TR/Mevade.A.95
 

Hallo, ich habe seit heute Mittag eine Nachricht von Avira bekommen die so aussieht

"C:\Windows\SysWOW64\config\systemprofile\...\wins.exe"
Und das unerwünschte Programm nennt sich "TR/Mevade.A.95"

Ich habe dann natürlich auch gleich den Scan durchgeführt und es vorerst unter Quarantäne gestellt. Der Scan zeigt dass der Rechner 4 unerwünschte Programme besitzt. Das ist der Logfile :


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 10. September 2013 02:22


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : WIN7-PC

Versionsinformationen:
BUILD.DAT : 13.0.0.4052 55009 Bytes 29.08.2013 17:56:00
AVSCAN.EXE : 13.6.20.2100 639032 Bytes 10.09.2013 00:13:22
AVSCANRC.DLL : 13.6.20.2174 63032 Bytes 10.09.2013 00:13:22
LUKE.DLL : 13.6.20.2174 65080 Bytes 10.09.2013 00:13:34
AVSCPLR.DLL : 13.6.20.2174 92216 Bytes 10.09.2013 00:13:22
AVREG.DLL : 13.6.20.2174 250424 Bytes 10.09.2013 00:13:21
avlode.dll : 13.6.20.2174 497720 Bytes 10.09.2013 00:13:20
avlode.rdf : 13.0.1.42 26846 Bytes 10.09.2013 00:13:52
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 14:02:19
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 13:05:48
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 10:52:50
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 21:02:55
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 20:25:08
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 19:21:18
VBASE006.VDF : 7.11.98.187 2048 Bytes 29.08.2013 19:21:18
VBASE007.VDF : 7.11.98.188 2048 Bytes 29.08.2013 19:21:19
VBASE008.VDF : 7.11.98.189 2048 Bytes 29.08.2013 19:21:19
VBASE009.VDF : 7.11.98.190 2048 Bytes 29.08.2013 19:21:19
VBASE010.VDF : 7.11.98.191 2048 Bytes 29.08.2013 19:21:19
VBASE011.VDF : 7.11.98.192 2048 Bytes 29.08.2013 19:21:19
VBASE012.VDF : 7.11.98.193 2048 Bytes 29.08.2013 19:21:19
VBASE013.VDF : 7.11.99.52 270848 Bytes 30.08.2013 19:42:43
VBASE014.VDF : 7.11.99.167 210944 Bytes 02.09.2013 20:58:03
VBASE015.VDF : 7.11.100.3 265216 Bytes 03.09.2013 20:58:05
VBASE016.VDF : 7.11.100.95 220160 Bytes 04.09.2013 20:58:16
VBASE017.VDF : 7.11.100.197 143872 Bytes 05.09.2013 22:27:25
VBASE018.VDF : 7.11.101.11 227840 Bytes 06.09.2013 20:38:45
VBASE019.VDF : 7.11.101.79 148480 Bytes 07.09.2013 20:38:45
VBASE020.VDF : 7.11.101.80 2048 Bytes 07.09.2013 20:38:45
VBASE021.VDF : 7.11.101.81 2048 Bytes 07.09.2013 20:38:45
VBASE022.VDF : 7.11.101.82 2048 Bytes 07.09.2013 20:38:45
VBASE023.VDF : 7.11.101.83 2048 Bytes 07.09.2013 20:38:45
VBASE024.VDF : 7.11.101.84 2048 Bytes 07.09.2013 20:38:45
VBASE025.VDF : 7.11.101.85 2048 Bytes 07.09.2013 20:38:45
VBASE026.VDF : 7.11.101.86 2048 Bytes 07.09.2013 20:38:45
VBASE027.VDF : 7.11.101.87 2048 Bytes 07.09.2013 20:38:45
VBASE028.VDF : 7.11.101.88 2048 Bytes 07.09.2013 20:38:45
VBASE029.VDF : 7.11.101.89 2048 Bytes 07.09.2013 20:38:45
VBASE030.VDF : 7.11.101.90 2048 Bytes 07.09.2013 20:38:45
VBASE031.VDF : 7.11.101.160 324608 Bytes 09.09.2013 00:13:11
Engineversion : 8.2.12.118
AEVDF.DLL : 8.1.3.4 102774 Bytes 14.06.2013 20:44:23
AESCRIPT.DLL : 8.1.4.148 516478 Bytes 07.09.2013 20:38:48
AESCN.DLL : 8.1.10.4 131446 Bytes 26.03.2013 20:48:37
AESBX.DLL : 8.2.16.26 1245560 Bytes 23.08.2013 17:23:47
AERDL.DLL : 8.2.0.128 688504 Bytes 14.06.2013 20:44:22
AEPACK.DLL : 8.3.2.24 749945 Bytes 20.06.2013 21:02:59
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 08.08.2013 12:47:30
AEHEUR.DLL : 8.1.4.608 6148474 Bytes 07.09.2013 20:38:48
AEHELP.DLL : 8.1.27.6 266617 Bytes 27.08.2013 19:21:09
AEGEN.DLL : 8.1.7.14 446839 Bytes 07.09.2013 20:38:45
AEEXP.DLL : 8.4.1.60 323959 Bytes 07.09.2013 20:38:48
AEEMU.DLL : 8.1.3.2 393587 Bytes 08.09.2012 15:40:22
AECORE.DLL : 8.1.32.0 201081 Bytes 23.08.2013 17:23:44
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 19:34:45
AVWINLL.DLL : 13.6.20.2174 23608 Bytes 10.09.2013 00:13:08
AVPREF.DLL : 13.6.20.2174 48184 Bytes 10.09.2013 00:13:21
AVREP.DLL : 13.6.20.2174 175672 Bytes 10.09.2013 00:13:22
AVARKT.DLL : 13.6.20.2174 258104 Bytes 10.09.2013 00:13:17
AVEVTLOG.DLL : 13.6.20.2174 165432 Bytes 10.09.2013 00:13:18
SQLITE3.DLL : 3.7.0.1 394824 Bytes 10.09.2013 00:13:43
AVSMTP.DLL : 13.6.20.2174 60472 Bytes 10.09.2013 00:13:23
NETNT.DLL : 13.6.20.2174 13368 Bytes 10.09.2013 00:13:37
RCIMAGE.DLL : 13.6.20.2174 4786744 Bytes 10.09.2013 00:13:09
RCTEXT.DLL : 13.6.20.2174 68152 Bytes 10.09.2013 00:13:09

