ANSERIN / TORPIQ eingefangen

Torsten68 · 27.07.2010, 17:54

So programm lief durch (bekannte Fehlermeldung) am ende startete das System neu nach hocfahren kam Combofix wieder mit dem Hinweiß das die Logdatei erstellt wird und kein anderes Programm gestartet werden soll und peng aufgehangen.

Ich werde es morgen früh noch mal probieren muss jetzt los zur Arbeit werde dann Berichten

markusg · 27.07.2010, 18:18

kein problem, nutzen wir eben otl
Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun das Folgende in die Textbox.

:OTL
[2010.07.27 07:02:26 | 000,000,000 | ---D | M] -- C:\Users\Torsten\AppData\Roaming\Alysyd
[2010.03.17 08:05:43 | 000,000,000 | ---D | M] -- C:\Users\Torsten\AppData\Roaming\Xymyro
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten

Torsten68 · 28.07.2010, 03:32

so bin kurz zuhause habe Ot durchlaufen lassen das kam dabei raus:

Zitat:

All processes killed
========== OTL ==========
Folder C:\Users\Torsten\AppData\Roaming\Alysyd\ not found.
Folder C:\Users\Torsten\AppData\Roaming\Xymyro\ not found.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Public

User: Torsten
->Flash cache emptied: 51953 bytes

Total Flash Files Cleaned = 0,00 mb

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

User: Torsten
->Temp folder emptied: 20864 bytes
->Temporary Internet Files folder emptied: 361163 bytes
->Java cache emptied: 18628301 bytes
->FireFox cache emptied: 43057754 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 59,00 mb

OTL by OldTimer - Version 3.2.9.1 log created on 07282010_040557

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Ich versuche auch noch mal Combo laufen zu lassen poste dann wenn es geht den Log

Torsten68 · 28.07.2010, 05:59

So combo hat auch geklappt allerdings mit der bekannten Fehlermeldung (mbr.cfxxe funktioniert nicht)
Log
Combofix Logfile:

Code:

ATTFilter

ComboFix 10-07-27.01 - Torsten 28.07.2010   4:36.5.1 - x86
Microsoft Windows 7 Ultimate   6.1.7600.0.1252.49.1031.18.3071.2319 [GMT 2:00]
ausgeführt von:: c:\users\Torsten\Downloads\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Torsten\Downloads\cfscript.txt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Torsten\AppData\Roaming\Xymyro\obsi.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-06-28 bis 2010-07-28  ))))))))))))))))))))))))))))))
.

