TR/BHO.Zwangi/321

hamburg

Hallo,

habe mal wieder laut Avira etwas eingefangen. Hier die Logs:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 21. Mai 2010 12:09

Es wird nach 2142789 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : CYBER-PC

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 13:17:19
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:30:40
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 17:48:33
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 19:32:04
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 18:45:38
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 18:45:38
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 18:45:38
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 18:45:39
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 18:45:39
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 18:45:40
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 18:45:42
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 18:45:42
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 18:45:43
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 18:19:23
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 18:25:09
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 20:47:46
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 15:23:41
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 17:27:42
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 19:06:57
VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 19:07:09
VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 19:07:15
VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 19:07:22
VBASE023.VDF : 7.10.7.100 125440 Bytes 13.05.2010 19:07:33
VBASE024.VDF : 7.10.7.119 177664 Bytes 17.05.2010 19:09:34
VBASE025.VDF : 7.10.7.139 129024 Bytes 19.05.2010 19:09:33
VBASE026.VDF : 7.10.7.140 2048 Bytes 19.05.2010 19:09:33
VBASE027.VDF : 7.10.7.141 2048 Bytes 19.05.2010 19:09:33
VBASE028.VDF : 7.10.7.142 2048 Bytes 19.05.2010 19:09:33
VBASE029.VDF : 7.10.7.143 2048 Bytes 19.05.2010 19:09:33
VBASE030.VDF : 7.10.7.144 2048 Bytes 19.05.2010 19:09:33
VBASE031.VDF : 7.10.7.152 80384 Bytes 21.05.2010 10:07:31
Engineversion : 8.2.1.242
AEVDF.DLL : 8.1.2.0 106868 Bytes 23.04.2010 20:47:48
AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 13.05.2010 19:07:29
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 19:07:28
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 20:47:48
AERDL.DLL : 8.1.4.6 541043 Bytes 15.04.2010 18:47:34
AEPACK.DLL : 8.2.1.1 426358 Bytes 19.03.2010 18:59:47
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 13.05.2010 19:07:28
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 05.05.2010 19:07:11
AEHELP.DLL : 8.1.11.3 242039 Bytes 03.04.2010 14:48:05
AEGEN.DLL : 8.1.3.9 377203 Bytes 13.05.2010 19:07:28
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 20:47:47
AECORE.DLL : 8.1.15.3 192886 Bytes 13.05.2010 19:07:27
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 20:47:47
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 16:03:03
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 21. Mai 2010 12:09

Der Suchlauf nach versteckten Objekten wird begonnen.
ssvagent.exe
[INFO] Der Prozess ist nicht sichtbar.
Es wurden '27766' Objekte überprüft, '1' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil10e.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogonUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MessengerDiscovery 2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CurseClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CGVPNCliService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'robotaskbaricon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '47' Prozesse mit '47' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '26' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\6631f570-7363e9ba
[0] Archivtyp: ZIP
--> dev/s/AdgredY.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.CVE-2009-3867.8861
--> dev/s/DyesyasZ.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.2502
--> dev/s/LoaderX.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.3243
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\352cbbc-5e1e1bcb
[0] Archivtyp: ZIP
--> dev/s/AdgredY.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.CVE-2009-3867.8861
--> dev/s/DyesyasZ.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.2502
--> dev/s/LoaderX.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.3243
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\5a289588-7eec08ce
[0] Archivtyp: ZIP
--> dev/s/AdgredY.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.CVE-2009-3867.8861
--> dev/s/DyesyasZ.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.2502
--> dev/s/LoaderX.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.3243
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EWU7W2SG\upgrade[1].cab
[0] Archivtyp: CAB (Microsoft)
--> upgrade.exe
[1] Archivtyp: NSIS
--> [UnknownDir]/zwunzi.dll
[FUND] Enthält Erkennungsmuster der Adware ADWARE/Agent.FILE127073
--> [UnknownDir]/zwunzi.exe
[FUND] Ist das Trojanische Pferd TR/BHO.Zwangi.321

Beginne mit der Desinfektion:
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\6631f570-7363e9ba
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c296b93.qua' verschoben!
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\352cbbc-5e1e1bcb
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c286b92.qua' verschoben!
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\5a289588-7eec08ce
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c286bbe.qua' verschoben!
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EWU7W2SG\upgrade[1].cab
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c5d6bcd.qua' verschoben!


Ende des Suchlaufs: Freitag, 21. Mai 2010 13:15
Benötigte Zeit: 22:06 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

14126 Verzeichnisse wurden überprüft
403521 Dateien wurden geprüft
11 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
403508 Dateien ohne Befall
2923 Archive wurden durchsucht
2 Warnungen
6 Hinweise
27766 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden