TR/Crypt.ZPACK.Gen ?!?

cosinus · 03.05.2010, 18:14

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

http://www.trojaner-board.de/85530-tr-crypt-zpack-gen.html

Collect::
c:\dokume~1\Benny\LOKALE~1\Temp\oflpydin.sys

Driver::
oflpydin

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Bugsbenny · 03.05.2010, 19:51

ComboFix 10-05-02.03 - Benny 03.05.2010 20:29:22.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.647 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Benny\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Benny\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_OFLPYDIN
-------\Service_oflpydin

((((((((((((((((((((((( Dateien erstellt von 2010-04-03 bis 2010-05-03 ))))))))))))))))))))))))))))))
.

2010-05-03 15:47 . 2010-05-03 16:14 -------- d-----w- C:\cofi
2010-05-03 15:37 . 2010-05-03 15:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2010-05-03 15:37 . 2010-05-03 15:37 -------- d-----w- c:\dokumente und einstellungen\Benny\Anwendungsdaten\Yahoo!
2010-05-03 14:50 . 2010-05-03 14:50 -------- d-----w- C:\_OTL
2010-05-02 11:10 . 2010-05-02 11:10 -------- d-----w- c:\dokumente und einstellungen\Benny\Anwendungsdaten\Malwarebytes
2010-05-02 11:10 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-02 11:10 . 2010-05-02 11:10 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-05-02 11:10 . 2010-05-02 11:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-02 11:10 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-30 19:14 . 2010-04-30 19:14 -------- d-----w- c:\dokumente und einstellungen\Benny\Anwendungsdaten\Avira
2010-04-21 15:44 . 2010-04-21 15:44 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten
2010-04-21 15:08 . 2010-04-21 15:08 -------- d-----w- c:\programme\Sierra
2010-04-14 18:08 . 2010-04-14 18:08 -------- d-----w- c:\dokumente und einstellungen\Benny\Anwendungsdaten\Der Planer 4
2010-04-13 18:31 . 2010-04-19 19:10 -------- d-----w- c:\programme\SpeedFan
2010-04-09 14:49 . 2010-04-09 14:49 -------- d-----w- c:\dokumente und einstellungen\Benny\Lokale Einstellungen\Anwendungsdaten\Deep Silver
2010-04-09 13:57 . 2010-04-09 13:57 -------- d-----w- c:\programme\Deep Silver
2010-04-08 20:13 . 2009-09-04 15:44 515416 ----a-w- c:\windows\system32\XAudio2_5.dll
2010-04-08 20:13 . 2009-09-04 15:44 238936 ----a-w- c:\windows\system32\xactengine3_5.dll
2010-04-08 20:13 . 2009-09-04 15:29 235344 ----a-w- c:\windows\system32\d3dx11_42.dll
2010-04-08 20:13 . 2009-09-04 15:29 5501792 ----a-w- c:\windows\system32\d3dcsx_42.dll
2010-04-08 20:13 . 2009-09-04 15:29 1974616 ----a-w- c:\windows\system32\D3DCompiler_42.dll
2010-04-08 20:13 . 2009-09-04 15:29 453456 ----a-w- c:\windows\system32\d3dx10_42.dll
2010-04-08 19:53 . 2010-04-13 19:40 -------- d-----w- c:\programme\WW2 Time of Wrath
2010-04-08 18:21 . 2009-09-04 15:29 1892184 ----a-w- c:\windows\system32\D3DX9_42.dll
2010-04-08 18:17 . 2010-04-08 20:04 -------- d-----w- c:\dokumente und einstellungen\Benny\Anwendungsdaten\MudTV
2010-04-04 15:01 . 2010-04-04 15:01 -------- d-----w- c:\programme\Global Star

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-03 15:37 . 2010-03-14 19:54 -------- d-----w- c:\programme\CCleaner
2010-05-03 15:31 . 2006-12-07 02:07 38743 ----a-w- c:\windows\system32\nvModes.dat
2010-05-03 14:50 . 2008-11-09 10:44 -------- d-----w- c:\programme\DAEMON Tools Toolbar
2010-05-01 13:27 . 2009-07-19 13:14 -------- d-----w- c:\programme\Ubisoft
2010-05-01 13:27 . 2006-12-07 02:27 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-04-29 21:19 . 2001-08-18 04:30 3328 ----a-w- c:\windows\system32\drivers\pciide.sys
2010-04-29 18:37 . 2010-04-29 18:37 443912 ----a-w- c:\dokumente und einstellungen\Benny\Anwendungsdaten\Real\Update\setup3.10\setup.exe
2010-04-13 15:57 . 2005-08-20 00:34 464722 ----a-w- c:\windows\system32\perfh007.dat
2010-04-13 15:57 . 2005-08-20 00:34 86984 ----a-w- c:\windows\system32\perfc007.dat
2010-04-03 13:45 . 2010-04-03 13:44 -------- d-----w- c:\programme\QuickTime
2010-04-03 13:44 . 2007-07-28 11:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-03-20 21:34 . 2009-11-19 16:43 79488 ----a-w- c:\dokumente und einstellungen\Benny\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-20 14:18 . 2010-03-20 14:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Solidshield
2010-03-10 06:15 . 2005-08-20 00:34 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-01 08:05 . 2009-07-24 15:27 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-02-25 06:15 . 2005-08-20 00:34 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-12-07 14:15 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:04 . 2008-12-07 14:15 2148864 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:04 . 2008-12-07 14:15 2027008 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-16 12:24 . 2009-07-24 15:27 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-02-12 10:03 . 2010-03-07 10:04 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:33 . 2005-08-20 00:33 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-12-07 14:15 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-02-07 21:34 . 2006-12-07 02:43 49664 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-02-07 21:25 . 2010-02-07 21:17 142 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Haufe\iDeskService\conf\config.bat
2010-02-07 21:17 . 2010-02-07 21:17 86016 ----a-r- c:\dokumente und einstellungen\Benny\Anwendungsdaten\Microsoft\Installer\{56FDB311-6511-11DE-832F-0050560400B1}\ARPPRODUCTICON.exe
2010-02-07 21:17 . 2010-02-07 21:17 86016 ----a-r- c:\dokumente und einstellungen\Benny\Anwendungsdaten\Microsoft\Installer\{EB5AE940-8E5D-11DE-992A-005056B12123}\ARPPRODUCTICON.exe
2006-07-18 13:41 . 2006-06-17 17:32 1019094 --sha-r- c:\programme\serial.tde
2006-05-28 16:46 . 2006-05-28 16:45 397306 --sha-r- c:\programme\wunauclt.zip
2006-05-28 16:46 . 2006-05-28 16:45 397306 --sha-r- c:\programme\wunauclt.tbe
2008-04-17 20:18 . 2006-12-15 15:12 168 --sha-r- c:\windows\system32\266F03762C.sys
2008-04-17 20:25 . 2006-12-15 15:12 5642 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ModemOnHold"="c:\programme\NetWaiting\netwaiting.exe" [2003-09-10 20480]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 139264]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-25 7573504]
"nwiz"="nwiz.exe" [2006-04-25 1519616]
"NVHotkey"="nvHotkey.dll" [2006-03-21 73728]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 282624]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2006-08-03 1032192]
"CTSVolFE.exe"="c:\programme\Creative\Mixer\CTSVolFE.exe" [2005-02-23 57344]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-12-06 127035]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"PCMService"="c:\programme\Dell\MediaDirect\PCMService.exe" [2007-05-02 184320]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-24 136600]
"Mouse Suite 98 Daemon"="ICO.EXE" [2003-11-20 57344]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2007-05-14 35328]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-10-04 185632]
"dscactivate"="c:\programme\Dell Support Center\gs_agent\custom\dsca.exe" [2007-11-15 16384]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"ContentTransferWMDetector.exe"="c:\programme\Sony\Content Transfer\ContentTransferWMDetector.exe" [2008-07-11 423200]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-07-25 823296]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-07-25 974848]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2008-11-03 339240]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-03-17 421888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2006-12-7 24576]
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]
Lexware Info Service.lnk - c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2008-11-3 339240]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"MsaSvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [08.08.2007 16:27 717296]
R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [13.06.2009 18:17 53760]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [23.01.2008 10:19 501560]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.07.2009 17:27 135336]
S3 MHIKEY10;MHIKEY10;c:\windows\system32\drivers\MHIKEY10.sys [27.05.2008 02:52 51072]
.
Inhalt des "geplante Tasks" Ordners

2010-05-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-05-03 c:\windows\Tasks\User_Feed_Synchronization-{E2686D17-F8DA-4F25-AF29-116E6AB47E74}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.freenet.de/freenet/
uInternet Connection Wizard,ShellNext = hxxp://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=6061207
TCP: {01941117-BA36-4062-BAFF-86971E7DE346} = 192.168.1.1
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {7527E129-A524-434A-A337-8C19F6F25C91} - hxxp://shop.aldisued-fotos-druck.de/shop/activex/aldi_sued_express_upload.cab
DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://as.photoprintit.de/ips-opdata/operator/13666961/activex/IPSUploader.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-03 20:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spjh.sys >>UNKNOWN [0x86F87938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75bbf28
\Driver\ACPI -> ACPI.sys @ 0xf7335cb8
\Driver\atapi -> atapi.sys @ 0xf72cab40
IoDeviceObjectType -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Broadcom 440x 10/100 Integrated Controller -> SendCompleteHandler -> NDIS.sys @ 0xf71abbb0
PacketIndicateHandler -> NDIS.sys @ 0xf719aa0d
SendHandler -> NDIS.sys @ 0xf71aeb40
user & kernel MBR OK

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-4033025649-2385983068-228219994-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"??"=hex:9d,ba,e6,79,df,b7,48,cf,2f,8c,dd,20,4a,37,dc,38,bd,46,7a,80,b3,3a,28,
05,39,1e,2a,a5,2d,f5,34,ca,a9,64,ee,f1,0f,5a,2f,2c,49,da,6e,e3,cb,42,4b,14,\
"??"=hex:67,c4,10,35,1b,15,16,77,94,2c,89,30,72,b9,ad,a5

[HKEY_USERS\S-1-5-21-4033025649-2385983068-228219994-1005\Software\SecuROM\License information*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"datasecu"=hex:6a,6a,a4,1d,70,1d,df,eb,fd,1a,92,b4,83,aa,d5,c9,c6,7e,ce,97,2a,
f1,d5,41,42,1f,b1,39,56,a0,49,bb,64,58,23,74,76,9b,28,96,a3,0d,cf,1e,6b,20,\
"rkeysecu"=hex:3d,d3,fd,ac,49,e6,64,d7,e8,e5,0c,30,2b,73,9c,13
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2660)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\pelscrll.dll
c:\windows\system32\PELCOMM.dll
c:\windows\system32\PELHOOKS.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrB.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Dell Support Center\bin\sprtsvc.exe
c:\programme\Intel\Wireless\Bin\WLKeeper.exe
c:\windows\system32\dllhost.exe
c:\windows\eHome\ehmsas.exe
c:\windows\system32\rundll32.exe
c:\windows\stsystra.exe
c:\windows\system32\ICO.EXE
c:\windows\system32\FSRremoS.EXE
c:\windows\system32\Pelmiced.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
c:\programme\HP\Digital Imaging\bin\hpqSTE08.exe
c:\programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-05-03 20:49:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-05-03 18:49
ComboFix2.txt 2010-05-03 16:39

Vor Suchlauf: 18 Verzeichnis(se), 12.356.120.576 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 12.320.890.880 Bytes frei

- - End Of File - - 76FE29E3B212AA0ECEC9E17CE18D6734

cosinus · 03.05.2010, 20:18

Sieht schon besser aus. Noch Probleme mitm Rechner?
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Bugsbenny · 04.05.2010, 16:39

Malware läuft gerade noch...ABER:
In der Zeit hat gerde Antivi wieder was gemeldet...

