|
Bundespolizeitrojaner, Internetzugang gesperrt Hallo sehr geschätzte Boarder, nachdem ihr mir vor ca. 1 Jahr schon mal sehr kompetent weiterhelfen konntet, wende ich mich heute wieder an euch. Mich hat o.g. Trojaner erwischt. Wenn ich mich am Rechner mit meinem account anmelde taucht sehr schnell der bekannte Sperrhinweis auf. Nach Benutzerwechsel und Zugang über den Account meiner Frau kann ich aber noch ins Netz und mit Euch kommunizieren. Ein Virenscan mit Avira unmittelbart nach Vireninfekt ergab folgenden Bericht: Avira Antivirus Premium 2012 Erstellungsdatum der Reportdatei: Montag, 2. Juli 2012 23:21 Es wird nach 3826712 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Jens Christian Müller Seriennummer : 2219115413-PEPWE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : PCGELLERTSTR Versionsinformationen: BUILD.DAT : 12.0.0.1145 42650 Bytes 23.05.2012 17:04:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 14.05.2012 20:32:53 AVSCAN.DLL : 12.3.0.15 66256 Bytes 14.05.2012 20:32:53 LUKE.DLL : 12.3.0.15 68304 Bytes 14.05.2012 20:32:53 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:35:23 AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 22:20:26 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 17:09:20 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 17:09:33 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 15:19:38 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 18:54:35 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 18:54:35 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 18:54:35 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 18:54:35 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 18:54:35 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 18:54:35 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 18:54:36 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 18:54:36 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 18:54:36 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 20:58:57 VBASE015.VDF : 7.11.34.202 2048 Bytes 02.07.2012 20:58:57 VBASE016.VDF : 7.11.34.203 2048 Bytes 02.07.2012 20:58:57 VBASE017.VDF : 7.11.34.204 2048 Bytes 02.07.2012 20:58:57 VBASE018.VDF : 7.11.34.205 2048 Bytes 02.07.2012 20:58:57 VBASE019.VDF : 7.11.34.206 2048 Bytes 02.07.2012 20:58:57 VBASE020.VDF : 7.11.34.207 2048 Bytes 02.07.2012 20:58:58 VBASE021.VDF : 7.11.34.208 2048 Bytes 02.07.2012 20:58:58 VBASE022.VDF : 7.11.34.209 2048 Bytes 02.07.2012 20:58:58 VBASE023.VDF : 7.11.34.210 2048 Bytes 02.07.2012 20:58:58 VBASE024.VDF : 7.11.34.211 2048 Bytes 02.07.2012 20:58:58 VBASE025.VDF : 7.11.34.212 2048 Bytes 02.07.2012 20:58:58 VBASE026.VDF : 7.11.34.213 2048 Bytes 02.07.2012 20:58:58 VBASE027.VDF : 7.11.34.214 2048 Bytes 02.07.2012 20:58:58 VBASE028.VDF : 7.11.34.215 2048 Bytes 02.07.2012 20:58:58 VBASE029.VDF : 7.11.34.216 2048 Bytes 02.07.2012 20:58:58 VBASE030.VDF : 7.11.34.217 2048 Bytes 02.07.2012 20:58:58 VBASE031.VDF : 7.11.34.220 2048 Bytes 02.07.2012 20:58:58 Engineversion : 8.2.10.102 AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 18:08:21 AESCRIPT.DLL : 8.1.4.28 455035 Bytes 22.06.2012 14:05:25 AESCN.DLL : 8.1.8.2 131444 Bytes 09.02.2012 17:09:51 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 20:57:26 AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06 AEPACK.DLL : 8.2.16.22 807288 Bytes 22.06.2012 14:05:24 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 30.06.2012 18:54:46 AEHEUR.DLL : 8.1.4.58 4993399 Bytes 30.06.2012 18:54:46 AEHELP.DLL : 8.1.23.2 258422 Bytes 30.06.2012 18:54:40 AEGEN.DLL : 8.1.5.30 422261 Bytes 14.06.2012 20:57:17 AEEXP.DLL : 8.1.0.58 82292 Bytes 30.06.2012 18:54:47 AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01 AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 17:42:53 AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01 AVWINLL.DLL : 12.3.0.15 27344 Bytes 14.05.2012 20:32:53 AVPREF.DLL : 12.3.0.15 51920 Bytes 14.05.2012 20:32:53 AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:35:22 AVARKT.DLL : 12.3.0.15 211408 Bytes 14.05.2012 20:32:53 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 14.05.2012 20:32:53 SQLITE3.DLL : 3.7.0.1 398288 Bytes 14.05.2012 20:32:53 AVSMTP.DLL : 12.3.0.15 63952 Bytes 14.05.2012 20:32:53 NETNT.DLL : 12.3.0.15 17104 Bytes 14.05.2012 20:32:53 RCIMAGE.DLL : 12.3.0.15 4491472 Bytes 14.05.2012 20:32:53 RCTEXT.DLL : 12.3.0.15 98512 Bytes 14.05.2012 20:32:53 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Montag, 2. Juli 2012 23:21 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastLoggedOnUser [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastLoggedOnSAMUser [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Media Player NSS\3.0\Events\{93DF09D7-8E69-496D-B980-CCFE4CDC8ED3} [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Print\Printers\HP Officejet 6000 E609a Series\ChangeID [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0013\Linkage\UpperBind [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{D744D878-DBB4-4010-9AA8-B2F2BD927998}\Connection\Name [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{6B683E0E-1505-488C-8053-3C1301924246}\Linkage\Bind [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{6B683E0E-1505-488C-8053-3C1301924246}\Linkage\Route [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{6B683E0E-1505-488C-8053-3C1301924246}\Linkage\Export [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\services\iphlpsvc\Teredo\PreviousState\00-1a-2a-19-49-16\TeredoAddress [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-1782174894-4009563491-1203132981-1001\Software\Microsoft\MediaPlayer\Health\{9748D11A-57F4-43E3-A0FE-74158E946856} [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-1782174894-4009563491-1203132981-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012062120120622 [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '83' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '81' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '98' Modul(e) wurden durchsucht Durchsuche Prozess 'QTTask.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuschd2.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '102' Modul(e) wurden durchsucht Durchsuche Prozess 'BabylonToolbarsrv.exe' - '82' Modul(e) wurden durchsucht Durchsuche Prozess 'wmdc.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLSvc.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '149' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'atieclxx.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'BingApp.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'hpswp_clipbook.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarUser_32.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'BingBar.exe' - '78' Modul(e) wurden durchsucht Durchsuche Prozess 'IEXPLORE.EXE' - '179' Modul(e) wurden durchsucht Durchsuche Prozess 'IEXPLORE.EXE' - '83' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '15' Modul(e) wurden durchsucht Durchsuche Prozess 'distnoted.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'ONENOTEM.EXE' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'ubd.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'QTTask.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuschd2.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '102' Modul(e) wurden durchsucht Durchsuche Prozess 'BabylonToolbarsrv.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'wmdc.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLSvc.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '160' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'atieclxx.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'DllHost.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '113' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'WUDFHost.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'AVWEBGRD.EXE' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'avmailc.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSVC.EXE' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.EXE' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'PSIService.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'aavus.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'SASCORE.EXE' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '97' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '159' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '122' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '94' Modul(e) wurden durchsucht Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '3631' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\AppIni.dat [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\AppRgn.dat [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Backgrounds.dat [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Calendars.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Canvas.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CollageLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Collages.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Details.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\DevDetectionLastPage.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Effects.dat [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\InputValidation.dat [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Navigation.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Overview.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBFonts.dat [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PB_Brillant.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PB_Main.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PB_Standard.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Photobook-Tour.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Photocards.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Printsnposters.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Products.dat [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Products.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Products_all.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Products_bags.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Products_ceramic.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Products_games.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Products_misc.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Products_textiles.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\SmartHint.dat [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Texts.dat [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Tour1.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Tour2.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Tour3.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Tour4.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\VPStyles.dat [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\WizFinish.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\WizIntro.xnf [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\Xchg.dat [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalKitchen1338\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalKitchen1338\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalKitchen1338\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalKitchen938\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalKitchen938\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalKitchen938\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalLCHanging2030\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalLCHanging2030\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalLCHanging2030\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalLCHanging3045\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalLCHanging3045\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalLCHanging3045\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalYear4331\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalYear4331\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalYear4331\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalYear7251\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalYear7251\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\CalYear7251\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\DecoInventory\DecoInventory.dat [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA3LDouble\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA3LDouble\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA3LDouble\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA3SqrDouble\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA3SqrDouble\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA3SqrDouble\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA4\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA4\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA4\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA4HLDouble\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA4HLDouble\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA4HLDouble\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA4HSqrDouble\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA4HSqrDouble\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA4HSqrDouble\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA5BS\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA5BS\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA5BS\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA5H\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA5H\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA5H\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA5S\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA5S\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA5S\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA6BS\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA6BS\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWA6BS\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWSqr21\CoverLayouts.pbl [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWSqr21\Default.pbd [WARNUNG] Der Archivheader ist defekt C:\ProgramData\FujiDirekt\{8FF17394-E156-4167-9616-F11C27881397}\Data\PBIWSqr21\Layouts.pbl [WARNUNG] Der Archivheader ist defekt C:\System Volume Information\SystemRestore\FRStaging\Users\JC Müller\Downloads\fishingcrazedownload.exe [0] Archivtyp: ZIP SFX (self extracting) --> Fishing Craze Deluxe/fishingcraze.exe [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Zylom.Gen5 C:\System Volume Information\SystemRestore\FRStaging\Users\JC Müller\Downloads\FUJIdirekt.exe [WARNUNG] Der Archivheader ist defekt C:\Users\JC Müller\AppData\Local\temp\09E4m5HI.exe.part --> Object [WARNUNG] Die Datei konnte nicht gelesen werden! [WARNUNG] Die Datei konnte nicht gelesen werden! C:\Users\JC Müller\AppData\Local\temp\DSy6EXBQ.exe.part --> Object [WARNUNG] Die Datei konnte nicht gelesen werden! [WARNUNG] Die Datei konnte nicht gelesen werden! C:\Users\JC Müller\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\1d0bc563-7fb23697 [0] Archivtyp: ZIP --> ud.class [FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.CZ.2 --> cr.class [FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.CS.2.B --> G.class [FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.CT.1.A --> ub.class [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen --> uc.class [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen --> ua.class [FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.CV.2.A C:\Users\JC Müller\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\42ae3285-58da5533 [0] Archivtyp: ZIP --> a/a1.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.AV --> a/a2.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.AP --> a/a.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.AS C:\Users\JC Müller\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\aeb1209-487039bc [0] Archivtyp: ZIP --> a/a.class [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen --> a/Ner.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507 C:\Users\JC Müller\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 05-19-2011 - 01-10-49.SBU [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\JC Müller\Downloads\avira_antivirus_premium_de.exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\JC Müller\Downloads\fishingcrazedownload.exe [0] Archivtyp: ZIP SFX (self extracting) --> Fishing Craze Deluxe/fishingcraze.exe [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Zylom.Gen5 C:\Users\JC Müller\Downloads\FUJIdirekt.exe [WARNUNG] Der Archivheader ist defekt Beginne mit der Suche in 'D:\' <RECOVER> D:\PCGELLERTSTR\Backup Set 2011-08-21 190001\Backup Files 2011-08-21 190001\Backup files 15.zip [WARNUNG] Unerwartetes Dateiende erreicht D:\PCGELLERTSTR\Backup Set 2011-08-21 190001\Backup Files 2011-08-21 190001\Backup files 20.zip [WARNUNG] Unerwartetes Dateiende erreicht D:\PCGELLERTSTR\Backup Set 2011-08-21 190001\Backup Files 2011-08-21 190001\Backup files 30.zip [WARNUNG] Unerwartetes Dateiende erreicht D:\PCGELLERTSTR\Backup Set 2011-08-21 190001\Backup Files 2011-08-21 190001\Backup files 33.zip [WARNUNG] Der Archivheader ist defekt D:\PCGELLERTSTR\Backup Set 2011-08-21 190001\Backup Files 2011-08-21 190001\Backup files 34.zip [0] Archivtyp: ZIP --> C/Users/JC Mller/Downloads/fishingcrazedownload.exe [1] Archivtyp: ZIP SFX (self extracting) --> Fishing Craze Deluxe/fishingcraze.exe [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Zylom.Gen5 Beginne mit der Desinfektion: D:\PCGELLERTSTR\Backup Set 2011-08-21 190001\Backup Files 2011-08-21 190001\Backup files 34.zip [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Zylom.Gen5 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55fed2b0.qua' verschoben! C:\Users\JC Müller\Downloads\fishingcrazedownload.exe [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Zylom.Gen5 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d59fd24.qua' verschoben! C:\Users\JC Müller\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\aeb1209-487039bc [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1f37a7cd.qua' verschoben! C:\Users\JC Müller\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\42ae3285-58da5533 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.AS [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7907e840.qua' verschoben! C:\Users\JC Müller\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\1d0bc563-7fb23697 [FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.CV.2.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3cf2c531.qua' verschoben! C:\System Volume Information\SystemRestore\FRStaging\Users\JC Müller\Downloads\fishingcrazedownload.exe [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Zylom.Gen5 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43aef759.qua' verschoben! Ende des Suchlaufs: Dienstag, 3. Juli 2012 06:18 Benötigte Zeit: 1:19:42 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 26622 Verzeichnisse wurden überprüft 448020 Dateien wurden geprüft 14 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 6 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 448006 Dateien ohne Befall 3594 Archive wurden durchsucht 99 Warnungen 18 Hinweise 543910 Objekte wurden beim Rootkitscan durchsucht 12 Versteckte Objekte wurden gefunden und eben tauchten dort noch folgende Meldungen auf: Avira Antivirus Premium 2012 Erstellungsdatum der Reportdatei: Mittwoch, 4. Juli 2012 21:42 Es wird nach 3836369 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Jens Christian Müller Seriennummer : 2219115413-PEPWE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : PCGELLERTSTR Versionsinformationen: BUILD.DAT : 12.0.0.1145 42650 Bytes 23.05.2012 17:04:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 14.05.2012 20:32:53 AVSCAN.DLL : 12.3.0.15 66256 Bytes 14.05.2012 20:32:53 LUKE.DLL : 12.3.0.15 68304 Bytes 14.05.2012 20:32:53 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:35:23 AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 22:20:26 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 17:09:20 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 17:09:33 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 15:19:38 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 18:54:35 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 18:54:35 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 18:54:35 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 18:54:35 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 18:54:35 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 18:54:35 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 18:54:36 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 18:54:36 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 18:54:36 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 20:58:57 VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 18:50:05 VBASE016.VDF : 7.11.35.20 2048 Bytes 04.07.2012 18:50:05 VBASE017.VDF : 7.11.35.21 2048 Bytes 04.07.2012 18:50:05 VBASE018.VDF : 7.11.35.22 2048 Bytes 04.07.2012 18:50:06 VBASE019.VDF : 7.11.35.23 2048 Bytes 04.07.2012 18:50:06 VBASE020.VDF : 7.11.35.24 2048 Bytes 04.07.2012 18:50:06 VBASE021.VDF : 7.11.35.25 2048 Bytes 04.07.2012 18:50:06 VBASE022.VDF : 7.11.35.26 2048 Bytes 04.07.2012 18:50:06 VBASE023.VDF : 7.11.35.27 2048 Bytes 04.07.2012 18:50:06 VBASE024.VDF : 7.11.35.28 2048 Bytes 04.07.2012 18:50:06 VBASE025.VDF : 7.11.35.29 2048 Bytes 04.07.2012 18:50:06 VBASE026.VDF : 7.11.35.30 2048 Bytes 04.07.2012 18:50:06 VBASE027.VDF : 7.11.35.31 2048 Bytes 04.07.2012 18:50:06 VBASE028.VDF : 7.11.35.32 2048 Bytes 04.07.2012 18:50:06 VBASE029.VDF : 7.11.35.33 2048 Bytes 04.07.2012 18:50:06 VBASE030.VDF : 7.11.35.34 2048 Bytes 04.07.2012 18:50:06 VBASE031.VDF : 7.11.35.46 22016 Bytes 04.07.2012 18:50:07 Engineversion : 8.2.10.102 AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 18:08:21 AESCRIPT.DLL : 8.1.4.28 455035 Bytes 22.06.2012 14:05:25 AESCN.DLL : 8.1.8.2 131444 Bytes 09.02.2012 17:09:51 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 20:57:26 AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06 AEPACK.DLL : 8.2.16.22 807288 Bytes 22.06.2012 14:05:24 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 30.06.2012 18:54:46 AEHEUR.DLL : 8.1.4.58 4993399 Bytes 30.06.2012 18:54:46 AEHELP.DLL : 8.1.23.2 258422 Bytes 30.06.2012 18:54:40 AEGEN.DLL : 8.1.5.30 422261 Bytes 14.06.2012 20:57:17 AEEXP.DLL : 8.1.0.58 82292 Bytes 30.06.2012 18:54:47 AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01 AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 17:42:53 AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01 AVWINLL.DLL : 12.3.0.15 27344 Bytes 14.05.2012 20:32:53 AVPREF.DLL : 12.3.0.15 51920 Bytes 14.05.2012 20:32:53 AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:35:22 AVARKT.DLL : 12.3.0.15 211408 Bytes 14.05.2012 20:32:53 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 14.05.2012 20:32:53 SQLITE3.DLL : 3.7.0.1 398288 Bytes 14.05.2012 20:32:53 AVSMTP.DLL : 12.3.0.15 63952 Bytes 14.05.2012 20:32:53 NETNT.DLL : 12.3.0.15 17104 Bytes 14.05.2012 20:32:53 RCIMAGE.DLL : 12.3.0.15 4491472 Bytes 14.05.2012 20:32:53 RCTEXT.DLL : 12.3.0.15 98512 Bytes 14.05.2012 20:32:53 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4ff48f2a\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Mittwoch, 4. Juli 2012 21:42 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'javaw.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BabylonToolbarsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmdc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DllHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'atieclxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PSIService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SASCORE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'atiesrxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Users\JC Müller\AppData\Local\temp\0_0u_l.exe' C:\Users\JC Müller\AppData\Local\temp\0_0u_l.exe [FUND] Ist das Trojanische Pferd TR/Drop.Injector.fhdt [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1782174894-4009563491-1203132981-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1782174894-4009563491-1203132981-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Start Menu> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1782174894-4009563491-1203132981-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup> wurde erfolgreich repariert. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '557133e5.qua' verschoben! Ende des Suchlaufs: Mittwoch, 4. Juli 2012 21:42 Benötigte Zeit: 00:10 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 73 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 72 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise und Avira Antivirus Premium 2012 Erstellungsdatum der Reportdatei: Mittwoch, 4. Juli 2012 21:42 Es wird nach 3836369 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Jens Christian Müller Seriennummer : 2219115413-PEPWE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : PCGELLERTSTR Versionsinformationen: BUILD.DAT : 12.0.0.1145 42650 Bytes 23.05.2012 17:04:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 14.05.2012 20:32:53 AVSCAN.DLL : 12.3.0.15 66256 Bytes 14.05.2012 20:32:53 LUKE.DLL : 12.3.0.15 68304 Bytes 14.05.2012 20:32:53 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:35:23 AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 22:20:26 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 17:09:20 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 17:09:33 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 15:19:38 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 18:54:35 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 18:54:35 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 18:54:35 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 18:54:35 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 18:54:35 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 18:54:35 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 18:54:36 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 18:54:36 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 18:54:36 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 20:58:57 VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 18:50:05 VBASE016.VDF : 7.11.35.20 2048 Bytes 04.07.2012 18:50:05 VBASE017.VDF : 7.11.35.21 2048 Bytes 04.07.2012 18:50:05 VBASE018.VDF : 7.11.35.22 2048 Bytes 04.07.2012 18:50:06 VBASE019.VDF : 7.11.35.23 2048 Bytes 04.07.2012 18:50:06 VBASE020.VDF : 7.11.35.24 2048 Bytes 04.07.2012 18:50:06 VBASE021.VDF : 7.11.35.25 2048 Bytes 04.07.2012 18:50:06 VBASE022.VDF : 7.11.35.26 2048 Bytes 04.07.2012 18:50:06 VBASE023.VDF : 7.11.35.27 2048 Bytes 04.07.2012 18:50:06 VBASE024.VDF : 7.11.35.28 2048 Bytes 04.07.2012 18:50:06 VBASE025.VDF : 7.11.35.29 2048 Bytes 04.07.2012 18:50:06 VBASE026.VDF : 7.11.35.30 2048 Bytes 04.07.2012 18:50:06 VBASE027.VDF : 7.11.35.31 2048 Bytes 04.07.2012 18:50:06 VBASE028.VDF : 7.11.35.32 2048 Bytes 04.07.2012 18:50:06 VBASE029.VDF : 7.11.35.33 2048 Bytes 04.07.2012 18:50:06 VBASE030.VDF : 7.11.35.34 2048 Bytes 04.07.2012 18:50:06 VBASE031.VDF : 7.11.35.46 22016 Bytes 04.07.2012 18:50:07 Engineversion : 8.2.10.102 AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 18:08:21 AESCRIPT.DLL : 8.1.4.28 455035 Bytes 22.06.2012 14:05:25 AESCN.DLL : 8.1.8.2 131444 Bytes 09.02.2012 17:09:51 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 20:57:26 AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06 AEPACK.DLL : 8.2.16.22 807288 Bytes 22.06.2012 14:05:24 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 30.06.2012 18:54:46 AEHEUR.DLL : 8.1.4.58 4993399 Bytes 30.06.2012 18:54:46 AEHELP.DLL : 8.1.23.2 258422 Bytes 30.06.2012 18:54:40 AEGEN.DLL : 8.1.5.30 422261 Bytes 14.06.2012 20:57:17 AEEXP.DLL : 8.1.0.58 82292 Bytes 30.06.2012 18:54:47 AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01 AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 17:42:53 AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01 AVWINLL.DLL : 12.3.0.15 27344 Bytes 14.05.2012 20:32:53 AVPREF.DLL : 12.3.0.15 51920 Bytes 14.05.2012 20:32:53 AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:35:22 AVARKT.DLL : 12.3.0.15 211408 Bytes 14.05.2012 20:32:53 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 14.05.2012 20:32:53 SQLITE3.DLL : 3.7.0.1 398288 Bytes 14.05.2012 20:32:53 AVSMTP.DLL : 12.3.0.15 63952 Bytes 14.05.2012 20:32:53 NETNT.DLL : 12.3.0.15 17104 Bytes 14.05.2012 20:32:53 RCIMAGE.DLL : 12.3.0.15 4491472 Bytes 14.05.2012 20:32:53 RCTEXT.DLL : 12.3.0.15 98512 Bytes 14.05.2012 20:32:53 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4ff48f2a\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Mittwoch, 4. Juli 2012 21:42 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'javaw.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BabylonToolbarsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmdc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DllHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'atieclxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PSIService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SASCORE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'atiesrxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Users\JC Müller\AppData\Local\temp\V.class' C:\Users\JC Müller\AppData\Local\temp\V.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.AW [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55ff305c.qua' verschoben! Ende des Suchlaufs: Mittwoch, 4. Juli 2012 21:42 Benötigte Zeit: 00:06 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 73 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 72 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise beim scan mit Malewarebytes wurden 5 infizierte Dateien gefunden. Hier der Bericht: Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.07.04.06 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 9.0.8112.16421 JC Müller :: PCGELLERTSTR [Administrator] Schutz: Aktiviert 04.07.2012 21:33:07 mbam-log-2012-07-04 (21-33-07).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 232246 Laufzeit: 6 Minute(n), 16 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 5 C:\Users\Claudia\Downloads\DownloadManagerSetup(1).exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt. C:\Users\Claudia\Downloads\DownloadManagerSetup.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt. C:\Users\Claudia\AppData\Local\temp\is357113909\IWantThis_IC_V3_ROW.exe (Adware.GamePlayLabs) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\JC Müller\AppData\Local\temp\ICReinstall\PDFConverterSetup.exe (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\JC Müller\Downloads\PDFConverterSetup.exe (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Ich hoffe sehr auf eure Hilfe! Vorab schon mal vielen Dank |
Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Guten Abend, ich hoffe alles euren Anweisungen entsprechend durchgeführt zu haben. hier die logs von gestern: Code: Malwarebytes Anti-Malware (Test) 1.61.0.1400Code: Malwarebytes Anti-Malware (Test) 1.61.0.1400Code: Malwarebytes Anti-Malware (Test) 1.61.0.1400Code: ESETSmartInstaller@High as downloader log: |
Zitat:
|
Danke für den Hinweis. Hab sicherheitshalber nochmal einen Vollscan gemacht und die beiden Dateien jetzt in Quarantäne verschoben. Hier der log: Code: Malwarebytes Anti-Malware (Test) 1.61.0.1400 |
Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? |
Guten Morgen, zu Frage 1) der normale Modus funktioniert m.E. uneingeschränkt. Lediglich beim Hochfahren kommt die Meldung "Problem beim Starten von C:\user\JCMLLE+~1\AppData\Local\Temp\0_0n_l.exe das angegebene Modulo wurde nicht gefunden. zu Frage 2) in Startmenue vermisse ich nix,, hatte da aber soweit ich mich erinnere nix groß drin. Es gibt einige leere Odner unter "alle Programm" z.B. die Ordner "Skype" und "Microsoft Office" sind leer. Was bedeutet das? |
Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das LogLade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
Code: netsvcs
|
Guten Abend; habe otl ausgeführt. bin allerdings nicht über euren Link auf die Seite von Oldtimer gekommen. (403 forbidden). Hoffe ich hab trotzdem die aktuelle version gegoogelt. Hier das log Code: OTL logfile created on: 09.07.2012 21:50:48 - Run 2 |
adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
Auch das ist erledigt Hier der Log: Code: # AdwCleaner v1.701 - Logfile created 07/10/2012 at 18:07:06 |
adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
|
Guten Abend Arne, gesagt, getan. Code: # AdwCleaner v1.701 - Logfile created 07/11/2012 at 22:56:20 |
Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das LogLade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
Code: netsvcs
|
Hallo Arne, vielen Dank mal soweit!! Hier das OTL log OTL Logfile: Code: OTL logfile created on: 12.07.2012 17:48:15 - Run 3 |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
erledigt! Code: All processes killed |
Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg |
Hier wie gewünscht: Code: 22:50:54.0765 4940 TDSS rootkit removing tool 2.7.45.0 Jul 9 2012 12:46:35 |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
|
Hey there, hier das Ergebnis [code] Combofix Logfile: Code: ComboFix 12-07-13.02 - JC Müller 13.07.2012 17:09:08.2.4 - x86 |
Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button. |
Guten Abend, also GMER mag mich nicht, hab ich gelassen nachdem der Rechner abgestürzt war. Aber OSAM war besser. Hier der LOG Code: OSAM Logfile:Code: aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software |
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Guten Morgen hier beide Logs: Code: SUPERAntiSpyware Scan LogCode: Malwarebytes Anti-Malware (Test) 1.62.0.1300 |
Sieht ok aus, da wurden nur Cookies gefunden. Der andere Fund bei SASW ist ein Fehlalarm. Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/ Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Hallo Arne, vielen Dank für die so erfreuliche Nachricht. Und danke für Deine tolle Arbeit!:applaus::applaus::applaus: Eine letzte Frage habe ich noch: Beim starten des Rechners erscheint immernoch die Mitteilung "Problem beim Starten von C:\user\JCMLLE~1\AppData\Local\Temp\O_On_l.exe das angegebene Modul wurde nicht gefunden". Was hat es damit auf sich? Wurde die Datei evtl. in eine Quarantäne verschoben weil Trojaner? Oder ist es womöglich ein Fehlalarm o.ä. Freue mich über Info! Und nochmals vielen Dank! |
Ist nur ein verwaister Autostart-Eintrag, den solltest du über msconfig deaktivieren können Dann wären wir durch! :abklatsch: Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen: Starte bitte OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks => Adobe Flash Player Distribution | Adobe Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
:dankeschoen::dankeschoen::dankeschoen::dankeschoen::dankeschoen: Hallo Arne, nochmals besten Dank! Meine Hochachtung für Deine und eure tolle Arbeit!! :daumenhoc:daumenhoc Deine Hinweise werde ich gerne berücksichtigen und hoffe nicht so schnell wieder auf eure kompetente Hilfe angewiesen zu sein. Schönen Sommer wünsche ich! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board
