Bitte dringend um Eure Hilfe!!!

Oppa · 12.05.2009, 07:33

Hallo,

ich bin’s malwieder. Nach einiger Zeit der (scheinbaren?) Ruhe, sprang gestern beim Defragmentieren mein Anti Vir an. Ich hab von ähnlichen Problemen hier schon gelesen, brauche aber diesmal konkrete Hilfe.

Ich hab nach den letzten Attacken Anti Vir laufen und habe mir extra e-scan gekauft.
Ich weiss leider nicht ob es wirklich nutzt.

Ich poste hier ein HijackThis Log, ein Anti Vir Log und ein e-scan Log.
Bitte sagt mir möglichst einfach:

1.) was ich hier habe,
2.) woher es stammen könnte,
3.) was es macht und
4.) ob ich es entfernen kann oder neu aufsetzten muss.
5.) Außerdem was ich sofort tun sollte (z.B. Passwörter von meinem PC aus, der ist so weit ich weiss nicht infiziert.

Es handelt sich bei den Logs um meinen Laptop).

Vielleicht könnt Ihr auch sagen woher der laufende Prozess SCANNINGPROCESS.EXE im Task Manager kommt, ich denke vom Virenscanner? Oder doch nicht?

Hier einige Anti Vir Meldungen, sie hören sich für mich sehr beunruhigend an und nach dem was ich hier lese scheinen es diesmal keine Fehlalarme zu sein!?!?

[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[FUND] Ist das Trojanische Pferd TR/Agent.xcy
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[FUND] Ist das Trojanische Pferd TR/Zlob.64000S
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
Und…warum scheint nur Anti Vir diese zu finden, taugt e-scan doch nix? Ich hatte früher schon mal Dateien die nur e-scan gefunden hat und Anti Vir nicht?

Ich danke Euch schon jetzt für Eure Hilfe. Also hier die drei Logs (ich hab natürlich versucht alle persönlichen Daten rauszulassen).

Wegen der länge und der Übersicht poste ich dieses als post und die drei Logs als einzelne Antworten auf meinen Post.

Gruß und Danke

Oppa

Oppa · 12.05.2009, 07:34

HiJackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:47:53, on 11.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Gemeinsame Dateien\Virtual Token\vtserver.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\eScan\TRAYESER.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\PROGRA~1\eScan\consctl.exe
C:\PROGRA~1\MSDE\MSSQL7\binn\sqlservr.exe
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAgent.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\ESERV.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Apps\2.0\HKBANOC4.BG4\038BEBBW.9NH\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe
C:\PROGRA~1\ThinkPad\BLUETO~1\BTSTAC~1.EXE
C:\Programme\LMV32\Standalo\System\VpmStart.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\PROGRA~1\eScan\VISTA\avpmapp.exe
C:\PROGRA~1\eScan\Vista\escanmon.exe
C:\Programme\NuernbergerBT\Vers0309\BIN\StartProcessWindow.exe
C:\Programme\NuernbergerBT\Vers0309\bin\BTAVB_StartDope.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\PROGRA~1\eScan\EScanWin.Exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Server] C:\PROGRA~1\eScan\ESERV.EXE /App
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [AVMUSBFernanschluss] C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Apps\2.0\HKBANOC4.BG4\038BEBBW.9NH\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Macromedia\Common\e5c3001a1.dll""
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: BTTray.lnk = C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Programme\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: CalcuDATAstunnel-28777 - Unknown owner - C:\Programme\Calcutronic\CalcuDATA\stunnel.exe
O23 - Service: CalcuTrans-62761 - Unknown owner - C:\Programme\FSR\SSL\stunnel.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\VISTA\avpmapp.exe
O23 - Service: eScan Management-Console (eScan-eServ) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYESER.EXE
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: Protector Suite Virtual Token (vtserver) - UPEK Inc. - C:\Programme\Gemeinsame Dateien\Virtual Token\vtserver.exe

--
End of file - 12966 bytes

Oppa · 12.05.2009, 07:36

Und hier noch Antivir:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 11. Mai 2009 11:35

