Hallo liebes Trojaner-board.de Team!
Lange Zeit habe ich mich hier nicht mehr blicken lassen müssen, doch leider hat es mich wieder erwischt. Genug gelabert! Hier mein Problem:
Ich habe vor kurzem eine Mail von meinem Internetanbieter bekommen (UPC) das mein PC teil eines Botnetzes ist und mit dem Bot: ZeuS infiziert ist.
Code:
Sehr geehrte Kundin!
Sehr geehrter Kunde!
UPC wurde von unterschiedlichen nationalen und regionalen Sicherheitsabteilungen (CERT) darüber informiert, dass Ihr System (mindestens einer der Computer, die Ihren Internetzugang benutzen) als Teil eines sogenannten "Botnets" (hxxp://de.wikipedia.org/wiki/Botnet) identifiziert wurde.
Dadurch sind nicht nur Ihre Daten in Gefahr von Dritten ausgeforscht zu werden, es ist Dritten dadurch auch möglich, über ihr System Straftaten zu begehen, deren Nachforschung die Executive auf Ihr System verweisen würde.
Wir bitten Sie umgehend Schritte zu unternehmen, die die Sicherheit Ihres Systems wiederherstellt.
Wir raten Ihnen, Ihr System mit Hilfe eines entsprechenden Analyse-Programms auf Trojaner und Viren zu untersuchen.
Infiziertes System hat die IP-Adresse: ***
Und ist mit dem Bot: ZeuS infiziert.
Für weitere Fragen wenden Sie sich bitte telefonisch an unser Abuse Team unter 01/960 60 360 oder per Mail an abuse@upc.at
Entfernungstipps erhalten Sie bei Ihrem IT/Security Spezialisten oder bei Google.at, einfach nach “ZeuS entfernen“ suchen.
Mit freundlichen Grüßen
Ihr UPC Austria Abuse-Team
Ich habe allerdings 3 PC's in diesem Netzwerk laufen und weiß leider nicht welcher Rechner infiziert ist.
Habe auf den Computern folgende Maßnahmen getroffen:
Computer 1: Code:
.
DDS (Ver_2011-08-26.01) - NTFSAMD64
Internet Explorer: 9.0.8112.16421
Run by Admin at 18:34:42 on 2012-03-05
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.43.1031.18.4094.2699 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k GPSvcGroup
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files (x86)\Sony Vegas\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Windows\system32\taskeng.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files (x86)\Panda USB Vaccine\USBVaccine.exe
C:\Windows\RAVCpl64.exe
C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM64.exe
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\vssvc.exe
C:\Windows\System32\svchost.exe -k swprv
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\SysWOW64\cscript.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.at/
uInternet Settings,ProxyOverride = *.local
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
BHO: Windows Live ID-Anmelde-Hilfsprogramm: {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
uRun: [HydraVisionDesktopManager] "C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe"
uRun: [AdobeBridge]
mRun: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
mRun: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
mRun: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
mPolicies-explorer: NoActiveDesktop = 1 (0x1)
mPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Client auf Monitor & öffnen1 - C:\Windows\web\AOpenClient.htm
IE: Client auf Monitor & öffnen2 - C:\Windows\web\AOpenClient.htm
IE: Free YouTube to Mp3 Converter - C:\Users\Admin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{B79C00DC-18C5-4104-A932-28CA66159318} : DhcpNameServer = 192.168.42.129
TCP: Interfaces\{CA90A5A7-43E2-4F64-98D8-D2667B7B6695} : DhcpNameServer = 192.168.2.1
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
LSA: Authentication Packages = msv1_0 relog_ap
{18DF081C-E8AD-4283-A596-FA578C2EBDC3}
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
{9030D464-4C02-4ABF-8ECC-5164760863C6}
{DBC80044-A445-435b-BC74-9C25C1C588A9}
mRun-x64: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
mRun-x64: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
mRun-x64: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
SEH-X64: {B5A7F190-DDA6-4420-B3BA-52453494E6CD}: Groove GFS Stub Execution Hook
.
============= SERVICES / DRIVERS ===============
.
R0 mv61xx;mv61xx;C:\Windows\system32\DRIVERS\mv61xx.sys --> C:\Windows\system32\DRIVERS\mv61xx.sys [?]
R1 avkmgr;avkmgr;C:\Windows\system32\DRIVERS\avkmgr.sys --> C:\Windows\system32\DRIVERS\avkmgr.sys [?]
R2 AdobeARMservice;Adobe Acrobat Update Service;C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-1-3 63928]
R2 AMD External Events Utility;AMD External Events Utility;C:\Windows\system32\atiesrxx.exe --> C:\Windows\system32\atiesrxx.exe [?]
R2 AntiVirSchedulerService;Avira Planer;C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2011-10-17 86224]
R2 AntiVirService;Avira Echtzeit Scanner;C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2011-10-17 110032]
R2 avgntflt;avgntflt;C:\Windows\system32\DRIVERS\avgntflt.sys --> C:\Windows\system32\DRIVERS\avgntflt.sys [?]
R2 FontCache;Windows-Dienst für Schriftartencache;C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2008-1-21 21504]
R3 amdkmdag;amdkmdag;C:\Windows\system32\DRIVERS\atikmdag.sys --> C:\Windows\system32\DRIVERS\atikmdag.sys [?]
