.10 102772 Bytes 11.07.2012 10:27:25
AESCRIPT.DLL : 8.1.4.102 471421 Bytes 30.03.2013 19:31:30
AESCN.DLL : 8.1.10.4 131446 Bytes 27.03.2013 06:35:47
AESBX.DLL : 8.2.5.12 606578 Bytes 16.06.2012 17:55:47
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 14:27:20
AEPACK.DLL : 8.3.2.6 827767 Bytes 30.03.2013 19:31:30
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 18:53:33
AEHEUR.DLL : 8.1.4.268 5861753 Bytes 30.03.2013 19:31:29
AEHELP.DLL : 8.1.25.2 258423 Bytes 11.10.2012 16:54:27
AEGEN.DLL : 8.1.7.2 442741 Bytes 27.03.2013 06:35:47
AEEXP.DLL : 8.4.0.14 192886 Bytes 22.03.2013 09:54:20
AEEMU.DLL : 8.1.3.2 393587 Bytes 11.07.2012 10:27:23
AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 19:16:46
AEBB.DLL : 8.1.1.4 53619 Bytes 06.11.2012 16:26:24
AVWINLL.DLL : 13.6.0.480 26480 Bytes 04.03.2013 08:01:26
AVPREF.DLL : 13.6.0.480 51056 Bytes 04.03.2013 08:01:37
AVREP.DLL : 13.6.0.480 178544 Bytes 04.03.2013 08:01:58
AVARKT.DLL : 13.6.0.902 260832 Bytes 03.04.2013 15:38:04
AVEVTLOG.DLL : 13.6.0.902 167648 Bytes 03.04.2013 15:38:04
SQLITE3.DLL : 3.7.0.1 397704 Bytes 04.03.2013 08:01:51
AVSMTP.DLL : 13.6.0.480 62832 Bytes 04.03.2013 08:01:37
NETNT.DLL : 13.6.0.480 16240 Bytes 04.03.2013 08:01:48
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 04.03.2013 08:01:27
RCTEXT.DLL : 13.6.0.976 69344 Bytes 03.04.2013 15:37:42
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Mittwoch, 3. April 2013 17:43
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Apple Computer, Inc.
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\AudioCompressionManager
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Direct3D
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\DirectDraw\MostRecentApplication\Name
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3984659545-2431576537-29756485-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3984659545-2431576537-29756485-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3984659545-2431576537-29756485-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3984659545-2431576537-29756485-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3984659545-2431576537-29756485-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IExplorer Util> wurde erfolgreich entfernt.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '145' Modul(e) wurden durchsucht
Durchsuche Prozess 'UMVPFSrv.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '128' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'SixEngine.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'Vid.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMERunner.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'ie_util.exe' - '35' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Users\ScoX\AppData\Roaming\ie_util.exe>
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.65536.43
[HINWEIS] Prozess 'ie_util.exe' wurde beendet
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3984659545-2431576537-29756485-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IExplorer Util> wurde erfolgreich repariert.
Durchsuche Prozess 'VideoCamSuiteAutoStart.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'cose.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'bgsvcgen.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '210' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'ie_util.exe' - '35' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Users\ScoX\AppData\Roaming\ie_util.exe>
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.65536.43
[HINWEIS] Prozess 'ie_util.exe' wurde beendet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '13d181f5.qua' verschoben!
Durchsuche Prozess 'AVWEBGRD.EXE' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '32' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\ScoX\AppData\Roaming\ie_util.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.65536.43
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
Ende des Suchlaufs: Mittwoch, 3. April 2013 18:34
Benötigte Zeit: 49:15 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
5568 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
5565 Dateien ohne Befall
25 Archive wurden durchsucht
0 Warnungen
9 Hinweise
859597 Objekte wurden beim Rootkitscan durchsucht
6 Versteckte Objekte wurden gefunden
und von heute 05.04. Code:
ATTFilter Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 5. April 2013 13:00
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows (TM) Vista Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SCOX-MÜHLE
Versionsinformationen:
BUILD.DAT : 13.0.0.3499 49286 Bytes 19.03.2013 16:29:00
AVSCAN.EXE : 13.6.0.986 639712 Bytes 03.04.2013 15:38:05
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 04.03.2013 08:01:37
LUKE.DLL : 13.6.0.902 67808 Bytes 03.04.2013 15:38:09
AVSCPLR.DLL : 13.6.0.986 94944 Bytes 20.03.2013 10:46:55
AVREG.DLL : 13.6.0.940 250592 Bytes 20.03.2013 10:46:55
avlode.dll : 13.6.2.940 434912 Bytes 03.04.2013 15:38:05
avlode.rdf : 13.0.0.46 15591 Bytes 30.03.2013 19:31:30
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 16:31:35
VBASE001.VDF : 7.11.70.1 2048 Bytes 04.04.2013 16:31:52
VBASE002.VDF : 7.11.70.2 2048 Bytes 04.04.2013 16:31:52
VBASE003.VDF : 7.11.70.3 2048 Bytes 04.04.2013 16:31:52
VBASE004.VDF : 7.11.70.4 2048 Bytes 04.04.2013 16:31:52
VBASE005.VDF : 7.11.70.5 2048 Bytes 04.04.2013 16:31:52
VBASE006.VDF : 7.11.70.6 2048 Bytes 04.04.2013 16:31:52
VBASE007.VDF : 7.11.70.7 2048 Bytes 04.04.2013 16:31:52
VBASE008.VDF : 7.11.70.8 2048 Bytes 04.04.2013 16:31:52
VBASE009.VDF : 7.11.70.9 2048 Bytes 04.04.2013 16:31:52
VBASE010.VDF : 7.11.70.10 2048 Bytes 04.04.2013 16:31:52
VBASE011.VDF : 7.11.70.11 2048 Bytes 04.04.2013 16:31:52
VBASE012.VDF : 7.11.70.12 2048 Bytes 04.04.2013 16:31:53
VBASE013.VDF : 7.11.70.13 2048 Bytes 04.04.2013 16:31:53
VBASE014.VDF : 7.11.70.14 2048 Bytes 04.04.2013 16:31:53
VBASE015.VDF : 7.11.70.15 2048 Bytes 04.04.2013 16:31:53
VBASE016.VDF : 7.11.70.16 2048 Bytes 04.04.2013 16:31:53
VBASE017.VDF : 7.11.70.17 2048 Bytes 04.04.2013 16:31:53
VBASE018.VDF : 7.11.70.18 2048 Bytes 04.04.2013 16:31:53
VBASE019.VDF : 7.11.70.19 2048 Bytes 04.04.2013 16:31:53
VBASE020.VDF : 7.11.70.20 2048 Bytes 04.04.2013 16:31:53
VBASE021.VDF : 7.11.70.21 2048 Bytes 04.04.2013 16:31:53
VBASE022.VDF : 7.11.70.22 2048 Bytes 04.04.2013 16:31:53
VBASE023.VDF : 7.11.70.23 2048 Bytes 04.04.2013 16:31:53
VBASE024.VDF : 7.11.70.24 2048 Bytes 04.04.2013 16:31:53
VBASE025.VDF : 7.11.70.25 2048 Bytes 04.04.2013 16:31:53
VBASE026.VDF : 7.11.70.26 2048 Bytes 04.04.2013 16:31:53
VBASE027.VDF : 7.11.70.27 2048 Bytes 04.04.2013 16:31:53
VBASE028.VDF : 7.11.70.28 2048 Bytes 04.04.2013 16:31:53
VBASE029.VDF : 7.11.70.29 2048 Bytes 04.04.2013 16:31:53
VBASE030.VDF : 7.11.70.30 2048 Bytes 04.04.2013 16:31:53
VBASE031.VDF : 7.11.70.100 129536 Bytes 05.04.2013 10:18:43
Engineversion : 8.2.12.24
AEVDF.DLL : 8.1.2.10 102772 Bytes 11.07.2012 10:27:25
AESCRIPT.DLL : 8.1.4.104 475517 Bytes 04.04.2013 16:31:54
AESCN.DLL : 8.1.10.4 131446 Bytes 27.03.2013 06:35:47
AESBX.DLL : 8.2.5.12 606578 Bytes 16.06.2012 17:55:47
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 14:27:20
AEPACK.DLL : 8.3.2.6 827767 Bytes 30.03.2013 19:31:30
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 18:53:33
AEHEUR.DLL : 8.1.4.278 5828985 Bytes 04.04.2013 16:31:54
AEHELP.DLL : 8.1.25.2 258423 Bytes 11.10.2012 16:54:27
AEGEN.DLL : 8.1.7.2 442741 Bytes 27.03.2013 06:35:47
AEEXP.DLL : 8.4.0.16 192886 Bytes 04.04.2013 16:31:54
AEEMU.DLL : 8.1.3.2 393587 Bytes 11.07.2012 10:27:23
AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 19:16:46
AEBB.DLL : 8.1.1.4 53619 Bytes 06.11.2012 16:26:24
AVWINLL.DLL : 13.6.0.480 26480 Bytes 04.03.2013 08:01:26
AVPREF.DLL : 13.6.0.480 51056 Bytes 04.03.2013 08:01:37
AVREP.DLL : 13.6.0.480 178544 Bytes 04.03.2013 08:01:58
AVARKT.DLL : 13.6.0.902 260832 Bytes 03.04.2013 15:38:04
AVEVTLOG.DLL : 13.6.0.902 167648 Bytes 03.04.2013 15:38:04
SQLITE3.DLL : 3.7.0.1 397704 Bytes 04.03.2013 08:01:51
AVSMTP.DLL : 13.6.0.480 62832 Bytes 04.03.2013 08:01:37
NETNT.DLL : 13.6.0.480 16240 Bytes 04.03.2013 08:01:48
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 04.03.2013 08:01:27
RCTEXT.DLL : 13.6.0.976 69344 Bytes 03.04.2013 15:37:42
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_515eadde\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Freitag, 5. April 2013 13:00
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '146' Modul(e) wurden durchsucht
Durchsuche Prozess 'UMVPFSrv.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '131' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'SixEngine.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'Vid.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMERunner.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'ie_util.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'VideoCamSuiteAutoStart.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'bgsvcgen.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'cose.exe' - '62' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Users\ScoX\AppData\Roaming\Cacu\cose.exe>
[FUND] Ist das Trojanische Pferd TR/Injector.aqf
[HINWEIS] Prozess 'cose.exe' wurde beendet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '563d0c1f.qua' verschoben!
Durchsuche Prozess 'CCC.exe' - '210' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '120' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_180.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_180.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIADAP.EXE' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\ScoX\AppData\Roaming\Cacu\cose.exe'
Fehler beim Öffnen der Datei <\\?\C:\Users\ScoX\AppData\Roaming\Cacu\cose.exe>
Der zu durchsuchende Pfad C:\Users\ScoX\AppData\Roaming\Cacu\cose.exe konnte nicht geöffnet werden!
Ende des Suchlaufs: Freitag, 5. April 2013 13:01
Benötigte Zeit: 00:35 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
2925 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
2924 Dateien ohne Befall
25 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Nr.2 von heute Code:
ATTFilter Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 5. April 2013 12:59
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows (TM) Vista Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SCOX-MÜHLE
Versionsinformationen:
BUILD.DAT : 13.0.0.3499 49286 Bytes 19.03.2013 16:29:00
AVSCAN.EXE : 13.6.0.986 639712 Bytes 03.04.2013 15:38:05
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 04.03.2013 08:01:37
LUKE.DLL : 13.6.0.902 67808 Bytes 03.04.2013 15:38:09
AVSCPLR.DLL : 13.6.0.986 94944 Bytes 20.03.2013 10:46:55
AVREG.DLL : 13.6.0.940 250592 Bytes 20.03.2013 10:46:55
avlode.dll : 13.6.2.940 434912 Bytes 03.04.2013 15:38:05
avlode.rdf : 13.0.0.46 15591 Bytes 30.03.2013 19:31:30
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 16:31:35
VBASE001.VDF : 7.11.70.1 2048 Bytes 04.04.2013 16:31:52
VBASE002.VDF : 7.11.70.2 2048 Bytes 04.04.2013 16:31:52
VBASE003.VDF : 7.11.70.3 2048 Bytes 04.04.2013 16:31:52
VBASE004.VDF : 7.11.70.4 2048 Bytes 04.04.2013 16:31:52
VBASE005.VDF : 7.11.70.5 2048 Bytes 04.04.2013 16:31:52
VBASE006.VDF : 7.11.70.6 2048 Bytes 04.04.2013 16:31:52
VBASE007.VDF : 7.11.70.7 2048 Bytes 04.04.2013 16:31:52
VBASE008.VDF : 7.11.70.8 2048 Bytes 04.04.2013 16:31:52
VBASE009.VDF : 7.11.70.9 2048 Bytes 04.04.2013 16:31:52
VBASE010.VDF : 7.11.70.10 2048 Bytes 04.04.2013 16:31:52
VBASE011.VDF : 7.11.70.11 2048 Bytes 04.04.2013 16:31:52
VBASE012.VDF : 7.11.70.12 2048 Bytes 04.04.2013 16:31:53
VBASE013.VDF : 7.11.70.13 2048 Bytes 04.04.2013 16:31:53
VBASE014.VDF : 7.11.70.14 2048 Bytes 04.04.2013 16:31:53
VBASE015.VDF : 7.11.70.15 2048 Bytes 04.04.2013 16:31:53
VBASE016.VDF : 7.11.70.16 2048 Bytes 04.04.2013 16:31:53
VBASE017.VDF : 7.11.70.17 2048 Bytes 04.04.2013 16:31:53
VBASE018.VDF : 7.11.70.18 2048 Bytes 04.04.2013 16:31:53
VBASE019.VDF : 7.11.70.19 2048 Bytes 04.04.2013 16:31:53
VBASE020.VDF : 7.11.70.20 2048 Bytes 04.04.2013 16:31:53
VBASE021.VDF : 7.11.70.21 2048 Bytes 04.04.2013 16:31:53
VBASE022.VDF : 7.11.70.22 2048 Bytes 04.04.2013 16:31:53
VBASE023.VDF : 7.11.70.23 2048 Bytes 04.04.2013 16:31:53
VBASE024.VDF : 7.11.70.24 2048 Bytes 04.04.2013 16:31:53
VBASE025.VDF : 7.11.70.25 2048 Bytes 04.04.2013 16:31:53
VBASE026.VDF : 7.11.70.26 2048 Bytes 04.04.2013 16:31:53
VBASE027.VDF : 7.11.70.27 2048 Bytes 04.04.2013 16:31:53
VBASE028.VDF : 7.11.70.28 2048 Bytes 04.04.2013 16:31:53
VBASE029.VDF : 7.11.70.29 2048 Bytes 04.04.2013 16:31:53
VBASE030.VDF : 7.11.70.30 2048 Bytes 04.04.2013 16:31:53
VBASE031.VDF : 7.11.70.100 129536 Bytes 05.04.2013 10:18:43
Engineversion : 8.2.12.24
AEVDF.DLL : 8.1.2.10 102772 Bytes 11.07.2012 10:27:25
AESCRIPT.DLL : 8.1.4.104 475517 Bytes 04.04.2013 16:31:54
AESCN.DLL : 8.1.10.4 131446 Bytes 27.03.2013 06:35:47
AESBX.DLL : 8.2.5.12 606578 Bytes 16.06.2012 17:55:47
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 14:27:20
AEPACK.DLL : 8.3.2.6 827767 Bytes 30.03.2013 19:31:30
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 18:53:33
AEHEUR.DLL : 8.1.4.278 5828985 Bytes 04.04.2013 16:31:54
AEHELP.DLL : 8.1.25.2 258423 Bytes 11.10.2012 16:54:27
AEGEN.DLL : 8.1.7.2 442741 Bytes 27.03.2013 06:35:47
AEEXP.DLL : 8.4.0.16 192886 Bytes 04.04.2013 16:31:54
AEEMU.DLL : 8.1.3.2 393587 Bytes 11.07.2012 10:27:23
AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 19:16:46
AEBB.DLL : 8.1.1.4 53619 Bytes 06.11.2012 16:26:24
AVWINLL.DLL : 13.6.0.480 26480 Bytes 04.03.2013 08:01:26
AVPREF.DLL : 13.6.0.480 51056 Bytes 04.03.2013 08:01:37
AVREP.DLL : 13.6.0.480 178544 Bytes 04.03.2013 08:01:58
AVARKT.DLL : 13.6.0.902 260832 Bytes 03.04.2013 15:38:04
AVEVTLOG.DLL : 13.6.0.902 167648 Bytes 03.04.2013 15:38:04
SQLITE3.DLL : 3.7.0.1 397704 Bytes 04.03.2013 08:01:51
AVSMTP.DLL : 13.6.0.480 62832 Bytes 04.03.2013 08:01:37
NETNT.DLL : 13.6.0.480 16240 Bytes 04.03.2013 08:01:48
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 04.03.2013 08:01:27
RCTEXT.DLL : 13.6.0.976 69344 Bytes 03.04.2013 15:37:42
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_515eadde\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Freitag, 5. April 2013 12:59
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3984659545-2431576537-29756485-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3984659545-2431576537-29756485-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3984659545-2431576537-29756485-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3984659545-2431576537-29756485-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3984659545-2431576537-29756485-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Yvfyq> konnte nicht entfernt werden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '145' Modul(e) wurden durchsucht
Durchsuche Prozess 'UMVPFSrv.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '131' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'SixEngine.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'Vid.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMERunner.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'ie_util.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'VideoCamSuiteAutoStart.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'bgsvcgen.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'cose.exe' - '62' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Users\ScoX\AppData\Roaming\Cacu\cose.exe>
[FUND] Ist das Trojanische Pferd TR/Injector.aqf
[WARNUNG] Der Prozess <cose.exe> konnte nicht beendet werden. Mögliche Ursache: Systemfehler [5]: Zugriff verweigert
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
Durchsuche Prozess 'CCC.exe' - '210' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '118' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_180.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_180.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIADAP.EXE' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '101' Modul(e) wurden durchsucht
Ende des Suchlaufs: Freitag, 5. April 2013 13:02
Benötigte Zeit: 02:30 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
3455 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
3453 Dateien ohne Befall
25 Archive wurden durchsucht
1 Warnungen
1 Hinweise
Code:
ATTFilter Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 5. April 2013 13:14
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows (TM) Vista Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SCOX-MÜHLE
Versionsinformationen:
BUILD.DAT : 13.0.0.3499 49286 Bytes 19.03.2013 16:29:00
AVSCAN.EXE : 13.6.0.986 639712 Bytes 03.04.2013 15:38:05
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 04.03.2013 08:01:37
LUKE.DLL : 13.6.0.902 67808 Bytes 03.04.2013 15:38:09
AVSCPLR.DLL : 13.6.0.986 94944 Bytes 20.03.2013 10:46:55
AVREG.DLL : 13.6.0.940 250592 Bytes 20.03.2013 10:46:55
avlode.dll : 13.6.2.940 434912 Bytes 03.04.2013 15:38:05
avlode.rdf : 13.0.0.46 15591 Bytes 30.03.2013 19:31:30
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 16:31:35
VBASE001.VDF : 7.11.70.1 2048 Bytes 04.04.2013 16:31:52
VBASE002.VDF : 7.11.70.2 2048 Bytes 04.04.2013 16:31:52
VBASE003.VDF : 7.11.70.3 2048 Bytes 04.04.2013 16:31:52
VBASE004.VDF : 7.11.70.4 2048 Bytes 04.04.2013 16:31:52
VBASE005.VDF : 7.11.70.5 2048 Bytes 04.04.2013 16:31:52
VBASE006.VDF : 7.11.70.6 2048 Bytes 04.04.2013 16:31:52
VBASE007.VDF : 7.11.70.7 2048 Bytes 04.04.2013 16:31:52
VBASE008.VDF : 7.11.70.8 2048 Bytes 04.04.2013 16:31:52
VBASE009.VDF : 7.11.70.9 2048 Bytes 04.04.2013 16:31:52
VBASE010.VDF : 7.11.70.10 2048 Bytes 04.04.2013 16:31:52
VBASE011.VDF : 7.11.70.11 2048 Bytes 04.04.2013 16:31:52
VBASE012.VDF : 7.11.70.12 2048 Bytes 04.04.2013 16:31:53
VBASE013.VDF : 7.11.70.13 2048 Bytes 04.04.2013 16:31:53
VBASE014.VDF : 7.11.70.14 2048 Bytes 04.04.2013 16:31:53
VBASE015.VDF : 7.11.70.15 2048 Bytes 04.04.2013 16:31:53
VBASE016.VDF : 7.11.70.16 2048 Bytes 04.04.2013 16:31:53
VBASE017.VDF : 7.11.70.17 2048 Bytes 04.04.2013 16:31:53
VBASE018.VDF : 7.11.70.18 2048 Bytes 04.04.2013 16:31:53
VBASE019.VDF : 7.11.70.19 2048 Bytes 04.04.2013 16:31:53
VBASE020.VDF : 7.11.70.20 2048 Bytes 04.04.2013 16:31:53
VBASE021.VDF : 7.11.70.21 2048 Bytes 04.04.2013 16:31:53
VBASE022.VDF : 7.11.70.22 2048 Bytes 04.04.2013 16:31:53
VBASE023.VDF : 7.11.70.23 2048 Bytes 04.04.2013 16:31:53
VBASE024.VDF : 7.11.70.24 2048 Bytes 04.04.2013 16:31:53
VBASE025.VDF : 7.11.70.25 2048 Bytes 04.04.2013 16:31:53
VBASE026.VDF : 7.11.70.26 2048 Bytes 04.04.2013 16:31:53
VBASE027.VDF : 7.11.70.27 2048 Bytes 04.04.2013 16:31:53
VBASE028.VDF : 7.11.70.28 2048 Bytes 04.04.2013 16:31:53
VBASE029.VDF : 7.11.70.29 2048 Bytes 04.04.2013 16:31:53
VBASE030.VDF : 7.11.70.30 2048 Bytes 04.04.2013 16:31:53
VBASE031.VDF : 7.11.70.100 129536 Bytes 05.04.2013 10:18:43
Engineversion : 8.2.12.24
AEVDF.DLL : 8.1.2.10 102772 Bytes 11.07.2012 10:27:25
AESCRIPT.DLL : 8.1.4.104 475517 Bytes 04.04.2013 16:31:54
AESCN.DLL : 8.1.10.4 131446 Bytes 27.03.2013 06:35:47
AESBX.DLL : 8.2.5.12 606578 Bytes 16.06.2012 17:55:47
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 14:27:20
AEPACK.DLL : 8.3.2.6 827767 Bytes 30.03.2013 19:31:30
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 18:53:33
AEHEUR.DLL : 8.1.4.278 5828985 Bytes 04.04.2013 16:31:54
AEHELP.DLL : 8.1.25.2 258423 Bytes 11.10.2012 16:54:27
AEGEN.DLL : 8.1.7.2 442741 Bytes 27.03.2013 06:35:47
AEEXP.DLL : 8.4.0.16 192886 Bytes 04.04.2013 16:31:54
AEEMU.DLL : 8.1.3.2 393587 Bytes 11.07.2012 10:27:23
AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 19:16:46
AEBB.DLL : 8.1.1.4 53619 Bytes 06.11.2012 16:26:24
AVWINLL.DLL : 13.6.0.480 26480 Bytes 04.03.2013 08:01:26
AVPREF.DLL : 13.6.0.480 51056 Bytes 04.03.2013 08:01:37
AVREP.DLL : 13.6.0.480 178544 Bytes 04.03.2013 08:01:58
AVARKT.DLL : 13.6.0.902 260832 Bytes 03.04.2013 15:38:04
AVEVTLOG.DLL : 13.6.0.902 167648 Bytes 03.04.2013 15:38:04
SQLITE3.DLL : 3.7.0.1 397704 Bytes 04.03.2013 08:01:51
AVSMTP.DLL : 13.6.0.480 62832 Bytes 04.03.2013 08:01:37
NETNT.DLL : 13.6.0.480 16240 Bytes 04.03.2013 08:01:48
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 04.03.2013 08:01:27
RCTEXT.DLL : 13.6.0.976 69344 Bytes 03.04.2013 15:37:42
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_515eb165\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Freitag, 5. April 2013 13:14
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '148' Modul(e) wurden durchsucht
Durchsuche Prozess 'UMVPFSrv.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '145' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'SixEngine.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'Vid.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMERunner.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'ie_util.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'VideoCamSuiteAutoStart.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'bgsvcgen.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '210' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam-setup-1.70.0.1100.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam-setup-1.70.0.1100.tmp' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam-setup-1.70.0.1100.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam-setup-1.70.0.1100.tmp' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_180.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_180.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\ScoX\AppData\Local\Temp\tmp98a438cf\456487.exe'
C:\Users\ScoX\AppData\Local\Temp\tmp98a438cf\456487.exe
[FUND] Ist das Trojanische Pferd TR/Ransom.Blocker.azdn
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '563626cf.qua' verschoben!
Ende des Suchlaufs: Freitag, 5. April 2013 13:15
Benötigte Zeit: 00:16 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
1086 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1085 Dateien ohne Befall
9 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Gmer hab ich geschlossen,jetzt muss ich komplett nochmal scannen oder kann ich die copy noch irgendwie nachträglich machen? beste Grüße und danke  |
|
05.04.2013, 19:57
| #4 | ||
| /// TB-Ausbilder | Trojaner will 100 Tannummern beim einloggen zum Onlinebanking (Diba) Hi, Zitat:
Zitat:
__________________ cheers, Leo |
|
06.04.2013, 09:46
| #5 |
| | Trojaner will 100 Tannummern beim einloggen zum Onlinebanking (Diba) Den Malewarebyte Log kann ich leider nicht posten da ich ihn schon gelöscht hatte  Hier ist der GMER log Code:
ATTFilter GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-04-06 10:36:28
Windows 6.0.6002 Service Pack 2 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 SAMSUNG_HD642JJ rev.1AA01112 596,17GB
Running: gmer_2.1.19163.exe; Driver: C:\Users\ScoX\AppData\Local\Temp\kgxcyaog.sys
---- Kernel code sections - GMER 2.1 ----
INITKDBG C:\Windows\system32\ntoskrnl.exe suspicious modification
INITKDBG C:\Windows\system32\ntoskrnl.exe suspicious modification
INITKDBG C:\Windows\system32\ntoskrnl.exe suspicious modification
INITKDBG C:\Windows\system32\ntoskrnl.exe suspicious modification
INITKDBG C:\Windows\system32\ntoskrnl.exe suspicious modification
---- Registry - GMER 2.1 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0fba664d-b681-4d3e-88f2-0b1b91a21ed9}@Dhcpv6State 0
---- EOF - GMER 2.1 ----
heute morgen hat sich wieder Antivir gemeldet,weiss nicht ob dus brauchst hier Code:
ATTFilter Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 6. April 2013 08:12
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows (TM) Vista Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SCOX-MÜHLE
Versionsinformationen:
BUILD.DAT : 13.0.0.3499 49286 Bytes 19.03.2013 16:29:00
AVSCAN.EXE : 13.6.0.986 639712 Bytes 03.04.2013 15:38:05
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 04.03.2013 08:01:37
LUKE.DLL : 13.6.0.902 67808 Bytes 03.04.2013 15:38:09
AVSCPLR.DLL : 13.6.0.986 94944 Bytes 20.03.2013 10:46:55
AVREG.DLL : 13.6.0.940 250592 Bytes 20.03.2013 10:46:55
avlode.dll : 13.6.2.940 434912 Bytes 03.04.2013 15:38:05
avlode.rdf : 13.0.0.46 15591 Bytes 30.03.2013 19:31:30
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 16:31:35
VBASE001.VDF : 7.11.70.1 2048 Bytes 04.04.2013 16:31:52
VBASE002.VDF : 7.11.70.2 2048 Bytes 04.04.2013 16:31:52
VBASE003.VDF : 7.11.70.3 2048 Bytes 04.04.2013 16:31:52
VBASE004.VDF : 7.11.70.4 2048 Bytes 04.04.2013 16:31:52
VBASE005.VDF : 7.11.70.5 2048 Bytes 04.04.2013 16:31:52
VBASE006.VDF : 7.11.70.6 2048 Bytes 04.04.2013 16:31:52
VBASE007.VDF : 7.11.70.7 2048 Bytes 04.04.2013 16:31:52
VBASE008.VDF : 7.11.70.8 2048 Bytes 04.04.2013 16:31:52
VBASE009.VDF : 7.11.70.9 2048 Bytes 04.04.2013 16:31:52
VBASE010.VDF : 7.11.70.10 2048 Bytes 04.04.2013 16:31:52
VBASE011.VDF : 7.11.70.11 2048 Bytes 04.04.2013 16:31:52
VBASE012.VDF : 7.11.70.12 2048 Bytes 04.04.2013 16:31:53
VBASE013.VDF : 7.11.70.13 2048 Bytes 04.04.2013 16:31:53
VBASE014.VDF : 7.11.70.103 136192 Bytes 05.04.2013 05:09:23
VBASE015.VDF : 7.11.70.104 2048 Bytes 05.04.2013 05:09:23
VBASE016.VDF : 7.11.70.105 2048 Bytes 05.04.2013 05:09:23
VBASE017.VDF : 7.11.70.106 2048 Bytes 05.04.2013 05:09:23
VBASE018.VDF : 7.11.70.107 2048 Bytes 05.04.2013 05:09:23
VBASE019.VDF : 7.11.70.108 2048 Bytes 05.04.2013 05:09:23
VBASE020.VDF : 7.11.70.109 2048 Bytes 05.04.2013 05:09:23
VBASE021.VDF : 7.11.70.110 2048 Bytes 05.04.2013 05:09:24
VBASE022.VDF : 7.11.70.111 2048 Bytes 05.04.2013 05:09:24
VBASE023.VDF : 7.11.70.112 2048 Bytes 05.04.2013 05:09:24
VBASE024.VDF : 7.11.70.113 2048 Bytes 05.04.2013 05:09:24
VBASE025.VDF : 7.11.70.114 2048 Bytes 05.04.2013 05:09:24
VBASE026.VDF : 7.11.70.115 2048 Bytes 05.04.2013 05:09:24
VBASE027.VDF : 7.11.70.116 2048 Bytes 05.04.2013 05:09:24
VBASE028.VDF : 7.11.70.117 2048 Bytes 05.04.2013 05:09:24
VBASE029.VDF : 7.11.70.118 2048 Bytes 05.04.2013 05:09:24
VBASE030.VDF : 7.11.70.119 2048 Bytes 05.04.2013 05:09:24
VBASE031.VDF : 7.11.70.172 93184 Bytes 06.04.2013 05:09:24
Engineversion : 8.2.12.24
AEVDF.DLL : 8.1.2.10 102772 Bytes 11.07.2012 10:27:25
AESCRIPT.DLL : 8.1.4.104 475517 Bytes 04.04.2013 16:31:54
AESCN.DLL : 8.1.10.4 131446 Bytes 27.03.2013 06:35:47
AESBX.DLL : 8.2.5.12 606578 Bytes 16.06.2012 17:55:47
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 14:27:20
AEPACK.DLL : 8.3.2.6 827767 Bytes 30.03.2013 19:31:30
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 18:53:33
AEHEUR.DLL : 8.1.4.278 5828985 Bytes 04.04.2013 16:31:54
AEHELP.DLL : 8.1.25.2 258423 Bytes 11.10.2012 16:54:27
AEGEN.DLL : 8.1.7.2 442741 Bytes 27.03.2013 06:35:47
AEEXP.DLL : 8.4.0.16 192886 Bytes 04.04.2013 16:31:54
AEEMU.DLL : 8.1.3.2 393587 Bytes 11.07.2012 10:27:23
AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 19:16:46
AEBB.DLL : 8.1.1.4 53619 Bytes 06.11.2012 16:26:24
AVWINLL.DLL : 13.6.0.480 26480 Bytes 04.03.2013 08:01:26
AVPREF.DLL : 13.6.0.480 51056 Bytes 04.03.2013 08:01:37
AVREP.DLL : 13.6.0.480 178544 Bytes 04.03.2013 08:01:58
AVARKT.DLL : 13.6.0.902 260832 Bytes 03.04.2013 15:38:04
AVEVTLOG.DLL : 13.6.0.902 167648 Bytes 03.04.2013 15:38:04
SQLITE3.DLL : 3.7.0.1 397704 Bytes 04.03.2013 08:01:51
AVSMTP.DLL : 13.6.0.480 62832 Bytes 04.03.2013 08:01:37
NETNT.DLL : 13.6.0.480 16240 Bytes 04.03.2013 08:01:48
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 04.03.2013 08:01:27
RCTEXT.DLL : 13.6.0.976 69344 Bytes 03.04.2013 15:37:42
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_515faf8e\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Samstag, 6. April 2013 08:12
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '144' Modul(e) wurden durchsucht
Durchsuche Prozess 'UMVPFSrv.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'SixEngine.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'bgsvcgen.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'WerFault.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'Vid.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMERunner.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'VideoCamSuiteAutoStart.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '213' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\ScoX\AppData\Local\Temp\tmp5f9ba9d7\456487.exe'
C:\Users\ScoX\AppData\Local\Temp\tmp5f9ba9d7\456487.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.73728.71
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54db2b28.qua' verschoben!
Ende des Suchlaufs: Samstag, 6. April 2013 08:12
Benötigte Zeit: 00:07 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
793 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
792 Dateien ohne Befall
1 Archive wurden durchsucht
0 Warnungen
1 Hinweise
|
|
06.04.2013, 13:19
| #6 | |
| /// TB-Ausbilder | Trojaner will 100 Tannummern beim einloggen zum Onlinebanking (Diba) Hi, dann so weiter: Schritt 1 Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.
Schritt 2 Warnung für Mitleser: Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde! Downloade dir bitte Combofix.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
Schritt 3 Starte bitte die OTL.exe.
Bitte poste in deiner nächsten Antwort:
__________________ --> Trojaner will 100 Tannummern beim einloggen zum Onlinebanking (Diba) |
|
06.04.2013, 16:25
| #7 |
| | Trojaner will 100 Tannummern beim einloggen zum Onlinebanking (Diba) Hi Aharonov, Adwcleaner: Code:
ATTFilter # AdwCleaner v2.200 - Datei am 06/04/2013 um 16:35:01 erstellt
# Aktualisiert am 02/04/2013 von Xplode
# Betriebssystem : Windows (TM) Vista Home Premium Service Pack 2 (64 bits)
# Benutzer : ScoX - SCOX-MÜHLE
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\ScoX\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Datei Gelöscht : C:\Users\ScoX\AppData\Roaming\Mozilla\Firefox\Profiles\3pn9ipth.default\searchplugins\11-suche.xml
Gelöscht mit Neustart : C:\Program Files (x86)\Ask.com
Gelöscht mit Neustart : C:\Users\ScoX\AppData\Local\AskToolbar
Gelöscht mit Neustart : C:\Users\ScoX\AppData\LocalLow\AskToolbar
Gelöscht mit Neustart : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\APN
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\AskToolbar
Schlüssel Gelöscht : HKCU\Software\AskToolbar
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
Schlüssel Gelöscht : HKLM\Software\APN
Schlüssel Gelöscht : HKLM\Software\AskToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]
Wert Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
***** [Internet Browser] *****
-\\ Internet Explorer v7.0.6002.18005
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Mozilla Firefox v19.0.2 (de)
Datei : C:\Users\ScoX\AppData\Roaming\Mozilla\Firefox\Profiles\3pn9ipth.default\prefs.js
C:\Users\ScoX\AppData\Roaming\Mozilla\Firefox\Profiles\3pn9ipth.default\user.js ... Gelöscht !
[OK] Die Datei ist sauber.
*************************
AdwCleaner[S1].txt - [3992 octets] - [06/04/2013 16:35:01]
########## EOF - C:\AdwCleaner[S1].txt - [4052 octets] ##########
hier die Combofix log Code:
ATTFilter ComboFix 13-04-06.01 - ScoX 06.04.2013 16:56:02.1.4 - x64
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.4094.2730 [GMT 2:00]
ausgeführt von:: c:\users\ScoX\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-03-06 bis 2013-04-06 ))))))))))))))))))))))))))))))
.
.
2013-04-06 15:01 . 2013-04-06 15:01 -------- d-----w- c:\users\ScoX\AppData\Local\temp
2013-04-06 15:01 . 2013-04-06 15:01 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-04-06 14:35 . 2013-04-06 14:35 284 ----a-w- c:\windows\DeleteOnReboot.bat
2013-04-05 11:15 . 2013-04-05 11:15 -------- d-----w- c:\users\ScoX\AppData\Roaming\Malwarebytes
2013-04-05 11:14 . 2013-04-05 11:14 -------- d-----w- c:\programdata\Malwarebytes
2013-04-05 11:14 . 2013-04-05 11:14 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2013-04-05 11:14 . 2012-12-14 14:49 24176 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-04-03 15:38 . 2013-04-03 15:38 28600 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2013-04-03 15:38 . 2013-04-03 15:38 130016 ----a-w- c:\windows\system32\drivers\avipbb.sys
2013-04-03 15:38 . 2013-04-03 15:38 100712 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2013-04-01 06:19 . 2013-04-05 11:01 -------- d-----w- c:\users\ScoX\AppData\Roaming\Cacu
2013-04-01 06:19 . 2013-04-05 10:58 -------- d-----w- c:\users\ScoX\AppData\Roaming\Quug
2013-04-01 06:19 . 2013-04-01 06:19 -------- d-----w- c:\users\ScoX\AppData\Roaming\Hizac
2013-03-22 09:56 . 2013-02-12 02:18 19456 ----a-w- c:\windows\system32\drivers\usb8023.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-14 15:58 . 2006-11-02 12:35 72013344 ----a-w- c:\windows\system32\mrt.exe
2013-03-13 14:22 . 2012-04-23 06:09 693976 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2013-03-13 14:22 . 2011-07-17 10:21 73432 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-02-08 00:28 . 2013-03-02 09:55 9162192 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{30194B44-4253-41CB-BEE2-121E2D688A32}\mpengine.dll
2013-01-17 00:28 . 2010-04-07 06:09 273840 ------w- c:\windows\system32\MpSigStub.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 138240]
"Logitech Vid"="c:\program files (x86)\Logitech\Vid HD\Vid.exe" [2010-10-29 5915480]
"TomTomHOME.exe"="c:\program files (x86)\TomTom HOME 2\TomTomHOMERunner.exe" [2013-02-12 248208]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"AppleSyncNotifier"="c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-09-27 59240]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-11-12 421736]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2011-10-24 421888]
"LWS"="c:\program files (x86)\Logitech\LWS\Webcam Software\LWS.exe" [2011-11-11 205336]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2012-07-04 641704]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2013-04-03 345312]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files (x86)\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
VideoCam Suite 2.0.lnk - c:\program files (x86)\Panasonic\VideoCam Suite 2\VideoCamSuiteAutoStart.exe [2010-7-18 185688]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="userinit.exe"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
Themes
.
Inhalt des "geplante Tasks" Ordners
.
2013-04-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-23 14:22]
.
2013-04-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-05-15 09:34]
.
2013-04-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-05-15 09:34]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RAVCpl64.exe" [2008-05-20 6296064]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = %SystemRoot%\system32\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~2\MICROS~1\Office10\EXCEL.EXE/3000
LSP: c:\program files (x86)\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\ScoX\AppData\Roaming\Mozilla\Firefox\Profiles\3pn9ipth.default\
FF - prefs.js: browser.startup.homepage - www.gerlinger.de
FF - ExtSQL: !HIDDEN! 2010-04-08 08:13; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKLM-Run-<NO NAME> - (no file)
SafeBoot-WudfPf
SafeBoot-WudfRd
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
Zeit der Fertigstellung: 2013-04-06 17:03:45
ComboFix-quarantined-files.txt 2013-04-06 15:03
.
Vor Suchlauf: 16 Verzeichnis(se), 410.910.134.272 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 410.820.280.320 Bytes frei
.
- - End Of File - - D3B23AF9757034FF2CA25E001D77D618
Code:
ATTFilter OTL logfile created on: 06.04.2013 17:09:01 - Run 2 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\ScoX\Desktop 64bit-Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 7.0.6002.18005) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 4,00 Gb Total Physical Memory | 2,54 Gb Available Physical Memory | 63,54% Memory free 8,20 Gb Paging File | 6,55 Gb Available in Paging File | 79,84% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 596,17 Gb Total Space | 382,66 Gb Free Space | 64,19% Space Free | Partition Type: NTFS Drive E: | 512,35 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Computer Name: SCOX-MÜHLE | User Name: ScoX | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Quick Scan | Include 64bit Scans Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.04.05 17:24:32 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\ScoX\Desktop\OTL.exe PRC - [2013.04.03 17:38:09 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe PRC - [2013.04.03 17:38:05 | 000,565,472 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE PRC - [2013.04.03 17:38:05 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe PRC - [2013.04.03 17:38:04 | 000,345,312 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe PRC - [2013.02.12 11:43:56 | 000,093,072 | ---- | M] (TomTom) -- C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe PRC - [2012.01.18 08:44:52 | 000,450,848 | ---- | M] (Logitech Inc.) -- C:\Program Files (x86)\Common Files\logishrd\LVMVFM\UMVPFSrv.exe PRC - [2011.11.11 15:08:06 | 000,205,336 | ---- | M] (Logitech Inc.) -- C:\Program Files (x86)\Logitech\LWS\Webcam Software\LWS.exe PRC - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe PRC - [2009.02.17 13:03:54 | 000,185,688 | ---- | M] (Panasonic Corporation) -- C:\Program Files (x86)\Panasonic\VideoCam Suite 2\VideoCamSuiteAutoStart.exe PRC - [2008.06.03 01:06:34 | 005,964,800 | ---- | M] () -- C:\Programme\ASUS\Six Engine\SixEngine.exe PRC - [2007.06.15 12:57:42 | 000,145,504 | ---- | M] (B.H.A Corporation) -- C:\Windows\SysWOW64\bgsvcgen.exe ========== Modules (No Company Name) ========== MOD - [2011.11.11 15:08:18 | 007,956,504 | ---- | M] () -- C:\Program Files (x86)\Logitech\LWS\Webcam Software\QtGui4.dll MOD - [2011.11.11 15:08:18 | 000,342,552 | ---- | M] () -- C:\Program Files (x86)\Logitech\LWS\Webcam Software\QtXml4.dll MOD - [2011.11.11 15:08:18 | 000,128,536 | ---- | M] () -- C:\Program Files (x86)\Logitech\LWS\Webcam Software\imageformats\QJpeg4.dll MOD - [2011.11.11 15:08:18 | 000,029,208 | ---- | M] () -- C:\Program Files (x86)\Logitech\LWS\Webcam Software\imageformats\QGif4.dll MOD - [2011.11.11 15:08:06 | 002,145,304 | ---- | M] () -- C:\Program Files (x86)\Logitech\LWS\Webcam Software\QtCore4.dll MOD - [2011.06.24 22:56:36 | 000,087,328 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll MOD - [2011.06.24 22:56:14 | 001,241,888 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll MOD - [2008.06.03 01:06:34 | 005,964,800 | ---- | M] () -- C:\Programme\ASUS\Six Engine\SixEngine.exe MOD - [2006.01.10 10:50:20 | 000,024,576 | R--- | M] () -- C:\Windows\SysWOW64\AsIO.dll MOD - [2005.05.11 16:39:32 | 000,565,248 | ---- | M] () -- C:\Programme\ASUS\Six Engine\pngio.dll MOD - [2000.11.06 10:15:22 | 000,126,976 | ---- | M] () -- C:\Program Files (x86)\Microsoft Office\Office10\intldate.dll ========== Services (SafeList) ========== SRV:64bit: - [2012.07.04 08:20:54 | 000,238,080 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility) SRV - [2013.04.03 17:38:09 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2013.04.03 17:38:05 | 000,565,472 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService) SRV - [2013.04.03 17:38:05 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2013.03.13 16:22:12 | 000,253,656 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2013.03.08 10:18:28 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2013.02.12 11:43:56 | 000,093,072 | ---- | M] (TomTom) [Auto | Running] -- C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe -- (TomTomHOMEService) SRV - [2012.07.13 13:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2012.01.18 08:44:52 | 000,450,848 | ---- | M] (Logitech Inc.) [Auto | Running] -- C:\Program Files (x86)\Common Files\logishrd\LVMVFM\UMVPFSrv.exe -- (UMVPFSrv) SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe -- (NMSAccess) SRV - [2009.03.30 06:42:14 | 000,066,368 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32) SRV - [2007.06.15 12:57:42 | 000,145,504 | ---- | M] (B.H.A Corporation) [Auto | Running] -- C:\Windows\SysWOW64\bgsvcgen.exe -- (bgsvcgen) ========== Driver Services (SafeList) ========== DRV:64bit: - [2013.04.03 17:38:11 | 000,130,016 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\DRIVERS\avipbb.sys -- (avipbb) DRV:64bit: - [2013.04.03 17:38:11 | 000,100,712 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\SysNative\DRIVERS\avgntflt.sys -- (avgntflt) DRV:64bit: - [2013.04.03 17:38:11 | 000,028,600 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\DRIVERS\avkmgr.sys -- (avkmgr) DRV:64bit: - [2012.07.04 08:59:32 | 011,922,944 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\atikmdag.sys -- (amdkmdag) DRV:64bit: - [2012.07.04 07:10:56 | 000,359,936 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\atikmpag.sys -- (amdkmdap) DRV:64bit: - [2012.02.29 15:52:46 | 000,016,384 | ---- | M] (Microsoft Corporation) [Recognizer | System | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec) DRV:64bit: - [2012.02.23 14:31:50 | 000,092,176 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtihdLH6.sys -- (AtiHDAudioService) DRV:64bit: - [2012.01.18 08:44:36 | 004,865,568 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\lvuvc64.sys -- (LVUVC64) DRV:64bit: - [2012.01.18 08:44:28 | 000,351,136 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\lvrs64.sys -- (LVRS64) DRV:64bit: - [2011.05.10 08:06:08 | 000,051,712 | ---- | M] (Apple, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\usbaapl64.sys -- (USBAAPL64) DRV:64bit: - [2009.11.12 14:48:56 | 000,005,504 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\StarOpen.sys -- (StarOpen) DRV:64bit: - [2009.10.01 02:51:42 | 000,046,592 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\wpdusb.sys -- (WpdUsb) DRV:64bit: - [2009.05.18 14:17:08 | 000,034,152 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\GEARAspiWDM.sys -- (GEARAspiWDM) DRV:64bit: - [2009.04.08 14:28:46 | 000,068,992 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\xusb21.sys -- (xusb21) DRV:64bit: - [2008.06.10 12:33:54 | 000,173,096 | ---- | M] (Marvell Semiconductor, Inc.) [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\mv61xx.sys -- (mv61xx) DRV:64bit: - [2008.02.02 16:24:00 | 000,057,344 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\L1E60x64.sys -- (L1E) DRV:64bit: - [2008.01.21 04:47:27 | 000,903,168 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\xnacc.sys -- (xnacc) DRV:64bit: - [2006.11.01 01:23:42 | 000,015,680 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\ASACPI.sys -- (MTsensor) DRV:64bit: - [2006.08.25 14:36:52 | 000,039,208 | ---- | M] (B.H.A Corporation) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\cdrbsdrv.sys -- (cdrbsdrv) DRV - [2009.11.12 14:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\Windows\SysWow64\drivers\StarOpen.sys -- (StarOpen) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE:64bit: - HKLM\..\SearchScopes,DefaultScope = IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\..\SearchScopes,DefaultScope = IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = IE - HKU\S-1-5-21-3984659545-2431576537-29756485-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKU\S-1-5-21-3984659545-2431576537-29756485-1000\..\SearchScopes,DefaultScope = IE - HKU\S-1-5-21-3984659545-2431576537-29756485-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKU\S-1-5-21-3984659545-2431576537-29756485-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-3984659545-2431576537-29756485-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "www.gerlinger.de" FF - prefs.js..extensions.enabledAddons: toolbar%40web.de:2.5 FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA}:6.0.25 FF - user.js - File not found FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_6_602_180.dll File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_6_602_180.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@fluxdvd.com/NPWMDRMWrapper: C:\Program Files (x86)\Videoload Manager\NPWMDRMWrapper.dll ( ) FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@protectdisc.com/NPMPDRM: C:\Program Files (x86)\Common Files\mpDRM\NPMPDRM.dll ( ) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2013.03.08 10:18:28 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2013.03.08 10:18:26 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2013.03.08 10:18:28 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2013.03.08 10:18:26 | 000,000,000 | ---D | M] [2010.05.15 19:09:23 | 000,000,000 | ---D | M] (No name found) -- C:\Users\ScoX\AppData\Roaming\mozilla\Extensions [2010.05.15 19:09:23 | 000,000,000 | ---D | M] (No name found) -- C:\Users\ScoX\AppData\Roaming\mozilla\Extensions\home2@tomtom.com [2013.03.26 11:17:35 | 000,000,000 | ---D | M] (No name found) -- C:\Users\ScoX\AppData\Roaming\mozilla\Firefox\Profiles\3pn9ipth.default\extensions [2010.04.27 19:38:51 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\ScoX\AppData\Roaming\mozilla\Firefox\Profiles\3pn9ipth.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2013.03.26 11:17:35 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\ScoX\AppData\Roaming\mozilla\Firefox\Profiles\3pn9ipth.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2013.03.23 07:22:30 | 000,549,639 | ---- | M] () (No name found) -- C:\Users\ScoX\AppData\Roaming\mozilla\firefox\profiles\3pn9ipth.default\extensions\toolbar@web.de.xpi [2013.03.23 07:22:33 | 000,002,418 | ---- | M] () -- C:\Users\ScoX\AppData\Roaming\mozilla\firefox\profiles\3pn9ipth.default\searchplugins\englische-ergebnisse.xml [2013.03.23 07:22:33 | 000,010,701 | ---- | M] () -- C:\Users\ScoX\AppData\Roaming\mozilla\firefox\profiles\3pn9ipth.default\searchplugins\gmx-suche.xml [2013.03.23 07:22:33 | 000,002,432 | ---- | M] () -- C:\Users\ScoX\AppData\Roaming\mozilla\firefox\profiles\3pn9ipth.default\searchplugins\lastminute.xml [2013.03.23 07:22:32 | 000,005,682 | ---- | M] () -- C:\Users\ScoX\AppData\Roaming\mozilla\firefox\profiles\3pn9ipth.default\searchplugins\webde-suche.xml [2013.03.08 10:18:25 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions [2013.03.08 10:18:28 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll [2011.10.03 06:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll [2011.10.04 18:22:09 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.09.14 20:29:22 | 000,002,465 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml [2011.10.04 18:22:09 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml [2011.10.04 18:22:09 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml [2011.10.04 18:22:09 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml [2011.10.04 18:22:09 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.09.18 23:37:24 | 000,000,761 | ---- | M]) - C:\Windows\SysNative\drivers\etc\Hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Windows\RAVCpl64.exe (Realtek Semiconductor) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [LWS] C:\Program Files (x86)\Logitech\LWS\Webcam Software\LWS.exe (Logitech Inc.) O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKU\S-1-5-21-3984659545-2431576537-29756485-1000..\Run: [Logitech Vid] C:\Program Files (x86)\Logitech\Vid HD\Vid.exe (Logitech Inc.) O4 - HKU\S-1-5-21-3984659545-2431576537-29756485-1000..\Run: [TomTomHOME.exe] C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe (TomTom) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-3984659545-2431576537-29756485-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-3984659545-2431576537-29756485-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O8:64bit: - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\Office10\EXCEL.EXE/3000 File not found O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\Office10\EXCEL.EXE/3000 File not found O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000019 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG) O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25) O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{FC832B7A-6A48-4C59-9995-9E46C48009D0}: DhcpNameServer = 192.168.0.1 O18:64bit: - Protocol\Handler\cdo - No CLSID value found O18:64bit: - Protocol\Handler\fluxhttp - No CLSID value found O18:64bit: - Protocol\Handler\fluxhttp\0x00000007 - No CLSID value found O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found O18:64bit: - Protocol\Handler\msdaipp\0x00000001 - No CLSID value found O18:64bit: - Protocol\Handler\msdaipp\oledb - No CLSID value found O18:64bit: - Protocol\Handler\mso-offdap - No CLSID value found O18:64bit: - Protocol\Handler\skype4com - No CLSID value found O18 - Protocol\Handler\fluxhttp {8E2D00A0-82C6-4821-90BC-07F290841BB6} - C:\Program Files (x86)\Common Files\fluxDVD\Lib\XEB\xebnavigation.ax () O18 - Protocol\Handler\fluxhttp\0x00000007 {8E2D00A0-82C6-4821-90BC-07F290841BB6} - C:\Program Files (x86)\Common Files\fluxDVD\Lib\XEB\xebnavigation.ax () O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\OLE DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\OLE DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~2\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation) O24 - Desktop WallPaper: C:\Users\ScoX\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O24 - Desktop BackupWallPaper: C:\Users\ScoX\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.02.10 14:02:22 | 000,000,164 | R--- | M] () - E:\AutoRun.dat -- [ CDFS ] O32 - AutoRun File - [2011.05.10 15:45:40 | 000,194,888 | R--- | M] () - E:\AutoRun.exe -- [ CDFS ] O32 - AutoRun File - [2006.02.13 13:01:14 | 000,000,045 | R--- | M] () - E:\AutoRun.inf -- [ CDFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = ComFile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2013.04.06 17:03:47 | 000,000,000 | ---D | C] -- C:\Windows\temp [2013.04.06 17:03:47 | 000,000,000 | ---D | C] -- C:\Users\ScoX\AppData\Local\temp [2013.04.06 16:52:57 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe [2013.04.06 16:52:57 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe [2013.04.06 16:52:57 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe [2013.04.06 16:52:52 | 000,000,000 | ---D | C] -- C:\Qoobox [2013.04.06 16:52:39 | 000,000,000 | ---D | C] -- C:\Windows\erdnt [2013.04.06 16:51:10 | 005,047,402 | R--- | C] (Swearware) -- C:\Users\ScoX\Desktop\ComboFix.exe [2013.04.06 16:31:07 | 000,000,000 | ---D | C] -- C:\Users\ScoX\Desktop\Trojaner [2013.04.06 07:15:47 | 000,000,000 | ---D | C] -- C:\Windows\Minidump [2013.04.05 17:24:32 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\ScoX\Desktop\OTL.exe [2013.04.05 13:15:08 | 000,000,000 | ---D | C] -- C:\Users\ScoX\AppData\Roaming\Malwarebytes [2013.04.05 13:14:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2013.04.05 13:14:17 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2013.04.05 13:14:16 | 000,024,176 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys [2013.04.05 13:14:16 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware [2013.04.05 13:13:45 | 010,156,344 | ---- | C] (Malwarebytes Corporation ) -- C:\Users\ScoX\Desktop\mbam-setup-1.70.0.1100.exe [2013.04.03 17:38:25 | 000,130,016 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys [2013.04.03 17:38:25 | 000,100,712 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys [2013.04.03 17:38:25 | 000,028,600 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys [2013.04.01 08:19:59 | 000,000,000 | ---D | C] -- C:\Users\ScoX\AppData\Roaming\Quug [2013.04.01 08:19:59 | 000,000,000 | ---D | C] -- C:\Users\ScoX\AppData\Roaming\Hizac [2013.04.01 08:19:59 | 000,000,000 | ---D | C] -- C:\Users\ScoX\AppData\Roaming\Cacu [2013.03.22 11:57:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Earth [2013.03.13 19:09:09 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TomTom [2013.03.08 10:18:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Mozilla Firefox ========== Files - Modified Within 30 Days ========== [2013.04.06 16:56:11 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2013.04.06 16:51:18 | 005,047,402 | R--- | M] (Swearware) -- C:\Users\ScoX\Desktop\ComboFix.exe [2013.04.06 16:45:18 | 024,709,296 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat [2013.04.06 16:45:18 | 007,776,828 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2013.04.06 16:45:18 | 006,972,326 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2013.04.06 16:45:17 | 007,745,968 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat [2013.04.06 16:45:17 | 000,005,580 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2013.04.06 16:38:19 | 000,003,616 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2013.04.06 16:38:19 | 000,003,616 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2013.04.06 16:38:08 | 000,001,102 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2013.04.06 16:37:10 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2013.04.06 16:35:17 | 000,000,284 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat [2013.04.06 16:33:31 | 000,613,083 | ---- | M] () -- C:\Users\ScoX\Desktop\adwcleaner.exe [2013.04.06 16:30:15 | 000,002,647 | ---- | M] () -- C:\Users\ScoX\Desktop\Microsoft Word.lnk [2013.04.06 10:20:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job [2013.04.06 07:15:34 | 518,823,113 | ---- | M] () -- C:\Windows\MEMORY.DMP [2013.04.05 17:42:14 | 000,377,856 | ---- | M] () -- C:\Users\ScoX\Desktop\gmer_2.1.19163.exe [2013.04.05 17:24:32 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\ScoX\Desktop\OTL.exe [2013.04.05 17:22:48 | 000,000,000 | ---- | M] () -- C:\Users\ScoX\defogger_reenable [2013.04.05 17:21:56 | 000,050,477 | ---- | M] () -- C:\Users\ScoX\Desktop\Defogger.exe [2013.04.05 13:14:18 | 000,000,948 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2013.04.05 13:13:47 | 010,156,344 | ---- | M] (Malwarebytes Corporation ) -- C:\Users\ScoX\Desktop\mbam-setup-1.70.0.1100.exe [2013.04.03 17:38:11 | 000,130,016 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys [2013.04.03 17:38:11 | 000,100,712 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys [2013.04.03 17:38:11 | 000,028,600 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys [2013.03.31 17:01:49 | 000,013,030 | ---- | M] () -- C:\PDOXUSRS.NET [2013.03.07 21:37:38 | 000,020,513 | ---- | M] () -- C:\Users\ScoX\Desktop\ESt2012_Grandau_Patrick_und_Grandau_Michaela.elfo ========== Files Created - No Company Name ========== [2013.04.06 16:52:57 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe [2013.04.06 16:52:57 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe [2013.04.06 16:52:57 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe [2013.04.06 16:52:57 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe [2013.04.06 16:52:57 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe [2013.04.06 16:35:11 | 000,000,284 | ---- | C] () -- C:\Windows\DeleteOnReboot.bat [2013.04.06 16:33:31 | 000,613,083 | ---- | C] () -- C:\Users\ScoX\Desktop\adwcleaner.exe [2013.04.06 07:15:34 | 518,823,113 | ---- | C] () -- C:\Windows\MEMORY.DMP [2013.04.05 17:42:13 | 000,377,856 | ---- | C] () -- C:\Users\ScoX\Desktop\gmer_2.1.19163.exe [2013.04.05 17:22:48 | 000,000,000 | ---- | C] () -- C:\Users\ScoX\defogger_reenable [2013.04.05 17:21:54 | 000,050,477 | ---- | C] () -- C:\Users\ScoX\Desktop\Defogger.exe [2013.04.05 13:14:18 | 000,000,948 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2012.08.26 20:35:02 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin [2012.05.19 10:14:53 | 000,015,428 | ---- | C] () -- C:\Users\ScoX\RefEdit.exd [2012.01.18 08:44:00 | 010,920,984 | ---- | C] () -- C:\Windows\SysWow64\LogiDPP.dll [2012.01.18 08:44:00 | 000,336,408 | ---- | C] () -- C:\Windows\SysWow64\DevManagerCore.dll [2012.01.18 08:44:00 | 000,104,472 | ---- | C] () -- C:\Windows\SysWow64\LogiDPPApp.exe [2011.09.13 00:06:16 | 000,003,917 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat [2011.07.30 11:57:46 | 003,999,744 | ---- | C] () -- C:\Windows\SysWow64\x264vfw.dll [2011.07.12 19:56:50 | 000,074,752 | ---- | C] () -- C:\Windows\SysWow64\ff_vfw.dll [2010.12.05 12:21:22 | 000,000,303 | ---- | C] () -- C:\Users\ScoX\AppData\Roaming\burnaware.ini [2010.09.01 08:51:48 | 000,000,118 | ---- | C] () -- C:\Program Files (x86)\_QSQL117.DBF [2010.09.01 08:46:02 | 000,000,118 | ---- | C] () -- C:\Program Files (x86)\_QSQL199.DBF [2010.09.01 08:45:03 | 000,000,118 | ---- | C] () -- C:\Program Files (x86)\_QSQL835.DBF [2010.09.01 08:43:22 | 000,000,118 | ---- | C] () -- C:\Program Files (x86)\_QSQL426.DBF [2010.09.01 08:43:18 | 000,000,118 | ---- | C] () -- C:\Program Files (x86)\_QSQL841.DBF [2010.09.01 08:43:13 | 000,000,118 | ---- | C] () -- C:\Program Files (x86)\_QSQL910.DBF [2010.09.01 08:43:05 | 000,000,118 | ---- | C] () -- C:\Program Files (x86)\_QSQL839.DBF [2010.09.01 08:32:52 | 000,000,118 | ---- | C] () -- C:\Program Files (x86)\_QSQL830.DBF [2010.09.01 08:32:50 | 000,000,118 | ---- | C] () -- C:\Program Files (x86)\_QSQL137.DBF [2010.09.01 08:32:41 | 000,000,118 | ---- | C] () -- C:\Program Files (x86)\_QSQL274.DBF [2010.06.10 18:44:02 | 000,000,118 | ---- | C] () -- C:\Program Files (x86)\_QSQL878.DBF [2010.06.10 18:37:11 | 000,000,118 | ---- | C] () -- C:\Program Files (x86)\_QSQL787.DBF [2010.06.10 18:24:20 | 000,000,118 | ---- | C] () -- C:\Program Files (x86)\_QSQL429.DBF [2010.06.10 18:23:16 | 000,000,118 | ---- | C] () -- C:\Program Files (x86)\_QSQL000.DBF [2010.04.09 23:55:30 | 000,183,296 | ---- | C] () -- C:\Users\ScoX\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.04.08 23:08:58 | 000,000,552 | ---- | C] () -- C:\Users\ScoX\AppData\Local\d3d8caps.dat [2010.04.08 23:08:56 | 000,000,680 | ---- | C] () -- C:\Users\ScoX\AppData\Local\d3d9caps.dat [2010.04.06 08:58:15 | 000,000,732 | ---- | C] () -- C:\Users\ScoX\AppData\Local\d3d9caps64.dat ========== ZeroAccess Check ========== [2006.11.02 17:30:40 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 "" = C:\Windows\SysNative\shell32.dll -- [2012.06.08 19:59:03 | 012,899,840 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 19:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.04.11 09:11:14 | 000,891,392 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\SysWow64\wbem\fastprox.dll -- [2009.04.11 08:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\wbemess.dll -- [2008.01.21 04:50:58 | 000,513,024 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = %systemroot%\SysWow64\wbem\wbemess.dll ========== LOP Check ========== [2013.04.05 13:01:29 | 000,000,000 | ---D | M] -- C:\Users\ScoX\AppData\Roaming\Cacu [2010.09.19 12:39:30 | 000,000,000 | ---D | M] -- C:\Users\ScoX\AppData\Roaming\Canneverbe Limited [2010.12.22 20:19:01 | 000,000,000 | ---D | M] -- C:\Users\ScoX\AppData\Roaming\CoSoSys [2012.02.28 17:43:53 | 000,000,000 | ---D | M] -- C:\Users\ScoX\AppData\Roaming\DeepBurner [2013.02.17 21:19:29 | 000,000,000 | ---D | M] -- C:\Users\ScoX\AppData\Roaming\elsterformular [2010.12.05 14:12:55 | 000,000,000 | ---D | M] -- C:\Users\ScoX\AppData\Roaming\FreeVideoConverter [2013.04.01 08:19:59 | 000,000,000 | ---D | M] -- C:\Users\ScoX\AppData\Roaming\Hizac [2012.02.28 18:42:07 | 000,000,000 | ---D | M] -- C:\Users\ScoX\AppData\Roaming\Leadertech [2010.07.18 19:27:17 | 000,000,000 | ---D | M] -- C:\Users\ScoX\AppData\Roaming\Panasonic [2013.04.05 12:58:22 | 000,000,000 | ---D | M] -- C:\Users\ScoX\AppData\Roaming\Quug [2010.05.15 19:09:23 | 000,000,000 | ---D | M] -- C:\Users\ScoX\AppData\Roaming\TomTom [2011.09.01 17:55:26 | 000,000,000 | ---D | M] -- C:\Users\ScoX\AppData\Roaming\VistaCodecs ========== Purity Check ========== < End of report > |
|
06.04.2013, 16:37
| #8 |
| /// TB-Ausbilder | Trojaner will 100 Tannummern beim einloggen zum Onlinebanking (Diba) Hi, prima, wir kontrollieren nochmals. Wie läuft der Rechner jetzt? Tritt das Problem noch auf? Schritt 1
Code:
ATTFilter :OTL
[2013.04.05 12:58:22 | 000,000,000 | ---D | M] -- C:\Users\ScoX\AppData\Roaming\Quug
[2013.04.01 08:19:59 | 000,000,000 | ---D | M] -- C:\Users\ScoX\AppData\Roaming\Hizac
[2013.04.05 13:01:29 | 000,000,000 | ---D | M] -- C:\Users\ScoX\AppData\Roaming\Cacu
:commands
[emptytemp]
Schritt 2
Schritt 3 Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.
Schritt 4 Downloade dir bitte SecurityCheck (Link 2).
Bitte poste in deiner nächsten Antwort:
__________________ cheers, Leo |
|
07.04.2013, 05:37
| #9 |
| | Trojaner will 100 Tannummern beim einloggen zum Onlinebanking (Diba) MOin Moin, bis jetzt gabs mal keine weiteren Meldungen oder Vorkomnisse mehr Aber mein Konto ist noch gesperrt,were es nachher freischalten lassen und versuchen,dann geb ich bescheid. OTL Code:
ATTFilter All processes killed
========== OTL ==========
C:\Users\ScoX\AppData\Roaming\Quug folder moved successfully.
C:\Users\ScoX\AppData\Roaming\Hizac folder moved successfully.
C:\Users\ScoX\AppData\Roaming\Cacu folder moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
->Temp folder emptied: 0 bytes
User: ScoX
->Temp folder emptied: 33472 bytes
->Temporary Internet Files folder emptied: 962056 bytes
->Java cache emptied: 18765637 bytes
->FireFox cache emptied: 117657196 bytes
->Flash cache emptied: 950 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 131,00 mb
OTL by OldTimer - Version 3.2.69.0 log created on 04072013_062323
Files\Folders moved on Reboot...
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
mbam Code:
ATTFilter Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.04.06.07 Windows Vista Service Pack 2 x64 NTFS Internet Explorer 7.0.6002.18005 ScoX :: SCOX-MÜHLE [Administrator] 07.04.2013 06:29:12 mbam-log-2013-04-07 (06-29-12).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 209643 Laufzeit: 3 Minute(n), 1 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Eset hat keine Funde ergeben und hat auch keine txt erstellt. SecurityCheck Code:
ATTFilter Results of screen317's Security Check version 0.99.62 Windows Vista Service Pack 2 x64 Internet Explorer 7 Out of date! ``````````````Antivirus/Firewall Check:`````````````` Avira Desktop Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.70.0.1100 Java(TM) 6 Update 22 Java(TM) 6 Update 25 Java(TM) 6 Update 29 Java version out of Date! Adobe Flash Player 11.6.602.180 Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox 19.0.2 Firefox out of Date! ````````Process Check: objlist.exe by Laurent```````` Avira Antivir avgnt.exe Avira Antivir avguard.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` |
|
07.04.2013, 11:44
| #10 |
| /// TB-Ausbilder | Trojaner will 100 Tannummern beim einloggen zum Onlinebanking (Diba) Hallo, sehr gut, das sieht schon viel besser aus. Aber jetzt müssen unbedingt noch all die alten Softwareversionen runter, denn über diese kann sich die Malware oft überhaupt erst installieren. Danach räumen wir auf. Schritt 1 Downloade und installiere den Internet Explorer 9. Der Internet Explorer sollte auch dann aktuell gehalten werden, wenn er nicht zum Surfen verwendet wird. Schritt 2 Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können. Die aktuelle Version ist Java 7 Update 17.
Überleg dir also, ob du eine Java-Installation wirklich brauchst. Falls du Java weiterhin verwenden möchtest, dann:
Schritt 3 Dein Firefox ist nicht mehr aktuell. Starte deinen Firefox als Administrator, klicke Hilfe --> Über Firefox und führe das angebotene Update durch. Wiederhole diesen Schritt, bis Firefox als aktuell angezeigt wird. Schritt 4 Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:
Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls. Cleanup Zum Schluss werden wir jetzt noch unsere Tools wegräumen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.
>> OK << Wir sind durch, deine Logs sehen für mich im Moment sauber aus. Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst. Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann. Epilog: Tipps, Dos & Don'ts  Aktualität von System und SoftwareDas Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:
Auch die installierte Software sollte immer in der aktuellsten Version vorliegen. Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.
Sicherheits-SoftwareEine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt). Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.
Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt. Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:
(Un-)Sicheres Verhalten im InternetNebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert. Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.
Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).
Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.
Allgemeine HinweiseAbschliessend noch ein paar grundsätzliche Bemerkungen:
Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen. Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. 
__________________ cheers, Leo |
|
08.04.2013, 07:08
| #11 |
| | Trojaner will 100 Tannummern beim einloggen zum Onlinebanking (Diba) Ich kann mich nur noch 1000 mal bei dir bedanken.Hast du echt super gut gemacht. Hast mir einfach,professionell und vor allem auch für einen Newb wie mich,verständlich erklärt. Hoffe das ich so schnell nicht mehr eure Hilfe in Anspruch nehmen muss.Werde deine/eure Tips befolgen. Wünsche euch und eurer Seite weiterhin alles Gute und viel Erfolg.Ist echt klasse,dass es so Seiten wie eure gibt.Macht weiter so Beste Grüße Grand |
|
08.04.2013, 11:52
| #12 |
| /// TB-Ausbilder | Trojaner will 100 Tannummern beim einloggen zum Onlinebanking (Diba) Danke für die Rückmeldung. Freut mich, dass wir helfen konnten.  Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter. Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.
__________________ cheers, Leo |
|
| Themen zu Trojaner will 100 Tannummern beim einloggen zum Onlinebanking (Diba) |
| anderen, applaus, beendet, dankeschön, ebanking, einloggen, erneut, klicke, maleware, mehrere trojaner, nummern, onlinebanking, scan, schreibfehler, seite, sperren, sperrt, thread, tr/injector.aqf, tr/psw.zbot.65536.43, tr/psw.zbot.73728.71, tr/ransom.blocker.azdn, trojaner |
Textbox.
Linear-Darstellung
