Hjackthis Logfile...erkennt hier jemand was ?

markusg · 15.12.2010, 13:45

avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.
bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig.
den update auftrag auf 1x pro tag einstellen.
und "nachhohlen falls zeit überschritten" auswählen

fLuMpi · 15.12.2010, 14:13

alles so gemacht wie angegeben....ich lass dann jetzt mal scannen

fLuMpi · 15.12.2010, 16:58

so da wär ich wieder

Hab kompletten scan gemacht..3 Funde :

2x Aquitas spricht anti cheat toll der esl, dass dürfen wir wohl getrosst unter Fehalarm verbuchen.

Und einmal noch nen moved.rar file

Aber schau selbst nochmal

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 15. Dezember 2010 14:12

Es wird nach 3146341 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : ich
Computername : TIMO-OB66VTR01R

Versionsinformationen:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 09:59:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 20:39:29
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 20:39:29
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 20:39:29
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 20:12:33
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:51:00
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 19:24:51
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 20:19:16
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 18:07:55
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 20:22:33
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 07:51:00
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 11:45:15
VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 11:45:15
VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 11:45:15
VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 11:45:15
VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 11:45:15
VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 16:21:59
VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 16:22:09
VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 19:14:47
VBASE017.VDF : 7.10.13.243 147456 Bytes 15.11.2010 19:43:32
VBASE018.VDF : 7.10.14.15 142848 Bytes 17.11.2010 19:44:18
VBASE019.VDF : 7.10.14.41 134144 Bytes 19.11.2010 19:44:23
VBASE020.VDF : 7.10.14.63 128000 Bytes 22.11.2010 08:41:29
VBASE021.VDF : 7.10.14.87 143872 Bytes 24.11.2010 08:41:29
VBASE022.VDF : 7.10.14.116 140800 Bytes 26.11.2010 09:21:49
VBASE023.VDF : 7.10.14.147 150528 Bytes 30.11.2010 09:23:03
VBASE024.VDF : 7.10.14.175 126464 Bytes 03.12.2010 09:23:12
VBASE025.VDF : 7.10.14.203 120320 Bytes 07.12.2010 16:03:24
VBASE026.VDF : 7.10.14.230 137216 Bytes 09.12.2010 19:11:44
VBASE027.VDF : 7.10.15.8 135680 Bytes 13.12.2010 20:04:46
VBASE028.VDF : 7.10.15.9 2048 Bytes 13.12.2010 20:04:46
VBASE029.VDF : 7.10.15.10 2048 Bytes 13.12.2010 20:04:47
VBASE030.VDF : 7.10.15.11 2048 Bytes 13.12.2010 20:04:47
VBASE031.VDF : 7.10.15.15 52736 Bytes 13.12.2010 20:04:47
Engineversion : 8.2.4.122
AEVDF.DLL : 8.1.2.1 106868 Bytes 29.07.2010 20:25:06
AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 03.12.2010 09:22:23
AESCN.DLL : 8.1.7.2 127349 Bytes 25.11.2010 08:41:40
AESBX.DLL : 8.1.3.2 254324 Bytes 25.11.2010 08:41:42
AERDL.DLL : 8.1.9.2 635252 Bytes 24.09.2010 11:32:47
AEPACK.DLL : 8.2.4.1 512375 Bytes 03.12.2010 09:22:19
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 25.11.2010 08:41:39
AEHEUR.DLL : 8.1.2.54 3113335 Bytes 08.12.2010 16:04:11
AEHELP.DLL : 8.1.16.0 246136 Bytes 03.12.2010 09:22:08
AEGEN.DLL : 8.1.5.0 397685 Bytes 03.12.2010 09:22:07
AEEMU.DLL : 8.1.3.0 393589 Bytes 25.11.2010 08:41:32
AECORE.DLL : 8.1.19.0 196984 Bytes 03.12.2010 09:22:05
AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2010 09:39:05
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 09.09.2009 09:34:55
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 09:19:14
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 20:39:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, G:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,

Beginn des Suchlaufs: Mittwoch, 15. Dezember 2010 14:12

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\hookinggroups
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\FileMonitor\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\FileMonitor\postoperations
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\FileMonitor\preoperations
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\ProcessMonitor\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\ProcessMonitor\postoperations
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\ProcessMonitor\preoperations
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\RegistryMonitor\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\RegistryMonitor\postoperations
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\RegistryMonitor\preoperations
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '84128' Objekte überprüft, '11' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RocketDock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'steam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '70' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\ich\Eigene Dateien\Downloads\aequitas_1_01.zip
[0] Archivtyp: ZIP
--> AequiAPI.dll
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Themida). Bitte verifizieren Sie den Ursprung dieser Datei.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d79c1ad.qua' verschoben!
C:\Dokumente und Einstellungen\ich\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\cache\g_001D\opr19QDN.tmp
[0] Archivtyp: NSIS
--> ProgramFilesDir/CCleaner.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
D:\Ad-Aware90Install.exe
[WARNUNG] Die Datei konnte nicht gelesen werden!
D:\adequitas\AequiAPI.dll
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Themida). Bitte verifizieren Sie den Ursprung dieser Datei.
[WARNUNG] Die Datei wurde ignoriert.
D:\_OTL\MovedFiles.rar
[0] Archivtyp: RAR
--> MovedFiles\12132010_164256\C_Dokumente und Einstellungen\ich\Anwendungsdaten\Coov\ytpa.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.25.40
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d7ed656.qua' verschoben!
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'G:\'

