TR / Agent.PBI und Mevade.A.95

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 5. Oktober 2013  09:34


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista (TM) Home Premium
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : TIEMANN-PC

Versionsinformationen:
BUILD.DAT      : 13.0.0.4052    55009 Bytes  29.08.2013 17:56:00
AVSCAN.EXE     : 13.6.20.2100   639032 Bytes  05.09.2013 19:02:06
AVSCANRC.DLL   : 13.6.20.2174    63032 Bytes  05.09.2013 19:02:06
LUKE.DLL       : 13.6.20.2174    65080 Bytes  05.09.2013 19:03:00
AVSCPLR.DLL    : 13.6.20.2174    92216 Bytes  05.09.2013 19:02:07
AVREG.DLL      : 13.6.20.2174   250424 Bytes  05.09.2013 19:02:04
avlode.dll     : 13.6.20.2174   497720 Bytes  05.09.2013 19:02:02
avlode.rdf     : 13.0.1.42      26846 Bytes  28.08.2013 15:53:11
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 15:30:40
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 11:49:18
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 15:42:47
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 16:07:22
VBASE004.VDF   : 7.11.91.176  3903488 Bytes  23.07.2013 13:26:00
VBASE005.VDF   : 7.11.98.186  6822912 Bytes  29.08.2013 11:09:24
VBASE006.VDF   : 7.11.103.230  2293248 Bytes  24.09.2013 15:08:39
VBASE007.VDF   : 7.11.103.231     2048 Bytes  24.09.2013 15:08:39
VBASE008.VDF   : 7.11.103.232     2048 Bytes  24.09.2013 15:08:40
VBASE009.VDF   : 7.11.103.233     2048 Bytes  24.09.2013 15:08:41
VBASE010.VDF   : 7.11.103.234     2048 Bytes  24.09.2013 15:08:42
VBASE011.VDF   : 7.11.103.235     2048 Bytes  24.09.2013 15:08:43
VBASE012.VDF   : 7.11.103.236     2048 Bytes  24.09.2013 15:08:44
VBASE013.VDF   : 7.11.103.237     2048 Bytes  24.09.2013 15:08:45
VBASE014.VDF   : 7.11.104.123   282112 Bytes  26.09.2013 16:08:23
VBASE015.VDF   : 7.11.104.237   359424 Bytes  28.09.2013 08:43:52
VBASE016.VDF   : 7.11.105.103   195072 Bytes  02.10.2013 17:49:26
VBASE017.VDF   : 7.11.105.104     2048 Bytes  02.10.2013 17:49:26
VBASE018.VDF   : 7.11.105.105     2048 Bytes  02.10.2013 17:49:26
VBASE019.VDF   : 7.11.105.106     2048 Bytes  02.10.2013 17:49:26
VBASE020.VDF   : 7.11.105.107     2048 Bytes  02.10.2013 17:49:26
VBASE021.VDF   : 7.11.105.108     2048 Bytes  02.10.2013 17:49:27
VBASE022.VDF   : 7.11.105.109     2048 Bytes  02.10.2013 17:49:27
VBASE023.VDF   : 7.11.105.110     2048 Bytes  02.10.2013 17:49:27
VBASE024.VDF   : 7.11.105.111     2048 Bytes  02.10.2013 17:49:27
VBASE025.VDF   : 7.11.105.112     2048 Bytes  02.10.2013 17:49:27
VBASE026.VDF   : 7.11.105.113     2048 Bytes  02.10.2013 17:49:27
VBASE027.VDF   : 7.11.105.114     2048 Bytes  02.10.2013 17:49:27
VBASE028.VDF   : 7.11.105.115     2048 Bytes  02.10.2013 17:49:27
VBASE029.VDF   : 7.11.105.116     2048 Bytes  02.10.2013 17:49:27
VBASE030.VDF   : 7.11.105.117     2048 Bytes  02.10.2013 17:49:27
VBASE031.VDF   : 7.11.105.212   491008 Bytes  04.10.2013 07:32:30
Engineversion  : 8.2.12.126
AEVDF.DLL      : 8.1.3.4       102774 Bytes  14.06.2013 13:49:49
AESCRIPT.DLL   : 8.1.4.154     512382 Bytes  02.10.2013 17:49:37
AESCN.DLL      : 8.1.10.4      131446 Bytes  26.03.2013 15:27:07
AESBX.DLL      : 8.2.16.26    1245560 Bytes  26.08.2013 07:44:43
AERDL.DLL      : 8.2.0.128     688504 Bytes  14.06.2013 13:49:48
AEPACK.DLL     : 8.3.2.30      749945 Bytes  02.10.2013 17:49:37
AEOFFICE.DLL   : 8.1.2.76      205181 Bytes  08.08.2013 15:50:47
AEHEUR.DLL     : 8.1.4.676    6201722 Bytes  02.10.2013 17:49:35
AEHELP.DLL     : 8.1.27.6      266617 Bytes  27.08.2013 16:26:55
AEGEN.DLL      : 8.1.7.14      446839 Bytes  06.09.2013 16:43:46
AEEXP.DLL      : 8.4.1.62      328055 Bytes  13.09.2013 10:02:58
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 18:19:04
AECORE.DLL     : 8.1.32.0      201081 Bytes  26.08.2013 07:44:27
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 14:44:04
AVWINLL.DLL    : 13.6.20.2174    23608 Bytes  05.09.2013 19:01:47
AVPREF.DLL     : 13.6.20.2174    48184 Bytes  05.09.2013 19:02:03
AVREP.DLL      : 13.6.20.2174   175672 Bytes  05.09.2013 19:02:05
AVARKT.DLL     : 13.6.20.2174   258104 Bytes  05.09.2013 19:01:54
AVEVTLOG.DLL   : 13.6.20.2174   165432 Bytes  05.09.2013 19:01:59
SQLITE3.DLL    : 3.7.0.1       397704 Bytes  01.03.2013 16:11:07
AVSMTP.DLL     : 13.6.20.2174    60472 Bytes  05.09.2013 19:02:07
NETNT.DLL      : 13.6.20.2174    13368 Bytes  05.09.2013 19:03:01
RCIMAGE.DLL    : 13.6.20.2174  4786744 Bytes  05.09.2013 19:01:47
RCTEXT.DLL     : 13.6.20.2174    68152 Bytes  05.09.2013 19:01:47

