moin
ich nochmal ich glaub die log files sind wichtiger



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 21. Juli 2010 19:03

Es wird nach 2452715 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Dragan
Computername : AZAGTHOTH

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 16:30:54
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 16:31:48
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 16:31:49
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 16:31:49
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 16:31:50
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 16:31:50
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 16:31:50
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 16:31:50
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 16:31:55
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 16:31:58
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 16:32:01
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 16:32:05
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 16:32:15
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 16:32:19
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 16:32:24
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 16:32:28
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 16:32:30
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 16:32:38
VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 16:32:46
VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 16:32:48
VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 16:32:52
VBASE026.VDF : 7.10.9.133 630784 Bytes 20.07.2010 16:33:04
VBASE027.VDF : 7.10.9.141 421376 Bytes 21.07.2010 16:33:16
VBASE028.VDF : 7.10.9.148 355328 Bytes 21.07.2010 16:33:24
VBASE029.VDF : 7.10.9.149 2048 Bytes 21.07.2010 16:33:24
VBASE030.VDF : 7.10.9.150 2048 Bytes 21.07.2010 16:33:24
VBASE031.VDF : 7.10.9.151 2048 Bytes 21.07.2010 16:33:24
Engineversion : 8.2.4.26
AEVDF.DLL : 8.1.2.0 106868 Bytes 21.07.2010 16:34:38
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 21.07.2010 16:34:37
AESCN.DLL : 8.1.6.1 127347 Bytes 21.07.2010 16:34:28
AESBX.DLL : 8.1.3.1 254324 Bytes 21.07.2010 16:34:42
AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 16:34:26
AEPACK.DLL : 8.2.3.2 471414 Bytes 21.07.2010 16:34:19
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21.07.2010 16:34:13
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 21.07.2010 16:34:09
AEHELP.DLL : 8.1.13.2 242039 Bytes 21.07.2010 16:33:39
AEGEN.DLL : 8.1.3.17 385396 Bytes 21.07.2010 16:33:37
AEEMU.DLL : 8.1.2.0 393588 Bytes 21.07.2010 16:33:31
AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 16:33:30
AEBB.DLL : 8.1.1.0 53618 Bytes 21.07.2010 16:33:29
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, H:, A:, G:, I:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 8
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 21. Juli 2010 19:03

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btdna.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb07.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Mixer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsPMSPSv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTsvcCDA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '431' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\' <Daten>
D:\dies und das\Eigene Bilder\diashow\Ulead Photo Express 4.0 SE\AutoLoad.exe
[FUND] Ist das Trojanische Pferd TR/Agent.40960.LA
D:\Ulead Systems\Ulead Photo Express 4.0 SE\AutoLoad.exe
[FUND] Ist das Trojanische Pferd TR/Agent.40960.LA
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\' <Prog/Spiele>
F:\Warcraft\Warcraft III\BNUpdate.exe
[FUND] Ist das Trojanische Pferd TR/Agent.294972
Beginne mit der Suche in 'H:\' <OnDown>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\' <SB_INSTALL>
G:\CTRun\DEMO32.EXE
[FUND] Ist das Trojanische Pferd TR/Patched.IV.78
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
G:\CTRun\DEMO32.EXE
[FUND] Ist das Trojanische Pferd TR/Patched.IV.78
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

F:\Warcraft\Warcraft III\BNUpdate.exe
[FUND] Ist das Trojanische Pferd TR/Agent.294972
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '05399df1.qua' verschoben!
D:\Ulead Systems\Ulead Photo Express 4.0 SE\AutoLoad.exe
[FUND] Ist das Trojanische Pferd TR/Agent.40960.LA
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6329d24a.qua' verschoben!
D:\dies und das\Eigene Bilder\diashow\Ulead Photo Express 4.0 SE\AutoLoad.exe
[FUND] Ist das Trojanische Pferd TR/Agent.40960.LA
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '26adff74.qua' verschoben!
Die Reparaturanweisungen wurden in die Datei 'G:\avrescue\rescue.avp' geschrieben.


Ende des Suchlaufs: Mittwoch, 21. Juli 2010 21:35
Benötigte Zeit: 1:23:42 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7825 Verzeichnisse wurden überprüft
397228 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
397224 Dateien ohne Befall
12937 Archive wurden durchsucht
1 Warnungen
3 Hinweise
66504 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

hmm das könnten alles fehlalarme sein, rechtsklick avira schirm, guard deaktivieren. nun öffne avira, verwaltung, quarantäne, stelle die von dier geposteten funde wieder her, auf den desktop am besten.
hier die dateien hochladen, mit verdacht auf fehlalarm.
Submit your sample
poste mir die file id bzw die tracking number die du erhälltst
prüfe die dateien auf
VirusTotal - Free Online Virus and Malware Scan
poste die ergebnisse, evtl. musst du auf erneut prüfen klicken, falls die files bereits analysiert sind.
dann dateien löschen, papierkorb leeren, avira guard einschalten

ja jetzt nerv ich glaub ich
wobei bei g: die cd eingelegt war und das die instalation cd von meiner soundkarte ist und da soll ein trojaner drauf sein ??

