|
Groupon Trojaner Hallo. Ich hoffe, man kann mir hier helfen. Ich bin Computerlaie. Ich habe offenbar seit einigen Tagen einen Trojaner auf meinem Laptop. Meine Frau hat eine Email zugesendet bekommen, welche anscheinend von der Firma Groupon gesendet worden war mit einer Rechnung im Anhang. Sie hat den Anhang dummerweise geöffnet und seitdem hat unser Avira-Scanner immer wieder den ein oder anderen Fund gemacht, welchen in in die Quarantäne verschoben habe. Laut Internetrecherchen handelt es sich bei dem Groupon Anhang um einen momentan weit verbreiteten Trojaner. Vor zwei Tagen habe ich mich mit mit meinen Zugangsdaten beim Sparkassen-Online-Banking eingeloggt. Es erschien dann direkt eine von der Sparkasse zu sein scheinende Nachricht, dass ich für die mobile Nutzung des Sparkassen-Online-Finanzstatus meinen Handygerätetyp und Handynummer eingeben soll. Ich habe das dummerweise getan und dann eine SMS mit Anhang auf mein Handy bekommen. Mein Virenprogramm "Lookout" hat sofort gesagt, dass es sich dabei um einen Trojaner handelt und ich habe das gelöscht. Mein Handy sollte also sauber sein. Ich habe von der Sparkasse neue Zugangsdaten bekommen mit dem Hinweis, dass ich das Online-Banking über meinen Laptop erst nutzen solle, wenn der Trojaner entfernt ist. Danke schonmal im Voraus für die Hilfe. Folgendes habe ich aus dem Avira-Report kopiert: Avira Free Antivirus Erstellungsdatum der Reportdatei: Freitag, 15. März 2013 13:18 Es wird nach 5199380 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : Hausmann Computername : HAUSMANN-PC Versionsinformationen: BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00 AVSCAN.EXE : 12.3.0.48 468256 Bytes 15.11.2012 11:49:58 AVSCAN.DLL : 12.3.0.15 66256 Bytes 11.05.2012 20:25:17 LUKE.DLL : 12.3.0.15 68304 Bytes 11.05.2012 20:25:19 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 11.05.2012 20:25:19 AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 20:25:19 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:38:22 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:13:20 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 21:06:48 VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 04:51:43 VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 12:56:43 VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:21:10 VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:21:10 VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:21:10 VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:21:10 VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:21:10 VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 13:19:47 VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 13:19:47 VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 13:30:14 VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 14:48:11 VBASE017.VDF : 7.11.61.65 151040 Bytes 15.02.2013 14:48:20 VBASE018.VDF : 7.11.61.135 159232 Bytes 18.02.2013 13:25:40 VBASE019.VDF : 7.11.61.163 152064 Bytes 18.02.2013 16:19:16 VBASE020.VDF : 7.11.61.207 164352 Bytes 19.02.2013 16:19:16 VBASE021.VDF : 7.11.62.43 206336 Bytes 21.02.2013 19:56:08 VBASE022.VDF : 7.11.64.106 1510912 Bytes 11.03.2013 17:32:44 VBASE023.VDF : 7.11.64.157 137216 Bytes 12.03.2013 17:32:51 VBASE024.VDF : 7.11.64.233 159744 Bytes 14.03.2013 19:53:16 VBASE025.VDF : 7.11.64.234 2048 Bytes 14.03.2013 19:53:16 VBASE026.VDF : 7.11.64.235 2048 Bytes 14.03.2013 19:53:16 VBASE027.VDF : 7.11.64.236 2048 Bytes 14.03.2013 19:53:17 VBASE028.VDF : 7.11.64.237 2048 Bytes 14.03.2013 19:53:17 VBASE029.VDF : 7.11.64.238 2048 Bytes 14.03.2013 19:53:17 VBASE030.VDF : 7.11.64.239 2048 Bytes 14.03.2013 19:53:17 VBASE031.VDF : 7.11.64.250 46592 Bytes 14.03.2013 19:53:17 Engineversion : 8.2.12.16 AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 21:19:58 AESCRIPT.DLL : 8.1.4.98 475516 Bytes 14.03.2013 19:53:21 AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 18:17:06 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 17:11:26 AERDL.DLL : 8.2.0.88 643444 Bytes 11.01.2013 12:58:27 AEPACK.DLL : 8.3.2.2 827767 Bytes 14.03.2013 19:53:20 AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 17:04:53 AEHEUR.DLL : 8.1.4.248 5804409 Bytes 14.03.2013 19:53:19 AEHELP.DLL : 8.1.25.2 258423 Bytes 13.10.2012 14:54:32 AEGEN.DLL : 8.1.6.16 434549 Bytes 25.01.2013 13:40:02 AEEXP.DLL : 8.4.0.12 192886 Bytes 14.03.2013 19:53:21 AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 21:19:58 AECORE.DLL : 8.1.31.2 201080 Bytes 20.02.2013 16:19:17 AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 20:23:37 AVWINLL.DLL : 12.3.0.15 27344 Bytes 11.05.2012 20:25:17 AVPREF.DLL : 12.3.0.32 50720 Bytes 15.11.2012 11:49:58 AVREP.DLL : 12.3.0.15 179208 Bytes 11.05.2012 20:25:19 AVARKT.DLL : 12.3.0.33 209696 Bytes 15.11.2012 11:49:58 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 11.05.2012 20:25:17 SQLITE3.DLL : 3.7.0.1 398288 Bytes 11.05.2012 20:25:19 AVSMTP.DLL : 12.3.0.32 63480 Bytes 14.08.2012 19:03:27 NETNT.DLL : 12.3.0.15 17104 Bytes 11.05.2012 20:25:19 RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 14.08.2012 19:03:21 RCTEXT.DLL : 12.3.0.32 98848 Bytes 15.11.2012 11:49:57 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Laufwerke Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\alldrives.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Q:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Freitag, 15. März 2013 13:18 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'Q:\' [INFO] Es wurde kein Virus gefunden! [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EgisUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PMBVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BackupManagerTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PmmUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SuiteTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorIcon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aguro.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taxaktuell.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KB00556860.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CVHSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftlist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftvsa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IScheduleSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GREGsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMutilps32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dsiwmis.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '2193' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Acer> C:\Users\Hausmann\AppData\Local\Temp\tmpbec9e1a6\vv1303.exe [FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.EB.100 C:\Users\Hausmann\AppData\Local\Temp\tmpdfd203c1\loo0803.exe [FUND] Ist das Trojanische Pferd TR/Matsnu.A.85 Beginne mit der Suche in 'Q:\' Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden! Systemfehler [5]: Zugriff verweigert Beginne mit der Suche in 'D:\' <Audio CD> Beginne mit der Desinfektion: C:\Users\Hausmann\AppData\Local\Temp\tmpdfd203c1\loo0803.exe [FUND] Ist das Trojanische Pferd TR/Matsnu.A.85 [WARNUNG] Die Datei wurde ignoriert. C:\Users\Hausmann\AppData\Local\Temp\tmpbec9e1a6\vv1303.exe [FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.EB.100 [WARNUNG] Die Datei wurde ignoriert. Ende des Suchlaufs: Freitag, 15. März 2013 17:00 Benötigte Zeit: 3:38:32 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 29596 Verzeichnisse wurden überprüft 530843 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 530841 Dateien ohne Befall 5797 Archive wurden durchsucht 2 Warnungen 0 Hinweise Avira Free Antivirus Erstellungsdatum der Reportdatei: Freitag, 15. März 2013 12:45 Es wird nach 5199380 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HAUSMANN-PC Versionsinformationen: BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00 AVSCAN.EXE : 12.3.0.48 468256 Bytes 15.11.2012 11:49:58 AVSCAN.DLL : 12.3.0.15 66256 Bytes 11.05.2012 20:25:17 LUKE.DLL : 12.3.0.15 68304 Bytes 11.05.2012 20:25:19 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 11.05.2012 20:25:19 AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 20:25:19 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:38:22 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:13:20 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 21:06:48 VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 04:51:43 VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 12:56:43 VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:21:10 VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:21:10 VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:21:10 VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:21:10 VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:21:10 VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 13:19:47 VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 13:19:47 VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 13:30:14 VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 14:48:11 VBASE017.VDF : 7.11.61.65 151040 Bytes 15.02.2013 14:48:20 VBASE018.VDF : 7.11.61.135 159232 Bytes 18.02.2013 13:25:40 VBASE019.VDF : 7.11.61.163 152064 Bytes 18.02.2013 16:19:16 VBASE020.VDF : 7.11.61.207 164352 Bytes 19.02.2013 16:19:16 VBASE021.VDF : 7.11.62.43 206336 Bytes 21.02.2013 19:56:08 VBASE022.VDF : 7.11.64.106 1510912 Bytes 11.03.2013 17:32:44 VBASE023.VDF : 7.11.64.157 137216 Bytes 12.03.2013 17:32:51 VBASE024.VDF : 7.11.64.233 159744 Bytes 14.03.2013 19:53:16 VBASE025.VDF : 7.11.64.234 2048 Bytes 14.03.2013 19:53:16 VBASE026.VDF : 7.11.64.235 2048 Bytes 14.03.2013 19:53:16 VBASE027.VDF : 7.11.64.236 2048 Bytes 14.03.2013 19:53:17 VBASE028.VDF : 7.11.64.237 2048 Bytes 14.03.2013 19:53:17 VBASE029.VDF : 7.11.64.238 2048 Bytes 14.03.2013 19:53:17 VBASE030.VDF : 7.11.64.239 2048 Bytes 14.03.2013 19:53:17 VBASE031.VDF : 7.11.64.250 46592 Bytes 14.03.2013 19:53:17 Engineversion : 8.2.12.16 AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 21:19:58 AESCRIPT.DLL : 8.1.4.98 475516 Bytes 14.03.2013 19:53:21 AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 18:17:06 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 17:11:26 AERDL.DLL : 8.2.0.88 643444 Bytes 11.01.2013 12:58:27 AEPACK.DLL : 8.3.2.2 827767 Bytes 14.03.2013 19:53:20 AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 17:04:53 AEHEUR.DLL : 8.1.4.248 5804409 Bytes 14.03.2013 19:53:19 AEHELP.DLL : 8.1.25.2 258423 Bytes 13.10.2012 14:54:32 AEGEN.DLL : 8.1.6.16 434549 Bytes 25.01.2013 13:40:02 AEEXP.DLL : 8.4.0.12 192886 Bytes 14.03.2013 19:53:21 AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 21:19:58 AECORE.DLL : 8.1.31.2 201080 Bytes 20.02.2013 16:19:17 AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 20:23:37 AVWINLL.DLL : 12.3.0.15 27344 Bytes 11.05.2012 20:25:17 AVPREF.DLL : 12.3.0.32 50720 Bytes 15.11.2012 11:49:58 AVREP.DLL : 12.3.0.15 179208 Bytes 11.05.2012 20:25:19 AVARKT.DLL : 12.3.0.33 209696 Bytes 15.11.2012 11:49:58 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 11.05.2012 20:25:17 SQLITE3.DLL : 3.7.0.1 398288 Bytes 11.05.2012 20:25:19 AVSMTP.DLL : 12.3.0.32 63480 Bytes 14.08.2012 19:03:27 NETNT.DLL : 12.3.0.15 17104 Bytes 11.05.2012 20:25:19 RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 14.08.2012 19:03:21 RCTEXT.DLL : 12.3.0.32 98848 Bytes 15.11.2012 11:49:57 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_514309a6\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Beginn des Suchlaufs: Freitag, 15. März 2013 12:45 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'KB00556860.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EgisUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMworker.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PMBVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLIStart.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BackupManagerTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aguro.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PmmUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SuiteTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorIcon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taxaktuell.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CVHSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftlist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftvsa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IScheduleSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GREGsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMutilps32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dsiwmis.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Users\Hausmann\AppData\Roaming\hlpjhlp.exe' C:\Users\Hausmann\AppData\Roaming\hlpjhlp.exe [FUND] Ist das Trojanische Pferd TR/Rogue.KD.895215 [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hlpjhlp> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hlpjhlp> wurde erfolgreich repariert. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55fcaad5.qua' verschoben! Ende des Suchlaufs: Freitag, 15. März 2013 12:46 Benötigte Zeit: 00:21 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 861 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 860 Dateien ohne Befall 1 Archive wurden durchsucht 0 Warnungen 1 Hinweise Avira Free Antivirus Erstellungsdatum der Reportdatei: Samstag, 9. März 2013 12:47 Es wird nach 5161506 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HAUSMANN-PC Versionsinformationen: BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00 AVSCAN.EXE : 12.3.0.48 468256 Bytes 15.11.2012 11:49:58 AVSCAN.DLL : 12.3.0.15 66256 Bytes 11.05.2012 20:25:17 LUKE.DLL : 12.3.0.15 68304 Bytes 11.05.2012 20:25:19 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 11.05.2012 20:25:19 AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 20:25:19 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:38:22 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:13:20 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 21:06:48 VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 04:51:43 VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 12:56:43 VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:21:10 VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:21:10 VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:21:10 VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:21:10 VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:21:10 VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 13:19:47 VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 13:19:47 VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 13:30:14 VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 14:48:11 VBASE017.VDF : 7.11.61.65 151040 Bytes 15.02.2013 14:48:20 VBASE018.VDF : 7.11.61.135 159232 Bytes 18.02.2013 13:25:40 VBASE019.VDF : 7.11.61.163 152064 Bytes 18.02.2013 16:19:16 VBASE020.VDF : 7.11.61.207 164352 Bytes 19.02.2013 16:19:16 VBASE021.VDF : 7.11.62.43 206336 Bytes 21.02.2013 19:56:08 VBASE022.VDF : 7.11.62.111 136192 Bytes 23.02.2013 14:13:21 VBASE023.VDF : 7.11.62.157 143360 Bytes 25.02.2013 11:11:14 VBASE024.VDF : 7.11.62.237 199168 Bytes 27.02.2013 09:47:05 VBASE025.VDF : 7.11.63.71 209408 Bytes 01.03.2013 09:47:04 VBASE026.VDF : 7.11.63.121 257536 Bytes 04.03.2013 13:25:25 VBASE027.VDF : 7.11.63.211 212480 Bytes 06.03.2013 09:11:21 VBASE028.VDF : 7.11.64.21 198656 Bytes 08.03.2013 17:04:41 VBASE029.VDF : 7.11.64.22 2048 Bytes 08.03.2013 17:04:41 VBASE030.VDF : 7.11.64.23 2048 Bytes 08.03.2013 17:04:41 VBASE031.VDF : 7.11.64.34 75776 Bytes 08.03.2013 17:04:42 Engineversion : 8.2.12.14 AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 21:19:58 AESCRIPT.DLL : 8.1.4.96 471420 Bytes 08.03.2013 17:04:54 AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 18:17:06 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 17:11:26 AERDL.DLL : 8.2.0.88 643444 Bytes 11.01.2013 12:58:27 AEPACK.DLL : 8.3.2.0 827767 Bytes 08.03.2013 17:04:53 AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 17:04:53 AEHEUR.DLL : 8.1.4.236 5833081 Bytes 08.03.2013 17:04:53 AEHELP.DLL : 8.1.25.2 258423 Bytes 13.10.2012 14:54:32 AEGEN.DLL : 8.1.6.16 434549 Bytes 25.01.2013 13:40:02 AEEXP.DLL : 8.4.0.10 192886 Bytes 08.03.2013 17:04:54 AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 21:19:58 AECORE.DLL : 8.1.31.2 201080 Bytes 20.02.2013 16:19:17 AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 20:23:37 AVWINLL.DLL : 12.3.0.15 27344 Bytes 11.05.2012 20:25:17 AVPREF.DLL : 12.3.0.32 50720 Bytes 15.11.2012 11:49:58 AVREP.DLL : 12.3.0.15 179208 Bytes 11.05.2012 20:25:19 AVARKT.DLL : 12.3.0.33 209696 Bytes 15.11.2012 11:49:58 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 11.05.2012 20:25:17 SQLITE3.DLL : 3.7.0.1 398288 Bytes 11.05.2012 20:25:19 AVSMTP.DLL : 12.3.0.32 63480 Bytes 14.08.2012 19:03:27 NETNT.DLL : 12.3.0.15 17104 Bytes 11.05.2012 20:25:19 RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 14.08.2012 19:03:21 RCTEXT.DLL : 12.3.0.32 98848 Bytes 15.11.2012 11:49:57 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\AVSCAN-20130309-124054-23178D09.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Q:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Samstag, 9. März 2013 12:47 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'Q:\' [INFO] Es wurde kein Virus gefunden! [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\Software\McAfee [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\Software\ATI\ACE\Settings\Runtime\Runtime Graphics Caste HotKey ProcTime [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\Software\Avira\AntiVir Desktop\profDataStr [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_171.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_171.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '89' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '120' Modul(e) wurden durchsucht Durchsuche Prozess 'EgisUpdate.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'LMworker.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'aguro.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'Updater.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'PMBVolumeWatcher.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'LManager.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'BackupManagerTray.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'PmmUpdate.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'SuiteTray.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorIcon.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'ONENOTEM.EXE' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'Dropbox.exe' - '76' Modul(e) wurden durchsucht Durchsuche Prozess 'taxaktuell.exe' - '97' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'AVWEBGRD.EXE' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'CVHSVC.EXE' - '80' Modul(e) wurden durchsucht Durchsuche Prozess 'sftlist.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'sftvsa.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.EXE' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'IScheduleSvc.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'UpdaterService.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'GREGsvc.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'LMutilps32.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'dsiwmis.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '2191' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Acer> C:\Users\Hausmann\AppData\Local\Temp\07.03.2013 Groupon Abrechnung für Jessica Hausmann.zip [0] Archivtyp: ZIP --> Ihre Groupon Online Abrechnung 07.03.2013.zip [1] Archivtyp: ZIP --> Ihre Groupon Online Abrechnung 07.03.2013.com [FUND] Ist das Trojanische Pferd TR/Injector.aqh C:\Users\Hausmann\AppData\Local\Temp\rnonwkwiwy.pre [FUND] Ist das Trojanische Pferd TR/Injector.aqh C:\Users\Hausmann\AppData\Local\Temp\{3A0D-4AF5B0-4AF9B0} [FUND] Ist das Trojanische Pferd TR/Bublik.B.16 C:\Users\Hausmann\AppData\Local\Temp\{D553-24EF1B4-24EF5B4} [FUND] Ist das Trojanische Pferd TR/Bublik.B.183 C:\Users\Hausmann\AppData\Local\Temp\tmp991b34ec\win86-update.exe [FUND] Ist das Trojanische Pferd TR/Agent.286720.22 C:\Users\Hausmann\AppData\Local\Temp\tmpe405ece7\cm0803.exe [FUND] Ist das Trojanische Pferd TR/Agent.94208.66 Beginne mit der Suche in 'Q:\' Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden! Systemfehler [5]: Zugriff verweigert Beginne mit der Desinfektion: C:\Users\Hausmann\AppData\Local\Temp\tmpe405ece7\cm0803.exe [FUND] Ist das Trojanische