R3 amdkmdap;amdkmdap;C:\Windows\system32\DRIVERS\atikmpag.sys --> C:\Windows\system32\DRIVERS\atikmpag.sys [?]
R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;C:\Windows\system32\drivers\AtihdLH6.sys --> C:\Windows\system32\drivers\AtihdLH6.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]
S2 gupdate;Google Update-Dienst (gupdate);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2011-10-9 136176]
S2 SkypeUpdate;Skype Updater;C:\Program Files (x86)\Skype\Updater\Updater.exe [2012-2-15 158856]
S2 trackcam;TrackerCam Video Capture Driver;C:\Windows\system32\DRIVERS\trackcam.sys --> C:\Windows\system32\DRIVERS\trackcam.sys [?]
S3 Bulk;HDJBulk;C:\Windows\system32\Drivers\HDJBulk.sys --> C:\Windows\system32\Drivers\HDJBulk.sys [?]
S3 gupdatem;Google Update-Dienst (gupdatem);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2011-10-9 136176]
S3 HDJMidi;Hercules DJ Control Steel MIDI;C:\Windows\system32\DRIVERS\HDJMidi.sys --> C:\Windows\system32\DRIVERS\HDJMidi.sys [?]
S3 HTCAND64;HTC Device Driver;C:\Windows\system32\Drivers\ANDROIDUSB.sys --> C:\Windows\system32\Drivers\ANDROIDUSB.sys [?]
S3 NPF;NetGroup Packet Filter Driver;C:\Windows\system32\drivers\npf.sys --> C:\Windows\system32\drivers\npf.sys [?]
S3 PerfHost;Leistungsindikator-DLL-Host;C:\Windows\SysWOW64\perfhost.exe [2008-1-21 19968]
S3 USBAAPL64;Apple Mobile USB Driver;C:\Windows\system32\Drivers\usbaapl64.sys --> C:\Windows\system32\Drivers\usbaapl64.sys [?]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;C:\Windows\system32\DRIVERS\VBoxNetAdp.sys --> C:\Windows\system32\DRIVERS\VBoxNetAdp.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-3-18 1020768]
S4 ABBYY.Licensing.FineReader.Corporate.10.0;ABBYY FineReader 10 CE Licensing Service;C:\Program Files (x86)\Common Files\ABBYY\FineReader\10.00\Licensing\CE\NetworkLicenseServer.exe [2009-12-19 814344]
S4 clr_optimization_v2.0.50727_64;Microsoft .NET Framework NGEN v2.0.50727_X64;C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe [2010-9-13 89920]
S4 SwitchBoard;SwitchBoard;C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-2-19 517096]
.
=============== File Associations ===============
.
JSEFile=C:\Windows\SysWOW64\WScript.exe "%1" %*
.
=============== Created Last 30 ================
.
2012-03-04 20:55:53 -------- d-----w- C:\Program Files (x86)\WinPcap
2012-03-04 20:50:10 14744 ----a-w- C:\Users\Admin\AppData\Roaming\Microsoft\IdentityCRL\production\ppcrlconfig.dll
2012-03-04 20:31:17 -------- d-----w- C:\Program Files (x86)\SuperFinder
2012-03-04 19:57:58 -------- d-----w- C:\Users\Admin\AppData\Local\Windows Live
2012-03-04 19:56:29 -------- d-----r- C:\Program Files (x86)\Skype
2012-03-04 19:55:39 -------- d-----w- C:\Program Files (x86)\DAEMON Tools Lite
2012-03-04 19:48:04 750488 ----a-w- C:\Windows\System32\npdeployJava1.dll
2012-03-04 19:48:04 660368 ----a-w- C:\Windows\System32\deployJava1.dll
2012-03-04 19:38:51 -------- d-----w- C:\Program Files (x86)\FileHippo.com
2012-03-04 18:38:38 -------- d-----w- C:\ProgramData\Panda Security
2012-03-04 18:38:29 -------- d-----w- C:\Program Files (x86)\Panda USB Vaccine
2012-02-24 09:20:33 -------- d-----w- C:\Users\Admin\.jenny
2012-02-24 09:17:25 472808 ----a-w- C:\Windows\SysWow64\deployJava1.dll
2012-02-15 08:53:26 680448 ----a-w- C:\Windows\SysWow64\msvcrt.dll
2012-02-15 08:53:26 621056 ----a-w- C:\Windows\System32\msvcrt.dll
2012-02-15 08:53:26 2765824 ----a-w- C:\Windows\System32\win32k.sys
2012-02-15 08:53:25 404992 ----a-w- C:\Windows\System32\drivers\afd.sys
2012-02-14 20:22:13 -------- d-----w- C:\Users\Admin\AppData\Local\Spotify
2012-02-14 20:22:03 -------- d-----w- C:\Users\Admin\AppData\Roaming\Spotify
2012-02-05 17:25:30 515968 ----a-w- C:\Windows\System32\drivers\ksecdd.sys
2012-02-05 17:25:30 347136 ----a-w- C:\Windows\System32\schannel.dll
2012-02-05 17:25:30 278528 ----a-w- C:\Windows\SysWow64\schannel.dll
2012-02-05 17:25:29 94720 ----a-w- C:\Windows\System32\secur32.dll
2012-02-05 17:25:29 77312 ----a-w- C:\Windows\SysWow64\secur32.dll
2012-02-05 17:25:29 442368 ----a-w- C:\Windows\System32\winhttp.dll
2012-02-05 17:25:29 377344 ----a-w- C:\Windows\SysWow64\winhttp.dll
2012-02-05 17:25:29 1689600 ----a-w- C:\Windows\System32\lsasrv.dll
2012-02-05 17:25:29 11264 ----a-w- C:\Windows\System32\lsass.exe
.