gruß

kannst du die cd noch mal einlegen und dann deinen arbeitsplatz öffnen, rechtsklick aufs cd rom laufwerk, öffnen, dann solltest du dort dateien sehen, kopiere
G:\CTRun\DEMO32.EXE
auf den destkop, natürlich muss avira aus sein.
also rechtsklick auf die datei, kopieren, dann klicke auf den desktop, dann rechtsklick, einfügen.
und nö, nerfst nicht

so

hier das ergebniss

Wir haben folgende Archivdateien empfangen:
Datei ID Dateiname Größe (Byte) Ergebnis
25816797 virenfund.zip 391.47 KB OK


Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführtatei ID Dateiname Größe (Byte) Ergebnis
25816798 DEMO32.EXE 484 KB UNDER ANALYSIS
25816645 AutoLoad.exe 40 KB UNDER ANALYSIS
25189568 BNUpdate.exe 288 KB CLEAN



Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt: Dateiname Ergebnis
DEMO32.EXE UNDER ANALYSIS


Die Datei 'DEMO32.EXE' wurde als 'UNDER ANALYSIS' eingestuft.
Dateiname Ergebnis
AutoLoad.exe UNDER ANALYSIS


Die Datei 'AutoLoad.exe' wurde als 'UNDER ANALYSIS' eingestuft.
Dateiname Ergebnis
BNUpdate.exe CLEAN


Die Datei 'BNUpdate.exe' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.

ok dann sollte morgen ne antwort von avira erfolgen, die postest du hier bitte.

und das andere ergebniss

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2010.07.22.01 2010.07.22 -
AntiVir 8.2.4.26 2010.07.22 TR/Agent.40960.LA
Antiy-AVL 2.0.3.7 2010.07.22 -
Authentium 5.2.0.5 2010.07.21 -
Avast 4.8.1351.0 2010.07.22 -
Avast5 5.0.332.0 2010.07.22 -
AVG 9.0.0.851 2010.07.22 -
BitDefender 7.2 2010.07.22 -
CAT-QuickHeal 11.00 2010.07.22 -
ClamAV 0.96.0.3-git 2010.07.22 -
Comodo 5507 2010.07.22 -
DrWeb 5.0.2.03300 2010.07.22 -
Emsisoft 5.0.0.34 2010.07.22 -
eSafe 7.0.17.0 2010.07.22 -
eTrust-Vet 36.1.7729 2010.07.22 -
F-Prot 4.6.1.107 2010.07.22 -
F-Secure 9.0.15370.0 2010.07.22 -
Fortinet 4.1.143.0 2010.07.22 -
GData 21 2010.07.22 -
Ikarus T3.1.1.84.0 2010.07.22 -
Jiangmin 13.0.900 2010.07.22 -
Kaspersky 7.0.0.125 2010.07.22 -
McAfee 5.400.0.1158 2010.07.22 -
McAfee-GW-Edition 2010.1 2010.07.22 -
Microsoft 1.6004 2010.07.22 -
NOD32 5301 2010.07.22 -
Norman 6.05.11 2010.07.22 -
nProtect 2010-07-22.01 2010.07.22 -
Panda 10.0.2.7 2010.07.22 -
PCTools 7.0.3.5 2010.07.22 -
Prevx 3.0 2010.07.22 -
Rising 22.57.03.04 2010.07.22 -
Sophos 4.55.0 2010.07.22 -
Sunbelt 6621 2010.07.22 -
SUPERAntiSpyware 4.40.0.1006 2010.07.22 -
Symantec 20101.1.1.7 2010.07.22 -
TheHacker 6.5.2.1.322 2010.07.20 -
TrendMicro 9.120.0.1004 2010.07.22 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.22 -
VBA32 3.12.12.6 2010.07.22 -
ViRobot 2010.6.21.3896 2010.07.22 -
VirusBuster 5.0.27.0 2010.07.22 -
weitere Informationen
File size: 400869 bytes
MD5...: bf28dbd19d649eb037fa132802adf774
SHA1..: a7ca7f45c7620fc52b3decdfdfbba277bca161e7
SHA256: c68a16503d4e2830b325c34171948278478c90a8e794f15896b34c99ed102d33
ssdeep: 12288:tKkCpb2n1lcbLLkYC+dqvrOoRMS6bRRIANXvgw88PPaQK:I3y2fCUMOkMS
Sr3Zo0PaQK
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: ZIP compressed archive (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

ok warten wir mal aufs ergebniss

ne kleine frage hätte ich da allerdings
warum musste ich die datei mbr.mbr hier hochladen ?

gruß

für den hersteller eines tools, der benötigt sie für seine daenbank, damit wird dann, wenn der nächste user diese infektion hatt, der infektionsname angezeigt.

super danke
ich poste das ergebniss dann so schnell wie möglich hier rein

bis dann
gruß