Avira hat "TR/Rogue.KD.853855.1", TR/SPY.Bebloh.P, TR/Agent.12697, TR/PSW.Zbot.347 -> was ist zu tun?
 

Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?

Weierhin wurde folgendes gefunden:

TR/SPY.Bebloh.P


TR/Agent.126976.7


TR/PSW.Zbot.347

Hi,

Natürlich!
Arbeite bitte diese Anleitung ab und poste zusätzlich noch die kompletten Avira-Logs mit den Funden.

edit....

Hoffe, dass ist das Richtige.



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 11. Februar 2013 18:12


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : TINI-PC

Versionsinformationen:
BUILD.DAT : 13.0.0.2890 48567 Bytes 05.12.2012 17:11:00
AVSCAN.EXE : 13.6.0.402 639264 Bytes 11.12.2012 16:29:46
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 11.12.2012 16:29:46
LUKE.DLL : 13.6.0.400 67360 Bytes 11.12.2012 16:30:42
AVSCPLR.DLL : 13.6.0.628 94432 Bytes 06.02.2013 19:25:12
AVREG.DLL : 13.6.0.600 250592 Bytes 06.02.2013 19:25:07
avlode.dll : 13.6.2.624 434912 Bytes 06.02.2013 19:25:19
avlode.rdf : 13.0.0.36 10917 Bytes 29.01.2013 16:44:10
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 14:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 14:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 14:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 14:42:40
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 17:15:46
VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:49:34
VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:49:56
VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:49:56
VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:49:56
VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:49:56
VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 15:28:51
VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 12:35:32
VBASE015.VDF : 7.11.60.116 2048 Bytes 09.02.2013 12:35:32
VBASE016.VDF : 7.11.60.117 2048 Bytes 09.02.2013 12:35:32
VBASE017.VDF : 7.11.60.118 2048 Bytes 09.02.2013 12:35:32
VBASE018.VDF : 7.11.60.119 2048 Bytes 09.02.2013 12:35:33
VBASE019.VDF : 7.11.60.120 2048 Bytes 09.02.2013 12:35:33
VBASE020.VDF : 7.11.60.121 2048 Bytes 09.02.2013 12:35:34
VBASE021.VDF : 7.11.60.122 2048 Bytes 09.02.2013 12:35:34
VBASE022.VDF : 7.11.60.123 2048 Bytes 09.02.2013 12:35:35
VBASE023.VDF : 7.11.60.124 2048 Bytes 09.02.2013 12:35:35
VBASE024.VDF : 7.11.60.125 2048 Bytes 09.02.2013 12:35:35
VBASE025.VDF : 7.11.60.126 2048 Bytes 09.02.2013 12:35:35
VBASE026.VDF : 7.11.60.127 2048 Bytes 09.02.2013 12:35:35
VBASE027.VDF : 7.11.60.128 2048 Bytes 09.02.2013 12:35:35
VBASE028.VDF : 7.11.60.129 2048 Bytes 09.02.2013 12:35:35
VBASE029.VDF : 7.11.60.130 2048 Bytes 09.02.2013 12:35:36
VBASE030.VDF : 7.11.60.131 2048 Bytes 09.02.2013 12:35:36
VBASE031.VDF : 7.11.60.154 54272 Bytes 10.02.2013 18:35:42
Engineversion : 8.2.10.250
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 14:42:55
AESCRIPT.DLL : 8.1.4.88 471417 Bytes 07.02.2013 17:51:28
AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 19:58:08
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 16:58:06
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 17:19:33
AEPACK.DLL : 8.3.1.2 819574 Bytes 20.12.2012 16:22:26
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 17.11.2012 20:12:13
AEHEUR.DLL : 8.1.4.198 5751159 Bytes 07.02.2013 17:51:24
AEHELP.DLL : 8.1.25.2 258423 Bytes 17.11.2012 20:12:09
AEGEN.DLL : 8.1.6.16 434549 Bytes 24.01.2013 19:10:43
AEEXP.DLL : 8.3.0.24 188787 Bytes 10.02.2013 12:35:38
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 14:42:55
AECORE.DLL : 8.1.30.0 201079 Bytes 13.12.2012 19:58:03
AEBB.DLL : 8.1.1.4 53619 Bytes 17.11.2012 20:12:08
AVWINLL.DLL : 13.4.0.163 25888 Bytes 19.09.2012 18:09:30
AVPREF.DLL : 13.4.0.360 50464 Bytes 11.12.2012 16:29:44
AVREP.DLL : 13.6.0.480 178544 Bytes 06.02.2013 19:25:10
AVARKT.DLL : 13.6.0.402 260384 Bytes 11.12.2012 16:29:32
AVEVTLOG.DLL : 13.6.0.400 167200 Bytes 11.12.2012 16:29:40
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 18:17:40
AVSMTP.DLL : 13.4.0.163 62240 Bytes 19.09.2012 18:08:54
NETNT.DLL : 13.4.0.360 15648 Bytes 11.12.2012 16:30:42
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 11.12.2012 16:29:28
RCTEXT.DLL : 13.4.0.360 68384 Bytes 11.12.2012 16:29:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_51192608\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Montag, 11. Februar 2013 18:12

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'DllHost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'rpcnet.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'AEADISRV.EXE' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'DDMService.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '165' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hpservice.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '165' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Tini\Wysqfyinfrc\mutfhmmbt.exe'
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2658419014-2068291611-2284410925-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2658419014-2068291611-2284410925-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vbylmmbt> wurde erfolgreich entfernt.
C:\Users\Tini\Wysqfyinfrc\mutfhmmbt.exe
[FUND] Ist das Trojanische Pferd TR/Rogue.KD.853855.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '562ab4a1.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2658419014-2068291611-2284410925-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vbylmmbt> wurde erfolgreich repariert.


Ende des Suchlaufs: Montag, 11. Februar 2013 18:12
Benötigte Zeit: 00:24 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
596 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
595 Dateien ohne Befall
1 Archive wurden durchsucht
0 Warnungen
1 Hinweise





Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 15. Februar 2013 17:38


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : TINI-PC

Versionsinformationen:
BUILD.DAT : 13.0.0.3185 47702 Bytes 30.01.2013 10:05:00
AVSCAN.EXE : 13.6.0.584 640224 Bytes 12.02.2013 18:14:30
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 11.12.2012 16:29:46
LUKE.DLL : 13.6.0.602 67808 Bytes 12.02.2013 18:19:00
AVSCPLR.DLL : 13.6.0.628 94432 Bytes 06.02.2013 19:25:12
AVREG.DLL : 13.6.0.600 250592 Bytes 06.02.2013 19:25:07
avlode.dll : 13.6.2.624 434912 Bytes 06.02.2013 19:25:19
avlode.rdf : 13.0.0.38 15231 Bytes 14.02.2013 19:12:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 14:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 14:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 14:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 14:42:40
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 17:15:46
VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:49:34
VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:49:56
VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:49:56
VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:49:56
VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:49:56
VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 15:28:51
VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 12:35:32
VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 17:16:02
VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 19:12:17
VBASE017.VDF : 7.11.60.250 2048 Bytes 13.02.2013 19:12:17
VBASE018.VDF : 7.11.60.251 2048 Bytes 13.02.2013 19:12:17
VBASE019.VDF : 7.11.60.252 2048 Bytes 13.02.2013 19:12:17
VBASE020.VDF : 7.11.60.253 2048 Bytes 13.02.2013 19:12:18
VBASE021.VDF : 7.11.60.254 2048 Bytes 13.02.2013 19:12:18
VBASE022.VDF : 7.11.60.255 2048 Bytes 13.02.2013 19:12:18
VBASE023.VDF : 7.11.61.0 2048 Bytes 13.02.2013 19:12:18
VBASE024.VDF : 7.11.61.1 2048 Bytes 13.02.2013 19:12:18
VBASE025.VDF : 7.11.61.2 2048 Bytes 13.02.2013 19:12:18
VBASE026.VDF : 7.11.61.3 2048 Bytes 13.02.2013 19:12:18
VBASE027.VDF : 7.11.61.4 2048 Bytes 13.02.2013 19:12:19
VBASE028.VDF : 7.11.61.5 2048 Bytes 13.02.2013 19:12:19
VBASE029.VDF : 7.11.61.6 2048 Bytes 13.02.2013 19:12:19
VBASE030.VDF : 7.11.61.7 2048 Bytes 13.02.2013 19:12:19
VBASE031.VDF : 7.11.61.42 110592 Bytes 14.02.2013 19:12:22
Engineversion : 8.2.10.250
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 14:42:55
AESCRIPT.DLL : 8.1.4.88 471417 Bytes 07.02.2013 17:51:28
AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 19:58:08
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 16:58:06
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 17:19:33
AEPACK.DLL : 8.3.1.2 819574 Bytes 20.12.2012 16:22:26
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 17.11.2012 20:12:13
AEHEUR.DLL : 8.1.4.198 5751159 Bytes 07.02.2013 17:51:24
AEHELP.DLL : 8.1.25.2 258423 Bytes 17.11.2012 20:12:09
AEGEN.DLL : 8.1.6.16 434549 Bytes 24.01.2013 19:10:43
AEEXP.DLL : 8.3.0.24 188787 Bytes 10.02.2013 12:35:38
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 14:42:55
AECORE.DLL : 8.1.30.0 201079 Bytes 13.12.2012 19:58:03
AEBB.DLL : 8.1.1.4 53619 Bytes 17.11.2012 20:12:08
AVWINLL.DLL : 13.6.0.480 26480 Bytes 12.02.2013 18:13:19
AVPREF.DLL : 13.6.0.480 51056 Bytes 12.02.2013 18:14:08
AVREP.DLL : 13.6.0.480 178544 Bytes 06.02.2013 19:25:10
AVARKT.DLL : 13.6.0.624 260832 Bytes 12.02.2013 18:13:26
AVEVTLOG.DLL : 13.6.0.600 167648 Bytes 12.02.2013 18:13:57
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 18:17:40
AVSMTP.DLL : 13.6.0.480 62832 Bytes 12.02.2013 18:14:34
NETNT.DLL : 13.6.0.480 16240 Bytes 12.02.2013 18:19:03
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 11.12.2012 16:29:28
RCTEXT.DLL : 13.6.0.480 68976 Bytes 12.02.2013 18:13:19

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_511e6424\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Freitag, 15. Februar 2013 17:38

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'wmpnetwk.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'DDMService.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '166' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'rpcnet.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'AEADISRV.EXE' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hpservice.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '154' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Tini\AppData\Roaming\Tyim\ufes.exe'
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2658419014-2068291611-2284410925-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2658419014-2068291611-2284410925-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Nuyftuo> wurde erfolgreich entfernt.
C:\Users\Tini\AppData\Roaming\Tyim\ufes.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.347
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '59e8f650.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2658419014-2068291611-2284410925-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Nuyftuo> wurde erfolgreich repariert.


Ende des Suchlaufs: Freitag, 15. Februar 2013 17:39
Benötigte Zeit: 00:47 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
629 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
628 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise






Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 15. Februar 2013 17:39


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : TINI-PC

Versionsinformationen:
BUILD.DAT : 13.0.0.3185 47702 Bytes 30.01.2013 10:05:00
AVSCAN.EXE : 13.6.0.584 640224 Bytes 12.02.2013 18:14:30
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 11.12.2012 16:29:46
LUKE.DLL : 13.6.0.602 67808 Bytes 12.02.2013 18:19:00
AVSCPLR.DLL : 13.6.0.628 94432 Bytes 06.02.2013 19:25:12
AVREG.DLL : 13.6.0.600 250592 Bytes 06.02.2013 19:25:07
avlode.dll : 13.6.2.624 434912 Bytes 06.02.2013 19:25:19
avlode.rdf : 13.0.0.38 15231 Bytes 14.02.2013 19:12:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 14:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 14:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 14:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 14:42:40
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 17:15:46
VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:49:34
VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:49:56
VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:49:56
VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:49:56
VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:49:56
VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 15:28:51
VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 12:35:32
VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 17:16:02
VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 19:12:17
VBASE017.VDF : 7.11.60.250 2048 Bytes 13.02.2013 19:12:17
VBASE018.VDF : 7.11.60.251 2048 Bytes 13.02.2013 19:12:17
VBASE019.VDF : 7.11.60.252 2048 Bytes 13.02.2013 19:12:17
VBASE020.VDF : 7.11.60.253 2048 Bytes 13.02.2013 19:12:18
VBASE021.VDF : 7.11.60.254 2048 Bytes 13.02.2013 19:12:18
VBASE022.VDF : 7.11.60.255 2048 Bytes 13.02.2013 19:12:18
VBASE023.VDF : 7.11.61.0 2048 Bytes 13.02.2013 19:12:18
VBASE024.VDF : 7.11.61.1 2048 Bytes 13.02.2013 19:12:18
VBASE025.VDF : 7.11.61.2 2048 Bytes 13.02.2013 19:12:18
VBASE026.VDF : 7.11.61.3 2048 Bytes 13.02.2013 19:12:18
VBASE027.VDF : 7.11.61.4 2048 Bytes 13.02.2013 19:12:19
VBASE028.VDF : 7.11.61.5 2048 Bytes 13.02.2013 19:12:19
VBASE029.VDF : 7.11.61.6 2048 Bytes 13.02.2013 19:12:19
VBASE030.VDF : 7.11.61.7 2048 Bytes 13.02.2013 19:12:19
VBASE031.VDF : 7.11.61.42 110592 Bytes 14.02.2013 19:12:22
Engineversion : 8.2.10.250
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 14:42:55
AESCRIPT.DLL : 8.1.4.88 471417 Bytes 07.02.2013 17:51:28
AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 19:58:08
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 16:58:06
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 17:19:33
AEPACK.DLL : 8.3.1.2 819574 Bytes 20.12.2012 16:22:26
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 17.11.2012 20:12:13
AEHEUR.DLL : 8.1.4.198 5751159 Bytes 07.02.2013 17:51:24
AEHELP.DLL : 8.1.25.2 258423 Bytes 17.11.2012 20:12:09
AEGEN.DLL : 8.1.6.16 434549 Bytes 24.01.2013 19:10:43
AEEXP.DLL : 8.3.0.24 188787 Bytes 10.02.2013 12:35:38
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 14:42:55
AECORE.DLL : 8.1.30.0 201079 Bytes 13.12.2012 19:58:03
AEBB.DLL : 8.1.1.4 53619 Bytes 17.11.2012 20:12:08
AVWINLL.DLL : 13.6.0.480 26480 Bytes 12.02.2013 18:13:19
AVPREF.DLL : 13.6.0.480 51056 Bytes 12.02.2013 18:14:08
AVREP.DLL : 13.6.0.480 178544 Bytes 06.02.2013 19:25:10
AVARKT.DLL : 13.6.0.624 260832 Bytes 12.02.2013 18:13:26
AVEVTLOG.DLL : 13.6.0.600 167648 Bytes 12.02.2013 18:13:57
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 18:17:40
AVSMTP.DLL : 13.6.0.480 62832 Bytes 12.02.2013 18:14:34
NETNT.DLL : 13.6.0.480 16240 Bytes 12.02.2013 18:19:03
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 11.12.2012 16:29:28
RCTEXT.DLL : 13.6.0.480 68976 Bytes 12.02.2013 18:13:19

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_511e6424\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Freitag, 15. Februar 2013 17:39

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'mscorsvw.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'DDMService.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '165' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'rpcnet.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'AEADISRV.EXE' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hpservice.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '154' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Tini\AppData\Roaming\KB00903677.exe'
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2658419014-2068291611-2284410925-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2658419014-2068291611-2284410925-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KB00903677.exe> wurde erfolgreich entfernt.
C:\Users\Tini\AppData\Roaming\KB00903677.exe
[FUND] Ist das Trojanische Pferd TR/Agent.126976.7
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '583df0e1.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2658419014-2068291611-2284410925-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KB00903677.exe> wurde erfolgreich repariert.
Beginne mit der Suche in 'C:\Users\Tini\AppData\Roaming\montuser.exe'
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2658419014-2068291611-2284410925-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2658419014-2068291611-2284410925-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\montuser> wurde erfolgreich repariert.
C:\Users\Tini\AppData\Roaming\montuser.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.P
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4068df0b.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2658419014-2068291611-2284410925-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\montuser> wurde erfolgreich repariert.


Ende des Suchlaufs: Freitag, 15. Februar 2013 17:40
Benötigte Zeit: 00:34 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
653 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
651 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
2 Hinweise

Der Anleitung folge ich gerade ...

Hier der Bericht aus Malewarebytes ... soll ich Schritt 2 und 3 der Anleitung auch folgen?




Malwarebytes Anti-Malware 1.70.0.1100
Malwarebytes : Free anti-malware download

Datenbank Version: v2013.02.15.07

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Tini :: TINI-PC [Administrator]

15.02.2013 18:49:40
mbam-log-2013-02-15 (18-49-40).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 203945
Laufzeit: 17 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Tini\AppData\Roaming\Aqfaep\yvog.exe (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Ja, bitte mach noch die Scans mit OTL und Gmer wie beschrieben und poste die Logfiles.

OTL Logfile:
--- --- ---


UND NOCHMALOTL EXTRAS Logfile:
--- --- ---

UND NOCHMAL
OTL EXTRAS Logfile:
--- --- ---

GMER Logfile:
--- --- ---

***und jetzt???? wie gehts weiter??

***pkt. 3 der anleitung verstehe ich nich **

Hallo und :hallo:

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.




Ok, legen wir los.





Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link.

• WICHTIG: Speichere Combofix auf deinen Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
• Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 3

Starte bitte die OTL.exe.

• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von AdwCleaner
• Log von Combofix
• Log von OTL

AdwCleaner Logfile:
--- --- ---


ComboFix 13-02-15.01 - Tini 15.02.2013 20:53:56.1.1 - x86
Microsoft Windows 7 Professional 6.1.7601.1.1252.49.1031.18.1789.896 [GMT 1:00]
ausgeführt von:: C:\Users\Tini\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}


(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))


C:\Users\Tini\AppData\Roaming\Eroml
C:\Users\Tini\AppData\Roaming\Eroml\loiw.kak
C:\Users\Tini\AppData\Roaming\Local
C:\Users\Tini\AppData\Roaming\Local\Temp\DDM\Settings\0.ddi
C:\Users\Tini\AppData\Roaming\Local\Temp\DDM\Settings\1.ddi
C:\Users\Tini\AppData\Roaming\Local\Temp\DDM\Settings\FILE0D15002C6EA0A.ddr
C:\Users\Tini\AppData\Roaming\Local\Temp\DDM\Settings\FILE4CDAE2C6ED73C.ddr
C:\Users\Tini\AppData\Roaming\Local\Temp\DDM\Settings\settings.ddi
C:\Users\Tini\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\FILE0D15002C6EA0A.ddp
C:\Users\Tini\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\FILE4CDAE2C6ED73C.ddp
C:\Users\Tini\AppData\Roaming\wineewin.exe


((((((((((((((((((((((( Dateien erstellt von 2013-01-15 bis 2013-02-15 ))))))))))))))))))))))))))))))


2013-02-15 20:03:13 . 2013-02-15 20:06:33 -------- d-----w- C:\Users\Tini\AppData\Local\temp
2013-02-15 20:03:13 . 2013-02-15 20:03:13 -------- d-----w- C:\Users\Default\AppData\Local\temp
2013-02-15 17:48:35 . 2013-02-15 17:48:35 -------- d-----w- C:\Users\Tini\AppData\Roaming\Malwarebytes
2013-02-15 17:40:23 . 2013-02-15 17:40:23 -------- d-----w- C:\ProgramData\Malwarebytes
2013-02-15 17:40:20 . 2013-02-15 17:40:28 -------- d-----w- C:\Program Files\Malwarebytes' Anti-Malware
2013-02-15 17:40:20 . 2012-12-14 15:49:28 21104 ----a-w- C:\Windows\system32\drivers\mbam.sys
2013-02-15 17:38:35 . 2013-02-15 17:38:35 -------- d-----w- C:\Users\Tini\AppData\Local\Programs
2013-02-15 16:59:39 . 2013-01-08 04:57:31 6991832 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{8A4FFAF9-EFD3-42E0-A971-F87B0885AFB6}\mpengine.dll
2013-02-14 19:32:44 . 2013-01-04 03:00:29 2347008 ----a-w- C:\Windows\system32\win32k.sys
2013-02-14 19:29:49 . 2013-01-05 05:00:15 3967848 ----a-w- C:\Windows\system32\ntkrnlpa.exe
2013-02-14 19:29:48 . 2013-01-05 05:00:11 3913064 ----a-w- C:\Windows\system32\ntoskrnl.exe
2013-02-14 19:29:38 . 2013-01-03 05:05:20 1293672 ----a-w- C:\Windows\system32\drivers\tcpip.sys
2013-02-14 19:29:37 . 2013-01-03 05:04:43 187752 ----a-w- C:\Windows\system32\drivers\FWPKCLNT.SYS
2013-02-14 19:29:32 . 2012-12-26 04:49:44 760320 ----a-w- C:\Program Files\Common Files\Microsoft Shared\VGX\VGX.dll
2013-02-14 19:29:26 . 2013-01-04 04:50:52 169984 ----a-w- C:\Windows\system32\winsrv.dll
2013-02-11 17:52:32 . 2013-02-14 19:06:28 -------- d--h--w- C:\Users\Tini\AppData\Roaming\BBC6FC21
2013-02-11 17:32:12 . 2013-02-15 17:55:41 -------- d-----w- C:\Users\Tini\AppData\Roaming\Aqfaep
2013-02-11 17:32:12 . 2013-02-11 18:07:50 -------- d-----w- C:\Users\Tini\AppData\Roaming\Egdo
2013-02-09 13:52:19 . 2013-02-15 16:39:37 -------- d-----w- C:\Users\Tini\AppData\Roaming\Tyim
2013-02-09 13:52:19 . 2013-02-14 20:26:31 -------- d-----w- C:\Users\Tini\AppData\Roaming\Ofri
2013-02-09 13:52:19 . 2013-02-09 13:52:19 -------- d-----w- C:\Users\Tini\AppData\Roaming\Qydad
.


(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))

OTL Logfile:
--- --- ---

Das Log-File von Combofix ist unvollständig.
Poste es bitte noch einmal, du findest es unter C:\Combofix.txt.

ComboFix 13-02-15.01 - Tini 15.02.2013 20:53:56.1.1 - x86
Microsoft Windows 7 Professional 6.1.7601.1.1252.49.1031.18.1789.896 [GMT 1:00]
ausgeführt von:: C:\Users\Tini\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}


(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))


C:\Users\Tini\AppData\Roaming\Eroml
C:\Users\Tini\AppData\Roaming\Eroml\loiw.kak
C:\Users\Tini\AppData\Roaming\Local
C:\Users\Tini\AppData\Roaming\Local\Temp\DDM\Settings\0.ddi
C:\Users\Tini\AppData\Roaming\Local\Temp\DDM\Settings\1.ddi
C:\Users\Tini\AppData\Roaming\Local\Temp\DDM\Settings\FILE0D15002C6EA0A.ddr
C:\Users\Tini\AppData\Roaming\Local\Temp\DDM\Settings\FILE4CDAE2C6ED73C.ddr
C:\Users\Tini\AppData\Roaming\Local\Temp\DDM\Settings\settings.ddi
C:\Users\Tini\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\FILE0D15002C6EA0A.ddp
C:\Users\Tini\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\FILE4CDAE2C6ED73C.ddp
C:\Users\Tini\AppData\Roaming\wineewin.exe


((((((((((((((((((((((( Dateien erstellt von 2013-01-15 bis 2013-02-15 ))))))))))))))))))))))))))))))


2013-02-15 20:03:13 . 2013-02-15 20:06:33 -------- d-----w- C:\Users\Tini\AppData\Local\temp
2013-02-15 20:03:13 . 2013-02-15 20:03:13 -------- d-----w- C:\Users\Default\AppData\Local\temp
2013-02-15 17:48:35 . 2013-02-15 17:48:35 -------- d-----w- C:\Users\Tini\AppData\Roaming\Malwarebytes
2013-02-15 17:40:23 . 2013-02-15 17:40:23 -------- d-----w- C:\ProgramData\Malwarebytes
2013-02-15 17:40:20 . 2013-02-15 17:40:28 -------- d-----w- C:\Program Files\Malwarebytes' Anti-Malware
2013-02-15 17:40:20 . 2012-12-14 15:49:28 21104 ----a-w- C:\Windows\system32\drivers\mbam.sys
2013-02-15 17:38:35 . 2013-02-15 17:38:35 -------- d-----w- C:\Users\Tini\AppData\Local\Programs
2013-02-15 16:59:39 . 2013-01-08 04:57:31 6991832 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{8A4FFAF9-EFD3-42E0-A971-F87B0885AFB6}\mpengine.dll
2013-02-14 19:32:44 . 2013-01-04 03:00:29 2347008 ----a-w- C:\Windows\system32\win32k.sys
2013-02-14 19:29:49 . 2013-01-05 05:00:15 3967848 ----a-w- C:\Windows\system32\ntkrnlpa.exe
2013-02-14 19:29:48 . 2013-01-05 05:00:11 3913064 ----a-w- C:\Windows\system32\ntoskrnl.exe
2013-02-14 19:29:38 . 2013-01-03 05:05:20 1293672 ----a-w- C:\Windows\system32\drivers\tcpip.sys
2013-02-14 19:29:37 . 2013-01-03 05:04:43 187752 ----a-w- C:\Windows\system32\drivers\FWPKCLNT.SYS
2013-02-14 19:29:32 . 2012-12-26 04:49:44 760320 ----a-w- C:\Program Files\Common Files\Microsoft Shared\VGX\VGX.dll
2013-02-14 19:29:26 . 2013-01-04 04:50:52 169984 ----a-w- C:\Windows\system32\winsrv.dll
2013-02-11 17:52:32 . 2013-02-14 19:06:28 -------- d--h--w- C:\Users\Tini\AppData\Roaming\BBC6FC21
2013-02-11 17:32:12 . 2013-02-15 17:55:41 -------- d-----w- C:\Users\Tini\AppData\Roaming\Aqfaep
2013-02-11 17:32:12 . 2013-02-11 18:07:50 -------- d-----w- C:\Users\Tini\AppData\Roaming\Egdo
2013-02-09 13:52:19 . 2013-02-15 16:39:37 -------- d-----w- C:\Users\Tini\AppData\Roaming\Tyim
2013-02-09 13:52:19 . 2013-02-14 20:26:31 -------- d-----w- C:\Users\Tini\AppData\Roaming\Ofri
2013-02-09 13:52:19 . 2013-02-09 13:52:19 -------- d-----w- C:\Users\Tini\AppData\Roaming\Qydad
.


(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))

Da fehlt wieder der grösste Teil.
Ist Combofix denn bis zum Schluss durchgelaufen oder ist es mittendrin abgestürzt?

Lade bitte mal die Datei C:\Combofix.txt als Anhang hier hoch. (Anleitung zum Anhängen von Dateien)

???

gehts jetzt????
zwischendurch ist nix abgestürzt

soll ich nochmal durchlaufen lassen?

Ja, lösche bitte die combofix.exe, lade sie neu herunter und lass es nochmals gemäss der Anleitung durchlaufen.

Combofix Logfile:
--- --- ---


soooooooo ... endlich die neue version

Jep, die ist jetzt vollständig. :daumenhoc

Weiter geht's:


Schritt 1

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

• Öffne das Programm Malwarebytes Anti-Malware.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke auf Aktualisierung --> Suche nach Aktualisierung.
• Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
• Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

• Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
• Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
  (Danach nicht vergessen, sie wieder einzuschalten.)
• Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
• Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
• Warte bis die Komponenten heruntergeladen sind.
• Setze den Haken bei Scan archives.
• Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
• Drücke dann auf Start.
• Die Signaturen werden heruntergeladen und der Scan startet automatisch.
  Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
• Falls nach Beendigung des Scans Funde angezeigt werden, dann:
  • Drücke auf List of found threats.
  • Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
  • Drücke danach auf << Back.
• Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 4

Starte bitte die OTL.exe.

• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Schritt 5

Downloade dir bitte SecurityCheck (Link 1, Link 2).