Ende des Suchlaufs: Mittwoch, 15. Dezember 2010 16:27
Benötigte Zeit: 2:15:19 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

32121 Verzeichnisse wurden überprüft
1793402 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
1793397 Dateien ohne Befall
33988 Archive wurden durchsucht
6 Warnungen
3 Hinweise
84128 Objekte wurden beim Rootkitscan durchsucht
11 Versteckte Objekte wurden gefunden

markusg · 15.12.2010, 17:09

2 sachen.
1. hast du avira 9 nicht avira 10.
2. hattest du während der infektion externe datenträger angeschlossen?

fLuMpi · 15.12.2010, 17:14

oO dachte hätte version 10

Nein keine externen Datenträger angeschlossen

markusg · 15.12.2010, 17:21

du hast beim setup nicht richtig gelesen denke ich und auf reparieren anstatt instalieren geklickt, da reparieren automatisch gewält ist.

fLuMpi · 15.12.2010, 17:24

na hab jetzt aufjedenfall die 10 version gerade heruntergeladen und installiert und upgedated

markusg · 15.12.2010, 17:33

dann scanne mal mit der genannten konfig. ist der letzte, dann sichern wir den pc ab.

fLuMpi · 15.12.2010, 17:57

alles klar..dann nochmal dat ganze ^^ schätze mal der ganze vorgang wird wieder bissle mehr als 2 stunden dauern ^^ ich meld mich dann wieder

fLuMpi · 15.12.2010, 20:18

so da hamwa report von antivir 10

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 15. Dezember 2010 17:57

Es wird nach 2257203 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : ich
Computername : TIMO-OB66VTR01R

Versionsinformationen:
BUILD.DAT : 10.0.0.607 31826 Bytes 30.11.2010 19:07:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 30.11.2010 17:12:38
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.11.2010 17:13:00
LUKE.DLL : 10.0.3.2 104296 Bytes 30.11.2010 17:12:46
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 20:39:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 16:24:51
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 16:24:51
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 16:24:51
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 16:24:52
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 16:24:52
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 16:24:52
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 16:24:52
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 16:24:52
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 16:24:52
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 16:24:52
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 16:24:52
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 16:24:52
VBASE013.VDF : 7.11.0.12 2048 Bytes 14.12.2010 16:24:52
VBASE014.VDF : 7.11.0.13 2048 Bytes 14.12.2010 16:24:52
VBASE015.VDF : 7.11.0.14 2048 Bytes 14.12.2010 16:24:52
VBASE016.VDF : 7.11.0.15 2048 Bytes 14.12.2010 16:24:52
VBASE017.VDF : 7.11.0.16 2048 Bytes 14.12.2010 16:24:52
VBASE018.VDF : 7.11.0.17 2048 Bytes 14.12.2010 16:24:52
VBASE019.VDF : 7.11.0.18 2048 Bytes 14.12.2010 16:24:53
VBASE020.VDF : 7.11.0.19 2048 Bytes 14.12.2010 16:24:53
VBASE021.VDF : 7.11.0.20 2048 Bytes 14.12.2010 16:24:53
VBASE022.VDF : 7.11.0.21 2048 Bytes 14.12.2010 16:24:53
VBASE023.VDF : 7.11.0.22 2048 Bytes 14.12.2010 16:24:53
VBASE024.VDF : 7.11.0.23 2048 Bytes 14.12.2010 16:24:53
VBASE025.VDF : 7.11.0.24 2048 Bytes 14.12.2010 16:24:53
VBASE026.VDF : 7.11.0.25 2048 Bytes 14.12.2010 16:24:53
VBASE027.VDF : 7.11.0.26 2048 Bytes 14.12.2010 16:24:53
VBASE028.VDF : 7.11.0.27 2048 Bytes 14.12.2010 16:24:53
VBASE029.VDF : 7.11.0.28 2048 Bytes 14.12.2010 16:24:53
VBASE030.VDF : 7.11.0.29 2048 Bytes 14.12.2010 16:24:53
VBASE031.VDF : 7.11.0.42 75264 Bytes 15.12.2010 16:24:54
Engineversion : 8.2.4.122
AEVDF.DLL : 8.1.2.1 106868 Bytes 29.07.2010 20:25:06
AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 15.12.2010 16:25:06
AESCN.DLL : 8.1.7.2 127349 Bytes 25.11.2010 08:41:40
AESBX.DLL : 8.1.3.2 254324 Bytes 25.11.2010 08:41:42
AERDL.DLL : 8.1.9.2 635252 Bytes 24.09.2010 11:32:47
AEPACK.DLL : 8.2.4.1 512375 Bytes 15.12.2010 16:25:03
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 25.11.2010 08:41:39
AEHEUR.DLL : 8.1.2.54 3113335 Bytes 15.12.2010 16:25:02
AEHELP.DLL : 8.1.16.0 246136 Bytes 15.12.2010 16:24:57
AEGEN.DLL : 8.1.5.0 397685 Bytes 15.12.2010 16:24:56
AEEMU.DLL : 8.1.3.0 393589 Bytes 25.11.2010 08:41:32
AECORE.DLL : 8.1.19.0 196984 Bytes 15.12.2010 16:24:55
AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2010 09:39:05
AVWINLL.DLL : 10.0.0.0 19304 Bytes 30.11.2010 17:12:39
AVPREF.DLL : 10.0.0.0 44904 Bytes 30.11.2010 17:12:38
AVREP.DLL : 10.0.0.8 62209 Bytes 17.06.2010 13:26:53
AVREG.DLL : 10.0.3.2 53096 Bytes 30.11.2010 17:12:38
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 30.11.2010 17:12:39
AVARKT.DLL : 10.0.22.6 231784 Bytes 30.11.2010 17:12:36
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 30.11.2010 17:12:37
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 30.11.2010 17:12:39
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 30.11.2010 17:13:01

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, G:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,

Beginn des Suchlaufs: Mittwoch, 15. Dezember 2010 17:57

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\hookinggroups
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\FileMonitor\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\FileMonitor\postoperations
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\FileMonitor\preoperations
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\ProcessMonitor\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\ProcessMonitor\postoperations
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\ProcessMonitor\preoperations
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\RegistryMonitor\$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123$%&'()*+,-./0123
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\RegistryMonitor\postoperations
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCTCore\Settings\HookingGroups\RegistryMonitor\preoperations
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avconfig.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RocketDock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNSCFG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'steam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1732' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'
D:\Ad-Aware90Install.exe
[WARNUNG] Die Datei konnte nicht gelesen werden!
D:\adequitas\AequiAPI.dll
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Themida). Bitte verifizieren Sie den Ursprung dieser Datei.
D:\_OTL\MovedFiles\12132010_164256\C_Dokumente und Einstellungen\ich\Lokale Einstellungen\Temp\tmpe8ca4cba\KillEXE.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Banker.XH.10
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'G:\'

Beginne mit der Desinfektion:
D:\_OTL\MovedFiles\12132010_164256\C_Dokumente und Einstellungen\ich\Lokale Einstellungen\Temp\tmpe8ca4cba\KillEXE.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Banker.XH.10
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e73b016.qua' verschoben!
D:\adequitas\AequiAPI.dll
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Themida). Bitte verifizieren Sie den Ursprung dieser Datei.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56eb9f4d.qua' verschoben!

Ende des Suchlaufs: Mittwoch, 15. Dezember 2010 20:16
Benötigte Zeit: 2:18:29 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

32155 Verzeichnisse wurden überprüft
1796559 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1796557 Dateien ohne Befall
34084 Archive wurden durchsucht
1 Warnungen
2 Hinweise
84900 Objekte wurden beim Rootkitscan durchsucht
11 Versteckte Objekte wurden gefunden

markusg · 15.12.2010, 20:25

rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung, auf allen laufwerken deaktivieren, übernehmen, ok
5 minuten warten, wieder einschalten.
ich nehme an, es sind keine probleme mehr aufgetreten?

fLuMpi · 15.12.2010, 20:30

du nimmst richtig an

markusg · 15.12.2010, 20:35

systemwiederherstellung de- und reaktiviert? dann können wir, falls gewünscht, den pc noch absichern.

fLuMpi · 15.12.2010, 20:37

de- und reaktiviert ja......

Absichern gern...du hast da vermutlich noch nen paar gute tipps in der hinterhand damit sonne situation nicht nochmal ensteht..

´

markusg · 15.12.2010, 21:21

ok lass uns das morgen in angriff nehmen. dauert nicht lang denke ich.

15.12.2010, 17:21	#126
markusg /// Malware-holic	Hjackthis Logfile...erkennt hier jemand was ? du hast beim setup nicht richtig gelesen denke ich und auf reparieren anstatt instalieren geklickt, da reparieren automatisch gewält ist. __________________ --> Hjackthis Logfile...erkennt hier jemand was ?

Hjackthis Logfile...erkennt hier jemand was ?

Log-Analyse und Auswertung: Hjackthis Logfile...erkennt hier jemand was ?