==================== Find3M ====================
.
2012-03-04 19:55:49 564792 ----a-w- C:\Windows\System32\drivers\sptd.sys
2012-03-04 19:55:27 414368 ----a-w- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
2011-12-14 07:11:03 2308096 ----a-w- C:\Windows\System32\jscript9.dll
2011-12-14 07:04:30 1390080 ----a-w- C:\Windows\System32\wininet.dll
2011-12-14 07:03:38 1493504 ----a-w- C:\Windows\System32\inetcpl.cpl
2011-12-14 06:57:28 2382848 ----a-w- C:\Windows\System32\mshtml.tlb
2011-12-14 03:04:54 1798656 ----a-w- C:\Windows\SysWow64\jscript9.dll
2011-12-14 02:57:18 1127424 ----a-w- C:\Windows\SysWow64\wininet.dll
2011-12-14 02:56:58 1427456 ----a-w- C:\Windows\SysWow64\inetcpl.cpl
2011-12-14 02:50:04 2382848 ----a-w- C:\Windows\SysWow64\mshtml.tlb
2011-12-10 14:24:08 23152 ----a-w- C:\Windows\System32\drivers\mbam.sys
.
============= FINISH: 18:34:56,87 ===============
Habe Avira AntiVir (Aggressive Einstellung) laufen lassen. Ohne Virusfund, allerdings wurden 15 versteckte Objekte gefunden.
Code:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 04. März 2012 21:16
Es wird nach 3517894 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista x64
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : VISTAPC
Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 16.02.2012 08:28:19
AVSCAN.DLL : 12.1.0.18 65744 Bytes 16.02.2012 08:28:19
LUKE.DLL : 12.1.0.19 68304 Bytes 16.02.2012 08:28:19
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 16.02.2012 08:28:20
AVREG.DLL : 12.1.0.29 228048 Bytes 16.02.2012 08:28:20
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 18:11:52
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 17:24:18
VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 17:24:18
VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 17:24:18
VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 17:24:19
VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 17:24:19
VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 17:24:19
VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 17:24:19
VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 17:24:19
VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 17:24:19
VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 17:24:19
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 17:24:46
VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 17:25:02
VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 19:18:03
VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 19:46:17
VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 20:44:47
VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 08:28:18
VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 17:24:51
VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 20:04:02
VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 08:27:40
VBASE022.VDF : 7.11.24.52 219648 Bytes 28.02.2012 19:23:08
VBASE023.VDF : 7.11.24.53 2048 Bytes 28.02.2012 19:23:08
VBASE024.VDF : 7.11.24.54 2048 Bytes 28.02.2012 19:23:08
VBASE025.VDF : 7.11.24.55 2048 Bytes 28.02.2012 19:23:08
VBASE026.VDF : 7.11.24.56 2048 Bytes 28.02.2012 19:23:08
VBASE027.VDF : 7.11.24.57 2048 Bytes 28.02.2012 19:23:08
VBASE028.VDF : 7.11.24.58 2048 Bytes 28.02.2012 19:23:08
VBASE029.VDF : 7.11.24.59 2048 Bytes 28.02.2012 19:23:08
VBASE030.VDF : 7.11.24.60 2048 Bytes 28.02.2012 19:23:08
VBASE031.VDF : 7.11.24.144 158720 Bytes 04.03.2012 17:17:35
Engineversion : 8.2.10.8
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 17:01:59
AESCRIPT.DLL : 8.1.4.7 442746 Bytes 24.02.2012 08:28:18
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 20:49:32
AESBX.DLL : 8.2.4.5 434549 Bytes 01.12.2011 20:29:00
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.3 799094 Bytes 10.02.2012 20:49:06
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 12:53:13
AEHEUR.DLL : 8.1.4.0 4436342 Bytes 24.02.2012 08:28:15
AEHELP.DLL : 8.1.19.0 254327 Bytes 20.01.2012 08:28:48
AEGEN.DLL : 8.1.5.21 409971 Bytes 05.02.2012 17:25:09
AEEXP.DLL : 8.1.0.23 70005 Bytes 24.02.2012 08:28:18
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.4 201079 Bytes 13.02.2012 20:44:49
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.23 209360 Bytes 16.02.2012 08:28:19
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Sonntag, 04. März 2012 21:16
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\14919ea49a8f3b4aa3cf1058d9a64cec
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Apple Computer, Inc.
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\ATI Technologies
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\LICENSES
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\AudioCompressionManager
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Direct3D
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\DownloadManager
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Microsoft Games
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Multimedia
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\RFC1156Agent
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows Messaging Subsystem
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Sony Media Software
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\UTXBEFAKFR
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'MobileMeServices.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '139' Modul(e) wurden durchsucht
Durchsuche Prozess 'SuperFinder.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'spotify.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFTray.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'HydraDM.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'USBVaccine.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFService.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1261' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <Windows&Programme>
Beginne mit der Suche in 'D:\' <Dateien>
Beginne mit der Suche in 'F:\' <Dateien>
Ende des Suchlaufs: Sonntag, 04. März 2012 23:43
Benötigte Zeit: 2:27:22 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
42778 Verzeichnisse wurden überprüft
958758 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
958758 Dateien ohne Befall
5494 Archive wurden durchsucht
0 Warnungen
15 Hinweise
940532 Objekte wurden beim Rootkitscan durchsucht
15 Versteckte Objekte wurden gefunden
Danach habe ich noch Malwarebytes Anti-Malware laufen lassen. Ebenfalls ohne Fund.