In der Datei C:\Qoobox\Quarantäne\C:\Windows\...\pciide.sys.vir wurde ein Virus oder unerwünschtes Programm TR/Patched.gen gefunden...

MIST!
(Das Verzeichnis Qoobox ist mir völlig neu...)

Bugsbenny · 04.05.2010, 17:20

seltsam, Malware hat nix gefunden...
hier die Log:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4064

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.05.2010 18:20:07
mbam-log-2010-05-04 (18-20-07).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 262806
Laufzeit: 2 Stunde(n), 5 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Bugsbenny · 04.05.2010, 17:33

WÄhrend gerade Superantispy läuft hat Antivir schon wieder 4 Viren gemeldet...Habe die erstmal in Quarantäne geschoben...Ergebnis vom Superantispy poste ich gleich

cosinus · 04.05.2010, 20:25

Was wurde wo genau von AntiVir gefunden?

Bugsbenny · 04.05.2010, 21:23

Also Antivir sagt einmal:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 4. Mai 2010 18:21

Es wird nach 2062283 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : BENNYS

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 19.04.2010 18:06:31
AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 18:06:30
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 16:41:12
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 16:39:44
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:57:49
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:33:43
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:19:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 18:06:30
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 18:06:30
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 18:06:30
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 18:06:30
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 18:06:30
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 18:06:30
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 18:06:30
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 18:06:30
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 18:06:30
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 18:06:30
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 12:21:20
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 12:21:20
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 19:37:29
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 19:14:49
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 19:14:50
VBASE020.VDF : 7.10.7.3 2048 Bytes 30.04.2010 19:14:51
VBASE021.VDF : 7.10.7.4 2048 Bytes 30.04.2010 19:14:52
VBASE022.VDF : 7.10.7.5 2048 Bytes 30.04.2010 19:14:52
VBASE023.VDF : 7.10.7.6 2048 Bytes 30.04.2010 19:14:53
VBASE024.VDF : 7.10.7.7 2048 Bytes 30.04.2010 19:14:53
VBASE025.VDF : 7.10.7.8 2048 Bytes 30.04.2010 19:14:58
VBASE026.VDF : 7.10.7.9 2048 Bytes 30.04.2010 19:14:59
VBASE027.VDF : 7.10.7.10 2048 Bytes 30.04.2010 19:15:00
VBASE028.VDF : 7.10.7.11 2048 Bytes 30.04.2010 19:15:00
VBASE029.VDF : 7.10.7.12 2048 Bytes 30.04.2010 19:15:01
VBASE030.VDF : 7.10.7.13 2048 Bytes 30.04.2010 19:15:01
VBASE031.VDF : 7.10.7.16 43520 Bytes 30.04.2010 19:15:02
Engineversion : 8.2.1.224
AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 12:21:26
AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 24.04.2010 12:21:25
AESCN.DLL : 8.1.5.0 127347 Bytes 25.02.2010 18:49:45
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 12:21:27
AERDL.DLL : 8.1.4.6 541043 Bytes 19.04.2010 18:06:30
AEPACK.DLL : 8.2.1.1 426358 Bytes 29.03.2010 16:24:58
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17.03.2010 17:06:43
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 19.04.2010 18:06:30
AEHELP.DLL : 8.1.11.3 242039 Bytes 06.04.2010 14:02:31
AEGEN.DLL : 8.1.3.7 373106 Bytes 19.04.2010 18:06:30
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 12:21:22
AECORE.DLL : 8.1.13.1 188790 Bytes 06.04.2010 14:02:30
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 12:21:22
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 19.04.2010 18:06:31
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 19.04.2010 18:06:31
AVARKT.DLL : 10.0.0.14 227176 Bytes 19.04.2010 18:06:30
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 19.04.2010 18:06:30