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Schnelle Systemprüfung
Konfigurationsdatei...................: c:\program files (x86)\avira\antivir desktop\quicksysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 10. September 2013 02:22

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\Start> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdobeFlashPlayerUpdateSvc> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AdobeFlashPlayerUpdateSvc> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AdobeFlashPlayerUpdateSvc> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Internet Name Service> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Internet Name Service> wurde erfolgreich entfernt.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '151' Modul(e) wurden durchsucht
Durchsuche Prozess 'UMVPFSrv.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTAudSvc.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '168' Modul(e) wurden durchsucht
Durchsuche Prozess 'NetworkLicenseServer.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerUpdateService.exe' - '30' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe>
[FUND] Ist das Trojanische Pferd TR/Fakeadb.A
[HINWEIS] Prozess 'FlashPlayerUpdateService.exe' wurde beendet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '548bca97.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdobeFlashPlayerUpdateSvc\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AdobeFlashPlayerUpdateSvc\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AdobeFlashPlayerUpdateSvc\ImagePath> wurde erfolgreich repariert.
Durchsuche Prozess 'Fuel.Service.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avp.exe' - '158' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pando.exe' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'Vid.exe' - '124' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpotifyWebHelper.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'BBSvc.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_IATIHAE.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S50STB.EXE' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_IATIHAE.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S50RPB.EXE' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'ESSVR.EXE' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'FABS.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'CodeMeterCC.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ctxfihlp.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'MFWAKeys.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'wins.exe' - '62' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe>
[FUND] Ist das Trojanische Pferd TR/Mevade.A.95
[HINWEIS] Prozess 'wins.exe' wurde beendet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c0fe4ce.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Internet Name Service\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Internet Name Service\ImagePath> wurde erfolgreich repariert.
Durchsuche Prozess 'avp.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'VolPanlu.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'EEventManager.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'CodeMeter.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTXFISPI.EXE' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'setup.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'schtasks.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '247' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avconfig.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'werfault.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'tor.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe
[FUND] Ist das Trojanische Pferd TR/Mevade.A.95
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
[FUND] Ist das Trojanische Pferd TR/Fakeadb.A
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!


Ende des Suchlaufs: Dienstag, 10. September 2013 02:24
Benötigte Zeit: 02:06 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
7818 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
7814 Dateien ohne Befall
123 Archive wurden durchsucht
0 Warnungen
4 Hinweise

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)