Code:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Datenbank Version: v2012.03.04.06
Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
Admin :: VISTAPC [Administrator]
04.03.2012 21:10:56
mbam-log-2012-03-04 (21-10-56).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 191310
Laufzeit: 4 Minute(n), 20 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
Computer 2: Code:
.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.7601.17514
Run by Christoph at 11:45:32 on 2012-03-06
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.43.1031.18.3253.2036 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\Explorer.EXE
C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\ThreatFire\TFService.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Program Files\Panda USB Vaccine\USBVaccine.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVBg.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\WButton.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ThreatFire\TFTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Launch Manager\WisLMSvc.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\System32\svchost.exe -k LocalServicePeerNet
C:\Windows\system32\DllHost.exe
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
C:\Windows\System32\svchost.exe -k secsvcs
C:\Program Files\Launch Manager\OSD.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://medion.msn.com
uDefault_Page_URL = hxxp://medion.msn.com
uInternet Settings,ProxyOverride = *.local
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Search Helper: {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - c:\program files\microsoft\search enhancement pack\search helper\SEPsearchhelperie.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll
BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre7\bin\jp2ssv.dll
TB: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun
uRun: [Google Update] "c:\users\christoph\appdata\local\google\update\GoogleUpdate.exe" /c
uRun: [FileHippo.com] "c:\program files\filehippo.com\UpdateChecker.exe" /background
mRun: [RtHDVCpl] c:\program files\realtek\audio\hda\RtHDVCpl.exe -s
mRun: [RtHDVBg] c:\program files\realtek\audio\hda\RtHDVBg.exe /FORPCEE3
mRun: [HotkeyApp] "c:\program files\launch manager\HotkeyApp.exe"
mRun: [Wbutton] "c:\program files\launch manager\Wbutton.exe"
mRun: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [ThreatFire] c:\program files\threatfire\TFTray.exe
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Free YouTube to MP3 Converter - c:\users\christoph\appdata\roaming\dvdvideosoftiehelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/5221-29898-17534-1/4
IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\program files\windows live\writer\WriterBrowserExtension.dll
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{37BDDBFF-6A5A-45CE-ADDB-EF8F4769D124} : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{5BB61BD8-FE4C-4D03-9CE1-4A3C91EDFF5D} : DhcpNameServer = 194.24.128.100 81.3.216.100
TCP: Interfaces\{91734A2F-C336-4BE9-8362-AA7479B0E354} : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{91734A2F-C336-4BE9-8362-AA7479B0E354}\05F63747E45647 : DhcpNameServer = 213.33.99.70 80.120.17.70
TCP: Interfaces\{91734A2F-C336-4BE9-8362-AA7479B0E354}\14253414449414F575946494F573 : DhcpNameServer = 8.8.8.8 195.175.39.40 195.175.39.39
TCP: Interfaces\{91734A2F-C336-4BE9-8362-AA7479B0E354}\14273616469616F575966496F553 : DhcpNameServer = 8.8.8.8 195.175.39.40 195.175.39.39
TCP: Interfaces\{91734A2F-C336-4BE9-8362-AA7479B0E354}\14273616469616F575966496F563 : DhcpNameServer = 8.8.8.8 195.175.39.40 195.175.39.39
TCP: Interfaces\{91734A2F-C336-4BE9-8362-AA7479B0E354}\4586F6D637F6E6432433648373 : DhcpNameServer = 10.0.0.138 10.0.0.138
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\program files\microsoft office\office12\GrooveSystemServices.dll
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - c:\program files\windows live\photo gallery\AlbumDownloadProtocolHandler.dll
Notify: igfxcui - igfxdev.dll
AppInit_DLLs: c:\windows\system32\nvinit.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll
.
============= SERVICES / DRIVERS ===============
.
R0 nvpciflt;nvpciflt;c:\windows\system32\drivers\nvpciflt.sys [2010-8-9 19656]
R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2010-1-14 51984]
R0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [2010-1-14 59664]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-10-21 36000]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-14 48128]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2012-1-3 63928]
R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2011-10-21 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\program files\avira\antivir desktop\avguard.exe [2011-10-21 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-1-2 74640]
R2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\intel\intel(r) rapid storage technology\IAStorDataMgrSvc.exe [2010-8-9 13336]
R2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files\nvidia corporation\nvidia updatus\daemonu.exe [2010-8-9 1620584]
R2 ThreatFire;ThreatFire;c:\program files\threatfire\tfservice.exe service --> c:\program files\threatfire\TFService.exe service [?]