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log vom MBAM
• Log von ESET
• Log von OTL
• Log von SecurityCheck

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\montuser deleted successfully.
C:\Users\Tini\AppData\Roaming\BBC6FC21 folder moved successfully.
C:\Users\Tini\AppData\Roaming\Egdo folder moved successfully.
C:\Users\Tini\AppData\Roaming\Aqfaep folder moved successfully.
C:\Users\Tini\AppData\Roaming\Tyim folder moved successfully.
C:\Users\Tini\AppData\Roaming\Qydad folder moved successfully.
C:\Users\Tini\AppData\Roaming\Ofri folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

User: Tini
->Temp folder emptied: 1468 bytes
->Temporary Internet Files folder emptied: 5302526 bytes
->Java cache emptied: 1 bytes
->FireFox cache emptied: 106110494 bytes
->Flash cache emptied: 1113 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 106,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 02172013_133954

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Malwarebytes Anti-Malware 1.70.0.1100
Malwarebytes : Free anti-malware download

Datenbank Version: v2013.02.17.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Tini :: TINI-PC [Administrator]

17.02.2013 13:49:41
mbam-log-2013-02-17 (13-49-41).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 199731
Laufzeit: 7 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Bin eigentlich schon fertig??? Scheint ja alles entfernt zu sein ....

Wir sind noch nicht ganz fertig, aber sehr bald.
Mach bitte noch die verbleibenden Schritte und poste die Logs dazu.

ESET Online Scanners hat nichts gefunden

OTL Logfile:
--- --- ---

Results of screen317's Security Check version 0.99.57
Windows 7 Service Pack 1 x86 (UAC is disabled!)
Internet Explorer 8 Out of date!
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.70.0.1100
JavaFX 2.1.1
Java(TM) 6 Update 29
Java(TM) 7 Update 5
Java version out of Date!
Adobe Flash Player 11.5.502.149
Adobe Reader 10.1.5 Adobe Reader out of Date!
Mozilla Firefox (18.0.2)
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Hi,

bring noch deine veraltete Software auf den neusten Stand, die stellt ein Sicherheitsrisiko dar.
Danach räumen wir auf.


Schritt 1

Ich sehe, dass die Benutzerkontensteuerung (UAC) bei dir deaktiviert ist. Hast du sie bewusst selbst ausgeschaltet? Von der Sicherheitsperspektive her sollte man die Benutzerkontensteuerung eingeschaltet lassen. Ich empfehle dir, sie gemäss dieser Anleitung wieder zu aktivieren.



Schritt 2

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 13.

• Gehe zu

  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
  Start --> Systemsteuerung --> Software (bei Win XP)

  und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

• Lade dir die neueste Java-Version herunter.
• Schliesse alle laufenden Programme, speziell den Browser.
• Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
• Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Schritt 3

Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:

• Deinstalliere bitte deine aktuelle Version von Adobe Reader über

  Start --> Systemsteuerung --> Software (bei Windows XP)
  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Windows 7)

• Besuche diese Seite von Adobe.
• Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
• Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Schritt 4

Downloade und installiere den Internet Explorer 9. Der sollte auch aktuell sein, wenn er nicht zum Surfen verwendet wird.



Schritt 5

Starte defogger und drücke den Button Re-enable.



Schritt 6

Bitte deaktiviere jetzt temporär das Antiviren-Programm, evtl. vorhandenes Skript-Blocking und Antimalware-Programme.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, kopiere folgenden Text in das Ausführen Fenster
und drücke OK.
Du kannst die eben deaktivierten Programme nun wieder einschalten.



Schritt 7

Den ESET Online Scanner kannst du behalten, um ab und zu für eine Zweitmeinung dein System damit zu scannen.
Falls du ESET aber deinstallieren möchtest, dann:

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, kopiere folgenden Text in das Ausführen Fenster
und drücke OK.



Schritt 8

Downloade dir bitte delfix auf deinen Desktop.

• Schliesse alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Klicke auf Start.
• DelFix entfernt alle von uns verwendeten Programme und löscht sich anschliessend selbst.
  Sollte denoch etwas übrig bleiben, kannst du es manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts





Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.