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Samstag, 5. Oktober 2013  09:34

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Treiber
  [HINWEIS]   Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrYNSvc.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'brccMCtl.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVESched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvtray.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmdcBase.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrStMonW.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ModLEDKey.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNYHKey.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '139' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVECapSvc.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'tor.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIService.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemeoService.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'SASCORE.EXE' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvxdsync.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'UMVPFSrv.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '3828' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Windows\System32\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe
  [FUND]      Ist das Trojanische Pferd TR/Mevade.A.95

Beginne mit der Desinfektion:
C:\Windows\System32\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe
  [FUND]      Ist das Trojanische Pferd TR/Mevade.A.95
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56f7a77e.qua' verschoben!


Ende des Suchlaufs: Samstag, 5. Oktober 2013  14:29
Benötigte Zeit:  4:52:46 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  36224 Verzeichnisse wurden überprüft
 862969 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 862968 Dateien ohne Befall
  10214 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise
 788066 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden
         

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
esets_scanner_update returned -1 esets_gle=12
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=18adf8db42edce48807f397ab627db95
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-19 03:47:34
# local_time=2012-05-19 05:47:34 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 17958936 17958936 0 0
# compatibility_mode=5892 16776573 100 100 159920 174967881 0 0
# compatibility_mode=8192 67108863 100 0 496252 496252 0 0
# scanned=240372
# found=0
# cleaned=0
# scan_time=7301
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=18adf8db42edce48807f397ab627db95
# engine=15353
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-10-04 11:50:49
# local_time=2013-10-04 01:50:49 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1799 16775165 100 97 12613 61411881 5385 0
# compatibility_mode=5892 16776574 100 100 2397757 218420177 0 0
# scanned=1041
# found=0
# cleaned=0
# scan_time=643
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=36886
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=18adf8db42edce48807f397ab627db95
# engine=15359
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-10-04 07:46:34
# local_time=2013-10-04 09:46:34 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1799 16775165 100 97 19565 61440426 12330 0
# compatibility_mode=5892 16776574 100 100 21633 218448722 0 0
# scanned=226843
# found=1
# cleaned=0
# scan_time=10039
sh=60E3E4227497AD83885E859903CB98D769ED9B9C ft=1 fh=c71c0011e1c26d8e vn="Win32/Agent.PBI trojan" ac=I fn="C:\Windows\System32\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe"
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=36886
esets_scanner_update returned -1 esets_gle=36886
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=36886
         

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.10.04.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Frank :: xxxxxxx-PC [Administrator]

05.10.2013 14:32:09
mbam-log-2013-10-05 (14-32-09).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 309053
Laufzeit: 8 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.0.3 (09.27.2013:1)
OS: Windows Vista (TM) Home Premium x86
Ran by xxxxx on 05.10.2013 at  0:06:47,64
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\protector_dll.protectorbho
Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\protector_dll.protectorbho.1
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\smartbar
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-1415130864-2451929093-3127007980-1001\Software\SweetIM



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 05.10.2013 at  0:10:18,48
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~