R2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\intel\intel(r) management engine components\uns\UNS.exe [2010-8-9 2320920]
R3 Impcd;Impcd;c:\windows\system32\drivers\Impcd.sys [2010-8-9 132480]
R3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\drivers\IntcDAud.sys [2010-8-9 246272]
R3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\drivers\L1C62x86.sys [2010-8-4 67624]
R3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\drivers\nusb3hub.sys [2010-4-27 64904]
R3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\drivers\nusb3xhc.sys [2010-4-27 146568]
R3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\drivers\rtl8192se.sys [2010-8-9 1006624]
R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2010-1-14 33552]
R3 WisLMSvc;WisLMSvc;c:\program files\launch manager\WisLMSvc.exe [2010-8-9 118560]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [2010-8-13 13720]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 SkypeUpdate;Skype Updater;c:\program files\skype\updater\Updater.exe [2012-2-15 158856]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [2011-5-10 18432]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [2010-8-9 193056]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\drivers\Rt86win7.sys [2009-6-10 139776]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2011-4-20 52224]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\drivers\vwifimp.sys [2009-7-14 14336]
S3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\wat\WatAdminSvc.exe [2010-12-25 1343400]
.
=============== Created Last 30 ================
.
2012-03-06 10:20:43 6552120 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{0397890d-3a2e-4261-add5-25bcee11b717}\mpengine.dll
2012-03-04 20:16:05 -------- d-----w- c:\users\christoph\appdata\roaming\Malwarebytes
2012-03-04 20:15:36 -------- d-----w- c:\programdata\Malwarebytes
2012-03-04 20:15:35 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-04 20:15:35 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-03-04 20:04:57 -------- d-----w- c:\windows\en
2012-03-04 20:03:20 -------- d-----w- c:\windows\de
2012-03-04 20:01:24 18328 ----a-w- c:\programdata\microsoft\identitycrl\production\ppcrlconfig600.dll
2012-03-04 19:55:16 637848 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-03-04 19:45:45 -------- d-----w- c:\program files\FileHippo.com
2012-03-04 18:43:57 -------- d-----w- c:\programdata\Panda Security
2012-03-04 18:43:54 -------- d-----w- c:\program files\Panda USB Vaccine
2012-03-01 20:50:53 -------- d-----w- c:\programdata\PC Tools
2012-03-01 20:50:53 -------- d-----w- c:\program files\ThreatFire
.
==================== Find3M ====================
.
2012-03-04 20:11:24 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-04 19:55:15 231760 ----a-w- c:\windows\system32\drivers\truecrypt.sys
2012-03-04 19:55:02 567696 ----a-w- c:\windows\system32\deployJava1.dll
2012-02-23 08:18:36 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-01-30 17:18:46 952 --sha-w- c:\programdata\KGyGaAvL.sys
2012-01-14 03:35:54 2343424 ----a-w- c:\windows\system32\win32k.sys
2012-01-04 08:58:41 442880 ----a-w- c:\windows\system32\ntshrui.dll
2011-12-30 05:27:56 478720 ----a-w- c:\windows\system32\timedate.cpl
2011-12-16 07:54:22 981504 ----a-w- c:\windows\system32\wininet.dll
2011-12-16 07:52:58 690688 ----a-w- c:\windows\system32\msvcrt.dll
2011-12-16 06:09:17 1638912 ----a-w- c:\windows\system32\mshtml.tlb
.
============= FINISH: 11:46:50,16 ===============
Avira AntiVir (Aggressive Einstellung):
Code:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 02. März 2012 07:43
Es wird nach 3511707 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : CHRISTOPHLAPTOP
Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 10:30:16
AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 10:30:16
LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 10:30:16
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 10:30:17
AVREG.DLL : 12.1.0.29 228048 Bytes 15.02.2012 10:30:17
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 01:30:24
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 17:58:18
VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 17:58:18
VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 17:58:18
VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 17:58:18
VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 17:58:18
VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 17:58:18
VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 17:58:18
VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 17:58:18
VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 17:58:18
VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 17:58:18
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 17:58:30
VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 17:58:33
VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 11:15:22
VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 10:30:24
VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 14:13:26
VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 12:16:27
VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 10:58:11
VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 15:07:01
VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 15:07:01
VBASE022.VDF : 7.11.24.52 219648 Bytes 28.02.2012 10:32:15
VBASE023.VDF : 7.11.24.53 2048 Bytes 28.02.2012 10:32:18
VBASE024.VDF : 7.11.24.54 2048 Bytes 28.02.2012 10:32:18
VBASE025.VDF : 7.11.24.55 2048 Bytes 28.02.2012 10:32:18
VBASE026.VDF : 7.11.24.56 2048 Bytes 28.02.2012 10:32:18
VBASE027.VDF : 7.11.24.57 2048 Bytes 28.02.2012 10:32:18
VBASE028.VDF : 7.11.24.58 2048 Bytes 28.02.2012 10:32:18
VBASE029.VDF : 7.11.24.59 2048 Bytes 28.02.2012 10:32:18
VBASE030.VDF : 7.11.24.60 2048 Bytes 28.02.2012 10:32:18
VBASE031.VDF : 7.11.24.108 71168 Bytes 01.03.2012 20:47:08
Engineversion : 8.2.10.8
AEVDF.DLL : 8.1.2.2 106868 Bytes 26.10.2011 16:29:07
AESCRIPT.DLL : 8.1.4.7 442746 Bytes 26.02.2012 15:07:05
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 12:22:48
AESBX.DLL : 8.2.4.5 434549 Bytes 02.12.2011 10:41:49
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.3 799094 Bytes 10.02.2012 10:31:58
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 12:09:38
AEHEUR.DLL : 8.1.4.0 4436342 Bytes 26.02.2012 15:07:05
AEHELP.DLL : 8.1.19.0 254327 Bytes 20.01.2012 10:30:34
AEGEN.DLL : 8.1.5.21 409971 Bytes 05.02.2012 17:58:38
AEEXP.DLL : 8.1.0.23 70005 Bytes 26.02.2012 15:07:05
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.4 201079 Bytes 13.02.2012 14:13:29
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 10:30:16
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Freitag, 02. März 2012 07:43
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFGui.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'WisLMSvc.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFTray.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVBg.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'x10nets.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFService.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '154' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1293' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <Boot>
C:\Users\Christoph\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\4faae0cd-308fd0fd
--> Object
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.afklb
C:\Users\Christoph\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\56d39675-27216e4b
[0] Archivtyp: ZIP
--> Market.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544
Beginne mit der Suche in 'D:\' <Recover>
Beginne mit der Desinfektion:
C:\Users\Christoph\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\56d39675-27216e4b
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aa62428.qua' verschoben!
