Trojan-Spy.Win32.Zbot und Konsorten

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 11. November 2009  11:08

Es wird nach 1883875 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : SAMSUNG01

Versionsinformationen:
BUILD.DAT      : 9.0.0.407     17961 Bytes  29.07.2009 10:29:00
AVSCAN.EXE     : 9.0.3.7      466689 Bytes  21.07.2009 13:36:08
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 12:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 11:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 10:41:59
ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  27.10.2008 13:50:58
ANTIVIR1.VDF   : 7.1.4.132   5707264 Bytes  24.06.2009 13:50:58
ANTIVIR2.VDF   : 7.1.6.160   5413376 Bytes  28.10.2009 13:41:44
ANTIVIR3.VDF   : 7.1.6.217    493568 Bytes  11.11.2009 08:29:40
Engineversion  : 8.2.1.61 
AEVDF.DLL      : 8.1.1.2      106867 Bytes  15.09.2009 15:58:02
AESCRIPT.DLL   : 8.1.2.44     586107 Bytes  06.11.2009 16:32:20
AESCN.DLL      : 8.1.2.5      127346 Bytes  03.09.2009 15:24:42
AERDL.DLL      : 8.1.3.2      479604 Bytes  02.10.2009 22:15:48
AEPACK.DLL     : 8.2.0.3      422261 Bytes  05.11.2009 14:21:24
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  17.06.2009 14:32:46
AEHEUR.DLL     : 8.1.0.180   2093432 Bytes  06.11.2009 16:32:18
AEHELP.DLL     : 8.1.7.0      237940 Bytes  03.09.2009 15:24:42
AEGEN.DLL      : 8.1.1.71     364916 Bytes  05.11.2009 14:21:22
AEEMU.DLL      : 8.1.1.0      393587 Bytes  02.10.2009 22:15:48
AECORE.DLL     : 8.1.8.2      184694 Bytes  05.11.2009 14:21:22
AEBB.DLL       : 8.1.0.3       53618 Bytes  15.10.2008 10:49:34
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 08:47:56
AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 11:39:55
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 14:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 15:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 15:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 10:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 15:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 08:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 15:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 15:35:17
RCTEXT.DLL     : 9.0.37.0      87809 Bytes  17.04.2009 10:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 11. November 2009  11:08

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\lowsec
    [INFO]      Das Verzeichnis ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b718e16.qua erstellt ( QUARANTÄNE )
Es wurden '59341' Objekte überprüft, '1' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'japsetup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'searchfilterhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'searchprotocolhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwsc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZBotKiller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinRAR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HijackThis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'COCIManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'searchindexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SRS_PostInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SNMWLANService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComSer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Quickcam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Communications_Helper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSS01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSVC01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '60' Prozesse mit '60' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '67' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FNS9G91\swflash[1].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0OYAGA0U\swflash[1].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1CQHZ8AM\swflash[1].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5PISUB4Y\swflash[1].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5PISUB4Y\swflash[2].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\79TQUCO5\swflash[1].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HWV7EE36\swflash[1].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HWV7EE36\swflash[2].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HWV7EE36\swflash[3].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HWV7EE36\swflash[4].cab
  [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LZY0DCR3\fkina[2].exe
    [FUND]      Ist das Trojanische Pferd TR/PCK.Katusha.E.1497
C:\RECYCLER\S-1-5-21-3998640653-2584058004-1121522535-1135\Dc772.rar
  [0] Archivtyp: RAR
    --> 104-amy_winehouse-just_friends-ukp.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\RECYCLER\S-1-5-21-3998640653-2584058004-1121522535-1135\Dc773.rar
  [0] Archivtyp: RAR
    --> 107-amy_winehouse-tears_dry_on_their_own-ukp.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\RECYCLER\S-1-5-21-3998640653-2584058004-1121522535-1135\Dc774.rar
  [0] Archivtyp: RAR
    --> 110-amy_winehouse-he_can_only_hold_her-ukp.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\RECYCLER\S-1-5-21-3998640653-2584058004-1121522535-1135\Dc775.rar
  [0] Archivtyp: RAR
    --> 202-amy_winehouse-cupid_(deluxe_edition_version)-ukp.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\RECYCLER\S-1-5-21-3998640653-2584058004-1121522535-1135\Dc776.rar
  [0] Archivtyp: RAR
    --> 203-amy_winehouse-monkey_man-ukp.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\RECYCLER\S-1-5-21-3998640653-2584058004-1121522535-1135\Dc777.rar
  [0] Archivtyp: RAR
    --> 206-amy_winehouse-youre_wondering_now-ukp.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\RECYCLER\S-1-5-21-3998640653-2584058004-1121522535-1135\Dc778.rar
  [0] Archivtyp: RAR
    --> 208-amy_winehouse-love_is_a_losing_game_(original_demo)-ukp.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{BCB67055-CF5F-41E6-A62D-60FE53B0B46A}\RP136\A0034699.exe
    [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
C:\WINDOWS\Temp\873.tmp
    [FUND]      Ist das Trojanische Pferd TR/Banker.Bancos.ieu
Beginne mit der Suche in 'D:\' <Daten>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LZY0DCR3\fkina[2].exe
    [FUND]      Ist das Trojanische Pferd TR/PCK.Katusha.E.1497
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b639b5d.qua' verschoben!
C:\System Volume Information\_restore{BCB67055-CF5F-41E6-A62D-60FE53B0B46A}\RP136\A0034699.exe
    [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2a9b22.qua' verschoben!
C:\WINDOWS\Temp\873.tmp
    [FUND]      Ist das Trojanische Pferd TR/Banker.Bancos.ieu
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2d9b29.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 11. November 2009  12:07
Benötigte Zeit: 55:31 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   7924 Verzeichnisse wurden überprüft
 348784 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 348780 Dateien ohne Befall
   3928 Archive wurden durchsucht
     35 Warnungen
      5 Hinweise
  59341 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden