Trojaner-Board - Antivir schickt Viren (TR/ATRAPS.Gen2 + TR/Sirefef.W.16896) in Quarantäne

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Antivir schickt Viren (TR/ATRAPS.Gen2 + TR/Sirefef.W.16896) in Quarantäne (https://www.trojaner-board.de/125141-antivir-schickt-viren-tr-atraps-gen2-tr-sirefef-w-16896-quarantaene.html)

Antivir schickt Viren (TR/ATRAPS.Gen2 + TR/Sirefef.W.16896) in Quarantäne

Hallo,
Ich habe einen PC (64 Bit) mit Windows 7 Ultimate

Ich benutze Avira Antivirus Premium 2012. Den hatte ich wohl versehentlich ausgeschaltet.
Nun hat sich der PC vor ca. 14 Tagen einen/mehrere Virus eingefangen und die werde ich nicht los.
Habe schon versucht die Quarantäne zu löschen was auch geklappt hat, aber nun kommen dennoch diese Viren immer wieder neu in die Quarantäne.

Ich weiß nicht wie ich die löschen könnte.
Alle 4 Minuten erscheint eine Meldung über Quarantäneeingang jeweils von:
TR/ATRAPS.Gen2 und TR/Sirefef.abx und BDS/ZZeroAccess.Gen

alle drei aus Quelle: C:\$RECYCLE.BIN\S-1-5-18\e4e2387dd usw....

Könnt ihr mir da helfen?

Zitat:

alle drei aus Quelle: C:\$RECYCLE.BIN\S-1-5-18\e4e2387dd usw....

Die Logs von Avira bitte vollständig posten

Die Logs bitte nur in den Anhang (gezippt) legen, wenn sie zu groß sind um direkt gepostet zu werden!
Ansonsten bitte alles nach Möglichkeit hier in CODE-Tags posten. Das ist einfacher übersichtlicher und man spart sich ne Menge Rumklickerei

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Vielen Dank für die Antwort.
Ich muss leider einen neuen Antivir-Bericht erstellen, da ich diese nicht abgespeichert habe. Dieser ist in Arbeit aber dauert noch ein bisschen.

Ich bitte noch um bisschen Geduld, da dies andauert.

Sorry

Schön was bringt mir ein neuer Bericht? Ich wollte die schon bisher gefundenen Elemente sehen in allen Details

Hier mal der Bericht von Antivir

Code:

Avira Antivirus Premium 2012

Erstellungsdatum der Reportdatei: Donnerstag, 4. Oktober 2012  13:58
 

Es wird nach 4309462 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Günter Klier

Seriennummer   : 2219810229-PEPWE-0000001

Plattform      : Windows 7 Ultimate

Windowsversion : (Service Pack 1)  [6.1.7601]

Boot Modus     : Normal gebootet

Benutzername   : Guenter

Computername   : GUENTER-PC
 

Versionsinformationen:

BUILD.DAT      : 12.0.0.1185    42651 Bytes  18.07.2012 18:36:00

AVSCAN.EXE     : 12.3.0.33     468472 Bytes  08.08.2012 08:41:11

AVSCAN.DLL     : 12.3.0.15      66256 Bytes  14.05.2012 16:52:23

LUKE.DLL       : 12.3.0.15      68304 Bytes  14.05.2012 16:52:23

AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 06:56:17

AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 14:46:57

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34

VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39

VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 07:34:16

VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 14:41:33

VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 11:52:18

VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 13:43:00

VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 12:00:47

VBASE007.VDF   : 7.11.41.251     2048 Bytes  06.09.2012 12:00:47

VBASE008.VDF   : 7.11.41.252     2048 Bytes  06.09.2012 12:00:47

VBASE009.VDF   : 7.11.41.253     2048 Bytes  06.09.2012 12:00:47

VBASE010.VDF   : 7.11.41.254     2048 Bytes  06.09.2012 12:00:47

VBASE011.VDF   : 7.11.41.255     2048 Bytes  06.09.2012 12:00:47

VBASE012.VDF   : 7.11.42.0       2048 Bytes  06.09.2012 12:00:48

VBASE013.VDF   : 7.11.42.1       2048 Bytes  06.09.2012 12:00:48

VBASE014.VDF   : 7.11.42.65    203264 Bytes  09.09.2012 19:13:15

VBASE015.VDF   : 7.11.42.125   156672 Bytes  11.09.2012 19:13:16

VBASE016.VDF   : 7.11.42.171   187904 Bytes  12.09.2012 19:13:18

VBASE017.VDF   : 7.11.42.235   141312 Bytes  13.09.2012 19:13:18

VBASE018.VDF   : 7.11.43.35    133632 Bytes  15.09.2012 19:13:19

VBASE019.VDF   : 7.11.43.89    129024 Bytes  18.09.2012 19:13:19

VBASE020.VDF   : 7.11.43.141   130560 Bytes  19.09.2012 19:13:20

VBASE021.VDF   : 7.11.43.187   121856 Bytes  21.09.2012 05:11:48

VBASE022.VDF   : 7.11.43.251   147456 Bytes  24.09.2012 09:40:31

VBASE023.VDF   : 7.11.44.43    152064 Bytes  25.09.2012 16:55:04

VBASE024.VDF   : 7.11.44.103   165888 Bytes  27.09.2012 13:14:29

VBASE025.VDF   : 7.11.44.167   160256 Bytes  30.09.2012 10:43:20

VBASE026.VDF   : 7.11.44.223   199680 Bytes  02.10.2012 11:03:15

VBASE027.VDF   : 7.11.44.224     2048 Bytes  02.10.2012 11:03:15

VBASE028.VDF   : 7.11.44.225     2048 Bytes  02.10.2012 11:03:15

VBASE029.VDF   : 7.11.44.226     2048 Bytes  02.10.2012 11:03:15

VBASE030.VDF   : 7.11.44.227     2048 Bytes  02.10.2012 11:03:15

VBASE031.VDF   : 7.11.45.20    164864 Bytes  04.10.2012 10:53:18

Engineversion  : 8.2.10.178

AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 11:06:07

AESCRIPT.DLL   : 8.1.4.58      463226 Bytes  28.09.2012 11:02:49

AESCN.DLL      : 8.1.9.2       131444 Bytes  26.09.2012 13:08:40

AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 13:30:27

AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 21:16:06

AEPACK.DLL     : 8.3.0.38      811382 Bytes  28.09.2012 11:02:49

AEOFFICE.DLL   : 8.1.2.48      201082 Bytes  24.09.2012 16:59:13

AEHEUR.DLL     : 8.1.4.108    5329272 Bytes  28.09.2012 11:02:42

AEHELP.DLL     : 8.1.24.0      258423 Bytes  26.09.2012 13:08:40

AEGEN.DLL      : 8.1.5.38      434548 Bytes  26.09.2012 13:08:40

AEEXP.DLL      : 8.2.0.2       115060 Bytes  26.09.2012 13:08:41

AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 11:06:01

AECORE.DLL     : 8.1.28.2      201079 Bytes  26.09.2012 13:08:40

AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 21:46:01

AVWINLL.DLL    : 12.3.0.15      27344 Bytes  14.05.2012 16:52:23

AVPREF.DLL     : 12.3.0.15      51920 Bytes  14.05.2012 16:52:23

AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 06:56:17

AVARKT.DLL     : 12.3.0.15     211408 Bytes  14.05.2012 16:52:23

AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  14.05.2012 16:52:23

SQLITE3.DLL    : 3.7.0.1       398288 Bytes  14.05.2012 16:52:23

AVSMTP.DLL     : 12.3.0.32      63992 Bytes  08.08.2012 08:41:11

NETNT.DLL      : 12.3.0.15      17104 Bytes  14.05.2012 16:52:23

RCIMAGE.DLL    : 12.3.0.31    4491512 Bytes  08.08.2012 08:41:10

RCTEXT.DLL     : 12.3.0.31     100088 Bytes  08.08.2012 08:41:10
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp

Protokollierung.......................: standard

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, D:, F:, 

Durchsuche aktive Programme...........: ein

Laufende Programme erweitert..........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: erweitert
 

Beginn des Suchlaufs: Donnerstag, 4. Oktober 2012  13:58
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD2

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'D:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'F:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf nach versteckten Objekten wird begonnen.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '85' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '128' Modul(e) wurden durchsucht

Durchsuche Prozess 'FlashPlayerPlugin_11_4_402_265.exe' - '74' Modul(e) wurden durchsucht

  Modul ist OK -> <\\.\globalroot\systemroot\syswow64\mswsock.dll>

  [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Durchsuche Prozess 'FlashPlayerPlugin_11_4_402_265.exe' - '43' Modul(e) wurden durchsucht

Durchsuche Prozess 'plugin-container.exe' - '70' Modul(e) wurden durchsucht

Durchsuche Prozess 'firefox.exe' - '154' Modul(e) wurden durchsucht

  Modul ist OK -> <\\.\globalroot\systemroot\syswow64\mswsock.dll>

  [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Durchsuche Prozess 'AVWEBGRD.EXE' - '52' Modul(e) wurden durchsucht

  Modul ist OK -> <\\.\globalroot\systemroot\syswow64\mswsock.dll>

  [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Durchsuche Prozess 'avmailc.exe' - '35' Modul(e) wurden durchsucht

  Modul ist OK -> <\\.\globalroot\systemroot\syswow64\mswsock.dll>

  [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Durchsuche Prozess 'IAANTMon.exe' - '36' Modul(e) wurden durchsucht

Durchsuche Prozess 'COCIManager.exe' - '39' Modul(e) wurden durchsucht

Durchsuche Prozess 'RichVideo.exe' - '25' Modul(e) wurden durchsucht

Durchsuche Prozess 'DVMExportService.exe' - '23' Modul(e) wurden durchsucht

Durchsuche Prozess 'Brnipmon.exe' - '39' Modul(e) wurden durchsucht

Durchsuche Prozess 'LVPrS64H.exe' - '25' Modul(e) wurden durchsucht

Durchsuche Prozess 'SeaPort.EXE' - '50' Modul(e) wurden durchsucht

  Modul ist OK -> <\\.\globalroot\systemroot\syswow64\mswsock.dll>

  [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Durchsuche Prozess 'CameraHelperShell.exe' - '59' Modul(e) wurden durchsucht

Durchsuche Prozess 'AsSysCtrlService.exe' - '17' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '74' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht

Durchsuche Prozess 'GarminLifetime.exe' - '68' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '112' Modul(e) wurden durchsucht

Durchsuche Prozess 'Updater.exe' - '31' Modul(e) wurden durchsucht

Durchsuche Prozess 'ACDaemon.exe' - '42' Modul(e) wurden durchsucht

Durchsuche Prozess 'PDVD8Serv.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'brs.exe' - '22' Modul(e) wurden durchsucht

Durchsuche Prozess 'TurboV.exe' - '29' Modul(e) wurden durchsucht

Durchsuche Prozess 'smax4pnp.exe' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'LWS.exe' - '41' Modul(e) wurden durchsucht

Durchsuche Prozess 'soffice.bin' - '93' Modul(e) wurden durchsucht

Durchsuche Prozess 'soffice.exe' - '20' Modul(e) wurden durchsucht

Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht

Durchsuche Prozess 'ACService.exe' - '24' Modul(e) wurden durchsucht

Durchsuche Prozess 'GameXNGO.exe' - '85' Modul(e) wurden durchsucht

Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '72' Modul(e) wurden durchsucht

Durchsuche Prozess 'SoundMAX.exe' - '46' Modul(e) wurden durchsucht

Durchsuche Prozess 'IAAnotif.exe' - '39' Modul(e) wurden durchsucht

Durchsuche Prozess 'SixEngine.exe' - '39' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht

Durchsuche Prozess 'UMVPFSrv.exe' - '25' Modul(e) wurden durchsucht
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '1454' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\' <Windows>

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\n

  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/ZeroAccess.Gen

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\L\00000004.@

  [FUND]      Ist das Trojanische Pferd TR/ZAccess.H

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\U\00000004.@

  [FUND]      Ist das Trojanische Pferd TR/ZAccess.H

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\U\00000008.@

  [FUND]      Ist das Trojanische Pferd TR/Cutwail.jhg

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\U\000000cb.@

  [FUND]      Ist das Trojanische Pferd TR/Sirefef.abx

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\U\80000000.@

  [FUND]      Ist das Trojanische Pferd TR/Sirefef.W.16896

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\U\80000032.@

  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\U\80000064.@

  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2

C:\Users\Guenter\Downloads\avira_antivirus_premium_de.exe

  [WARNUNG]   Die Datei ist kennwortgeschützt

C:\Windows\king-uninstall.exe

  [WARNUNG]   Unerwartetes Dateiende erreicht

C:\Windows\assembly\GAC_32\Desktop.ini

  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2

C:\Windows\assembly\GAC_64\Desktop.ini

  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2

C:\Windows\SoftwareDistribution\Download\f0b713fbbbfb1584d395d045d646e092\BIT8ED8.tmp

  [0] Archivtyp: CAB SFX (self extracting)

  --> silverlight.7z

      [WARNUNG]   Die Datei konnte nicht gelesen werden!

  [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

C:\Windows.old\Windows\king-uninstall.exe

  [WARNUNG]   Unerwartetes Dateiende erreicht

Beginne mit der Suche in 'D:\' <Daten>

Beginne mit der Suche in 'F:\' <Elements>

F:\GUENTER-PC\Backup Set 2011-09-24 181142\Backup Files 2011-10-17 140000\Backup files 1.zip

  [WARNUNG]   Die Datei ist kennwortgeschützt

F:\GUENTER-PC\Backup Set 2011-09-24 181142\Backup Files 2011-10-24 160731\Backup files 2.zip

  [WARNUNG]   Die Datei ist kennwortgeschützt

F:\GUENTER-PC\Backup Set 2012-02-27 162817\Backup Files 2012-03-26 140000\Backup files 4.zip

  [WARNUNG]   Die Datei ist kennwortgeschützt

F:\GUENTER-PC\Backup Set 2012-04-09 140000\Backup Files 2012-04-09 140000\Backup files 38.zip

  [WARNUNG]   Die Datei ist kennwortgeschützt

F:\GUENTER-PC\Backup Set 2012-05-21 140000\Backup Files 2012-05-21 140000\Backup files 16.zip

  [WARNUNG]   Die Datei ist kennwortgeschützt

F:\GUENTER-PC\Backup Set 2012-07-02 140001\Backup Files 2012-07-02 140001\Backup files 17.zip

  [WARNUNG]   Die Datei ist kennwortgeschützt

F:\GUENTER-PC\Backup Set 2012-07-16 222619\Backup Files 2012-07-20 190238\Backup files 17.zip

  [WARNUNG]   Die Datei ist kennwortgeschützt

F:\GUENTER-PC\Backup Set 2012-08-27 191725\Backup Files 2012-08-27 191725\Backup files 18.zip

  [WARNUNG]   Die Datei ist kennwortgeschützt

F:\GUENTER-PC\Backup Set 2012-09-19 212208\Backup Files 2012-09-19 212208\Backup files 18.zip

  [WARNUNG]   Die Datei ist kennwortgeschützt
 

Beginne mit der Desinfektion:

C:\Windows\assembly\GAC_64\Desktop.ini

  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2

  [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!

  [WARNUNG]   Die Datei konnte nicht gelöscht werden!

  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.

  [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.

  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.

C:\Windows\assembly\GAC_32\Desktop.ini

  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2

  [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!

  [WARNUNG]   Die Datei konnte nicht gelöscht werden!

  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.

  [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.

  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\U\80000064.@

  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1d427828.qua' verschoben!

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\U\80000032.@

  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7b7537ea.qua' verschoben!

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\U\80000000.@

  [FUND]      Ist das Trojanische Pferd TR/Sirefef.W.16896

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3ef11ad4.qua' verschoben!

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\U\000000cb.@

  [FUND]      Ist das Trojanische Pferd TR/Sirefef.abx

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '41ea28b5.qua' verschoben!

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\U\00000008.@

  [FUND]      Ist das Trojanische Pferd TR/Cutwail.jhg

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0d5204ff.qua' verschoben!

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\U\00000004.@

  [FUND]      Ist das Trojanische Pferd TR/ZAccess.H

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '714a44af.qua' verschoben!

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\L\00000004.@

  [FUND]      Ist das Trojanische Pferd TR/ZAccess.H

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5c1063be.qua' verschoben!

C:\$RECYCLE.BIN\S-1-5-18\$e4e2387dd36a5164784242aceb67fb54\n

  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/ZeroAccess.Gen

  [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!

  [WARNUNG]   Die Datei konnte nicht gelöscht werden!

  [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.

  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.

Danke schon mal im Voraus

Typische ZeroAccess-Infektion ;)

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Jo werd ich mal versuchen. Bin aber erst wieder Samstag im PC.

Hoffentlich klappts.

Hallo nochmal

hier der mbam-log vom 06.10.12

Code:

 Datenbank Version: v2012.10.06.01
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Guenter :: GUENTER-PC [Administrator]
 

Schutz: Aktiviert
 

06.10.2012 10:08:46

mbam-log-2012-10-06 (10-08-46).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 509353

Laufzeit: 1 Stunde(n), 52 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Anschließend habe ich den ESET-Online Scanner gestartet.

Dieser hat "nichts gefunden" ????

keinen Bericht bekommen und konnte da auch nix einfügen.

Hab ich was falsch gemacht????

Danke nochmals

Wie lange lief ESET?

Hallo,

ESET lief ca 2 Stunden

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Suche.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Hier die suche von AdwCleaner - Dauer 5 Sekunden

Code:

 # Aktualisiert am 06/10/2012 von Xplode

# Betriebssystem : Windows 7 Ultimate Service Pack 1 (64 bits)

# Benutzer : Guenter - GUENTER-PC

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\Guenter\Downloads\adwcleaner.exe

# Option [Suche]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Datei Gefunden : C:\Users\Guenter\Desktop\eBay.lnk

Datei Gefunden : C:\Users\Public\Desktop\eBay.lnk

Ordner Gefunden : C:\Program Files (x86)\Ask.com

Ordner Gefunden : C:\Users\Guenter\AppData\Local\AskToolbar

Ordner Gefunden : C:\Users\Guenter\AppData\LocalLow\AskToolbar

Ordner Gefunden : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gefunden : HKCU\Software\APN

Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\AskToolbar

Schlüssel Gefunden : HKCU\Software\AskToolbar

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

Schlüssel Gefunden : HKLM\Software\APN

Schlüssel Gefunden : HKLM\Software\AskToolbar

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

Schlüssel Gefunden : HKU\S-1-5-21-2938077552-1955730345-1814954369-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

Wert Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

Wert Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16421
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v15.0 (de)
 

Profilname : default 

Datei : C:\Users\Guenter\AppData\Roaming\Mozilla\Firefox\Profiles\1p2bzv6p.default\prefs.js
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [4392 octets] - [07/10/2012 20:03:23]
 

########## EOF - C:\AdwCleaner[R1].txt - [4452 octets] ##########

ja das geht schnell ;)

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

hier der Bericht von AdwCleaner

Code:

 # AdwCleaner v2.004 - Datei am 07/10/2012 um 21:44:58 erstellt

# Aktualisiert am 06/10/2012 von Xplode

# Betriebssystem : Windows 7 Ultimate Service Pack 1 (64 bits)

# Benutzer : Guenter - GUENTER-PC

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\Guenter\Downloads\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 

günni
 
 

***** [Dateien / Ordner] *****
 

Datei Gelöscht : C:\Users\Guenter\Desktop\eBay.lnk

Datei Gelöscht : C:\Users\Public\Desktop\eBay.lnk

Ordner Gelöscht : C:\Program Files (x86)\Ask.com

Ordner Gelöscht : C:\Users\Guenter\AppData\Local\AskToolbar

Ordner Gelöscht : C:\Users\Guenter\AppData\LocalLow\AskToolbar

Ordner Gelöscht : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\APN

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\AskToolbar

Schlüssel Gelöscht : HKCU\Software\AskToolbar

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

Schlüssel Gelöscht : HKLM\Software\APN

Schlüssel Gelöscht : HKLM\Software\AskToolbar

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

Wert Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16421
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v15.0 (de)
 

Profilname : default 

Datei : C:\Users\Guenter\AppData\Roaming\Mozilla\Firefox\Profiles\1p2bzv6p.default\prefs.js
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [4509 octets] - [07/10/2012 20:03:23]

AdwCleaner[S1].txt - [4292 octets] - [07/10/2012 21:44:58]
 

########## EOF - C:\AdwCleaner[S1].txt - [4352 octets] ##########

Hätte da mal zwei Fragen bevor es weiter geht (wir sind noch nicht fertig!)

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?