C:\Users\Christoph\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\4faae0cd-308fd0fd
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.afklb
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52340a7f.qua' verschoben!
Ende des Suchlaufs: Freitag, 02. März 2012 09:45
Benötigte Zeit: 2:01:29 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
29639 Verzeichnisse wurden überprüft
542017 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
542015 Dateien ohne Befall
3684 Archive wurden durchsucht
0 Warnungen
2 Hinweise
570372 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Malwarebytes Anti-Malware hat "Trojan.Spyeyes" gefunden, was ich gleich gelöscht habe. Ist der nun weg oder noch irgendwo verborgen?
Code:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Datenbank Version: v2012.03.04.06
Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Christoph :: CHRISTOPHLAPTOP [Administrator]
04.03.2012 21:16:56
mbam-log-2012-03-04 (21-16-56).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 370862
Laufzeit: 12 Stunde(n), 26 Minute(n), 30 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 1
C:\Recycle.Bin (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
Beim zweiten Durchgang hat er zumindest nichts mehr gefunden.
Code:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Datenbank Version: v2012.03.05.02
Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Christoph :: CHRISTOPHLAPTOP [Administrator]
05.03.2012 10:04:33
mbam-log-2012-03-05 (10-04-33).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 371401
Laufzeit: 1 Stunde(n), 36 Minute(n), 57 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
Ist das vielleicht der Infizierte Rechner?
Computer 3: Code:
.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 9.0.8112.16421
Run by Johann at 10:30:39 on 2012-03-06
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3037.1984 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\ThreatFire\TFService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
D:\Programme\itunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\ThreatFire\TFTray.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Users\Johann\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\conhost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\System32\svchost.exe -k LocalServicePeerNet
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uInternet Settings,ProxyOverride = *.local
uURLSearchHooks: Messenger Plus Live Toolbar: {9b339f6e-ddcd-401b-8764-230adbd01761} - c:\program files\messenger_plus_live\tbMess.dll
mURLSearchHooks: Messenger Plus Live Toolbar: {9b339f6e-ddcd-401b-8764-230adbd01761} - c:\program files\messenger_plus_live\tbMess.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - d:\programme\microsoft office\office12\GrooveShellExtensions.dll
BHO: Windows Live Anmelde-Hilfsprogramm: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Messenger Plus Live Toolbar: {9b339f6e-ddcd-401b-8764-230adbd01761} - c:\program files\messenger_plus_live\tbMess.dll
BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre7\bin\jp2ssv.dll
TB: Messenger Plus Live Toolbar: {9b339f6e-ddcd-401b-8764-230adbd01761} - c:\program files\messenger_plus_live\tbMess.dll
uRun: [AdobeBridge]
uRun: [Google Update] "c:\users\johann\appdata\local\google\update\GoogleUpdate.exe" /c
uRun: [FileHippo.com] "c:\program files\filehippo.com\UpdateChecker.exe" /background
mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
mRun: [ATICustomerCare] "c:\program files\ati\aticustomercare\ATICustomerCare.exe"
mRun: [SwitchBoard] c:\program files\common files\adobe\switchboard\SwitchBoard.exe
mRun: [GrooveMonitor] "d:\programme\microsoft office\office12\GrooveMonitor.exe"
mRun: [AdobeCS5.5ServiceManager] "c:\program files\common files\adobe\cs5.5servicemanager\CS5.5ServiceManager.exe" -launchedbylogin
mRun: [iTunesHelper] "d:\programme\itunes\iTunesHelper.exe"
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [Malwarebytes' Anti-Malware] "c:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray
mRun: [Malwarebytes' Anti-Malware (reboot)] "c:\program files\malwarebytes' anti-malware\mbam.exe" /runcleanupscript
mRun: [ThreatFire] c:\program files\threatfire\TFTray.exe
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: E&xport to Microsoft Excel - d:\progra~1\micros~1\office12\EXCEL.EXE/3000
IE: Free YouTube to Mp3 Converter - c:\users\johann\appdata\roaming\dvdvideosoftiehelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - d:\progra~1\micros~1\office12\EXCEL.EXE/3000
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - d:\progra~1\micros~1\office12\ONBttnIE.dll
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - d:\progra~1\micros~1\office12\REFIEBAR.DLL
DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} - hxxp://download.microsoft.com/download/C/B/F/CBF23A2C-3E55-4664-BC5C-762780D79BA0/OGAControl.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{337A69A0-C47E-4AD8-8C24-C372DA5BAA4A} : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{337A69A0-C47E-4AD8-8C24-C372DA5BAA4A}\4586F6D637F6E6432433648373 : DhcpNameServer = 10.0.0.138 10.0.0.138
TCP: Interfaces\{337A69A0-C47E-4AD8-8C24-C372DA5BAA4A}\4656661657C647 : DhcpNameServer = 212.186.211.21 192.168.0.1
TCP: Interfaces\{337A69A0-C47E-4AD8-8C24-C372DA5BAA4A}\742514E444023454E4452514C4 : DhcpNameServer = 217.237.150.51 217.237.148.22
TCP: Interfaces\{9E9F7271-5200-4C61-813C-FA9F8DFB69E6} : DhcpNameServer = 213.33.99.70 80.120.17.70
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - d:\programme\microsoft office\office12\GrooveSystemServices.dll
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - d:\programme\microsoft office\office12\GrooveShellExtensions.dll
.
============= SERVICES / DRIVERS ===============
.
R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2012-3-2 51984]
R0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [2012-3-2 69392]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-10-22 36000]
R1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\drivers\SABI.sys [2010-2-27 10752]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-14 48128]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2012-1-3 63928]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-9-1 172032]
R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2011-10-22 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\program files\avira\antivir desktop\avguard.exe [2011-10-22 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-10-22 74640]
R2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2012-3-5 652360]
R2 ThreatFire;ThreatFire;c:\program files\threatfire\tfservice.exe service --> c:\program files\threatfire\TFService.exe service [?]
R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW73.sys [2010-8-16 101904]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2010-10-25 20464]
R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2012-3-2 33552]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [2010-2-27 238464]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\drivers\vwifimp.sys [2009-7-14 14336]
R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\drivers\yk62x86.sys [2009-9-28 315392]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 Bulk;HDJBulk;c:\windows\system32\drivers\HDJBulk.sys [2010-10-30 135168]
S3 Creative ALchemy AL6 Licensing Service;Creative ALchemy AL6 Licensing Service;c:\program files\common files\creative labs shared\service\AL6Licensing.exe [2010-10-30 79360]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\common files\creative labs shared\service\CTAELicensing.exe [2010-10-30 79360]
S3 HDJMidi;Hercules DJ Control Steel MIDI;c:\windows\system32\drivers\HDJMidi.sys [2010-10-30 141312]
S3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\drivers\KMWDFILTER.sys [2009-4-29 17024]
S3 ksaud;Creative USB Audio Driver;c:\windows\system32\drivers\ksaud.sys [2008-7-30 490112]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2012-3-5 40776]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [2009-8-28 17408]
S3 SwitchBoard;SwitchBoard;c:\program files\common files\adobe\switchboard\SwitchBoard.exe [2010-2-19 517096]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2011-4-22 52224]
S3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\wat\WatAdminSvc.exe [2010-5-27 1343400]
.
=============== Created Last 30 ================
.
2012-03-06 09:00:27 6552120 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{34cc61f1-4a78-4fd0-929c-c9d7e22e71bc}\mpengine.dll
2012-03-05 18:03:47 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-03-05 08:42:55 159744 ----a-w- c:\program files\internet explorer\plugins\npqtplugin7.dll
2012-03-05 08:42:55 159744 ----a-w- c:\program files\internet explorer\plugins\npqtplugin6.dll
2012-03-05 08:42:55 159744 ----a-w- c:\program files\internet explorer\plugins\npqtplugin5.dll
2012-03-05 08:42:55 159744 ----a-w- c:\program files\internet explorer\plugins\npqtplugin4.dll
2012-03-05 08:42:55 159744 ----a-w- c:\program files\internet explorer\plugins\npqtplugin3.dll
2012-03-05 08:42:55 159744 ----a-w- c:\program files\internet explorer\plugins\npqtplugin2.dll
2012-03-05 08:42:55 159744 ----a-w- c:\program files\internet explorer\plugins\npqtplugin.dll
2012-03-05 08:40:40 637848 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-03-05 08:34:29 -------- d-----w- c:\program files\FileHippo.com
2012-03-05 08:34:08 -------- d-----w- c:\programdata\Panda Security
2012-03-05 08:34:04 -------- d-----w- c:\program files\Panda USB Vaccine
2012-03-02 15:49:29 69392 ----a-w- c:\windows\system32\drivers\TfSysMon.sys
2012-03-02 15:49:29 51984 ----a-w- c:\windows\system32\drivers\TfFsMon.sys
2012-03-02 15:49:29 33552 ----a-w- c:\windows\system32\drivers\TfNetMon.sys
2012-03-02 15:49:27 -------- d-----w- c:\programdata\PC Tools
2012-03-02 15:49:27 -------- d-----w- c:\program files\ThreatFire
2012-02-15 06:54:31 478720 ----a-w- c:\windows\system32\timedate.cpl
2012-02-15 06:54:23 690688 ----a-w- c:\windows\system32\msvcrt.dll
2012-02-15 06:54:18 442880 ----a-w- c:\windows\system32\ntshrui.dll
2012-02-15 06:54:15 2343424 ----a-w- c:\windows\system32\win32k.sys
.
==================== Find3M ====================
.