Pferd TR/Agent.94208.66 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '558b9828.qua' verschoben! C:\Users\Hausmann\AppData\Local\Temp\tmp991b34ec\win86-update.exe [FUND] Ist das Trojanische Pferd TR/Agent.286720.22 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ddeb793.qua' verschoben! C:\Users\Hausmann\AppData\Local\Temp\{D553-24EF1B4-24EF5B4} [FUND] Ist das Trojanische Pferd TR/Bublik.B.183 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1f58ed5f.qua' verschoben! C:\Users\Hausmann\AppData\Local\Temp\{3A0D-4AF5B0-4AF9B0} [FUND] Ist das Trojanische Pferd TR/Bublik.B.16 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7963a36c.qua' verschoben! C:\Users\Hausmann\AppData\Local\Temp\rnonwkwiwy.pre [FUND] Ist das Trojanische Pferd TR/Injector.aqh [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3c318f9d.qua' verschoben! C:\Users\Hausmann\AppData\Local\Temp\07.03.2013 Groupon Abrechnung für Jessica Hausmann.zip [FUND] Ist das Trojanische Pferd TR/Injector.aqh [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43e9bc37.qua' verschoben! Ende des Suchlaufs: Samstag, 9. März 2013 14:27 Benötigte Zeit: 1:35:23 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 28161 Verzeichnisse wurden überprüft 528248 Dateien wurden geprüft 6 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 6 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 528242 Dateien ohne Befall 5525 Archive wurden durchsucht 0 Warnungen 9 Hinweise 638730 Objekte wurden beim Rootkitscan durchsucht 3 Versteckte Objekte wurden gefunden Avira Free Antivirus Erstellungsdatum der Reportdatei: Samstag, 9. März 2013 12:38 Es wird nach 5161506 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HAUSMANN-PC Versionsinformationen: BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00 AVSCAN.EXE : 12.3.0.48 468256 Bytes 15.11.2012 11:49:58 AVSCAN.DLL : 12.3.0.15 66256 Bytes 11.05.2012 20:25:17 LUKE.DLL : 12.3.0.15 68304 Bytes 11.05.2012 20:25:19 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 11.05.2012 20:25:19 AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 20:25:19 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:38:22 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:13:20 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 21:06:48 VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 04:51:43 VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 12:56:43 VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:21:10 VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:21:10 VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:21:10 VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:21:10 VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:21:10 VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 13:19:47 VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 13:19:47 VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 13:30:14 VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 14:48:11 VBASE017.VDF : 7.11.61.65 151040 Bytes 15.02.2013 14:48:20 VBASE018.VDF : 7.11.61.135 159232 Bytes 18.02.2013 13:25:40 VBASE019.VDF : 7.11.61.163 152064 Bytes 18.02.2013 16:19:16 VBASE020.VDF : 7.11.61.207 164352 Bytes 19.02.2013 16:19:16 VBASE021.VDF : 7.11.62.43 206336 Bytes 21.02.2013 19:56:08 VBASE022.VDF : 7.11.62.111 136192 Bytes 23.02.2013 14:13:21 VBASE023.VDF : 7.11.62.157 143360 Bytes 25.02.2013 11:11:14 VBASE024.VDF : 7.11.62.237 199168 Bytes 27.02.2013 09:47:05 VBASE025.VDF : 7.11.63.71 209408 Bytes 01.03.2013 09:47:04 VBASE026.VDF : 7.11.63.121 257536 Bytes 04.03.2013 13:25:25 VBASE027.VDF : 7.11.63.211 212480 Bytes 06.03.2013 09:11:21 VBASE028.VDF : 7.11.64.21 198656 Bytes 08.03.2013 17:04:41 VBASE029.VDF : 7.11.64.22 2048 Bytes 08.03.2013 17:04:41 VBASE030.VDF : 7.11.64.23 2048 Bytes 08.03.2013 17:04:41 VBASE031.VDF : 7.11.64.34 75776 Bytes 08.03.2013 17:04:42 Engineversion : 8.2.12.14 AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 21:19:58 AESCRIPT.DLL : 8.1.4.96 471420 Bytes 08.03.2013 17:04:54 AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 18:17:06 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 17:11:26 AERDL.DLL : 8.2.0.88 643444 Bytes 11.01.2013 12:58:27 AEPACK.DLL : 8.3.2.0 827767 Bytes 08.03.2013 17:04:53 AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 17:04:53 AEHEUR.DLL : 8.1.4.236 5833081 Bytes 08.03.2013 17:04:53 AEHELP.DLL : 8.1.25.2 258423 Bytes 13.10.2012 14:54:32 AEGEN.DLL : 8.1.6.16 434549 Bytes 25.01.2013 13:40:02 AEEXP.DLL : 8.4.0.10 192886 Bytes 08.03.2013 17:04:54 AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 21:19:58 AECORE.DLL : 8.1.31.2 201080 Bytes 20.02.2013 16:19:17 AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 20:23:37 AVWINLL.DLL : 12.3.0.15 27344 Bytes 11.05.2012 20:25:17 AVPREF.DLL : 12.3.0.32 50720 Bytes 15.11.2012 11:49:58 AVREP.DLL : 12.3.0.15 179208 Bytes 11.05.2012 20:25:19 AVARKT.DLL : 12.3.0.33 209696 Bytes 15.11.2012 11:49:58 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 11.05.2012 20:25:17 SQLITE3.DLL : 3.7.0.1 398288 Bytes 11.05.2012 20:25:19 AVSMTP.DLL : 12.3.0.32 63480 Bytes 14.08.2012 19:03:27 NETNT.DLL : 12.3.0.15 17104 Bytes 11.05.2012 20:25:19 RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 14.08.2012 19:03:21 RCTEXT.DLL : 12.3.0.32 98848 Bytes 15.11.2012 11:49:57 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_513b1edd\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Beginn des Suchlaufs: Samstag, 9. März 2013 12:38 Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit> wurde erfolgreich repariert. C:\Users\Hausmann\AppData\Roaming\Vbibgbobo\rmondlxtbr.exe [FUND] Ist das Trojanische Pferd TR/Yakes.cnnh [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\uyemxtbr> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\uyemxtbr> wurde erfolgreich repariert. [HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [HINWEIS] Die Datei existiert nicht! Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KB00556860.exe> wurde erfolgreich entfernt. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mixerol.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PMBVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMworker.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EgisUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aguro.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLIStart.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BackupManagerTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PmmUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SuiteTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorIcon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KB00556860.exe' - '1' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\Users\Hausmann\AppData\Roaming\KB00556860.exe> [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.qpe.1 [WARNUNG] Der Prozess <KB00556860.exe> konnte nicht beendet werden. Mögliche Ursache: Systemfehler [87]: Falscher Parameter. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '19d6c994.qua' verschoben! [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KB00556860.exe> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KB00556860.exe> wurde erfolgreich repariert. Durchsuche Prozess 'CVHSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taxaktuell.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftlist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftvsa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IScheduleSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GREGsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMutilps32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dsiwmis.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht Ende des Suchlaufs: Samstag, 9. März 2013 12:40 Benötigte Zeit: 02:32 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 3061 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 3059 Dateien ohne Befall 6 Archive wurden durchsucht 1 Warnungen 2 Hinweise Avira Free Antivirus Erstellungsdatum der Reportdatei: Sonntag, 17. März 2013 12:00 Es wird nach 5216976 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HAUSMANN-PC Versionsinformationen: BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00 AVSCAN.EXE : 12.3.0.48 468256 Bytes 15.11.2012 11:49:58 AVSCAN.DLL : 12.3.0.15 66256 Bytes 11.05.2012 20:25:17 LUKE.DLL : 12.3.0.15 68304 Bytes 11.05.2012 20:25:19 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 11.05.2012 20:25:19 AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 20:25:19 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:38:22 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:13:20 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 21:06:48 VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 04:51:43 VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 12:56:43 VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:21:10 VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:21:10 VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:21:10 VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:21:10 VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:21:10 VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 13:19:47 VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 13:19:47 VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 13:30:14 VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 14:48:11 VBASE017.VDF : 7.11.61.65 151040 Bytes 15.02.2013 14:48:20 VBASE018.VDF : 7.11.61.135 159232 Bytes 18.02.2013 13:25:40 VBASE019.VDF : 7.11.61.163 152064 Bytes 18.02.2013 16:19:16 VBASE020.VDF : 7.11.61.207 164352 Bytes 19.02.2013 16:19:16 VBASE021.VDF : 7.11.62.43 206336 Bytes 21.02.2013 19:56:08 VBASE022.VDF : 7.11.64.106 1510912 Bytes 11.03.2013 17:32:44 VBASE023.VDF : 7.11.64.157 137216 Bytes 12.03.2013 17:32:51 VBASE024.VDF : 7.11.64.233 159744 Bytes 14.03.2013 19:53:16 VBASE025.VDF : 7.11.65.19 143360 Bytes 15.03.2013 23:37:01 VBASE026.VDF : 7.11.65.20 2048 Bytes 15.03.2013 23:37:01 VBASE027.VDF : 7.11.65.21 2048 Bytes 15.03.2013 23:37:02 VBASE028.VDF : 7.11.65.22 2048 Bytes 15.03.2013 23:37:02 VBASE029.VDF : 7.11.65.23 2048 Bytes 15.03.2013 23:37:02 VBASE030.VDF : 7.11.65.24 2048 Bytes 15.03.2013 23:37:02 VBASE031.VDF : 7.11.65.60 143360 Bytes 17.03.2013 10:37:41 Engineversion : 8.2.12.16 AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 21:19:58 AESCRIPT.DLL : 8.1.4.98 475516 Bytes 14.03.2013 19:53:21 AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 18:17:06 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 17:11:26 AERDL.DLL : 8.2.0.88 643444 Bytes 11.01.2013 12:58:27 AEPACK.DLL : 8.3.2.2 827767 Bytes 14.03.2013 19:53:20 AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 17:04:53 AEHEUR.DLL : 8.1.4.248 5804409 Bytes 14.03.2013 19:53:19 AEHELP.DLL : 8.1.25.2 258423 Bytes 13.10.2012 14:54:32 AEGEN.DLL : 8.1.6.16 434549 Bytes 25.01.2013 13:40:02 AEEXP.DLL : 8.4.0.12 192886 Bytes 14.03.2013 19:53:21 AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 21:19:58 AECORE.DLL : 8.1.31.2 201080 Bytes 20.02.2013 16:19:17 AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 20:23:37 AVWINLL.DLL : 12.3.0.15 27344 Bytes 11.05.2012 20:25:17 AVPREF.DLL : 12.3.0.32 50720 Bytes 15.11.2012 11:49:58 AVREP.DLL : 12.3.0.15 179208 Bytes 11.05.2012 20:25:19 AVARKT.DLL : 12.3.0.33 209696 Bytes 15.11.2012 11:49:58 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 11.05.2012 20:25:17 SQLITE3.DLL : 3.7.0.1 398288 Bytes 11.05.2012 20:25:19 AVSMTP.DLL : 12.3.0.32 63480 Bytes 14.08.2012 19:03:27 NETNT.DLL : 12.3.0.15 17104 Bytes 11.05.2012 20:25:19 RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 14.08.2012 19:03:21 RCTEXT.DLL : 12.3.0.32 98848 Bytes 15.11.2012 11:49:57 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Festplatten Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\alldiscs.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Q:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Sonntag, 17. März 2013 12:00 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'Q:\' [INFO] Es wurde kein Virus gefunden! [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten C:\Users\Hausmann\AppData\Roaming\Nyuhi\aguro.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Vobfus.2867201 C:\Users\Hausmann\AppData\Roaming\winvn.exe [FUND] Ist das Trojanische Pferd TR/Rogue.kdz.10950 Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Iwyzapb> wurde erfolgreich entfernt. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_180.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_180.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KB00556860.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EgisUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMworker.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PMBVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BackupManagerTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PmmUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aguro.exe' - '1' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\Users\Hausmann\AppData\Roaming\Nyuhi\aguro.exe> [FUND] Enthält Erkennungsmuster des Wurmes WORM/Vobfus.2867201 [HINWEIS] Prozess 'aguro.exe' wurde beendet [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '574a8a13.qua' verschoben! [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Iwyzapb> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Iwyzapb> wurde erfolgreich repariert. Durchsuche Prozess 'SuiteTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taxaktuell.