Es wird nach 1385351 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: IBM

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 06:53:42
ANTIVIR2.VDF : 7.1.3.137 1810944 Bytes 30.04.2009 12:01:50
ANTIVIR3.VDF : 7.1.3.178 195584 Bytes 08.05.2009 13:17:37
Engineversion : 8.2.0.166
AEVDF.DLL : 8.1.1.1 106868 Bytes 02.05.2009 12:01:55
AESCRIPT.DLL : 8.1.1.81 385401 Bytes 09.05.2009 13:17:43
AESCN.DLL : 8.1.1.10 127348 Bytes 04.04.2009 15:34:05
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.16 397686 Bytes 09.05.2009 13:17:41
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 08:12:24
AEHEUR.DLL : 8.1.0.128 1757559 Bytes 09.05.2009 13:17:40
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 08:12:13
AEGEN.DLL : 8.1.1.42 348531 Bytes 09.05.2009 13:17:38
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.9 176500 Bytes 16.04.2009 05:33:49
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 20.04.2009 18:48:24
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 11. Mai 2009 11:35

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mwavscan.com' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCANNINGPROCESS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ESCANWIN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VpmStart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTSTAC~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fritzbox-usb-fernanschluss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FwebProt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'escanmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpScrex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPONSCR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AnyDVDtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHKMGR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TRAYICOS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FRITZBoxMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QCWLICON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMax4PNP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpShocks.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCANNINGPROCESS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpKmpSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHDEXLG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QCONSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWAGENT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWASER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CONSCTL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rrpcsb.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'traysser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TRAYESER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avpmapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vtserver.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '74' Prozesse mit '74' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '70' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <IBM_PRELOAD>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Calcutronic\CalcuDATA\CVADLL.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\Programme\HP\Digital Imaging\{E94E150C-762B-4cd1-8A54-7228A07C0710}\drivers\dot4\wrapper.exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a694a29.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP440\A0157757.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64000S
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a39680c.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP440\A0157759.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64000S
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a396811.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP440\A0157761.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64000S
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a396814.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP441\A0157847.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64000S
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a39681b.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP441\A0157848.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64000S
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a396820.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP441\A0157854.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64000S
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a396823.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP441\A0157966.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64000S
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a39682c.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP442\A0158055.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3968db.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP442\A0158057.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3968f1.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP442\A0158059.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a396901.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP442\A0158061.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a39691f.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP442\A0158080.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a396931.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP442\A0158082.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3969df.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP442\A0158084.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3969e4.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP442\A0158093.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3969e6.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP442\A0159080.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3969ed.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP442\A0159082.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3969f0.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP443\A0159278.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a396a8a.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP444\A0159336.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a396aa0.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP445\A0159493.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a396b10.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP445\A0159531.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a396b30.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP445\A0159533.dll
[FUND] Ist das Trojanische Pferd TR/Zlob.64512S.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a396b3b.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP445\A0159535.dll
[FUND] Ist das Trojanische Pferd TR/Agent.xcy
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a396f03.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP445\A0159545.dll
[FUND] Ist das Trojanische Pferd TR/Agent.xcy
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a396f1a.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP447\A0159647.dll
[FUND] Ist das Trojanische Pferd TR/Agent.xcy
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a396f39.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP447\A0159649.dll
[FUND] Ist das Trojanische Pferd TR/Agent.xcy
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a396f62.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP476\A0166531.exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3970e2.qua' verschoben!

Ende des Suchlaufs: Dienstag, 12. Mai 2009 08:11
Benötigte Zeit: 20:36:16 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

19616 Verzeichnisse wurden überprüft
947980 Dateien wurden geprüft
29 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
28 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
947949 Dateien ohne Befall
9662 Archive wurden durchsucht
5 Warnungen
28 Hinweise

E-Scan ist ein zu langes Log zum posten. Gibt es da bestimmte Abschnitte die interessant wären?

Bitte dringend um Eure Hilfe!!!

Log-Analyse und Auswertung: Bitte dringend um Eure Hilfe!!!