2012-03-05 08:40:09 567696 ----a-w- c:\windows\system32\deployJava1.dll
2012-02-23 08:18:36 237072 ------w- c:\windows\system32\MpSigStub.exe
2011-12-14 03:04:54 1798656 ----a-w- c:\windows\system32\jscript9.dll
2011-12-14 02:57:18 1127424 ----a-w- c:\windows\system32\wininet.dll
2011-12-14 02:56:58 1427456 ----a-w- c:\windows\system32\inetcpl.cpl
2011-12-14 02:50:04 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2011-12-10 14:24:06 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
.
============= FINISH: 10:35:07,60 ===============
Avira AntiVir (Aggressive Einstellung) hat folgendes ergeben:
Code:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 4. März 2012 18:04
Es wird nach 3517894 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SAMSUNG-LAPTOP
Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 16.02.2012 20:02:07
AVSCAN.DLL : 12.1.0.18 65744 Bytes 16.02.2012 20:02:03
LUKE.DLL : 12.1.0.19 68304 Bytes 16.02.2012 20:02:09
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 16.02.2012 20:02:17
AVREG.DLL : 12.1.0.29 228048 Bytes 16.02.2012 20:02:16
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 12:23:44
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 18:20:50
VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 18:20:50
VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 18:20:50
VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 18:20:50
VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 18:20:51
VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 18:20:51
VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 18:20:51
VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 18:20:52
VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 18:20:52
VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 18:20:52
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 18:21:42
VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 18:22:03
VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 19:00:10
VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 19:02:15
VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 20:00:52
VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 20:00:58
VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 20:00:43
VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 20:00:46
VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 20:01:21
VBASE022.VDF : 7.11.24.52 219648 Bytes 28.02.2012 20:00:45
VBASE023.VDF : 7.11.24.53 2048 Bytes 28.02.2012 20:00:46
VBASE024.VDF : 7.11.24.54 2048 Bytes 28.02.2012 20:00:46
VBASE025.VDF : 7.11.24.55 2048 Bytes 28.02.2012 20:00:47
VBASE026.VDF : 7.11.24.56 2048 Bytes 28.02.2012 20:00:47
VBASE027.VDF : 7.11.24.57 2048 Bytes 28.02.2012 20:00:47
VBASE028.VDF : 7.11.24.58 2048 Bytes 28.02.2012 20:00:47
VBASE029.VDF : 7.11.24.59 2048 Bytes 28.02.2012 20:00:48
VBASE030.VDF : 7.11.24.60 2048 Bytes 28.02.2012 20:00:48
VBASE031.VDF : 7.11.24.144 158720 Bytes 04.03.2012 17:03:31
Engineversion : 8.2.10.8
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 16:50:00
AESCRIPT.DLL : 8.1.4.7 442746 Bytes 23.02.2012 20:02:33
AESCN.DLL : 8.1.8.2 131444 Bytes 05.02.2012 18:23:45
AESBX.DLL : 8.2.4.5 434549 Bytes 04.12.2011 21:30:49
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.3 799094 Bytes 11.02.2012 19:03:34
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 02.01.2012 17:46:26
AEHEUR.DLL : 8.1.4.0 4436342 Bytes 23.02.2012 20:02:28
AEHELP.DLL : 8.1.19.0 254327 Bytes 19.01.2012 18:02:59
AEGEN.DLL : 8.1.5.21 409971 Bytes 05.02.2012 18:22:26
AEEXP.DLL : 8.1.0.23 70005 Bytes 23.02.2012 20:02:34
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.4 201079 Bytes 16.02.2012 20:01:04
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.23 209360 Bytes 16.02.2012 20:02:02
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Sonntag, 4. März 2012 18:04
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '164' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFTray.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFService.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '180' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '143' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '120' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1172' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'
Ende des Suchlaufs: Sonntag, 4. März 2012 20:13
Benötigte Zeit: 2:09:09 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
51512 Verzeichnisse wurden überprüft
1068405 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1068405 Dateien ohne Befall
6953 Archive wurden durchsucht
0 Warnungen
1 Hinweise
613815 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden
Malwarebytes Anti-Malware:
Code:
Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org
Datenbank Version: v2012.03.05.02
Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Johann :: SAMSUNG-LAPTOP [Administrator]
Schutz: Aktiviert
05.03.2012 13:58:53
mbam-log-2012-03-05 (13-58-53).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 548679
Laufzeit: 4 Stunde(n), 59 Minute(n), 22 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
Habe in letzter Zeit nichts auffälliges heruntergeladen. Allerdings habe ich einen USB Stick verborgt. Vielleicht hab ich mir da etwas eingefangen. (Habe meine USB-Sticks alle schon formatiert.)
Auffälliges Verhalten kann ich nur an Computer 1 feststellen, da ich nur auf diesem Arbeite. Hier und da friert dieser für 2-3 Sekunden ein. (Auch der Ton) Danach funktioniert alles wieder normal.
Die anderen Computer gehören meinen Brüdern. Die konnten aber nichts auffälliges auf ihren PC's feststellen.
Ich hoffe ich habe jetzt nicht unnötig zu viel gepostet und ihr könnt damit etwas anfangen, beziehungsweise mir helfen diesen Virus zu finden! Oder hilft hier nur Computer formatieren und neu aufsetzen?
Danke schon einmal an alle die sich die Mühe gemacht haben sich diesen Beitrag überhaupt durchzulesen. :)