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CVHSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftlist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftvsa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IScheduleSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMutilps32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GREGsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dsiwmis.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winvn> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winvn> wurde erfolgreich repariert. Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Users\Hausmann\AppData\Roaming\winvn.exe [FUND] Ist das Trojanische Pferd TR/Rogue.kdz.10950 [WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet. [HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert. [HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winvn> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winvn> wurde erfolgreich repariert. C:\Users\Hausmann\AppData\Roaming\Nyuhi\aguro.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Vobfus.2867201 [HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [HINWEIS] Die Datei existiert nicht! Ende des Suchlaufs: Sonntag, 17. März 2013 21:15 Benötigte Zeit: 9:15:33 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 3060 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 3057 Dateien ohne Befall 6 Archive wurden durchsucht 1 Warnungen 3 Hinweise Avira Free Antivirus Erstellungsdatum der Reportdatei: Sonntag, 17. März 2013 12:00 Es wird nach 5216976 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HAUSMANN-PC Versionsinformationen: BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00 AVSCAN.EXE : 12.3.0.48 468256 Bytes 15.11.2012 11:49:58 AVSCAN.DLL : 12.3.0.15 66256 Bytes 11.05.2012 20:25:17 LUKE.DLL : 12.3.0.15 68304 Bytes 11.05.2012 20:25:19 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 11.05.2012 20:25:19 AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 20:25:19 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:38:22 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:13:20 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 21:06:48 VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 04:51:43 VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 12:56:43 VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:21:10 VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:21:10 VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:21:10 VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:21:10 VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:21:10 VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 13:19:47 VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 13:19:47 VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 13:30:14 VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 14:48:11 VBASE017.VDF : 7.11.61.65 151040 Bytes 15.02.2013 14:48:20 VBASE018.VDF : 7.11.61.135 159232 Bytes 18.02.2013 13:25:40 VBASE019.VDF : 7.11.61.163 152064 Bytes 18.02.2013 16:19:16 VBASE020.VDF : 7.11.61.207 164352 Bytes 19.02.2013 16:19:16 VBASE021.VDF : 7.11.62.43 206336 Bytes 21.02.2013 19:56:08 VBASE022.VDF : 7.11.64.106 1510912 Bytes 11.03.2013 17:32:44 VBASE023.VDF : 7.11.64.157 137216 Bytes 12.03.2013 17:32:51 VBASE024.VDF : 7.11.64.233 159744 Bytes 14.03.2013 19:53:16 VBASE025.VDF : 7.11.65.19 143360 Bytes 15.03.2013 23:37:01 VBASE026.VDF : 7.11.65.20 2048 Bytes 15.03.2013 23:37:01 VBASE027.VDF : 7.11.65.21 2048 Bytes 15.03.2013 23:37:02 VBASE028.VDF : 7.11.65.22 2048 Bytes 15.03.2013 23:37:02 VBASE029.VDF : 7.11.65.23 2048 Bytes 15.03.2013 23:37:02 VBASE030.VDF : 7.11.65.24 2048 Bytes 15.03.2013 23:37:02 VBASE031.VDF : 7.11.65.60 143360 Bytes 17.03.2013 10:37:41 Engineversion : 8.2.12.16 AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 21:19:58 AESCRIPT.DLL : 8.1.4.98 475516 Bytes 14.03.2013 19:53:21 AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 18:17:06 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 17:11:26 AERDL.DLL : 8.2.0.88 643444 Bytes 11.01.2013 12:58:27 AEPACK.DLL : 8.3.2.2 827767 Bytes 14.03.2013 19:53:20 AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 17:04:53 AEHEUR.DLL : 8.1.4.248 5804409 Bytes 14.03.2013 19:53:19 AEHELP.DLL : 8.1.25.2 258423 Bytes 13.10.2012 14:54:32 AEGEN.DLL : 8.1.6.16 434549 Bytes 25.01.2013 13:40:02 AEEXP.DLL : 8.4.0.12 192886 Bytes 14.03.2013 19:53:21 AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 21:19:58 AECORE.DLL : 8.1.31.2 201080 Bytes 20.02.2013 16:19:17 AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 20:23:37 AVWINLL.DLL : 12.3.0.15 27344 Bytes 11.05.2012 20:25:17 AVPREF.DLL : 12.3.0.32 50720 Bytes 15.11.2012 11:49:58 AVREP.DLL : 12.3.0.15 179208 Bytes 11.05.2012 20:25:19 AVARKT.DLL : 12.3.0.33 209696 Bytes 15.11.2012 11:49:58 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 11.05.2012 20:25:17 SQLITE3.DLL : 3.7.0.1 398288 Bytes 11.05.2012 20:25:19 AVSMTP.DLL : 12.3.0.32 63480 Bytes 14.08.2012 19:03:27 NETNT.DLL : 12.3.0.15 17104 Bytes 11.05.2012 20:25:19 RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 14.08.2012 19:03:21 RCTEXT.DLL : 12.3.0.32 98848 Bytes 15.11.2012 11:49:57 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Festplatten Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\alldiscs.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Q:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Sonntag, 17. März 2013 12:00 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'Q:\' [INFO] Es wurde kein Virus gefunden! [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten C:\Users\Hausmann\AppData\Roaming\Nyuhi\aguro.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Vobfus.2867201 C:\Users\Hausmann\AppData\Roaming\winvn.exe [FUND] Ist das Trojanische Pferd TR/Rogue.kdz.10950 Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Iwyzapb> wurde erfolgreich entfernt. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_180.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_180.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KB00556860.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EgisUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMworker.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PMBVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BackupManagerTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PmmUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aguro.exe' - '1' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\Users\Hausmann\AppData\Roaming\Nyuhi\aguro.exe> [FUND] Enthält Erkennungsmuster des Wurmes WORM/Vobfus.2867201 [HINWEIS] Prozess 'aguro.exe' wurde beendet [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '574a8a13.qua' verschoben! [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Iwyzapb> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Iwyzapb> wurde erfolgreich repariert. Durchsuche Prozess 'SuiteTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taxaktuell.