2010-07-28 02:51 . 2010-07-28 02:54	--------	d-----w-	c:\users\Torsten\AppData\Local\temp
2010-07-28 02:51 . 2010-07-28 02:51	--------	d-----w-	c:\users\Public\AppData\Local\temp
2010-07-28 02:51 . 2010-07-28 02:51	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-07-28 02:34 . 2010-07-28 02:34	--------	d-----w-	C:\32788R22FWJFW
2010-07-28 02:05 . 2010-07-28 02:05	--------	d-----w-	C:\_OTL
2010-07-27 02:25 . 2010-07-27 02:25	--------	d-----w-	c:\users\Torsten\AppData\Roaming\Malwarebytes
2010-07-27 02:25 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-27 02:25 . 2010-07-27 02:25	--------	d-----w-	c:\programdata\Malwarebytes
2010-07-27 02:25 . 2010-07-27 02:25	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-07-27 02:25 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-26 09:14 . 2010-07-26 09:14	--------	d-----w-	c:\programdata\F-Secure
2010-07-05 09:14 . 2010-07-05 09:14	--------	d-----w-	c:\users\Torsten\AppData\Roaming\Avira
2010-07-05 09:11 . 2009-05-11 10:49	51992	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-07-05 09:11 . 2009-05-11 10:49	17016	----a-w-	c:\windows\system32\drivers\avgntmgr.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-28 02:36 . 2009-07-27 16:21	643628	----a-w-	c:\windows\system32\perfh007.dat
2010-07-28 02:36 . 2009-07-27 16:21	126188	----a-w-	c:\windows\system32\perfc007.dat
2010-07-26 08:29 . 2009-11-16 11:01	--------	d-----w-	c:\users\Torsten\AppData\Roaming\vlc
2010-07-22 15:02 . 2009-11-11 12:08	--------	d-----w-	c:\users\Torsten\AppData\Roaming\FileZilla
2010-07-14 06:12 . 2009-11-11 09:51	--------	d-----w-	c:\programdata\Microsoft Help
2010-07-11 02:40 . 2009-11-11 18:34	--------	d-----w-	c:\users\Torsten\AppData\Roaming\Media Player Classic
2010-07-08 14:08 . 2010-01-10 21:57	--------	d-----w-	c:\program files\CCleaner
2010-06-26 04:03 . 2009-11-23 16:37	--------	d-----w-	c:\users\Torsten\AppData\Roaming\dvdcss
2010-06-20 16:01 . 2010-06-20 16:01	3408	------w-	C:\bootsqm.dat
2010-06-20 15:49 . 2010-01-15 21:50	--------	d-----w-	c:\program files\TuneUp Utilities 2010
2010-06-20 15:45 . 2010-04-26 21:55	--------	d-----w-	c:\program files\No-IP
2010-06-11 20:46 . 2010-06-11 20:46	--------	d-----w-	c:\users\Torsten\AppData\Roaming\AVS4YOU
2010-06-11 20:46 . 2010-06-11 20:43	--------	d-----w-	c:\programdata\AVS4YOU
2010-06-11 20:45 . 2010-06-11 20:43	--------	d-----w-	c:\program files\AVS4YOU
2010-06-11 20:45 . 2010-06-11 20:44	--------	d-----w-	c:\program files\Common Files\AVSMedia
2010-06-11 20:39 . 2010-06-11 20:39	--------	d-----w-	c:\users\Torsten\AppData\Roaming\Leawo
2010-06-11 20:39 . 2010-06-11 20:39	--------	d-----w-	c:\program files\K-Lite Codec Pack
2010-06-11 16:41 . 2010-06-11 16:41	--------	d-----w-	c:\program files\MSECache
2010-06-07 16:41 . 2010-02-27 14:11	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-06-06 14:00 . 2010-05-05 13:17	--------	d-----w-	c:\users\Torsten\AppData\Roaming\Winamp
2010-05-31 11:40 . 2010-05-31 11:26	--------	d-----w-	c:\programdata\NOS
2010-05-31 11:34 . 2009-11-11 10:15	--------	d-----w-	c:\program files\Common Files\Adobe
2010-05-27 07:24 . 2010-06-09 10:38	34304	----a-w-	c:\windows\system32\atmlib.dll
2010-05-27 03:49 . 2010-06-09 10:38	293888	----a-w-	c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2009-11-11 09:40	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-05-21 05:18 . 2010-06-09 11:57	977920	----a-w-	c:\windows\system32\wininet.dll
2010-05-19 16:18 . 2010-05-19 16:18	354744	----a-w-	c:\users\Torsten\AppData\Roaming\SanDisk\Sansa Updater\SansaUpdaterInstall.exe
2010-05-09 09:14 . 2010-06-23 05:41	641536	----a-w-	c:\windows\system32\CPFilters.dll
2010-05-09 09:14 . 2010-06-23 05:41	417792	----a-w-	c:\windows\system32\msdri.dll
2010-05-07 14:40 . 2010-01-15 21:51	30536	----a-w-	c:\windows\system32\TURegOpt.exe
2010-05-07 14:34 . 2010-06-20 15:49	21320	----a-w-	c:\windows\system32\authuitu.dll
2010-05-07 14:34 . 2010-06-20 15:49	30024	----a-w-	c:\windows\system32\uxtuneup.dll
2010-05-01 14:49 . 2010-06-09 11:10	2326528	----a-w-	c:\windows\system32\win32k.sys
2009-06-10 21:26 . 2009-07-14 02:04	9633792	--sha-r-	c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42	396800	--sha-w-	c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{6DC58DF4-D4CD-4AB5-A1A2-24B37E818D10}"="c:\users\Torsten\AppData\Roaming\Xymyro\obsi.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="d:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-12-16 7731744]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2009-12-21 05:45	39424	----a-w-	d:\program files\Winamp\winampa.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Duden Korrektor SysTray"=d:\program files\Duden\Duden Korrektor\DKtray.exe
"DAEMON Tools Lite"="d:\program files\DAEMON Tools Lite\DTLite.exe" -autorun
"ISUSPM Startup"=c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"LightScribe Control Panel"=c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
"Skype"="c:\program files\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
"GrooveMonitor"="d:\program files\Microsoft Office\Office12\GrooveMonitor.exe"
"CmPCIaudio"=RunDll32 CMICNFG3.cpl,CMICtrlWnd
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe_ID0ENQBO"=c:\progra~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

R3 Adobe Version Cue CS4;Adobe Version Cue CS4;c:\program files\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe [2008-08-15 284016]
R3 ovt530;Webcam Deluxe;c:\windows\system32\Drivers\ov530vid.sys [2005-03-15 161792]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-11-11 691696]
S2 AntiVirSchedulerService;Avira AntiVir Planer;d:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [2010-05-07 1051976]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2010-03-04 277536]
S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [2009-10-14 10064]


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-10-16 11:49	451872	----a-w-	c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
.
------- Zusätzlicher Suchlauf -------
.
IE: An vorhandene PDF-Datei anfügen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Torsten\AppData\Roaming\Mozilla\Firefox\Profiles\sj2hc0eo.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - plugin: d:\program files\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: d:\program files\Java\jre6\bin\new_plugin\npdeploytk.dll
FF - plugin: d:\program files\Java\jre6\bin\new_plugin\npjp2.dll
FF - plugin: d:\program files\VideoLAN\VLC\npvlc.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(2212)
c:\users\Torsten\AppData\Local\Temp\catchme.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\taskhost.exe
d:\program files\Avira\AntiVir Desktop\avguard.exe
d:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
c:\windows\system32\conhost.exe
c:\windows\system32\WerFault.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\sppsvc.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-28  05:00:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-07-28 03:00
ComboFix2.txt  2010-07-27 15:30

Vor Suchlauf: 12 Verzeichnis(se), 12.603.011.072 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 12.552.794.112 Bytes frei

- - End Of File - - 65FE365FC4D2749F11478F38F54FE253

--- --- ---

markusg · 28.07.2010, 13:26

ich möchte, dass du jetzt nen rechtsklick auf den avira guard machst, und den guard deaktivierst.
öffne mein computer (arbeitsplatz)
dort c:
dann rechtsklick auf qoobox und zu qoobox.rar hinzufügen. wenns ne fehlermeldung gibt, dann versuche es im abgesicherten modus.
dieses archiv zu uns hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html
gib bescheid, wenn das erledigt ist.
jetzt noch einen rootkit scan, um zu bestätigen, dass der mbr wirklich sauber ist

Radix Antirootkit - Download - CHIP Online
download radix, entpacke es in einen eigenen ordner.
schalte alles an laufenden programmen ab, trenne auch die internetverbindung, rechtsklick und als admin ausführen wählen, für die radixgui.exe
auf der registerkarte 1-klick-wartung alles aktivieren.
scan starten, wenn fertig nichts löschen, sondern avira + internet ein und das log hochladen
File-Upload.net
link posten.

Torsten68 · 28.07.2010, 15:53

Zitat:

dort c:
dann rechtsklick auf qoobox und zu qoobox.rar hinzufügen. wenns ne fehlermeldung gibt, dann versuche es im abgesicherten modus.

Wo find ich das bzw was ist das?

markusg · 28.07.2010, 16:08

naja auf c:
ist ein ordner namens qoobox, das ist die combofix quarantäne. den ornder markieren, rechtsklick und zu qoobox.rar oder zip hinzufügen und das archiv an uns hochladen.

Torsten68 · 28.07.2010, 16:12

Sorry habs gerade gefunden

Habe es Hoch geladen mach jetzt mit dem rest weiter richtig

markusg · 28.07.2010, 16:14

ja. ist kein problem, wenn du fragen hast, stelle sie ruhig :-)

Torsten68 · 28.07.2010, 16:58

Beim starten von Redix bekomme ich das:

markusg · 28.07.2010, 17:27

ok schauen wir ob avira noch verenderungen findet, dann sind wir durch
avira

avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Torsten68 · 29.07.2010, 03:02

Sieht wohl sauber aus

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 28. Juli 2010 18:45

Es wird nach 2581037 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : Torsten
Computername : TORSTEN

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 12:49:24
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 12:49:25
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 18:51:14
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 18:41:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 18:51:30
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 09:14:40
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 09:14:42
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 02:42:40
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 02:42:40
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 02:42:40
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 02:42:41
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 02:42:41
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 02:42:41
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 10:21:26
VBASE014.VDF : 7.10.9.230 121856 Bytes 28.07.2010 16:41:50
VBASE015.VDF : 7.10.9.231 2048 Bytes 28.07.2010 16:41:50
VBASE016.VDF : 7.10.9.232 2048 Bytes 28.07.2010 16:41:50
VBASE017.VDF : 7.10.9.233 2048 Bytes 28.07.2010 16:41:50
VBASE018.VDF : 7.10.9.234 2048 Bytes 28.07.2010 16:41:50
VBASE019.VDF : 7.10.9.235 2048 Bytes 28.07.2010 16:41:51
VBASE020.VDF : 7.10.9.236 2048 Bytes 28.07.2010 16:41:51
VBASE021.VDF : 7.10.9.237 2048 Bytes 28.07.2010 16:41:51
VBASE022.VDF : 7.10.9.238 2048 Bytes 28.07.2010 16:41:51
VBASE023.VDF : 7.10.9.239 2048 Bytes 28.07.2010 16:41:51
VBASE024.VDF : 7.10.9.240 2048 Bytes 28.07.2010 16:41:51
VBASE025.VDF : 7.10.9.241 2048 Bytes 28.07.2010 16:41:51
VBASE026.VDF : 7.10.9.242 2048 Bytes 28.07.2010 16:41:51
VBASE027.VDF : 7.10.9.243 2048 Bytes 28.07.2010 16:41:51
VBASE028.VDF : 7.10.9.244 2048 Bytes 28.07.2010 16:41:51
VBASE029.VDF : 7.10.9.245 2048 Bytes 28.07.2010 16:41:51
VBASE030.VDF : 7.10.9.246 2048 Bytes 28.07.2010 16:41:51
VBASE031.VDF : 7.10.9.249 27648 Bytes 28.07.2010 16:41:51
Engineversion : 8.2.4.26
AEVDF.DLL : 8.1.2.0 106868 Bytes 05.07.2010 09:14:48
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 21.07.2010 02:42:40
AESCN.DLL : 8.1.6.1 127347 Bytes 05.07.2010 09:14:48
AESBX.DLL : 8.1.3.1 254324 Bytes 05.07.2010 09:14:49
AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 02:42:39
AEPACK.DLL : 8.2.3.2 471414 Bytes 21.07.2010 02:42:39
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 02:42:40
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 21.07.2010 02:42:38
AEHELP.DLL : 8.1.13.2 242039 Bytes 21.07.2010 02:42:37
AEGEN.DLL : 8.1.3.17 385396 Bytes 22.07.2010 02:42:40
AEEMU.DLL : 8.1.2.0 393588 Bytes 05.07.2010 09:14:46
AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 02:42:36
AEBB.DLL : 8.1.1.0 53618 Bytes 05.07.2010 09:14:45
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: D:\Program Files\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, A:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Mittwoch, 28. Juli 2010 18:45

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '413' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\' <Laufwerk>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\' <Bluebirds>

Ende des Suchlaufs: Mittwoch, 28. Juli 2010 19:59
Benötigte Zeit: 1:13:55 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

26143 Verzeichnisse wurden überprüft
609127 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
609127 Dateien ohne Befall
3012 Archive wurden durchsucht
0 Warnungen
0 Hinweise

Würde dann wenn bei mir alles okay ist mit dem Laptop meiner Frau weitermachen wenn das ginge?
Wenn ja starte ich so wie bei mir am Anfang mit deiner Antwort im posting 2
MBRCheck.exe

markusg · 29.07.2010, 11:40

ok das sind alle checks die ich haben wollte, keine mbr infektion, normales formatiern reicht also aus.
informiere dich bei deiner bank über sicherere online banking verfahren, du hattest wohl einen der zbot3 variannte auf dem system.

um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
http://www.trojaner-board.de/71542-a...sandboxie.html
es ist weiterhin zu empfehlen, sich, wenn du mit dem programm auskommst, ne lizenz zu besorgen, die kostet 25 € und ist dein ganzes leben lang gültig, du kannst die weiterhin auf allen pcs in deinem haushalt einsetzen.

dieses programm ist höchst sinnvoll. nehmen wir an, du surfst in der sandbox auf einer internet seite, die einen trojaner enthällt,, dieser gelangt in die sandbox, du kannst dir zu 99 % sicher sein, dass er dort nicht raus kommt, dass heißt, mit leeren der sandbox ist der trojaner nicht mehr auf dem pc. so hättest du dir dein problem höchst warscheinlich ersparrt.
instaliere dir dann secunia:

http://www.trojaner-board.de/83959-s...ector-psi.html
und konfiguriere avira wie in meiner anleitung beschrieben
passwörter endern nicht vergessen

Torsten68 · 29.07.2010, 15:47

Zitat:

ok das sind alle checks die ich haben wollte, keine mbr infektion, normales formatiern reicht also aus.
informiere dich bei deiner bank über sicherere online banking verfahren, du hattest wohl einen der zbot3 variannte auf dem system.

was heist das ich muss doch alles Formatieren?

mit de Sandbox muss ich mal schauen ob ich das alles so hinbekomme

markusg · 29.07.2010, 16:09

ja ich wollte nur nach dateien schauen, es sieht zwar alles in ordnung aus, aber 100 %ige sicherheit bringt nur das format c:
sandboxie ist nicht schwer zu bedienen.
bei der vollversion kannst du einstellen das der browser automatisch in der sandbox startet, das ist praktisch.

28.07.2010, 16:08	#22
markusg /// Malware-holic	ANSERIN / TORPIQ eingefangen naja auf c: ist ein ordner namens qoobox, das ist die combofix quarantäne. den ornder markieren, rechtsklick und zu qoobox.rar oder zip hinzufügen und das archiv an uns hochladen.

28.07.2010, 16:14	#24
markusg /// Malware-holic	ANSERIN / TORPIQ eingefangen ja. ist kein problem, wenn du fragen hast, stelle sie ruhig :-)

28.07.2010, 17:27	#26
markusg /// Malware-holic	ANSERIN / TORPIQ eingefangen ok schauen wir ob avira noch verenderungen findet, dann sind wir durch avira avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

29.07.2010, 16:09	#30
markusg /// Malware-holic	ANSERIN / TORPIQ eingefangen ja ich wollte nur nach dateien schauen, es sieht zwar alles in ordnung aus, aber 100 %ige sicherheit bringt nur das format c: sandboxie ist nicht schwer zu bedienen. bei der vollversion kannst du einstellen das der browser automatisch in der sandbox startet, das ist praktisch.

ANSERIN / TORPIQ eingefangen

Plagegeister aller Art und deren Bekämpfung: ANSERIN / TORPIQ eingefangen