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4c19fdab\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 4. Mai 2010 18:21

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOTEPAD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hprblog.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netwaiting.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LxUpdateManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ifrmewrk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ContentTransferWMDetector.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sprtcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pelmiced.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FSRremoS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICO.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tfswctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSVolFE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'quickset.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLKeeper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sprtsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\pciide.sys.vir'
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\pciide.sys.vir
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e36eb74.qua' verschoben!

Ende des Suchlaufs: Dienstag, 4. Mai 2010 18:22
Benötigte Zeit: 00:45 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
73 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
72 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Die Suchergebnisse werden an den Guard übermittelt.

Bugsbenny · 04.05.2010, 21:24

und das hier:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 4. Mai 2010 18:22

Es wird nach 2062283 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : BENNYS

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 19.04.2010 18:06:31
AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 18:06:30
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 16:41:12
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 16:39:44
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:57:49
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:33:43
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 14:19:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 18:06:30
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 18:06:30
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 18:06:30
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 18:06:30
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 18:06:30
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 18:06:30
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 18:06:30
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 18:06:30
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 18:06:30
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 18:06:30
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 12:21:20
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 12:21:20
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 19:37:29
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 19:14:49
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 19:14:50
VBASE020.VDF : 7.10.7.3 2048 Bytes 30.04.2010 19:14:51
VBASE021.VDF : 7.10.7.4 2048 Bytes 30.04.2010 19:14:52
VBASE022.VDF : 7.10.7.5 2048 Bytes 30.04.2010 19:14:52
VBASE023.VDF : 7.10.7.6 2048 Bytes 30.04.2010 19:14:53
VBASE024.VDF : 7.10.7.7 2048 Bytes 30.04.2010 19:14:53
VBASE025.VDF : 7.10.7.8 2048 Bytes 30.04.2010 19:14:58
VBASE026.VDF : 7.10.7.9 2048 Bytes 30.04.2010 19:14:59
VBASE027.VDF : 7.10.7.10 2048 Bytes 30.04.2010 19:15:00
VBASE028.VDF : 7.10.7.11 2048 Bytes 30.04.2010 19:15:00
VBASE029.VDF : 7.10.7.12 2048 Bytes 30.04.2010 19:15:01
VBASE030.VDF : 7.10.7.13 2048 Bytes 30.04.2010 19:15:01
VBASE031.VDF : 7.10.7.16 43520 Bytes 30.04.2010 19:15:02
Engineversion : 8.2.1.224
AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 12:21:26
AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 24.04.2010 12:21:25
AESCN.DLL : 8.1.5.0 127347 Bytes 25.02.2010 18:49:45
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 12:21:27
AERDL.DLL : 8.1.4.6 541043 Bytes 19.04.2010 18:06:30
AEPACK.DLL : 8.2.1.1 426358 Bytes 29.03.2010 16:24:58
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17.03.2010 17:06:43
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 19.04.2010 18:06:30
AEHELP.DLL : 8.1.11.3 242039 Bytes 06.04.2010 14:02:31
AEGEN.DLL : 8.1.3.7 373106 Bytes 19.04.2010 18:06:30
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 12:21:22
AECORE.DLL : 8.1.13.1 188790 Bytes 06.04.2010 14:02:30
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 12:21:22
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 19.04.2010 18:06:31
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 19.04.2010 18:06:31
AVARKT.DLL : 10.0.0.14 227176 Bytes 19.04.2010 18:06:30
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 19.04.2010 18:06:30

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4c19fdab\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 4. Mai 2010 18:22

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hprblog.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netwaiting.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LxUpdateManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ifrmewrk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ContentTransferWMDetector.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sprtcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pelmiced.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FSRremoS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICO.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tfswctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSVolFE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'quickset.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLKeeper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sprtsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP663\A0191110.exe'
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP663\A0191110.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
Beginne mit der Suche in 'C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP663\A0191113.dll'
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP663\A0191113.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
Beginne mit der Suche in 'C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP663\A0191114.dll'
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP663\A0191114.dll
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
Beginne mit der Suche in 'C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP665\A0192353.sys'
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP665\A0192353.sys
[FUND] Ist das Trojanische Pferd TR/Patched.Gen

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP665\A0192353.sys
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e6eefd5.qua' verschoben!
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP663\A0191114.dll
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56f9c072.qua' verschoben!
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP663\A0191113.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '04a69a9a.qua' verschoben!
C:\System Volume Information\_restore{21DF8C5A-A8F9-4B71-AF72-89A242384C85}\RP663\A0191110.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6291d559.qua' verschoben!

Ende des Suchlaufs: Dienstag, 4. Mai 2010 18:28
Benötigte Zeit: 00:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
76 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
72 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
4 Hinweise

Die Suchergebnisse werden an den Guard übermittelt.

Bugsbenny · 04.05.2010, 21:27

und hier die Logs von Superantuspy:
SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 05/04/2010 bei 10:25 PM

Version der Applikation : 4.36.1006

Version der Kern-Datenbank : 4888
Version der Spur-Datenbank : 2700

Scan Art : kompletter Scann
Totale Scann-Zeit : 00:00:07

Gescannte Speicherelemente : 20
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 0
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 0
Erfasste Datei-Elemente : 0

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/04/2010 at 10:11 PM

Application Version : 4.36.1006

Core Rules Database Version : 4888
Trace Rules Database Version: 2700

Scan type : Complete Scan
Total Scan Time : 03:40:37

Memory items scanned : 705
Memory threats detected : 0
Registry items scanned : 7194
Registry threats detected : 0
File items scanned : 144065
File threats detected : 10

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Benny\Cookies\benny@atdmt[2].txt
C:\Dokumente und Einstellungen\Benny\Cookies\benny@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Benny\Cookies\benny@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Benny\Cookies\benny@serving-sys[2].txt
C:\Dokumente und Einstellungen\Benny\Cookies\benny@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Benny\Cookies\benny@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Benny\Cookies\benny@smartadserver[1].txt
C:\Dokumente und Einstellungen\Benny\Cookies\benny@ww251.smartadserver[2].txt
C:\Dokumente und Einstellungen\Benny\Cookies\benny@doubleclick[2].txt

Rogue.Agent/Gen-Nullo[DLL]
C:\WINDOWS\SYSTEM32\63C97E3F.DLL

cosinus · 04.05.2010, 21:42

Das sind eigentlich alles Funde aus Quarantäneordnern (zB von Combofix) und in alten Wiederherstellungspunkten. Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Sonst noch Meldungen oder Probleme?

Bugsbenny · 04.05.2010, 21:51

Nein, bis jetzt nichts anderes!Sehen die Logfiles soweit gut aus?
Der Rechner war seit kurzem recht langsam...Kann das jetzt besser sein?

cosinus · 05.05.2010, 08:01

Zitat:

Sehen die Logfiles soweit gut aus?

Ja, aber da sind wohl noch Überbleibsel in der Systemwiederherstellung.
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

03.05.2010, 20:18	#18
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Crypt.ZPACK.Gen ?!? Sieht schon besser aus. Noch Probleme mitm Rechner? Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ __________________

04.05.2010, 20:25	#22
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Crypt.ZPACK.Gen ?!? Was wurde wo genau von AntiVir gefunden? __________________ Logfiles bitte immer in CODE-Tags posten

TR/Crypt.ZPACK.Gen ?!?

Log-Analyse und Auswertung: TR/Crypt.ZPACK.Gen ?!?