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CVHSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftlist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftvsa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IScheduleSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMutilps32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GREGsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dsiwmis.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winvn> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winvn> wurde erfolgreich repariert. Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Users\Hausmann\AppData\Roaming\winvn.exe [FUND] Ist das Trojanische Pferd TR/Rogue.kdz.10950 [WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet. [HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert. [HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winvn> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winvn> wurde erfolgreich repariert. C:\Users\Hausmann\AppData\Roaming\Nyuhi\aguro.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Vobfus.2867201 [HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [HINWEIS] Die Datei existiert nicht! Ende des Suchlaufs: Sonntag, 17. März 2013 21:15 Benötigte Zeit: 9:15:33 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 3060 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 3057 Dateien ohne Befall 6 Archive wurden durchsucht 1 Warnungen 3 Hinweise Avira Free Antivirus Erstellungsdatum der Reportdatei: Sonntag, 17. März 2013 12:00 Es wird nach 5216976 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HAUSMANN-PC Versionsinformationen: BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00 AVSCAN.EXE : 12.3.0.48 468256 Bytes 15.11.2012 11:49:58 AVSCAN.DLL : 12.3.0.15 66256 Bytes 11.05.2012 20:25:17 LUKE.DLL : 12.3.0.15 68304 Bytes 11.05.2012 20:25:19 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 11.05.2012 20:25:19 AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 20:25:19 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:38:22 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:13:20 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 21:06:48 VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 04:51:43 VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 12:56:43 VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:21:10 VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:21:10 VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:21:10 VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:21:10 VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:21:10 VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 13:19:47 VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 13:19:47 VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 13:30:14 VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 14:48:11 VBASE017.VDF : 7.11.61.65 151040 Bytes 15.02.2013 14:48:20 VBASE018.VDF : 7.11.61.135 159232 Bytes 18.02.2013 13:25:40 VBASE019.VDF : 7.11.61.163 152064 Bytes 18.02.2013 16:19:16 VBASE020.VDF : 7.11.61.207 164352 Bytes 19.02.2013 16:19:16 VBASE021.VDF : 7.11.62.43 206336 Bytes 21.02.2013 19:56:08 VBASE022.VDF : 7.11.64.106 1510912 Bytes 11.03.2013 17:32:44 VBASE023.VDF : 7.11.64.157 137216 Bytes 12.03.2013 17:32:51 VBASE024.VDF : 7.11.64.233 159744 Bytes 14.03.2013 19:53:16 VBASE025.VDF : 7.11.65.19 143360 Bytes 15.03.2013 23:37:01 VBASE026.VDF : 7.11.65.20 2048 Bytes 15.03.2013 23:37:01 VBASE027.VDF : 7.11.65.21 2048 Bytes 15.03.2013 23:37:02 VBASE028.VDF : 7.11.65.22 2048 Bytes 15.03.2013 23:37:02 VBASE029.VDF : 7.11.65.23 2048 Bytes 15.03.2013 23:37:02 VBASE030.VDF : 7.11.65.24 2048 Bytes 15.03.2013 23:37:02 VBASE031.VDF : 7.11.65.60 143360 Bytes 17.03.2013 10:37:41 Engineversion : 8.2.12.16 AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 21:19:58 AESCRIPT.DLL : 8.1.4.98 475516 Bytes 14.03.2013 19:53:21 AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 18:17:06 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 17:11:26 AERDL.DLL : 8.2.0.88 643444 Bytes 11.01.2013 12:58:27 AEPACK.DLL : 8.3.2.2 827767 Bytes 14.03.2013 19:53:20 AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 17:04:53 AEHEUR.DLL : 8.1.4.248 5804409 Bytes 14.03.2013 19:53:19 AEHELP.DLL : 8.1.25.2 258423 Bytes 13.10.2012 14:54:32 AEGEN.DLL : 8.1.6.16 434549 Bytes 25.01.2013 13:40:02 AEEXP.DLL : 8.4.0.12 192886 Bytes 14.03.2013 19:53:21 AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 21:19:58 AECORE.DLL : 8.1.31.2 201080 Bytes 20.02.2013 16:19:17 AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 20:23:37 AVWINLL.DLL : 12.3.0.15 27344 Bytes 11.05.2012 20:25:17 AVPREF.DLL : 12.3.0.32 50720 Bytes 15.11.2012 11:49:58 AVREP.DLL : 12.3.0.15 179208 Bytes 11.05.2012 20:25:19 AVARKT.DLL : 12.3.0.33 209696 Bytes 15.11.2012 11:49:58 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 11.05.2012 20:25:17 SQLITE3.DLL : 3.7.0.1 398288 Bytes 11.05.2012 20:25:19 AVSMTP.DLL : 12.3.0.32 63480 Bytes 14.08.2012 19:03:27 NETNT.DLL : 12.3.0.15 17104 Bytes 11.05.2012 20:25:19 RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 14.08.2012 19:03:21 RCTEXT.DLL : 12.3.0.32 98848 Bytes 15.11.2012 11:49:57 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Festplatten Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\alldiscs.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Q:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Sonntag, 17. März 2013 12:00 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'Q:\' [INFO] Es wurde kein Virus gefunden! [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten C:\Users\Hausmann\AppData\Roaming\Nyuhi\aguro.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Vobfus.2867201 C:\Users\Hausmann\AppData\Roaming\winvn.exe [FUND] Ist das Trojanische Pferd TR/Rogue.kdz.10950 Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Iwyzapb> wurde erfolgreich entfernt. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_180.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_180.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KB00556860.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EgisUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMworker.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PMBVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BackupManagerTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PmmUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aguro.exe' - '1' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\Users\Hausmann\AppData\Roaming\Nyuhi\aguro.exe> [FUND] Enthält Erkennungsmuster des Wurmes WORM/Vobfus.2867201 [HINWEIS] Prozess 'aguro.exe' wurde beendet [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '574a8a13.qua' verschoben! [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Iwyzapb> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Iwyzapb> wurde erfolgreich repariert. Durchsuche Prozess 'SuiteTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taxaktuell.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CVHSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftlist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftvsa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IScheduleSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMutilps32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GREGsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dsiwmis.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winvn> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winvn> wurde erfolgreich repariert. Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Users\Hausmann\AppData\Roaming\winvn.exe [FUND] Ist das Trojanische Pferd TR/Rogue.kdz.10950 [WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet. [HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert. [HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winvn> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winvn> wurde erfolgreich repariert. C:\Users\Hausmann\AppData\Roaming\Nyuhi\aguro.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Vobfus.2867201 [HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [HINWEIS] Die Datei existiert nicht! Ende des Suchlaufs: Sonntag, 17. März 2013 21:15 Benötigte Zeit: 9:15:33 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 3060 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 3057 Dateien ohne Befall 6 Archive wurden durchsucht 1 Warnungen 3 Hinweise Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Users\Hausmann\AppData\Roaming\winvn.exe [FUND] Ist das Trojanische Pferd TR/Rogue.kdz.10950 [WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet. [HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert. [HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winvn> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2511689039-4241253165-4184511225-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winvn> wurde erfolgreich repariert. C:\Users\Hausmann\AppData\Roaming\Nyuhi\aguro.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Vobfus.2867201 [HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [HINWEIS] Die Datei existiert nicht! |
Hallo und :hallo: Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
Note: Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread. Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards. Erstmal eine Kontrolle mit OTL bitte:
|
Habe jetzt OTL heruntergeladen und einen Scan, wie beschrieben, gestartet. Das läuft etwa 30sec ganz gut durch bis der Punkt "Scanning FireFox Settings" erreicht ist. Dann geht es nicht weiter und das Programm sagt irgendwann "Keine Rückmeldung" und hängt sich auf. Jetzt hat es wohl doch geklappt:OTL Logfile: Code: OTL logfile created on: 20.03.2013 10:58:35 - Run 1OTL EXTRAS Logfile: Code: OTL Extras logfile created on: 20.03.2013 10:58:35 - Run 1 |
Rootkitscan mit GMER Bitte lade dir  GMER herunter: (Dateiname zufällig)
 Tauchen Probleme auf?
Anschließend bitte MBAR ausführen: Malwarebytes Anti-Rootkit (MBAR) Downloade dir bitte  Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers |
Ich habe jetzt alles wie beschrieben ausgeführt. Hier das Log: Malwarebytes Anti-Rootkit BETA 1.01.0.1021 www.malwarebytes.org Database version: v2013.03.21.06 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Hausmann :: HAUSMANN-PC [administrator] 21.03.2013 11:18:17 mbar-log-2013-03-21 (11-18-17).txt Scan type: Quick scan Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P Scan options disabled: Objects scanned: 30259 Time elapsed: 12 minute(s), 24 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) (end) Ist damit der Trojaner erledigt? |
Nochmal: die Logs bitte in CODE-Tags posten! Zitat:
|
Wie ich schon sagte: Ich bin ein LAIE! Ich weiß nicht, was es bedeutet in "Code Tags" zu posten. Sind das die knallgelben Kästchen? Ich weiß nicht, wie das geht. Ich kopiere immer nur mit Strg+C den Text und füge ihn ein. GMER Logfile: Code: GMER 2.1.19155 - hxxp://www.gmer.net |
Hat MBAR wirklich nichts gefunden oder hast du jetzt nur ein Log ohne Funde gepostet? Lesestoff:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Code: Malwarebytes Anti-Rootkit BETA 1.01.0.1021 |
aswMBR Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). TDSS-Killer Downloade dir bitte  TDSSKiller.exe und speichere diese Datei auf dem Desktop
|
Ich habe jetzt drei Mal den aswMBR scan durchlaufen lassen. Nach etwa 3 Minuten kommt jedes Mal eine Meldung, dass das Programm nicht mehr funktioniert und beendet werden muss. Der Scan wird nicht fertiggestellt. Den TDSSKiller habe ich jetzt erst mal noch nicht heruntergeladen. |
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button. |
Code: aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST SoftwareCode: 22:02:32.0429 5216 TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42 |
Code: 22:03:46.0030 5188 wbengine - ok |
Dann bitte jetzt Combofix ausführen: Scan mit Combofix
|
Code: ComboFix 13-03-25.01 - Hausmann 26.03.2013 14:27:55.1.4 - x64 |
JRT - Junkware Removal Tool Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Im Anschluss: adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Danach eine Kontrolle mit OTL bitte:
|
Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Code: # AdwCleaner v2.115 - Datei am 26/03/2013 um 17:07:42 erstellt |
Probier OTL bitte im abgesicherten Modus mit Netzwerktreibern aus |
Keine Chance! Auch im abgesicherten Modus hängt es sich bei "Scanning FirefoxSettings" auf... |
Scan mit DDS (+ attach) Downloade dir bitte DDS (von sUBs) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. |
[CODE]. UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG. IF REQUESTED, ZIP IT UP & ATTACH IT .DDS Logfile: Code: DDS (Ver_2012-11-20.01)Code: DDS (Ver_2012-11-20.01) - NTFS_AMD64 |
Fixen mit OTL
Code: :Files
|
Code: All processes killed |
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
|
Malwarebytes sagt schonmal: No Malware found! Code: ESETSmartInstaller@High as downloader log:Code: Malwarebytes Anti-Rootkit BETA 1.01.0.1021 |
Sieht soweit ok aus Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Es scheint alles wieder ok zu sein. Ich möchte mich hiermit herzlich für die Hilfe bedanken. Ihr macht wirklich eine tolle Arbeit hier. Danke! |
Dann wären wir durch! :daumenhoc Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Combofix entfernen (nur relevant wenn es hier benutzt wurde!) : Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen Mit Hilfe von OTL kannst du auch viele andere Tools entfernen: Starte dazu einfach OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Start, Systemsteuerung, Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks findest du hier => Browsers and Plugins - FilePony.de Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board
Textbox. 